Cybuloviny 18/25

/ Cybuloviny, Týdenní přehled

V dnešních Cybulovinách se věnujeme nové ruské skupině Void Blizzard, která se ráda pohybuje v systémech vládních institucí zemí NATO a Ukrajiny. Ukrajiny se týká i analýza společnosti Kentik, na kterou upozornil Brian Krebs. Vlastnictví a prodej IP adres je často opomíjenou součásti vybudování škodlivé infrastruktury. Analýza Kentiku ukazuje na skutečnost, že řada ukrajinských poskytovatelů ztratila kontrolu nad značnou částí svého IP rozhraní. V neposlední řadě tu máme pravděpodobnou podskupinu íránské skupiny OilRig, kterou ESET pojmenoval BladedFeline, a která si zaslouží označení sofistikovaná.

Příjemné čtení!

Tým Cybule

Obsah:

  • Ukrajinské IP rozsahy slouží k útokům na Ukrajinu
  • Nová ruská APT skupina: Void Blizzard
  • Íránská skupina BladedFeline udržela přítomnost v systému oběti po dobu osmi let

Ukrajinské IP rozsahy slouží k útokům na Ukrajinu

(28.5.2025, Kentik)

Kentik, společnost zabývající se síťovým monitoringem, publikovala článek, ve kterém se věnuje tématu masivního přesunu IP adress od ukrajinských operátorů k velkým západním poskytovatelům internetového připojení a cloudových služeb. Analýza ukazuje, že významná část ukrajinského internetového adresního prostoru se přes západní poskytovatele dostala do rukou anonymních proxy služeb a služeb pro skrytí identity, které operují prostřednictvím některých z největších poskytovatelů internetového připojení (ISP) ve Spojených státech. Celkově došlo k poklesu IP adres ohlašovaných ukrajinskými operátory o 18,5 % mezi únorem 2022 a květnem 2025. Exodus ukrajinských IP adres je jedním z důsledků ruské invaze. Autorem analýzy je společnost Kentik, která sleduje výkonnost internetových sítí.

Exodus IP adres od ukrajinských poskytovatelů Ukrtelecom/AS6849 a LVS/AS43310 (Kentik)

Co potřebujete vědět:
  • Zatímco mnoho ukrajinských ISP od začátku války výrazně nezměnili svou infrastrukturu,další byli nuceni prodávat části svého IPv4 prostoru, aby pokryli finanční ztráty. Největší operátor a poskytovatel internetu Ukrtelecom dnes oznamuje pouze 29 procent z rozsahu IPv4 adres, které měl pod kontrolou na začátku války. Přestože značná část těchto adres zůstává nevyužita, Ukrtelecom tvrdí, že byl nucen řadu svých adresních bloků prodat za účelem získání finanční stability a schopnosti poskytovat kritické služby.
  • Ukrajinský poskytovatel internetu Trinity (AS43554) přestal fungovat začátkem března 2022, během krvavého obléhání Mariupolu, avšak jeho adresní prostor se později začal objevovat ve více než 50 různých sítích po celém světě. Více než 1 000 IPv4 adres patřících Trinity se náhle objevilo v síti společnosti AT&T.
  • Důvod proč jsou bývalé ukrajinské IP adresy směrovány prostřednictvím amerických sítí, jako je AT&T? Podle společnosti spur.us, téměř všechny adresní rozsahy identifikované firmou Kentik dnes využívají komerční proxy služby, které zákazníkům umožňují anonymně směrovat svůj internetový provoz přes cizí zařízení. Společnosti jako je AT&T pronajímají IP adresy právě poskytovatelům proxy služeb. Z pohledu webové stránky se provoz od uživatele proxy sítě jeví, jako by pocházel z pronajaté IP adresy, nikoliv od samotného zákazníka proxy služby.
  • Podle zveřejněných sazeb zprostředkovatelů IPv4 adres lze blok /24 (256 adres) pronajmout za 100 až 150 dolarů měsíčně. Na základě výše uvedené analýzy pronajímá Ukrtelecom ekvivalent přibližně 1500 bloků. Při ceně 100 dolarů za jeden blok to pro Ukrtelecom znamená měsíční dodatečný příjem ve výši přibližně 150 000 USD (nebo zhruba 6 288 000 hřiven).
  • Novinář Brian Krebs upozorňuje na skutečnost, že proxy služby jsou ve velkém zneužívány k zakrývání kybernetické kriminality, protože ztěžují dohledání škodlivého provozu zpět k jeho původci. Ironií osudu je, že prolínání ukrajinského IP adresního prostoru s proxy službami vedlo k tomu, že řada těchto adres byla následně použita při kybernetických útocích proti Ukrajině a dalším protivníkům Ruska. Evropská unie uvalila na konci května sankce na společnost Stark Industries Solutions, poskytovatele internetových služeb, který se na scéně objevil jen dva týdny před ruskou invazí a brzy se stal zdrojem rozsáhlých DDoS útoků a spear-phishingových kampaní vedených ruskými státem podporovanými hackerskými skupinami. Podrobná analýza rozsáhlého adresního prostoru této společnosti odhalila, že část IP adres pocházela od ukrajinských ISP a většina byla napojena na ruské proxy a anonymizační služby.

