Cybuloviny 10/26

Co tento týden rezonuje naší kyberkomunitou? Českou i globální scénou hýbou tři zásadní události. Think-tanky a další strategické organizace v České republice a na Tchaj-wanu se ocitly v hledáčku čínské kyberšpionážní kampaně Dragon Weave. Paralelně s tím bezpečnostní experti odhalili alarmující, deset let trvající kompromitaci systému kritické infrastruktury. Tento incident slouží jako tvrdé vystřízlivění a ukazuje, že ani rostoucí investice do kybernetické obrany samy o sobě nestačí, pokud selhává včasná detekce. V reakci na tyto sílící hrozby a geopolitické tlaky proto Evropská unie představila nový balíček opatření, jehož cílem je posílit technologickou suverenitu Evropy a radikálně omezit naši závislost na dodavatelích ze Spojených států a Číny.

Příjemné čtení!

Tým Cybule

Obsah:

• Think tanky a další organizace v ČR a na Tchaj-wanu se staly cílem čínské kyberšpionážní kampaně Dragon Weave
• Společnost Sygnia odhalila 10 let trvající kompromitaci systému kritické infrastruktury
• Technologická nezávislost EU. Nový balíček má omezit závislot na USA a Číně

Think tanky a další organizace v ČR a na Tchaj-wanu se staly cílem čínské kyberšpionážní kampaně Dragon Weave

(29.5.2026, Seqrite)

Operace Dragon Weave je cílená špionážní kampaň odhalená analytiky indické kyberbezpečnostní společnosti Seqrite připsaná neidentifikovanému aktérovi spojenému s Čínou. Kampaň se podle analýzy Seqrite zaměřuje na vládní orgány, výzkumné instituce, technologické společnosti a finanční sektor v České republice a na Tchaj-wanu. Počátečním vektorem útoku je doručení ZIP archivu ve spearphishingovém emailu, který obsahuje soubory a dokumenty psané v tradičních čínských znacích, které se používají na Tchaj-wanu. Dvě možné cesty infekce (LNK soubor tvářící se jako PDF a EXE soubor) jsou soubory s identickým názvem _計畫申請審查結果通知單 (Oznámení o výsledku přezkoumání žádosti o projekt), napodobující oficiální komunikaci. Součástí archivu je i českojazyčná návnada ve formě oznámení o schůzce od České správy sociálního zabezpečení (ČSSZ) s konkrétním jménem osoby a datem 16. března 2026.

Dvě alternativy infekčního řetězce a phishingová návnada v podobě dokumentu ČSSZ (Seqrite)

Co potřebujete vědět:

• Útočník připravil obětem dvě možnosti nakažení podle toho, který soubor otevřou jako první. V první cestě adresát, po rozbalení ZIP archivu, otevře zdánlivý PDF soubor 計畫申請審查結果通知單[.]pdf[.]lnk, který tiše spustí řetězec skriptů: VBScript předá řízení skriptu PowerShell, který dešifruje zašifrovaný soubor a sestaví škodlivý payload. Druhá cesta je mnohem přímočařejší a vyžaduje jen, aby oběť spustila soubor _計畫申請審查結果通知單[.]exe; ten je zcela soběstačný, nese vše potřebné interně a sám rozbalí všechny komponenty. Přestože jsou výchozí body odlišné, obě cesty nakonec načtou stejnou škodlivou DLL a doručí stejný finální payload AZUREVEIL.
• Obě infekční cesty se “potkají” u zdánlivě legitimní knihovny UnityPlayer.dll, která skrývá loader RUSTCLOAK napsaný v jazyce Rust. Před provedením jakékoli škodlivé činnosti RUSTCLOAK zjistí název počítače a porovná ho s pevně zakódovaným seznamem více než 100 názvů běžně spojovaných se stroji bezpečnostních výzkumníků a automatizovanými analytickými prostředími. Pokud stroj rozpozná jako potenciální analytické prostředí, jednoduše se ukončí bez spuštění payloadu. Malware je tedy navržen tak, aby se choval škodlivě pouze tehdy, když se domnívá, že běží na skutečném počítači oběti.
• Finální payload AZUREVEIL je agentem legitimního redteamingového nástroje Adaptix C2, který je běžně používán ke škodlivým účelům.  AZUREVEIL podporuje spouštění tzv. Beacon Object Files (BOF) v paměti aniž by je kdy zapsal na pevný disk. Výsledky jsou zachyceny a odeslány zpět útočníkovi prostřednictvím cloudového úložiště Azure, které je pod kontrolou útočníka. Tento postup sází na to, že většina tradičních bezpečnostních nástrojů se zaměřuje na detekci souborů zapsaných na disk.
• Kromě názvů souborů v tradiční čínštině cílících na tchajwanské uživatele obsahuje spustitelný soubor _計畫申請審查結果通知單[.]exe také českojazyčný návnadový dokument napodobující skutečné pozvání na schůzku od České správy sociálního zabezpečení. Pozvání je adresováno Zuzaně Koškové, která je analytičkou think tanku Bezpečnostní centrum Evropské hodnoty, který má zastoupení na Tchaj-wanu. Dokument obsahuje pokyny k použití systému pořadových čísel při příchodu na úřad. Podle informací dostupných Cybuli nebyla tato emailová návnada doručena předpokládané adresátce. Je možné, že spearphishingový email zastavila emailová ochrana, ale také je pravděpodobné, že dokument byl součástí širšího seznamu návnad a útočník se nakonec rozhodnul návnadu ČSSZ nepoužít.
• Seqrite svá zjištění opírá o vzorek škodlivého ZIP archivu, který na Virus Total nahrál uživatel z Tchaj-wanu dne 26. Března, 2026. Co zpráva Seqrite už nezmiňuje je, že o den dříve byl související ZIP archív nahrán na VT z České republiky. Oba vzorky například obsahují malware adaptagent (název Google pro backdoor v Adaptix C2) a podobný balík souborů, včetně souboru 計畫申請審查結果通知單.pdf.lnk. Existence souvisejícího vzorku nahraného z ČR potvrzuje hypotézu souběžného cílení na oběti v ČR a Tchaj-wanu.

Komentář Cybule: Kampaň velmi pravděpodobně souvisí s oficiální návštěvou Tchaj-wanu předsedu Senatu ČR Miloše Vystrčila, která se uskutečnila první týden v červnu. Načasování kampaně na začátek března tuto hypotézu podporuje. Nicméně nelze podcenit ani dlouhodobý zpravodajský zájem Číny o politické dění v České republice. Mezi funkce think tanků patří komunikace s politickými představiteli, spolupráce na strategických projektech a samozřejmě i snaha o změnu či pokračování konkrétních politik. Komunikace mezi státními institucemi a neziskovým sektorem nabízí zahraničním aktérům vhled do neveřejných debat, které mohou odhalit detaily, které se ve veřejné komunikaci neobjeví. Zpravodajský portál Seznam Zprávy upozornil na případ neúspěšného pokusu a kompromitaci stejného think tanku, tj. Evropských hodnot, na který mířil phishing kampaně Dragon Weave. Vektorem útoku tentokrát byla žádost o rozhovor a požadavek o kliknutí na Google docs odkaz, který příjemce zavedl na falešný přihlašovací stránku do Google profilu. Jestli spolu oba pokusy souvisí není zřejmé, ale organizace, které mají vazby na Tchaj-wan jsou pro Čínu cílem dlouhodobě a ne jen ve vztahu ke konkrétní geopolitické události.

Společnost Sygnia odhalila 10 let trvající kompromitaci systému kritické infrastruktury

(8.6.2026, Sygnia)

Forenzní vyšetřování společnosti Sygnia odhalilo jeden z doposud nejtrpělivějších a nejsofistikovanějších zaznamenaných kybernetických útoků. Čínský aktér známý jako Velvet Ant si udržoval nepozorovaný přístup do interní sítě cílové organizace přinejmenším od roku 2016. Výjimečností případu je, že napadená síť neměla přímé připojení k internetu, takže útočník musel zorganizovat vícefázový přístup, aby se k ní vůbec dostal. Útok probíhal ve třech fázích. Velvet Ant nejprve získal trvalý přístup na serverech vystavených internetu, poté se přesunul přes IT síť do segmentu kritické infrastruktury, a nakonec ovládl samotnou autentizační vrstvu systémů, tedy mechanismus, který systémoví administrátoři běžně používají ke správě přihlašování a úrovně oprávnění přístupů.

Útočníkům se na více zařízeních podařilo nahradit legitimní moduly PAM (Privileged Access Management) a binární soubory OpenSSH modifikovanými verzemi s backdoory, čímž útočník ovládl celý autentizační proces pro danou oddělenou síť. V rámci vyšetřování bylo identifikováno devět různých variant škodlivého modulu pam_unix.so, každá zkompilovaná pro odlišné prostředí, což svědčí o dobře financované a cílené operaci. Odstraňování přístupu útočníka bylo mimořádně složité, protože nahrazení klíčových komponent systému přihlašování mohlo vést k narušení přístupu ke klíčovým produkčním systémům.

Co potřebujete vědět:

• Velvet Ant nasadil upravenou verzi nástroje GS-Netcat, legitimního veřejně dostupného síťového nástroje, který přejmenoval na auditdb a umístil ho do systémového adresáře /usr/sbin/, kde splynul s legitimními utilitami. Aby ho správci při kontrole běžících procesů neodhalili, auditdb přejmenoval jeden ze svých parametrů na [khubd], což vypadá jako standardní vlákno jádra Linuxu. Na novějších systémech přežíval restarty tím, že se vydával za Chrome browser service.
• Aby se útočník přesunul z internetem připojené sítě do izolované kritické infrastruktury, chytře zneužil webový server Nginx. Jeho konfiguraci upravil tak, aby webové požadavky tiše přeposílal na backend systém, který spouštěl vlastní nástroj pojmenovaný uptime; název navozující dojem neškodné systémové diagnostiky. Ve skutečnosti tento nástroj navazoval SSH připojení do kritické sítě a stahoval důvěrná data.
• Backdoorovaný modul PAM byl upraven tak, že zadání konkrétního pevně zakódovaného hesla (Pamauth@123456) zcela obešlo standardní ověřování a umožnilo přístup k libovolnému účtu. Heslo bylo uloženo v zašifrované podobě uvnitř modulu a po použití byly stopy po hesle v paměti ihned přepsány NULL hodnotou, aby jeho použití nezanechalo stopy.
• Upravené binární soubory SSH (používané pro bezpečnou vzdálenou správu) tiše zaznamenávaly každý příkaz napsaný během jakékoliv relace. Útočníci navíc přidali vlastní skrytý přepínač (-d): pokud se připojili pomocí svého nástroje s tímto přepínačem, záznam přihlašovacích údajů se vypnul. Jejich vlastní aktivita tak nezanechala žádné záznamy, zatímco veškerá činnost legitimních správců byla plně zachycena.
• Obnovení integrity systému nebyla v žádném případě triviální záležitost, protože útočník manipuloval s moduly PAM a binárními soubory OpenSSH, které správci používají pro přihlašování a správu serverů. Při jejich odebrání hrozilo, že se všechny přístupy natrvalo uzamknou. Prostředí provozovalo několik distribucí a verzí Linuxu, každá vyžadovala jiný náhradní balíček. Sygnia proto zřídila speciální testovací laboratoř, kde ověřila správné náhrady ještě před zásahem do produkčních systémů, a připravila nouzové plány pro případ selhání.

Komentář Cybule: V kyberbezpečnostní komunitě se s nadsázkou říká, že útočník často zná napadený systém lépe než jeho legitimní správci. V našem případě nejde o žádnou nadsázku. Velvet Ant postupně a trpělivě ovládnul ověřovací proces a tím de facto ovládnul celý napadený systém. Celá situace je o to významnější, že se útočníkům podařilo ovládnout interní síť bez přímého přístupu k internetu. Síť byla oddělená a správa oprávnění byla zavedena. Nic z toho nejen, že nepomohlo, útočník získal kontrolu nad celým ověřovacím procesem. Že nepozorovaná přítomnost trvala téměř 10 let je šokující, ale ve světle dostupných informaci nikoli překvapivé. Z analýzy Sygnie není zřejmé, co útočníka nakonec prozradilo a ani neni známa bližší identita oběti. Velvet Ant se na Cybuli neobjevuje poprvé, v roce 2024 jsme se aktérovi věnovali v souvislosti s kampaní čínských skupin proti zařízením na perimetru sítě.

