Tento týden se podíváme na několik kybernetických incidentů, které rezonují bezpečnostní komunitou. Zaměříme se na ransomwarový útok skupiny Qilin, která zasáhla ukrajinské ministerstvo zahraničních věcí a přiblížíme si, jaká je skutečnost kolem čipu ESP32 od společnosti Espressif. Dále rozebereme problematiku backdooru objevených v routerech Junos OS od Juniper Networks, které společnost Mandiant připsala špionážní skupině UNC3886.
Příjemné čtení!
Tým Cybule
Obsah:
- Qilin: Ransomwarový útok na Ministerstvo zahraničních věcí Ukrajiny
- ESP32 a “backdoor” v Bluetooth čipu: Bezpečnostní riziko, nebo přehnané obavy?
- UNC3886 útočí na síťová zařízení Juniper
Qilin: Ransomwarový útok na Ministerstvo zahraničních věcí Ukrajiny
(7.3.2025, SecurityAffairs)
Ransomwarová skupina Qilin (aka Agenda) oznámila, že pronikla do systémů Ministerstva zahraničních věcí Ukrajiny a získala citlivé údaje, včetně osobních informací, soukromé korespondence a oficiálních dekretů. Některé z těchto dat byly údajně nabídnuty třetím stranám. Ukrajinské ministerstvo však dosud tyto tvrzení nepotvrdilo.
DLS Qilin (Security Affairs)
Co potřebujete vědět:
- Qilin je kyberkriminální skupina, která funguje od roku 2022 jako Ransomware-as-a-Service (RaaS). Skupina využívá varianty ransomwaru napsaných v programovacích jazycích Go a Rust, což do značné míry ztěžuje jejich detekci a analýzu.
- Incident na Ministerstvu zahraničních věcí Ukrajiny následuje po nedávných útocích skupiny Qilin na významné subjekty jako je vydavatele Lee Enterprises a japonské onkologické centrum Utsunomiya Central Clinic. V červnu minulého roku se skupina stala známou útokem na britského poskytovatele lékařských testů Synnovis, kdy využila kompromitované přihlašovací údaje k VPN službě pro získání počátečního přístupu.
- Ukrajinské ministerstvo dosud únik informací nepotvrdilo. Nicméně, Qilin zveřejnil fotografie ukradených dokumentů jako důkaz úspěšnosti útoku. Skupina obvykle používá taktiku „dvojité vydírání“, při kterém nejprve zcizí a zašifruje data obětí a následně hrozí jejich zvěřejněním, pokud není výkupné zaplaceno.
- Útok lze považovat za součást eskalující hybridní války v probíhající konfliktu mezi Ruskem a Ukrajinou, na níž se podílejí hacktivisté i kyberkriminální skupiny napojené strategické cílení ruské vlády.
Komentář Cybule: Útok na ukrajinské ministerstvo zahraničí ukazuje, že ransomware dnes představuje nejen finanční, ale i významnou geopolitickou hrozbu. Skupina Qilin, zodpovědná za tento útok, používá vysoce sofistikované techniky, které jí umožňují obejít tradiční bezpečnostní opatření. Tento přístup umožňuje zaměřit se na klíčové instituce a organizace, které mají vysokou hodnotu z hlediska citlivých informací, takže jejich útoky mají nejen ekonomický, ale i strategický význam. Útok na ukrajinské ministerstvo lze považovat za součást širšího rámce eskalující hybridní války mezi Ruskem a Ukrajinou. Tento konflikt stále více zahrnuje nejen konvenční vojenské operace, ale také kybernetické útoky, jejichž cílem je destabilizovat a oslabit protivníka.
ESP32 a “backdoor” v Bluetooth čipu: Bezpečnostní riziko nebo přehnané obavy?
