V dnešních Cybulovinách naleznete…
Únik více než 12 000 interních dokumentů čínské firmy KnownSec odhaluje nové detaily o jejích aktivitách a nástroji ZoomEye. Podíváme se také na devět škodlivých NuGet balíčků, z nichž nejnebezpečnější Sharp7Extend cílí na PLC Siemens S7 a ohrožuje průmyslové provozy. A nakonec se zaměříme na ruské opatření, jež na 24 hodin omezuje mobilní internet lidem vracejícím se ze zahraničí — oficiálně kvůli zneužívání ruských SIM karet v ukrajinských dronech, avšak s dopady, které znovu otevírají otázku rostoucí státní kontroly nad digitálním prostorem.
Příjemné čtení!
Tým Cybule
Obsah:
- Únik dat čínské společnosti KnownSec: obdobný jako I-Soon, ale méně důležitý
- Pokus o sabotáž PLC Siemens S7: škodlivé NuGet balíčky
- Rusko omezuje mobilní internet v boji proti dronům
Únik dat čínské společnosti KnownSec:obdobný jako I-Soon, ale méně důležitý
(6.11.2025, Netaskari)
Začátkem listopadu vyšel najevo únik dat týkající se společnosti KnownSec, pekingské firmy zabývající se kybernetickou bezpečností s vazbami na čínskou vládu. KnownSec je známá pro svůj nástroj ZoomEye, globální vyhledávač, který se používá k mapování zařízení připojených k internetu. Únik údajně zahrnuje více než 12 000 interních dokumentů, které byly krátce zveřejněny na GitHubu, než byly odstraněny pro porušení komunitních pravidel. Aktér t1g3r data nabídl k prodeji na darkwebovém fóru DarkForums zájemci s nejvyšší nabídkou. Zároveň jako důkaz zveřejnil galerii 63 snímků obrazovky jako důkaz věrohodnosti uniklých dat. Analýza úniku je založena právě na těchto veřejně dostupných dokumentech.
Část „knihovny klíčových cílů“, která zobrazuje tchajwanské organizace, jejich sektorovou příslušnost, IP adresy, porty a identifikované edge zařízení (Netaskari)
Co potřebujete vědět:
- Podle analýzy výzkumníka Marca Hofera, známého jako Netaskari, únik odhalil interní dokumenty, které objasňují nástroje a operační zaměření společnosti. Hofer podotýká, že podle uniklých údajů, lze nástroj ZoomEye spárovat s „knihovnou klíčových cílů“ (viz níže) k identifikaci a zneužití 0-day zranitelností v konkrétních systémech.
- Nejkritičtějším objevem je samotná „knihovna klíčových cílů“ (dokument s názvem “关基目标库说明文档_V202309.pdf“), která obsahuje seznamy zmapované digitální infrastruktury – se zaměřením na armádu, energetiku a telekomunikace – v zemích jako Indie a Tchaj-wan, což naznačuje roli ve shromažďování zpravodajských informací pro potřeby čínského státu.
- Nástroj ZoomEye je příkladem dvojího užití kyberbezpečnostních technologií. Zatímco je veřejně nabízen jako vyhledávač IoT zařízení (podobně jako Shodan nebo Censys), uniklá data naznačují, že je také využíván pro ofenzivní účely.
- Uniklá data dále vrhají světlo na roli KnownSec v rozsáhlém sběru dat; snímky obrazovky ukazují data shromážděná ze zdrojů, jako je LinkedIn, Telegram a různé e-commerce platformy. Mezi další odhalené nástroje patří trojský kůň pro vzdálené ovládání starších systémů Windows a materiály o konkrétních exploitech.
- Uniklá data pocházejí z roku 2023, což potvrdila i společnost KnownSec společně s tvrzením, že únik neobsahoval žádné významně citlivé informace.
Komentář Cybule: Ve světě, kde I-Soon je měřítkem zajímavosti úniku dat od čínských ofenzivních kontraktorů, je případ KnownSec daleko méně působivý. Z dokumentů, které jsou k dispozici, se dají vyvodit jen náznaky účasti na čínským státem organizované špionáži. Nabídka nístrojů KnownSec se příliš neliší od nabídek soukromých dodavatelů ofenzivních služeb kdekoli na světě. Zároveň je to případ I-Soonu, který umožňuje únik od KnownSec s vysokou mírou pravděpodobnosti označit za další příklad rozsáhlého systému soukromých čínských společností, které čínský stát využívá k široké škále útočných operací.