Komentář Cybule: Ukrajinský případ ukazuje na opomíjenou důležitost síťové infrastruktury pro bezpečnost státu, zejména pokud přeprodej IP adres způsobí, že se k této infrastruktuře dostane nepřátelský stát. Řešení stávající situace však nebude jednoduché. Ekonomické tlaky na ukrajinské poskytovatele připojení jsou významné a těžko jim klást za vinu, že využívají možnost prodeje části svého rozsahu. Na druhé straně, poskytování proxy služeb ještě nutně neznačí škodlivou aktivitu.

Nová ruská APT skupina: Void Blizzard

(27.5.2025, Micfrosoft)

Microsoft ve spolupráci s nizozemskými a americkými zpravodajskými službami, odhalil aktivitu nové ruské kyberšpionážní skupiny. Tato skupina, označovaná jako Void Blizzard (Microsoft ji také sleduje pod názvem LAUNDRY BEAR), od jara 2024 systematicky útočí na státní správu, obranné složky, zdravotnictví, média i technologické firmy v Evropě a Severní Americe. Void Blizzard se primárně zaměřuje na členské státy NATO a Ukrajinu. Mnoho z organizací kompromitovaných touto skupinou se překrývá s minulými – nebo v některých případech souběžnými – cílenými útoky jiných známých ruských státních aktérů, včetně Forest Blizzard, Midnight Blizzard a Secret Blizzard. To naznačuje buď koordinaci cílů, nebo sdílení zpravodajských informací mezi různými složkami ruských tajných služeb.