Technologická nezávislost EU. Nový balíček má omezit závislot na USA a Číně

(5.6.2026, TheRecord)

Evropská komise představila rozsáhlý balíček opatření zaměřený na posílení technologické suverenity EU. Cílem je snížit závislost na amerických cloudových službách, čínských dodavatelských řetězcích a zahraničních technologiích v klíčových oblastech jako jsou umělá inteligence, polovodiče nebo kritická digitální infrastruktura. Nová strategie může významně ovlivnit budoucnost kyberenetické bezpečnosti, ochrany dat i evropského technologického trhu.

Co potřebujete vědět:

• Nový balíček spojuje několik strategických iniciativ do jednoho rámce. Jeho součástí jsou návrhy zákonů označované jako Chips Act 2.0 a Cloud and AI Development ACT (CADA), doplněné strategií pro open source a plánem digitalizace energetické infrastruktury. Evropská komise tvrdí, že cílem je rozšířit nabídku evropských technologií pro firmy, veřejnou správu i občany.
• Evropa dlouhodobě spoléhá na poskytovatele cloudových služeb, kteří ovládají většinu trhu. Nové návrhy proto zavádějí požadavky na „suverení“ cloudová řešení pro citlivé sektory, jako jsou zdravotnictví, finance nebo energetika. To znamená především to, kde jsou její data uložena, kdo k nim může přistupovat a podle jakých právních předpisů jsou spravována. Důležitým témate je také kontrola nad daty a obava z dopadů americké legislativy, např. zákona Cloud Act. Z pohledu kybernetické bezpečnosti jde o snahu zajistit, aby kritická data evropských organizací zůstala pod evropskou jurisdickíc a nebyla vystavena geopolitickým rizikům
• Pandemie, obchodní války i rostoucí napětí mezi USA a Čínou ukázaly, jak zranitelné jsou globální dodavatelské řetězce. EU proto plánuje další investice do výroby čipů a chce navázat na původní Chip Act. Ambicí je zvýšit evropskou výrobní kapacitu a snížit závislost na asijských dodavatelích.
• Součástí balíčku je také podpora evropského open.source ekosystému. Evropská komise chce usnadnit využívání otevřeného softwaru ve veřejné správě a podporovat interoperabilitu mezi systémy. Z bezpečnostního hlediska může větší využívání open source přinést vyšší transparentnost, lepší auditovatelnost kódu a menší závislist na jednom dodavateli. Současnš však vyžaduje dostatečné investice do správy a zabezpečení těchto projektů.
• Evropská komise opakovaně zdůrazňuje, že cílem není úplné odstřižení od zahraničních partnerů. Jde spíše o snížení kritických závislostí a vytvoření alternativ tam, kde by geopolitické nebo bezpečnostní riziko mohlo ohrozit fungování evropkých institucí a podniků.

Komentář Cybule: Z pohledu kybernetické bezpečnosti představuje evropský balíček technologické suverenity jednu z nejvýznamnějších strategických iniciativ poslední dekády. Evropská unie si stále více uvědomuje, že digitální infrastruktura není pouze otázkou efektivity a nákladů, ale také národní a ekonomické bezpečnosti. Závislost na několika málo globálních poskytovatelích cloudových služeb, zahraničních výrobcích čipů nebo proprietárních AI vytváří potencionální bod selhání. Pokud by došlo k obchodnímu konfliktu, sankcím nebo omezení přístupu k technologiím, mohly by být evropské organizace vystaveny významným provozním i bezpečnostním rizikům. Na druhou stranu bude úspěch celé strategie záviset na schopnosti Evropy vytvořit skutečné konkurenceschopné prostředí. Samotná regulace nestačí. Bez investic do výzkumu, infrastruktury, talentů a inovací hrozí, že technologická suverenita zůstane spíše politickým heslem než praktickou realitou.