Pokus o sabotáž PLC Siemens S7: škodlivé NuGet balíčky
(6.11.2025, Socket Threat Research)
Výzkumný tým Socket Threat Research odhalil devět škodlivých NuGet balíčků, mezi nimiž vyniká zejména Sharp7Extend, balíček zaměřený na PLC Siemens S7. Zatímco ostatní balíčky míří na databázové operace, Sharp7Extend představuje přímou hrozbu pro průmyslové provozy: kombinuje mechanismy pro okamžité ukončování PLC komunikace a tiché selhávání zápisů do paměti PLC. Útočník vystupující pod aliasem shanhai666 publikoval balíčky v letech 2023–2024. Škodlivou aktivitu obalil do 99% legitimního kódu. Balíček Sharp7Extend tak obsahuje kompletní, nepozměněnou knihovnu Sharp7, což je jedna z nejpoužívanějších .NET knihoven pro komunikaci se Siemens S7. Díky tomu se balíček může při testech chovat zcela standardně, bez zjevných anomálií. Celkem byly škodlivé balíčky staženy téměř deset tisíckrát.
Co potřebujete vědět:
- Sharp7Extend zneužívá komunikaci se Siemens S7 PLC. Balíček rozšiřuje objekt S7Client o škodlivé extension metody, které se spouštějí při každé PLC operaci, zejména při navazování spojení a zápisu do datových bloků.
- Sharp7Extend využívá dvojí sabotážní mechanismus. Okamžitá část útoku náhodně ukončuje procesy s dvacetiprocentní pravděpodobností při každé komunikaci se Siemens S7, a to od chvíle oživení instalace až do 6. 6. 2028. Toto může v praxi způsobovat nepravidelné výpadky HMI, SCADA nebo MES/MOM systémů, což může být snadno zaměněno za běžné technické problémy.
- Druhá fáze sabotáže se aktivuje po 30–90 minutách od zahájení komunikace a vede k tomu, že až osmdesát procent zápisů do PLC tiše selže. Operace se sice jeví jako úspěšné, ale hodnoty se ve skutečnosti do řídicí jednotky nezapíší. To může mít vážné důsledky pro bezpečnost provozu.
- Balíček využívá kompletní originální Sharp7 knihovnu, což výrazně ztěžuje detekci. Při testování je komunikace se Siemens S7 zcela funkční, protože všechny funkce z původní knihovny pracují normálně. Sabotáž se aktivuje jen v pozadí a až po splnění časových podmínek.
- Útočník přidal škodlivé metody pod stejnými názvy jako mají běžně používané rozšířené operace, takže vývojáři ani administrátoři nemají šanci při statické analýze ani základním testování vidět problém.
- Metadata a kód naznačují, že útočník je pravděpodobně z Číny. Tuto hypotézu podporuje alias shanhai666 a čínské komentáře v knihovnách.
Komentář Cybule: Útok na knihovnu Sharp7 představuje jeden z nejnebezpečnějších typů sabotáže v doméně průmyslových řídících systémů. Zasahuje přímo komunikační vrstvu mezi aplikací a PLC Siemens S7. Tiché selhávání zápisů může vést k situacím, kdy PLC sice nadále komunikuje, ale ignoruje požadavky na zásadní změny parametrů. Provoz tak může pokračovat v nestabilním nebo nebezpečném stavu, aniž by operátoři zaznamenal problém.
Co se týče doporučení, provozovatelé systémů, kteří by tímto škodlivým balíčkem mohly být zasaženi, by měli okamžitě provést audit všech .NET aplikací komunikujících se Siemens S7 PLC a ověřit, že nikde není použita knihovna Sharp7Extend. Je také vhodné dodat, že v kontextu softwarových dodavatelských řetězců je nezbytné vždy ověřovat původ, integritu i chování používaných knihoven a mít zavedené hloubkové kontroly, které dokáží zachytit i případ popsaný v tomto příspěvku.
Rusko omezuje mobilní internet v boji proti dronům
(12.11.2025, TheRecord)
Rusko zavádí nová opatření, která na 24 hodin omezují mobilní internet občanům vracejícím se ze zahraničí. Oficiálním důvodem je zabránit použití ruských SIM karet v ukrajinských dronech. Opatření však vyvolává otázky o skutečné motivaci, dopadech na běžné uživatele a posilování kontroly státu nad digitálním prostorem.