Co potřebujete vědět:
  • Void Blizzard byl donedávna známý jako LAUNDRY BEAR a jeho aktivita byla odhalena především díky monitoringu anomálií v přihlašovacích procesech a síťové komunikaci. První vlna útoků probíhala v roce 2024 a využívala techniky jako password spraying nebo přihlašování pomocí dříve uniklých hesel. Skupina se zaměřovala na organizace s nedostatečným zabezpečením, kde bylo možné získat přístup pouze opakovaným zkoušením slabých hesel. Jednalo se o klasickou metodu, která sice není technicky sofistikovaná, ale pro větší množství cílených účtů je mimořádně účinná.
  • Na jaře 2025 se ale taktika skupiny výrazně změnila. Útočníci začali rozesílat podvodné e-maily s přílohami ve formátu PDF, které obsahovaly QR kódy. Po jejich naskenování byli uživatelé přesměrováni na falešnou přihlašovací stránku připomínající portál Microsoft Entra ID – často s překlepy v doméně, jako například micsrosoftonline.com. V této kampani se útočník vydával za organizátora Evropského obranného a bezpečnostního summitu a rozesílal e-maily obsahující zprávy s přílohou PDF, které lákaly cíle falešnou pozvánkou na summit. Cílem této kampaně bylo obejít běžně používané metody vícefaktorové autentizace tím, že uživatel sám dobrovolně předá své přihlašovací údaje i autorizační token. Microsoft tuto metodu označuje za významný posun v taktice skupiny směrem k phishingu odolnému vůči tradičním kontrolám.
  • Jakmile útočník získá přístup, zaměřuje se na stažení e-mailové komunikace, souborů z OneDrivu či SharePointu, informací z Teams a v neposlední řadě i na sběr metadat z prostředí Microsoft Entra ID pomocí nástrojů jako AzureHound. Cílem není rychlý útok, ale tichý dlouhodobý přístup do systému, který umožní sledovat aktivity, získat vhled do rozhodovacích procesů a v některých případech i manipulovat s informacemi. Typickými cíli této skupiny jsou instituce spojené se státní správou, obranný a zdravotnický sektor, výzkumné a neziskové organizace, mediální domy a firmy v oblasti energetiky, dopravy nebo technologií.
  • Odhalení skupiny bylo možné díky spolupráci Microsoft Threat Intelligence se zpravodajskými službami Nizozemska (AIVD a MIVD) a americké FBI. Tito aktéři sdíleli síťové a forenzní údaje, které odhalily konzistentní vzorce chování a shodu s dříve sledovanými aktivitami skupiny LAUNDRY BEAR.
  • Právě na základě této analýzy vznikla nová klasifikace a pojmenování Void Blizzard. Microsoft zároveň zveřejnil technické indikátory kompromitace – včetně domén, IP adres a hashů – a poskytl doporučení, jak se proti těmto útokům bránit. Kromě standardních zásad, jako je změna slabých hesel a monitoring přihlašovacích anomálií, je důraz kladen zejména na zavedení phishing‑odolného vícefaktorového ověření (např. pomocí FIDO2 tokenů), centrální správy identit, auditu oprávnění a transparentnosti nad tím, jaké aplikace mají přístup k účtům v cloudu.

PDF příloha se škodlivým QR kódem (Microsoft)

Komentář Cybule: Void Blizzard se primárně zaměřuje na státy NATO a na Ukrajinu, čímž zřetelně odráží geopolitické priority Kremlu. Terčem jejích operací jsou především instituce státní správy, obranného průmyslu, kritické infrastruktury, zdravotnictví, výzkumu a médií. Cílem těchto útoků je získávání cenných zpravodajských informací a současně posilování schopnosti Ruska vést destabilizační operace v souladu s jeho doktrínou tzv. „války nové generace“. Vstup nových aktérů, jako je Void Blizzard, zvyšuje míru strategické popiratelnosti ruských kybernetických operací. Překryvy v cílech a taktikách s etablovanými skupinami, jako jsou Forest Blizzard (APT28, GRU) a Midnight Blizzard (APT29, SVR), naznačují, že Void Blizzard není autonomní entitou, ale součástí koordinovaného ekosystému ruských státních kybernetických kapacit a jejich ochotu sdílet data napříč strukturami svých služeb.

Íránská skupina BladedFeline udržela přítomnost v systému oběti po dobu osmi let

(5.6.2025, ESET)

BladedFeline, kyberšpionážní skupina napojená na Írán, je aktivní minimálně od září 2017 a v odhalené kampani primárně se zaměřila na vládní instituce Kurdistánské regionální vlády (KRG), centrální vlády Iráku a poskytovatele telekomunikačních služeb v Uzbekistánu. Systém Kurdské regionální vlády byl pravděpodobně kompromitován nepřetržitě po dobu osmi let. BladedFeline je považována za podskupinu známé íránské APT skupiny OilRig (APT34) a její činnost je v souladu s íránskými strategickými zájmy na Blízkém východě. Operace skupiny se vyznačují dlouhodobou perzistencí, kterou umožňuje neustále se vyvíjející arzenál vlastního škodlivého softwaru. Mezi nejvýznamnější nástroje patří backdoor Shahmaran, další backdoor Whisper, který pro C2 komunikaci využívá kompromitované Microsoft Exchange servery a také PrimeCache, škodlivý modul pro IIS, který funguje jako pasivní backdoor. Významný podíl na odhalení činnosti BladedFeline, zejména jejího pokročilejšího arzenálu nasazeného v letech 2023 a 2024, mají výzkumníci ze společnosti ESET.