(09.03.2025, BleepingComputer)
Nedávný objev nedokumentovaných příkazů v čipu ESP32 od společnosti Espressif vyvolal vlnu spekulací o možném “backdooru”. Tento čip, který je součástí více než miliardy IoT zařízení, obsahuje 29 proprietárních příkazů v rámci Bluetooth HCI protokolu. Ačkoliv tyto příkazy umožňují hlubší manipulaci se zařízením, jejich zneužití vyžaduje fyzický přístup nebo předchozí kompromitaci systému.
Co potřebujete vědět:
- Bezpečnostní experti Miguel Tarascó Acuña a Antonio Vázquez Blanco ze společnosti Tarlogic Security objevili nedokumentované HCI příkazy v čipu ESP32. Tento čip, vyráběný společností Espressif Systems, je klíčovou součástí IoT ekosystému, kde zajišťuje Wi-Fi a Bluetooth konektivitu.
- Nedokumentované příkazy umožňují především:
- Manipulaci s Bluetooth komunikací -možnost spoofingu důvěryhodných zařízení.
- Přístup k paměti zařízení – čtení a zápis do paměti může vést k úniku citlivých dat.
- Dlouhodobou perzistenci – pokud útočník infikuje firmware, může získat trvalý přístup k systému. Tyto funkce mohou být zneužity pro útoky na IoT infrastrukturu, zejména v případě, že by útočník získal přístup k hardwaru.
- Termín backdoor obvykle označuje záměrně vytvořený mechanismus umožňující „tajný“ přístup k systému. V tomto případě však nelze tuto klasifikaci jednoznačně použít. Tyto příkazy jsou primárně určeny pro interní ladění a výrobu, což je běžná praxe u výrobců čipů a nejedná se tedy o záměrně vytvořená zadní vrátka pro neoprávněný přístup.
- Dalším důležitým faktorem je nutnost fyzického přístupu – příkazy lze využít pouze při přímém připojení k zařízení přes USB nebo UART, což výrazně omezuje možnosti jejich zneužití na dálku. Zároveň tyto příkazy nevyužívají žádné skryté komunikační kanály, ale fungují v rámci standardního Bluetooth rozhraní podle architektury HCI protokolu. Z těchto důvodů lze spíše hovořit o potenciálním bezpečnostním riziku než o typickém backdooru ve smyslu tajného přístupu určeného k neoprávněnému ovládání zařízení.
Komentář Cybule: Ačkoliv nalezené příkazy v ESP32 nepředstavují “backdoor” v tradičním slova smyslu, jejich existence vyvolává otázky o bezpečnostních standardech v IoT průmyslu. Nedokumentované funkce mohou být nejen bezpečnostním rizikem, ale také zpochybňují důvěru v dodavatelské řetězce. Nicméně se nejdná o ojedinělý případ, obdobné situace se v historii objevily u čipů Broadcom či Qualcomm.
UNC3886 útočí na síťová zařízení Juniper
(12.3.2025, Mandiant)
UNC3886 je opět v hledáčku výzkumníků. Mandiant v polovině roku 2024 odhalil, že čínská špionážní skupina UNC3886 nasadila vlastní backdoory na routery Juniper Networks s operačním systémem Junos, které jsou na konci životnosti. Tyto backdoory, navržené s ohledem na utajení, umožnily útočníkům udržovat dlouhodobý přístup k sítím obětí. Útočníci se primárně soustředili na obranné, technologické a telekomunikační organizace ve Spojených státech a Asii. UNC3886 obcházela ochranu souborového systému Veriexec operačního systému Junos pomocí injekce procesů a používala různé metody k deaktivaci protokolování, což ukazuje na hluboké porozumění cíleným systémům a zaměření na vyhýbání se detekci.
Co potřebujete vědět:
- UNC3886 čínská kybernetická špionážní skupina, která se specializuje na kompromitaci síťových zařízení s použitím inovativních technik proti virtualizačním technologiím. Skupina nasazuje vlastní malware přizpůsobený pro tento typ technologií a často zneužívá zero-day zranitelnosti. Operace UNC3886 se vykazují vysokou úrovní schopností útočníků, včetně technik vyhýbání se detekci a schopnosti působit v napadené síti nepozorovaně po dlouhou dobu.
- Vyšetřování společnosti Mandiant odhalilo šest různých vzorků malware napříč několika routery Juniper MX. Každý vzorek je modifikovanou verzí backdooru TINYSHELL, ale s jedinečnými schopnostmi. Všechny vzorky zahrnují základní funkčnost backdooru TINYSHELL, ale liší se výrazně v metodách aktivace i v dalších funkcích specifických pro Junos OS. Tyto vzorky zahrnují appid (aktivní backdoor napodobující legitimní binární soubor appidd), to (aktivní backdoor napodobující binární soubor top), irad (pasivní backdoor napodobující binární soubor irsd), lmpad (utility a pasivní backdoor napodobující binární soubor lmpd), jdosd (pasivní backdoor napodobující binární soubor jddosd) a oemd (pasivní backdoor napodobující binární soubor oamd). Zatímco appid a to fungují jako aktivní backdoory, které iniciovaly spojení se servery pro vzdálené ovládání, irad, lmpad, jdosd a oemd operují pasivně, aby se vyhnuly detekci. Další funkce zahrnují zřízení proxy a potlačení protokolování pomocí zabudovaných skriptů, což umožnilo skupině UNC3886 udržovat utajení při exfiltraci dat.
- UNC3886 obešla bezpečnostní funkci Veriexec od Juniperu tím, že injektovala škodlivý kód do legitimních procesů, což umožnila zranitelnost nyní sledovaná jako CVE-2025-21590. Skupina nejprve získala privilegovaný přístup k routeru Juniper z terminálového serveru pomocí zcizených legitimních přihlašovacích údajů. Poté vstoupila do prostředí FreeBSD přes rozhraní příkazového řádku (CLI) operačního systému Junos. V tomto prostředí skupina UNC3886 využila funkci „here document“ k vygenerování base64 zakódovaného souboru pojmenovaného ldb.b64. Tento soubor byl dekódován do komprimovaného archivu (ldb.tar.gz), který byl následně dekomprimován a extrahován pomocí gunzip a tar, což nakonec vedlo k nasazení škodlivých binárních souborů. Injekcí kódu do důvěryhodných procesů se UNC3886 vyhnula detekci funkcí Veriexec a udržela utajení.
- Mandiant se na aktivitu UNC3886 zaměřil již v letech 2022 a 2023, kdy skupina nasadila podobný ekosystém vlastního malwaru, které skupina nasadila na virtualizační technologie (VMware vCenter a ESXi) a síťová edge zařízení na okraji sítě (např. Fortinet, Ivanti). Kampaň proti zařízením Juniper ukazuje na vývoj v taktikách, technikách a postupech (TTP) skupiny a jejich zaměření na upravený malware a schopnosti, které jim umožňují operovat na síťových zařízeních a zařízeních na okraji sítě.
Komentář Cybule: Skupině UNC3886 jsme se již věnovali v souvislosti se špionážní kampaní zaměřenou na virtualizační nástroje VMware. UNC označení mj. znamená, že identita skupiny je doposud neznámá nad rámec skutečnosti, že pracuje ve prospěch čínského státu. Jednoznačně se jedná o jednu z aktuálně nejschopnějších čínských APT skupin na úrovni aktérů Volt Typhoon a Salt Typhoon. Pokud je UNC3886 jedním z ofenzivních kontraktorů, které čínská vláda používá, bude se jednot o vysoce specializovaný tým v porovnání s kontraktory, jako jsou I-Soon (Aquatic Panda) či Chengdu 404 (APT41). Pravděpodobněji se jeví možnost, že UNC3886 funguje přímo v rámci civilní rozvědky Ministerstva státní bezpečnosti nebo jako kyberšpionážní skupina v rámci Kybernetických sil Čínské lidové osvobozenecké armády.
