Dnešní Cybuloviny se nesou ve znamení mezinárodní spolupráce. V prvním případě jde o upozornění na špionážní aktivitu ruské GRU, na které se podílely i české instituce. Druhý případ spolupráce šel o krok dál a významně narušil infrastrukturu jednoho z nejvíce používaných malwarů v kyberkriminálním prostředí. Výčet nejzajímavějších událostí ze světa kybernetické bezpečnosti uzavírá nová zranitelnost v softwaru Ivanti, kterou zneužívá…ano, tipujete správně…čínská kyberšpionážní skupina.
Příjemné čtení!
Tým Cybule
Obsah:
- APT28: Ruská kybernetická kampaň proti logistickým a IT firmám
- Čínští útočníci UNC5221 zneužívají zranitelnosti v Ivanti EPMM k celosvětové špionáži
- Mezinárodní koalice zasáhla proti rozšířenému infostealeru Lumma
APT28: Ruská kybernetická kampaň proti logistickým a IT firmám
(21.5.2025, CISA)
Mezinárodní koalice zpravodajských služeb a bezpečnostních institucí, včetně Vojenského zpravodajství (VZ), Bezpečnostní informační služby (BIS) a Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), vydala společné varování před rozsáhlou kybernetickou špionážní kampaní vedenou jednotkou ruské vojenské rozvědky GRU. Tato skupina, známá jako APT28 nebo Fancy Bear, se od roku 2022 systematicky zaměřuje na západní logistické a technologické společnosti, zvláště ty, které se podílejí na koordinaci a dodávkách pomoci Ukrajině. Cílem operací je krádež citlivých údajů o transportech a narušení dodavatelských řetězců.
Co potřebujete vědět:
- Kampaň je připisována 85. hlavnímu centru speciálních služeb ruské GRU (vojenská jednotka 26165), v kyberbezpečnostní komunitě sledované pod názvy jako APT28, Fancy Bear nebo Forest Blizzard. Útočníci se zaměřují na desítky vládních i soukromých subjektů napříč všemi druhy dopravy (letecká, námořní, železniční). Mezi cílovými zeměmi jsou členské státy NATO, včetně České republiky, Francie, Německa, Polska a Spojených států.
- Pro získání počátečního přístupu aktéři využívají kombinaci osvědčených technik. Patří mezi ně spearphishingové e-maily s odkazy na falešné přihlašovací stránky, zneužívání známých zranitelností (např. CVE-2023-23397 v Microsoft Outlook a CVE-2023-38831 ve WinRAR) a brute force útoky s cílem získat přihlašovací údaje.
- V rámci kampaně proti logistickým cílům bylo přímo pozorováno několik variant malwaru, zejména HEADLACE a MASEPIE. Tento malware sloužil k široké škále činností od získání počátečního přístupu až po zajištění trvalé persistence v síti a exfiltraci dat. Zpráva také varuje, že další varianty malwaru spojené s touto skupinou, jako jsou OCEANMAP a STEELHOOK, by mohly být v budoucnu proti logistickým a IT cílům rovněž nasazeny.
- Po úspěšné kompromitaci sítě se útočníci snažili zajistit si trvalý přístup. Manipulovali s oprávněními v e-mailových schránkách (např. v Microsoft Exchange), aby mohli dlouhodobě a nenápadně stahovat veškerou příchozí komunikaci. K exfiltraci dat využívali standardní protokoly jako IMAP nebo EWS, aby jejich aktivita splynula s běžným provozem.
- Kampaň pravděpodobně souvisela rovněž s rozsáhlým útokem na IP kamery na Ukrajině a v sousedních zemích NATO. Útočníci se snažili získat přístup k živým přenosům z kamer v blízkosti hraničních přechodů, železničních stanic a dalších klíčových logistických bodů, aby mohli vizuálně sledovat pohyb materiálu. Až 81 % zaznamenaných pokusů o napadení kamer směřovalo proti Ukrajině. Na zprávě se podílela řada předních západních bezpečnostních agentur, včetně amerických NSA, CISA a FBI, britské NCSC, německé BND a také českých institucí: Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), Vojenského zpravodajství (VZ) a Bezpečnostní informační služby (BIS).
