Čínští státem podporovaní aktéři cílí na dodavatelský řetězec společnosti SentinelOne, což vedlo k odkrytí širší kyberšpionážní kampaně. Běloruská hacktivistická skupina Cyber Partisans s výsměchem reaguje na technickou zprávu od Kaspersky. A aby toho nebylo málo, v oblíbených GPS zařízeních SinoTrack byly odhaleny zranitelnosti, které by mohly útočníkům umožnit sledovat a zastavit vozidla na dálku.
Příjemné čtení!
Tým Cybule
Obsah:
- Kyberbezpečnostní společnost SentinelOne v hledáčku čínských špionážních skupin
- Zranitelnosti v zařízení GPS SinoTrack
- Běloruští Cyber Partisans reagují na analýzu od Kaspersky výsměchem
Kyberbezpečnostní společnost SentinelOne v hledáčku čínských špionážních skupin
(9.6.2025, SentinelOne)
SentinelLABS ve své analýze popisuje kyberšpionážní kampaň ze strany aktérů spojených s Čínou proti infrastruktuře a dodavatelskému řetězci SentinelOne, organizacím veřejného sektoru, mediálním institucím a dalším sektorům s globálním zaměřením. Popisovaná kampaň probíhala od poloviny roku 2024 do začátku roku 2025. Klíčové aktivity zahrnovaly pokusy zmapovaní infrastruktury SentinelOne a kompromitace externího dodavatele IT služeb pro SentinelOne. Zpráva identifikuje nejméně dva související aktivní uskupení, konkrétně „ShadowPad“ a „PurpleHaze“, které společně cílily na více než 70 organizací v různých odvětvích, včetně výroby, vlády, financí, telekomunikací a výzkumu.
Časová aktivita škodlivé aktivity s použitím ShadowPad proti SentinelOne a jeho dodavateli (SentinelLABS)
Co potřebujete vědět:
- Skupině PurpleHaze jsme se věnovali již v dubnu, kdy SentinelOne publikoval prvotní analýzu kampaně zaměřené na SentinelOne a jeho dodavatele služeb. PurpleHaze vykazuje překryv s velmi aktivní skupinou APT15 (také známou jako Nylon Typhoon, Vixen Panda nebo Ke3chang) a v případě kampaně pozorované SentinelLABS cílil na vládní instituci v jižní Asii, přičemž využíval proxy síťovou infrastrukturu, známou jako Operational Relay Box (ORB), a backdoor GOREshell.
- Zajímavým překryvem mezi PurpleHaze a dalšími aktéry je aktivita skupiny UNC5174. Mandiant se domnívá, že aktér UNC5174 (který je pravděpodobně spojený s aliasem „Uteus“) je bývalý člen čínských hacktivistických uskupení, který působí ako dodavatel pro čínské Ministerstvo státní bezpečnosti (MSS) se specializací na zajištění prvotního přístupu (tzv. Initial Access Broker). UNC je dočasné označení Mandiantu pro aktivitu, u které není jisté jestli se jedná o samostatného aktéra nebo doposud nepřiřazená aktivita existující skupiny.
- SentinelLAbS v kampani pozoroval mj. zneužívání řetězících se zranitelností v zařízeních Ivanti, konkrétně CVE-2024-8963 a CVE-2024-8190. Útočník byl schopen získat prvotní přístup zneužitím zranitelností v Ivanti CSA (Cloud Services Appliance) nekolik dnů před jejich zveřejněním (tedy stále jako 0-days). SentinelLABS přiřazuje získání prvotního přístupu právě aktérovi UNC5174.
- ShadowPad je modulární backdoor používaný několika kybernetickými aktéry spojenými s Čínou. SentinelLABS pozoroval aktivitu malwaru ShadowPad zaměřenou na vládní agenturu v jižní Asii v červnu 2024 a v širších kampaních s globálním cílením mezi červencem 2024 a březnem 2025, které dopadly na více než 70 obětí.
- Při vyšetřovaní incidentu byl v jednom vzorku ShadowPad identifikován nástroj ScatterBrain, který slouží k zakrytí aktivity. Technika kombinace ShadowPad a ScatterBrain je výrazně spojen se skupinou APT41, známou také jako kontraktor pro MSS a Ministerstvo veřejné bezpečnosti (MPS) Chengdu 404.
