Přehled událostí v kybernetické bezpečnosti z týdne 24.–30. dubna

V minulém týdnu byly opětovně zaznamenány kyberútoky připisované ruským hackerům. Podle dostupných informací se jednalo o působení skupiny APT28, která měla mít v průběhu roku 2015 až 2016 přístup k e-mailům zaměstnanců dánského ministerstva obrany, jež využila pro aktivity, které dánský ministr zahraničí Claus Hjort Frederiksen charakterizoval jako „spojené s výzvědnými službami nebo ústředními orgány ruské vlády“.

Dalším případem, s nímž je spojována zmíněná APT, která stála (kromě útoků na řadu dalších subjektů) i za kyberšpionáží proti německým, americkým a tureckým politikům, je průnik do poštovního účtu francouzského prezidentského kandidáta Emmanuela Macrona. Kyberútoky na jeho štáb měly probíhat od prosince 2016 a jejich původci zřídili autenticky vypadající phishingové stránky pro zjišťování přihlašovacích údajů pracovníků. Odcizené dokumenty mohou být dle názoru výzkumníka firmy Trend Micro, jenž se případem zabývá, použity k budoucím pokusům o Macronovu kompromitaci, pakliže se na úkor prorusky vystupující kandidátky Marine Le Penové ujme prezidentského úřadu.

Trend Micro, která APT28 s kompromitací systémů Macronova štábu jako první asociovala, publikovala 25. dubna analýzu postupů, které dotyčné uskupení při napadání desítek institucí po celém světě využívá. Firma dospěla k závěru, že se za poslední dva roky schopnosti APT28 vyvinuly od pouhé kybernetické špionáže ke komplexním operacím zaměřeným na ovlivňování veřejného mínění. Příkladem jsou kampaně spoléhající na krádeže interních dat a jejich přesně načasované uvolňování za účelem poškození cíle, jako se stalo v případě Světové antidopingové agentury (WADA).

Skupina, jež v některých případech otálela se zveřejněním odcizených materiálů více než rok, se také začala uchylovat k false flag akcím, což byl kromě kauzy WADA i případ francouzské stanice TV5Monde. APT28 se často obrací na média (která zároveň patří i k jejím obětem) a nabízí k publikaci exkluzivní neveřejné informace. Ty mohou být vzhledem k nemožnosti jejich kontroly cíleně vybrány nebo pozměněny tak, aby byl maximalizován jejich účinek.

Během 24. dubna Interpol na svých stránkách informoval o vyšetřování v jihovýchodní Asii, které vedlo k odhalení téměř 9 tisíc řídících serverů a stovek kompromitovaných internetových stránek. Operace byla provedena za účasti policejních expertů zemí ASEAN a zástupců soukromého sektoru včetně firem Trend Micro, Kaspersky Lab, Booz Allen Hamilton, Fortinet a Palo Alto Networks. Stránky napadené s využitím bezpečnostních slabin v jejich designu zahrnovaly i weby několika vlád, potenciálně obsahující data o občanech dotyčných států. Objevené aktivní řídící servery představují dle prohlášení Interpolu z hlediska kybernetické kriminality riziko jako prostředky šíření ransomware a dalšího malwaru či iniciace DDoS útoků.

Dne 28. dubna zveřejnila WikiLeaks již šestou část materiálů dokumentujících kybernetický arzenál CIA. Tentokrát se jedná o popis a zdrojový kód „anti-whistleblowerského“ nástroje pro dokumenty MS Office nazvaného Scribbles, který je určen k jejich sledování v případě úniku. Princip spočíval ve specifickém vodoznaku ukrývajícím odkaz na server CIA, takže služba věděla, kdy a kde došlo k otevření upravených dokumentů. Podle uvedené deskripce nebyla metoda aplikovatelná na alternativní programy jako OpenOffice a LibreOffice, v nichž se mohly jinak ukryté komponenty souboru zobrazovat.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace