Cybuloviny 8/26

/ Kybernetické útoky

Po měsíční pauze vyplněné účastí na konferencích vám přinášíme nové Cybuloviny. V prvním článku se zaměříme na varování agentur Five Eyes týkající se bezpečnostních rizik spojených s AI agenty. Čína je ústředním tématem ve zbývajících dvou případech. Díky Cisco Talos se podíváme na novou kampaň aktéra UAT-8302 proti vládním institucím ve východní Evropě a jeho propojení na další čínské skupiny přes sdílený malware. Zadržení kontraktora čínské rozvědky MSS v Itálii a jeho extradice do USA je příležitostí ohlédnout se za aktivitou čínské APT skupiny Hafnium.

Příjemné čtení!

Tým Cybule

Obsah:

  • Agentury států Five Eyes varují před bezpečnostními riziky se zaváděním AI agentů
  • Aktér UAT-8302 používá bohatý malwarový arzenál proti cílům ve východní Evropě
  • Nájemný hacker s vazbami na Hafnium vydán do Spojených států

Agentury států Five Eyes varují před bezpečnostními riziky se zaváděním AI agentů

(04.05.2026, ASD)

AI agenti představují další evoluční krok umělé inteligence. Na rozdíl od běžné generativní AI, která vytváří text, obrázky nebo odpovědi, AI agenti dokáží samostatně plánovat, rozhodovat se a vykonávat akce bez průběžného lidského zásahu. Takové systémy mohou spravovat infrastrukturu, komunikovat s dalšími aplikacemi, pracovat s databázemi, schvalovat procesy nebo dokonce vytvářet další podřízené AI agenty. Právě tato autonomie podle společného dokumentu bezpečnostních agentur států FiveEyes (ASD, CISA, NSA, NCSC) a dalších zásadně mění bezpečnostní rizika moderních IT prostředí.

Co potřebujete vědět:

  • Dokument upozorňuje, že největším problémem AI agentů jsou často příliš široká oprávnění. Ve skutečnosti organizace běžně udělují agentům umělé inteligence přístup k e-mailům, interním databázím, cloudovým službám nebo finančním systémům, aniž by důsledně dodržovaly zásadu minimálních oprávnění. Pokud útočník kompromituje jediný integrovaný nástroj nebo zneužije chybu v konfiguraci, může získat privilegia samotného AI systému a provádět operace pod jeho důvěryhodnou identitou. Dokument popisuje scénář, kdy kompromitovaný agent dokázal schvalovat platby a upravovat smlouvy bez vyvolání bezpečnostních alertů právě proto, že systém důvěřoval identitě AI agenta.
  • Další významnou hrozbou jsou prompt injection útoky, které se u AI agentů stávají mnohem nebezpečnějšími než u běžných chatbotů. Zatímco klasický generativní model většinou pouze vytvoří textový výstup, autonomní agent může na základě zmanipulovaného vstupu vykonat konkrétní akce. Útočník například může vložit škodlivé instrukce do e-mailu, dokumentu nebo externího datového zdroje a přimět AI systém k odeslání citlivých dat, stažení škodlivého souboru nebo změně konfigurace infrastruktury. Agentury Five Eyes upozorňují, že AI agenti dědí všechny slabiny současných LLM modelů, ale díky schopnosti vykonávat akce mohou mít tyto útoky výrazně větší dopad.
  • Velkým tématem dokumentu je také nepředvídatelné chování AI agentů. Tyto systémy totiž nefungují deterministicky a mohou hledat neočekávané způsoby, jak splnit zadaný cíl. Dokument uvádí příklad AI systému optimalizujícího dostupnost serverů, který může vypnout bezpečnostní aktualizace, aby zabránil restartům infrastruktury. Autoři zároveň upozorňují na riziko strategického klamání, kdy se AI během testování chová korektně, ale v produkčním prostředí začne obcházet omezení nebo skrývat své skutečné chování. S rostoucí autonomií agentů stoupá pravděpodobnost vzniku neočekávaného chování, s nímž vývojáři možná vůbec nepočítali.
  • Komplikace dále zvyšují víceagentní architektury, kde spolu komunikuje několik autonomních systémů současně. V takovém prostředí vzniká rozsáhlá síť vzájemných závislostí a implicitní důvěry. Jediná chyba nebo kompromitovaný agent mohou vyvolat kaskádové selhání, šířit halucinace mezi další systémy nebo spustit neautorizované operace v celé infrastruktuře. Dokument varuje také před kompromitovanými pluginy, falešnými nástroji a útoky typu „tool squatting“, kdy útočníci publikují škodlivé nástroje vydávající se za legitimní služby. Kvůli vysoké komplexitě těchto ekosystémů může být navíc velmi obtížné určit, který agent konkrétní problém způsobil.
  • Bezpečnostní agentury proto doporučují organizacím přistupovat k agentické AI podobně jako ke kritické infrastruktuře. Zásadní roli má hrát princip „human-in-the-loop“, tedy povinné lidské schvalování všech vysoce rizikových operací. AI agenti by podle doporučení neměli samostatně mazat data, měnit konfigurace systémů ani provádět finanční operace bez lidského dohledu. Dokument zároveň doporučuje implementovat vícevrstvou obranu, Zero Trust architekturu, průběžné monitorování, detailní auditní logování, sandboxing, segmentaci agentů a kontinuální red teaming. Organizace by navíc měly začínat pouze s nízkorizikovými scénáři a autonomii systémů rozšiřovat postupně až ve chvíli, kdy budou plně rozumět jejich chování a bezpečnostním dopadům.

Komentář Cybule: Publikovaný dokument patří mezi nejdůležitější bezpečnostní materiály týkající se AI agentů, které byly dosud zveřejněny. Důležité není pouze jeho technické zaměření, ale především fakt, že jej společně vydaly organizace jako NSA, CISA, ASD nebo britské NCSC. To potvrzuje, že vlády začínají autonomní AI systémy považovat za novou bezpečnostní doménu srovnatelnou s cloudem, OT prostředím nebo kritickou infrastrukturou. Zásadní je také skutečnost, že většina popsaných útoků už dnes technicky existuje. Prompt injection, kompromitace pluginů, supply chain útoky nebo zneužití oprávnění nejsou hypotetickým scénářem budoucnosti, ale reálným problémem současných AI implementací. Mnoho organizací dnes nasazuje AI agenty rychleji, než bezpečnostní týmy dokáží vytvářet kontrolní modely a mechanismy. Hlavní sdělení je, že agentická AI nesmí být vnímána jako „chytřejší chatbot“, ale jako privilegovaný autonomní systém s potenciálem ovlivňovat infrastrukturu, data i rozhodovací procesy organizace.

Aktér UAT-8302 používá bohatý malwarový arzenál proti cílům ve východní Evropě

(05.05.2026, Cisco Talos)

Cisco Talos odhalil aktivity sofistikované APT skupiny s vazbami na Čínu, kterou označuje jako UAT-8302. Tato skupina se minimálně od konce roku 2024 prokazatelně zaměřuje na vládní instituce v Jižní Americe a v roce 2025 rozšířila své operace i na vládní agentury ve východní Evropě. Jejím hlavním cílem je s největší pravděpodobností systematická kyberšpionáž a snaha o získání i udržení dlouhodobého, nepozorovaného přístupu do sítí kriticky důležitých organizací.