Země zasažené kampaní APT28 (CISA)
Komentář Cybule: APT28, známá také jako Fancy Bear, patří k nejaktivnějším a nejdéle působícím státem sponzorovaným APT skupinám. Její operace jsou systematické, vysoce cílené a dlouhodobě zaměřené na vojenské, politické a logistické cíle. Aktuální kampaň proti firmám podporujícím Ukrajinu zapadá do její osvědčené strategie: kompromitovat infrastrukturu, sbírat zpravodajsky cenná data a destabilizovat kapacity protivníka. Skupina je technicky zdatná, rychle přizpůsobuje své nástroje a často využívá známé zranitelnosti ještě před tím, než jsou plošně opraveny. Pro obránce je klíčové znát její taktiky, techniky a postupy (TTPs) a aktivně je promítat do detekčních mechanismů a bezpečnostního monitoringu.
Čínští útočníci UNC5221 zneužívají zranitelnosti v Ivanti EPMM k celosvětové špionáži
(22.5.2025, HackerNews)
Kyberšpionážní skupina napojená na Čínu, sledovaná jako UNC5221, aktivně zneužívá nově objevené zranitelnosti v softwaru pro správu mobilních zařízení Ivanti Endpoint Manager Mobile (EPMM). Zřetězením dvou chyb dokáží útočníci vzdáleně a bez přihlášení spustit libovolný kód a kompromitovat servery. Útoky, které začaly téměř okamžitě po zveřejnění zranitelností v květnu 2025, cílí na kritické sektory po celém světě, včetně obrany, vlády a telekomunikací.
Co potřebujete vědět:
- Za kampaní stojí kyberšpionážní skupina UNC5221, která je spojována s Čínou. Tato skupina se dlouhodobě zaměřuje na zneužívání zranitelností v síťových zařízeních na perimetru sítí.
- Útočníci kombinují dvě zranitelnosti: CVE-2025-4427 (obejití autentizace) a CVE-2025-4428 (vzdálené spuštění kódu). Jejich spojením dosáhnou plného převzetí kontroly nad zranitelným systémem, aniž by potřebovali přihlašovací údaje.
- Útoky byly zaznamenány proti široké škále cílů v Severní Americe, Evropě a asijsko-pacifickém regionu. Mezi zasažené sektory patří telekomunikace, zdravotnictví, letectví, státní správa, finance a obranný průmysl.
- Kampaň začíná útokem na specifický API endpoint /mifs/rs/api/v2/ na serverech Ivanti EPMM. Po úspěšném průniku útočníci nasazují další škodlivé nástroje, aby si zajistili trvalý přístup a mohli krást data.
- Po kompromitaci systému byl pozorován malware KrustyLoader, který slouží k nahrání dalších nástrojů, jako je open-source framework Sliver. Útočníci také využívají nástroj pro reverzní proxy (FRP) k dalšímu pohybu v síti. Po získání přístupu se útočníci zaměřují na krádež citlivých informací. Bylo pozorováno, že zneužili pevně zakódované přihlašovací údaje k MySQL databázi, aby se dostali k datům uloženým v systému EPMM.
Narušení systému Ivanti EPMM (Eclecticiq)
Komentář Cybule: Nejedná se o první případ, kdy je software Ivanti EPMM cílem státních aktérů. Již v roce 2023 byla zaznamenána kampaň zneužívající zero-day zranitelnosti (CVE-2023-35078 a CVE-2023-35081) proti norským vládním institucím a dalším organizacím. Rychlost, s jakou skupina UNC5221 dokázala zneužít nově zveřejněné zranitelnosti, je alarmující. Útoky začaly ve stejný den, kdy společnost Ivanti vydala opravy. To podtrhuje kritickou důležitost proaktivní správy zranitelností a schopnosti organizací nasadit bezpečnostní aktualizace v co nejkratším čase. Pro společnosti využívající podobná řešení je klíčové, aby je nepovažovaly za běžný software, ale za kritickou součást své infrastruktury, která vyžaduje vyšší prioritu při zabezpečení.