Časová osa aktivity BladedFeline (generováno modelem Gemini 2.5 Pro)

Co potřebujete vědět:
  • Backdoor Whisper umožňuje skupině utajení C2 komunikace. Využívá kompromitované webmailové účty Microsoft Exchange k odesílání a přijímání příkazů ukrytých v e-mailových přílohách. Pro správu tohoto skrytého kanálu často vytváří pravidlo ve schránce, někdy pod názvem „MicosoftDefaultRules“ (včetně překlepu ve jménu Microsoft), které filtruje e-maily podle konkrétního předmětu (např. „PMO“) a přesouvá je do složek jako ‚deleteditems‘ nebo ‚inbox‘, přičemž je označuje jako přečtené, aby unikly pozornosti uživatele. Tento přístup umožňuje C2 provozu splynout s běžnou e-mailovou komunikací organizace, což významně komplikuje detekci pomocí tradičních bezpečnostních nástrojů.
  • Modul PrimeCache pro IIS demonstruje schopnost BladedFeline udržovat pasivní přístup do kompromitovaných systémů, což je technika často využívaná APT skupinami pro dlouhodobé a nenápadné operace. Na rozdíl od běžných backdoorů, které se aktivně připojují na C2 servery, PrimeCache pasivně monitoruje příchozí HTTP požadavky na kompromitovaný webový server a aktivuje se pouze tehdy, když detekuje cookie hlavičku obsahující příkaz F=<command_ID>,<param>;. Tento způsob snižuje síťový „šum“ a výrazně omezuje šanci na odhalení.
  • Kompromitace poskytovatele telekomunikačních služeb v Uzbekistánu sahá s největší pravděpodobností do května 2022 a opětovná aktivita byla zaznamenána koncem roku 2024 a začátkem 2025. Útok ukazuje ambice skupiny získat přístup ke kritické infrastruktuře.
  • Dlouhodobá aktivita skupiny BladedFeline ukazuje její schopnost udržovat perzistenci v cílových systémech. Tato vytrvalost není závislá pouze na pokročilém malware, ale svědčí i o vysoké úrovni operačního know-how, včetně promyšleného pohybu napříč napadenou sítí, eskalace oprávnění a technik pro obcházení detekce. Neustálý vývoj nástrojů odráží pokročilou schopnost adaptace na měnící se bezpečnostní prostředí.
  • Zaměřování na vysoké představitele a vládní instituce v Iráku a KRG umožňuje skupině získávat citlivé informace o diplomatických vztazích (zejména se západními zeměmi), regionální politice, bezpečnostních otázkách a ekonomicky významných zdrojích, jako jsou ropné rezervy. Tyto informace slouží k podpoře širší strategie Íránu.

Komentář Cybule: Počítačové systémy Kurdské regionální vlády nejspíše potřebují důkladný bezpečnostní audit. V nedávné minulosti jsme informovali o kampani turecké skupiny Marbled Dust, která mj. cílila ozbrojené složky KRG. Turecko i Írán mají na svém území významné kurdské menšiny, které v různých fázích podnikaly teroristické útoky a organizovaly odpor proti centrální vládě. Existence autonomní KRG v Íráku je v Teheránu a Ankaře vnímána jako hrozba. Z technické analýzy společnosti ESET je zřejmé, že BladedFeline je mimořádně schopná skupina nejen v oblasti vývoje vlastního malwaru, ale i v trpělivosti a disciplinovanosti pro udržení nepozorované dlouhodobé přítomnosti vyžaduje.

Related Posts

Přejít nahoru