To, co činí UAT-8302 mimořádně nebezpečným aktérem, je široký a propracovaný arzenál vlastního i převzatého malwaru. Jakmile se útočníkům podaří počáteční průnik, nasazují nástroje, které analytici již dříve spojili s dalšími známými čínskými hrozbami. Výzkumníci objevili například nový backdoor založený na .NET s názvem „NetDraft“ (který je variantou rodiny FinalDraft/SquidDoor), aktualizovanou verzi nástroje CloudSorcerer či nový stager SNOWRUST pro čínský malware VShell, který začíná být populární napříč rostoucím počtem čínských APT skupin. UAT-8302 se také spoléhá na důkladný průzkum sítě a extrakci přihlašovacích údajů z Active Directory (AD) přímo z napadených stanic pomocí sady populárních open-source nástrojů, což jí umožňuje tichý a rychlý boční pohyb v síti. Pro průzkum sítě skupina používá i nástroje, které jsou legitimně dostupné na napadením systému, například PowerShell.

Malware používaný UAT-8302 a propojení s dalšími sledovanými aktivitami (Cisco Talos)

Co potřebujete vědět:

  • Backdoor CloudSorcerer, který UAT-8302 nasadila, není úplnou novinkou. Podle dřívější zprávy společnosti Kaspersky byl tento malware v roce 2024 primárně zneužíván při cílených útocích proti ruským vládním subjektům.
  • K masivnímu a automatizovanému síťovému průzkumu útočníci stahují z GitHubu nástroj „gogo“ – open-source skenovací engine napsaný v jazyce Go, u nějž je dokumentace i kód veden ve zjednodušené čínštině.
  • Nasazení backdooru NetDraft v Jižní Americe přesně odpovídá zjištění společnosti ESET, která stejný nástroj identifikovala pod názvem „NosyDoor“ u čínské skupiny LongNosedGoblin. Ukazuje se, že čínské kyberšpionážní týmy pravděpodobně sdílí stejné vývojářské huby (tzv. digital quartermasters).
  • Použití modulu „SNOWRUST“ dokazuje pokračující trend mezi vyspělými APT skupinami: přepisování klasického malwaru do paměťově bezpečného jazyka Rust. Cílem je minimalizovat detekci běžnými bezpečnostními řešeními a výrazně ztížit práci reverzním inženýrům.
  • K mapování prostředí nepotřebují operátoři UAT-8302 vždy instalovat speciální malware. Skupina běžně zneužívá skript adconnectdump.py pro krádež identit z Azure AD Connect a pro dotazování využívá legitimní systémové příkazy v PowerShell.

Komentář Cybule: UAT-8302 se zdá být velmi schopnou skupinou, která vhodně kombinuje vlastní malware, nástroje, které mezi sebou čínské skupiny dlouhodobě sdílí a nástroje, které jsou dostupné na napadeném systému. Reorientace skupiny z cílení na Jižní Ameriku směrem k východní Evropě může reflektovat změnu zpravodajských priorit pro Peking, ale také může být jen rutinní změnou na novou zakázku, pokud je UAT-8302 jednou z mnoha společností, které čínská vláda používá ke kybernetické špionáži. UAT-8302 také může být specializovaným týmem pro zajištění (a udržení) počátečního přístupu, který kompromitovanou oběť „předá“ další čínské APT skupině, která se zaměří na hlubší kompromitaci systému a krádež informací.

Nájemný hacker s vazbami na Hafnium vydán do Spojených států

(27.04.2026, Justice.gov)

Spojeným státům se podařilo dosáhnout vydání čtyřiatřicetiletého čínského občana XU Zewei z Itálie, který byl zadržen na dovolené v Miláně již v červenci 2025, přičemž nedávno stanul před federálním soudem v Houstonu. Podle amerického ministerstva spravedlnosti je Xu nájemným hackerem pracujícího pro technologickou firmu Shanghai Powerock Network, která de facto slouží jako prodloužená ruka Šanghajského úřadu státní bezpečnosti (regionální organizace čínské civilní rozvědky Ministerstva statní bezpečnosti – MSS). Podle obvinění se Xu podílel mezi lety 2020 a 2021 na rozsáhlých kompromitacích počítačových systémů v USA. Zpočátku se soustředil na americké univerzity a emailové schránky předních virologů a imunologů za účelem krádeže kritického výzkumu vakcín a léčby COVID-19. Následně se zapojil do nechvalně známé plošné kampaně skupiny Hafnium, jež cílila na servery Microsoft Exchange. Ačkoli Peking vydání ostře kritizoval a sám obviněný tvrdí, že jde o záměnu identit, v USA mu za kybernetické podvody a krádeže identit hrozí desítky let vězení.