Mezinárodní koalice zasáhla proti rozšířenému infostealeru Lumma
(21.5.2025, Microsoft, The Record)
Společnost Microsoft stála v čele významné mezinárodní operace, jejímž cílem bylo narušit činnost malwaru Lumma Stealer (známý také jako LummaC2), který patří mezi nejrozšířenější infostealery. Koordinované globální akce se mimo FBI, Europolu (konkrétně European Cybercrime Center, EC3), Japan Cybercrime Center (JC3) a Microsoftu, rovněž zúčastnili partneři ze soukromého sektoru a CERTy (Computer Emergency Response Team) z více než 100 zemí. Lumma Stealer, známý svou schopností z infikovaného zařízení zcizit citlivá data, jako jsou přihlašovací údaje, kryptoměnové peněženky a osobní soubory, představoval od konce roku 2022 významnou hrozbu v kyberkriminálním ekosystému, kde je malware nabízen zájemcům jako služba. Zásah proti LummaC2 zahrnoval zabavení infrastruktury, blokování domén a sdílení zpravodajských informací napříč mezinárodní koalicí, aby se zabránilo jeho dalšímu použití.
Teplotní mapa rozšíření Lumma Stealeru na zařízeních Windows (Microsoft)
Co potřebujete vědět:
- Lumma Stealer je příkladem nabízení malwaru jako služby (Malware-as-a-Service, MaaS). Schéma funguje tak, že vývojáři pronajímají škodlivý software jiným zločincům, což umožňuje širšímu okruhu aktérů, kteří by jinak neměli technické schopnosti vyvinout vlastní malware.
- Jednotka pro digitální kriminalitu (DCU) společnosti Microsoft hrála v zásahu klíčovou roli, když využila vlastní informace o škodlivé aktivitě k získání soudních příkazů, které usnadnily zabavení kritické infrastruktury, včetně řídicích a kontrolních (C2) serverů, které jsou pro malware nezbytné pro komunikaci s jeho operátory.
- Zásah proti Lumma Stealer nebyl jen o zabavení infrastruktury; zahrnoval také proaktivní opatření, jako je spolupráce s registrátory domén na pozastavení nebo zrušení domén spojených s Lumma Stealer.
- Oblíbenost Lumma Stealer pramenila z jeho neustálého vývoje a aktualizací, které mu umožňovaly vyhýbat se detekci a přizpůsobovat se novým bezpečnostním opatřením. Jeho modulární design znamenal, že mohl být přizpůsoben k cílení na konkrétní typy dat, podle požadavků „zákazníků“.
- Součástí operace je i veřejné sdílení informací pro prevenci nebo identifikaci infekce Lumma Stealerem. FBI a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vydaly technické doporučení popisující kroky, které mohou napadené oběti podniknout k nápravě svých systémů. Kyberbezpečnostní společností zapojené do operace, včetně ESET, zveřejnily analýzy Lumma Stealeru a jeho infrastruktury.
Komentář Cybule: Globální zásah proti infrastruktuře Lumma Stealer je skvělým příkladem důležitosti mezinárodní spolupráce při narušování rozsáhlého kyberkriminálního ekosystému. Europol a národní partneří, včetně orgánů z Velké Británie, Kanady a USA, v minulých dnech pokračovali i v operaci Endgame (Operation Endgame 2.0), která narušila infrastrukturu několika malwarových rodin, které jsou používány k získáni počátečního přístupu, včetně Trickbot, Bumblebee, DanaBot a Qakbot. Bylo by chybou se na podobné akce dívat maximalistickým pohledem a usoudit, že nejsou úspěšné jen proto, že nedokáží identifikovanou hrozbu úplně odstranit. Zatímco odstranění hrozby je ideálním výsledkem, významné narušení infrastruktury a omezení možností postavit novou, je pro kyberkriminální aktéry zásadní překážkou. Příkladem může být kdysi dominantní ransomwarový gang LockBit, který sice stále existuje, ale z rozsáhlého zásahu z února 2024 se doposud nevzpamatoval.