Komentář Cybule: SentinelOne nebyl zdaleka jedinou obětí pozorované kampaně uskupení PurpleHaze a aktivity ShadowPad. Cílení na kyberbezpečnostní společnosti však ukazuje na zájem škodlivých aktérů o dodavatele bezpečnostních služeb. Příklady cílení na kyberbezpečnostní firmy zahrnují prolomení FireEye (dnes společnosti Trellix a Mandiant) v rámci rozsáhlé kompromitace dodavatelského řetězce skrze zranitelnost nultého dne v nástroji SolarWinds. Za útokem stála skupina Midnight Blizzard, která je součásti ruské zahraniční rozvědky SVR. Midnight Blizzard stojí i za kompromitací Microsoftu z ledna 2024. Vyšetřování Microsoftu ukázalo, že Midnight Blizzard se mj. zajímal i o to, co o jejích aktivitách Microsoft ví.
Zranitelnosti v zařízení GPS SinoTrack
(11.6.2025, CISA)
V zařízeních GPS SinoTrack byly objeveny dvě kritické bezpečnostní zranitelnosti, které představují značné riziko pro uživatele a provozovatele vozidel. Tyto zranitelnosti, identifikované jako CVE-2025-5484 (CVSS skóre: 8.3) a CVE-2025-5485 (CVSS skóre: 8.6), umožňují útočníkům vzdáleně ovládat určité funkce vozidla, sledovat jejich polohu a krást citlivé informace.
Co potřebujete vědět:
- S rostoucí integrací zařízení internetu věcí (IoT) do kritických systémů, jako jsou vozidla, se bezpečnost těchto zařízení stává stále důležitější. Proliferace IoT zařízení zavádí nové útočné plochy a jedinečné výzvy pro kybernetickou bezpečnost. Zranitelnosti v zařízeních SinoTrack byly objeveny bezpečnostním výzkumníkem Raúlem Ignaciem Cruzem Jiménezem, který je nahlásil Agentuře pro kybernetickou bezpečnost a bezpečnost infrastruktury USA (CISA).
- Úspěšné zneužití těchto slabin by mohlo vést k neoprávněnému přístupu k profilům zařízení prostřednictvím běžného webového rozhraní pro správu. To by následně mohlo útočníkovi umožnit provádět vzdálené funkce, jako je sledování polohy vozidla a odpojení napájení palivového čerpadla, pokud to vozidlo podporuje. Schopnost vzdáleně ovládat funkce vozidla, jako je odpojení palivového čerpadla, přesahuje pouhé narušení dat. To představuje bezprostřední, hmatatelné bezpečnostní a provozní rizika pro správce vozových parků, logistické společnosti a jednotlivé majitele vozidel. Narušení dodávky paliva by mohlo vést k uvíznutí vozidel, nehodám nebo dokonce usnadnit krádež, což posouvá hrozbu z pouhého ohrožení dat na přímé ohrožení fyzických aktiv a lidské bezpečnosti.
- Všechny verze platformy SinoTrack IoT PC jsou těmito zranitelnostmi postiženy. Zneužití závisí na získání identifikátorů zařízení, které lze snadno získat z veřejně dostupných zdrojů, fotografií nebo prostřednictvím enumerace. Skutečnost, že jsou postiženy „všechny verze“ „PC platformy“ a že identifikátory lze snadno získat z „veřejně přístupných webových stránek, jako je eBay“, poukazuje na systémové selhání v bezpečnostním návrhu a nasazení produktu.
- Značná zátěž pro bezpečnost se tak přesouvá na koncového uživatele, přestože by bezpečnost měla být vestavěna, což podtrhuje širší problém v bezpečnosti dodavatelského řetězce IoT, kde se počáteční nezabezpečené konfigurace stávají problémem uživatele.
- V současné době nejsou k dispozici žádné oficiální opravy k řešení těchto zranitelností. Uživatelům se v nepřítomnosti záplaty doporučuje co nejdříve změnit výchozí heslo a podniknout kroky k utajení identifikátoru zařízení.
Komentář Cybule: Absence (snad dočasná) bezpečnostní aktualizace znamená, že přetrvávající riziko a způsob jeho mitigace je kladen na koncové uživatele. Za značné riziko lze považovat obrázky zařízení zveřejněných na veřejně přístupných webových stránkách, jako je eBay, kde může být viditelná nálepka s identifikátorem. To samo o sobě není technické zneužití, ale selhání provozní bezpečnosti. Znamená to, že uživatelé, prodejci nebo dokonce výrobci neúmyslně vystavují kritická autentizační data kvůli nedbalosti nebo nedostatku povědomí. To dále rozšiřuje rozsah zranitelností nad rámec pouhých softwarových chyb a zahrnuje špatné postupy provozní bezpečnosti v dodavatelském řetězci a v prostředí koncového uživatele.
Běloruští Cyber Partisans reagují na analýzu od Kaspersky výsměchem
(12.06.2025, The Record)
Ruská bezpečnostní společnost Kaspersky zveřejnila podrobnou technickou zprávu o činnosti běloruské hacktivistické skupiny Cyber Partisans, která od roku 2020 útočí na vládní a průmyslové cíle v Bělorusku a Rusku. Hackeři se však nenechali zahanbit – místo ústupu reagovali veřejným výsměchem a poděkováním za „propagaci své věci“.
Logo Cyber Partisans (Wikipedia)
Co potřebujete vědět:
- Report představil dva škodlivé komponenty, které měly být použity při útocích:
- Vasilek: pokročilý backdoor, který umožňuje útočníkům sbírat informace o systému, snímat obrazovky, zaznamenávat stisky kláves a mapovat infrastrukturu cílové sítě. Zajímavostí je, že nevyužívá běžné C2 servery, místo toho komunikuje přes šifrované skupiny v aplikaci Telegram, čímž znesnadňuje detekci.
- Pryanik: destruktivní wiper navržený k mazání klíčových dat. Funguje jako „logická bomba“, tj. aktivuje se v předem definovaný čas a pokud zůstane v systému, může se po určitém čase znovu spustit a zopakovat škodlivou činnost
- Cyber Partisans se od roku 2020 zaměřují na cíle spojené s represivním aparátem běloruského režimu. Útočili např. na:
- Státní železnice, kde narušili přepravu ruských zbraní do Ukrajiny,
- Ministerstvo vnitra Běloruska, kde získali přístup k interním komunikacím,
- Státní chemický podnik, kde podle jejich prohlášení došlo k výpadku energie, prolomení kamerového systému, šifrování stovek zařízení a mazání záloh.
- Kaspersky upozornil, že malware je Cyber Partisans často nasazován v nočních či brzkých ranních hodinách, kdy je pohotovostní režim IT správy slabší. Tento načasovaný přístup zvyšuje efektivitu útoku, prodlužuje dobu detekce a umožňuje větší rozsah škod.
- Cyber Partisans v reakci připustili, že někdy nasadili wiper typu Pryanik, ale tvrdí, že šlo o specifické případy. V jiných případech prý používali ransomware, což by umožnilo obětem data obnovit, pokud by vyhověly politickým požadavkům. Dodávají také, že data často exfiltrovali před zničením, takže obnovu mohli nabídnout zpětně.
- V reakci na analýzu hacktivisté vydali prohlášení, ve kterém Kaspersky ironicky „děkují“ za publicitu. Zpochybňují motivace firmy, která podle nich jen reaguje na to, že její vlastní produkty selhaly při ochraně cílových organizací. Vzkaz zakončili výzvou:„Děkujeme týmu Kaspersky za pozornost a propagaci naší věci. Doufáme, že brzy vzniknou podobné skupiny přímo v Rusku, které zasadí rány kremelskému režimu. Ať žije Bělorusko!“
Komentář Cybule: V záplavě hacktivistických uskupení, které propagují ruské zájmy nebo jsou krycími aktivitami ruských tajných služeb, může zapadnout, že aktivní jsou i hacktivistická uskupení, která působí proti režimům v Rusku a Bělorusku. Cyber Partisans jsou aktivní od samotného začátku ruské invaze Ukrajiny. Kaspersky s nedávno věnoval jiné hacktivistické skupině, která cílí na Rusko. Konkrétně šlo o proukrajinský hacktivistický tým Black Owl.