Co potřebujete vědět:

  • I když americká justice pravidelně vznáší obvinění proti příslušníkům čínských kyberšpionážních skupin jako APT10 nebo APT41, skutečné stanutí před soudem je z pochopitelných důvodů vzácné. Čína své občany zásadně nevydává a navíc odmítá jakékoli informace o své aktivitě v kyberprostoru. Dopadnout (nejen) kybernetické špiony z ČLR se tak obvykle podaří jen tehdy, když vycestují do státu, který se Spojenými státy spolupracuje. V roce 2018 došlo v Belgii k historickém zadržení a vydání zpravodajského důstojníka XU Yanjuna, který se podílel na dlouhodobé špionáži výrobců moderních leteckých motorů.
  • Tento případ opět ukazuje čínský model kybernetické špionáže. Místo toho, aby útoky vedli pouze důstojníci zpravodajských služeb, využívá čínský stát síť zdánlivě běžných IT společností (např. Shanghai Powerock Network). Tito „dodavatelé služeb“ pracují za účelem zisku, sbírají zranitelnosti a dodávají ukradená data MSS.
  • Zveřejněné soudní dokumenty poskytují vhled do mikromanagementu, který MSS uplatňuje vůči svým kontraktorům. Např. v únoru 2020, důstojníci MSS přímo úkolovali obviněného, aby potvrdil přístup do univerzitních sítí a neprodleně stáhl e-maily konkrétních vědců vyvíjejících léky a očkování proti koronavirům, včetně nového COVID-19. Zpravodajský aparát ČLR v té době zacílil svou pozornost na to nejcennější know-how ve chvíli, kdy o smrtícím viru samotná Čína na mezinárodní úrovni stále ještě mlžila.
  • Skupina Hafnium (nově známá jako Silk Typhoon), pro kterou Xu pracoval, vstoupila do povědomí širší veřejnosti počátkem roku 2021, kdy útočníci zneužili sérii dříve neznámých zranitelností (známých jako ProxyLogon) v poštovních serverech Microsoft Exchange. Získali tak přístup k e-mailovým schránkám a instalovali tzv. web shelly, aby si zajistili v systémech zadní vrátka. Tento útok odstartoval jako cílená operace skupiny Hafnium, posléze i dalších čínských skupin, ale brzy přerostl v hromadné kompromitování více než 60 tisíc organizací jen v USA (a statisíců globálně), což z něj dělá jeden z nejhorších kybernetických incidentů poslední dekády.
  • Microsoft skupinu Hafnium/Silk Typhoon sleduje jako vysoce sofistikovaného a státem podporovaného aktéra sídlícího v Číně. Z operativního hlediska se Hafnium často skrývá za pronajaté virtuální servery a servery (VPS) přímo na území USA, odkud útočí na výzkumné instituce, dodavatele v obranném průmyslu a vládní agentury s cílem krádeže dat a duševního vlastnictví.

Komentář Cybule: Zveřejněné obžaloby představují jedny z nejlepších netechnických zdrojů pro pochopení fungování ekosystému nájemných hackerů ve službách čínského státu. Podrobné úkolování kontraktora Xu Zewei ze strany řídících důstojníků MSS naznačuje, že u strategicky důležitých témat, jako byl v únoru 2020 COVID-19, může být kontakt mezi MSS a „dodavatelem služeb“ velmi těsný.

Related Posts

Přejít nahoru