Co potřebujete vědět:
- Ministerstvo digitálního rozvoje zavedlo pravidlo, které označuje za „cooling-off period“. Když ruská SIM karta vstoupí do země ze zahraničí (tzv. roaming), mobilní internet se automaticky na 24 hodin zablokuje. Pro obnovení přístupu musí uživatel aktivně prokázat, že SIM kartu používá člověk, nikoli dron. To lze provést buď vyřešením „captcha“ testu, nebo přímým zavoláním operátorovi za účelem identifikace. Podobné omezení již měsíc platí i pro zahraniční SIM karty vstupující do země.
- Nové pravidlo okamžitě způsobilo neočekávané problémy obyvatelům ruských pohraničních oblastí. Jejich telefony se totiž mohou automaticky a nechtěně připojit k silnějším signálům zahraničních operátorů (např. z Kazachstánu). To systém vyhodnotí jako „návrat ze zahraničí“ a spustí 24hodinovou blokaci, i když uživatel zemi vůbec neopustil. Úřady lidem doporučily, aby si v telefonech nastavili manuální výběr sítě, což pro mnoho běžných uživatelů není intuitivní.
- V některých regionech jdou opatření ještě dál. Například v Uljanovské oblasti, která je častým cílem ukrajinských dronů, mají omezení mobilního internetu platit až do konce války. Nejedná se přitom o celoplošný blackout. Úřady specifikovaly, že přístup bude omezen jen „v okolí kritických zařízení“. Zajímavé je, že i během těchto výpadků zůstávají dostupné klíčové, vládou schválené služby. Patří sem vládní portál Gosuslugi, komerční giganti jako Yandex, sociální sítě VKontakte a Odnoklassniki nebo populární e-shopy Ozon a Wildberries.
- Souběžně s těmito „protidronovými“ opatřeními se Kreml snaží výrazně rozšířit pravomoci domácí zpravodajské služby FSB. Připravované legislativní změny by daly FSB přímou pravomoc nařídit telekomunikačním společnostem okamžité odpojení mobilního i internetového přístupu. Důvodem mohou být vágně definované „nově vznikající hrozby“, což v praxi dává tajné službě téměř neomezenou kontrolu nad digitální infrastrukturou země.
- Ačkoli oficiální zdůvodnění zní logicky, skupiny pro digitální práva a kybernetičtí experti jsou skeptičtí. Poukazují na klíčový fakt: většina vojenských dronů, které jsou ve válce používány, se pro navigaci a řízení letu nespoléhá na mobilní internetové připojení. Z tohoto důvodu lze tato omezení chápat jako svévolná, nebo politicky motivovaná.
Komentář Cybule: Toto opatření představuje pozoruhodný příklad „dvojího užití“ kybernetické bezpečnosti. Na jedné straně je pochopitelné, že se Rusko snaží reagovat na reálnou hrozbu ukrajinských dronových útoků pronikajících hluboko do svého území. Snaha jakkoli ztížit jejich logistiku – včetně hypotetického zneužití SIM karet – dává z vojenského hlediska smysl. Na straně druhé však zvolený postup a jeho širší kontext odhalují mnohem znepokojivější trend. Plošná 24hodinová blokace či captcha bariéry dopadají především na běžné občany a působí spíše jako forma digitální šikany než jako promyšlené bezpečnostní opatření. To, že odborníci navíc zpochybňují samotnou závislost dronů na mobilních sítích, jen posiluje podezření, že drony slouží spíše jako pohodlná záminka. Ještě významnější je však to, co probíhá v zákulisí: postupné posilování pravomocí FSB. V kontextu války si stát systematicky vytváří technickou i právní architekturu umožňující rozsáhlou kontrolu informačního prostoru. Každé „dočasné“ krizové opatření se přitom může velmi snadno stát trvalým nástrojem dohledu. Vzniká tak prostředí, v němž může vláda kdykoli vypnout nepohodlné části internetu s odkazem na národní bezpečnost, zatímco státní a privilegované komerční služby zůstanou nedotčeny. Nejde tedy jen o obranu proti dronům, ale o formování podoby ruského internetu v éře po válce.
