Přehled událostí v kybernetické bezpečnosti z týdne 10.–16. dubna

Zásluhou specialistů ze společnosti WordFence byla 11. dubna objevena kampaň, jíž padly za oběť tisíce slabě zabezpečených domácích routerů. Zařízení, jež byla kompromitována prostřednictvím odkrytých portů 7547 sloužících jinak pro jejich vzdálenou správu, byla minimálně během března využívána k brute force útokům na administrátorská konta webů postavených na platformě WordPress. Specifickým projevem, který napomohl v určení rozsahu daných aktivit bylo, že se jednotlivé IP adresy v napadání střídavě angažovaly pouze po dobu několika hodin a zbytek měsíce zůstávaly pasivní. Celková velikost routerového botnetu či botnetů není známa, avšak zasaženo bylo vybavení figurující v sítích 28 poskytovatelů internetového připojení napříč celým světem.

Společnost F-Secure Labs ve své zprávě informovala o aktivitách hackerské skupiny Callisto Group, jež se specializuje na kyberšpionáž vůči zemím východní Evropy a Jižního Kavkazu. Kampaň, trvající přinejmenším od roku 2015, byla zaměřena na politickou reprezentaci, představitele armády, žurnalisty, vědce a další osoby s přístupem k informacím týkajícím se zahraniční a bezpečnostní politiky napadených států. Nástroje, na které se pachatelé při útocích zahájených aplikací phishingu spoléhali, patřily původně italské společnosti Hacking team, jež se zabývá vývojem softwaru pro účely státních silových složek. O zdrojové kódy svých programů uvedená firma přišla při hackerském útoku v roce 2015. U Callisto group lze předpokládat vazby na státní sféru i na kyberkriminální podsvětí.

Zatímco je na serveru WikiLeaks průběžně publikována dokumentace kybernetických prostředků, patřících pravděpodobně americké CIA, dne 14. dubna zpřístupnili aktéři známí jako Shadow brokers zbytek materiálů, jejichž údajným autorem je APT Equation group, za níž podle řady expertů stojí další zpravodajská organizace působící ve Spojených státech – NSA. Podle závěru společností, které se věnují jejich analýze, jsou obsahem rozmanité hackerské nástroje, včetně těch určených pro průnik do operačních systémů Windows a dokumentů svědčících o tom, že (patrně) NSA kompromitovala systémy dvou institucí (jednou z nich je dubajská firma EastNets) spravujících SWIFT transakce pro oblast Středního východu, což by jí potenciálně zpřístupnilo finanční data tamějších bank. Zástupci firem SWIFT i EastNets popřeli, že by byla jejich infrastruktura jakkoliv narušena.

Microsoft na nové informace téhož dne zareagoval prohlášením, že většina uvedených zranitelností již byla pomocí vydaných bezpečnostních záplat v aktuálně podporovaných verzích operačních systémů odstraněna. U některých exploitů se tento krok datuje k březnu 2017, což vzhledem k tomu, že Microsoft neuvedl, jakým způsobem byl o zranitelnostech uvědomen, naznačuje, že jej o rizicích informovala samotná NSA nebo příslušné informace odkoupil přímo od Shadow brokers.

Patrně nejzásadnějším poznatkem, s nímž přišla bezpečnostní firma Symantec, je objev exploitu, který byl součástí malwaru Stuxnet, jenž byl (pravděpodobně ze strany USA a Izraele) nasazen proti závodu na obohacování uranu v íránském Natanzu, jehož provoz zásadním způsobem sabotoval. Podle vyjádření analytika Symantecu, Liama O'Murche je dotyčná platforma umožňující tvorbu MOF souborů z hlediska zdrojového kódu takřka identická se skriptem použitým v rámci Stuxnetu. Jak si povšimli další bezpečnostní experti, jeden z textů obsažených v dokumentech odkazuje na název „olympijské hry“, pod nímž je operace proti íránskému jadernému průmyslu známa.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace