Koordinované mezinárodní operace se stávají novým standardem v boji proti kybernetickým hrozbám. Dnešní Cybuloviny přinášejí pohled právě na jednu z těchto operací, kdy se americké Ministerstvo spravedlnosti společně s FBI zapojilo do koordinované akce na odstranění varianty malwaru PlugX, která je spojena s čínským útočníkem Mustang Pandou. Aktivní kroky proti hacktivistickým skupinám a trendy v této oblasti přináší druhý článek. A jako třetí v našem přehledu nemůže chybět TOP zpráva tohoto týdne o zveřejnění hesel a konfigurací k 15 000 zařízením Fortinet skupinou Belsen Group.
Příjemné čtení!
Tým Cybule
Obsah:
- Do mezinárodního úsilí proti infrastruktuře malwaru PlugX se zapojily Spojené státy
- Hacktivistická skupina Belsen Group zveřejnila hesla a konfiguraci k 15 000 zařízení Fortinet
- Změny v hacktivismu v roce 2024
Do mezinárodního úsilí proti infrastruktuře malwaru PlugX se zapojily Spojené státy
(14.1.2025, Department of Justice)
Ministerstvo spravedlnosti USA (DoJ) oznámilo úspěšné odstranění malwaru PlugX z více než 4 200 počítačů v koordinované operaci, do které byli zapojeni FBI a mezinárodní partneři. Cílem operace se stala varianta malwaru PlugX, která je spojena s čínskou státem podporovanou skupinou Mustang Panda. Proces začal v srpnu 2024, kdy DoJ ve spolupráci s FBI a mezinárodními partnery požádalo o soudní příkaz k provedení operací na odstranění malwaru. Soudní povolení umožnila federálním úřadům odstranit malware z přibližně 4 258 infikovaných počítačů a sítí po celých Spojených státech. DoJ úzce spolupracovalo s francouzskými orgány činnými v trestním řízení (OČTŘ) a kybernetickou firmou Sekoia.io, která vyvinula nástroj pro efektivní detekci a odstranění PlugX. Mezinárodní spolupráce byla klíčová pro provedení příkazů k odstranění malwaru bez narušení legitimních funkcí systémů a přístupu k osobním informacím.
Nástroj Sekoia pro odstranění PlugX z nakažených zařízení (Sekoia)

Co potřebujete vědět:
- Mustang Panda není zdaleka jedinou čínskou skupinou, která používá PlugX. Skupiny jako APT15, Winnti, Aquatic Panda, APT27, Backdoor Diplomacy, všechny používají různé verze malwaru PlugX. Varianta spojená se skupinou Mustang Panda se vyznačuje schopností šířit se bez lidského zásahu jako tzv. červ (worm). Francouzská bečnostní společnost Sekoia datuje červí variantu PlugX do července 2020.
- Zásah amerických úřadů probíhal paralelně s akcí vedenou francouzskými úřady a Europolem v EU. Zde zásah proti infrastruktuře PlugX začal v červenci 2024. Evropská část zásahu vedla k odstranění 59 475 instancí PlugX na 5 539 IP adresách.
- Sekoia hraje ústřední roli v narušení infrastruktury PlugX. V zaří 2023 koupila Sekoia IP adresu, na které se nacházel C2 server botnetu, který šířil PlugX. V naváznosti na tento krok identifikovala kolem 100 000 IP adres, na kterých se nacházel PlugX. Společnost poté navrhla metodu „suverénní dezinfekce“ a vytvořila portál pro OČTŘ, kde jednotlivé národní složky mohly identifikovat nakažená zařízení a provést odstranění PlugX posláním speciálně vytvořeného kódu.
- Metoda vyvinutá společností Sekoia umožnila odstranění malwaru s minimálními zásahy do cílového zařízení a souvisejícími právními překážkami. O skutečnosti, že to ani se specializovaným nástrojem nebyla přímočará záležitost svědčí, že zatímco 34 zemí požádalo o záznamy ze sinkholovaného C2 serveru, aby identifikovaly, které sítě byly kompromitovány, a 22 zemí projevilo zájem o proces dezinfekce, jen v 10 zemích proběhla dezinfekce v koordinované akci.
- Americké úřady měly svou část kampaně z právního hlediska významně jednodušší. K odstranění PlugX došlo stejnou metodou jako v EU a uživatelé cílových zařízení byli o zásahu informováni.
Komentář Cybule: Rok 2024 byl ve znamení intenzivnější mezinárodní spolupráce národních OČTŘ, jako je FBI nebo kybernetická jednotka C3N francouzského Státního četnictva, koordinačních orgánu, jako je Interpol a Europol, a sukromého sektoru, s cílem narušit infrastrukturu kyberkriminálních gangů a kyberšpionážních státních aktérů. Na policii a justiční orgány jsou kladeny nároky, kterými se kriminální a špionážní skupiny zabývat nemusí. Mezinárodní akce proti kybernetickým horzbám jsou komplexní a zdlouhavé. Přesto mají významný smysl a reálné výsledky.
Hacktivistická skupina Belsen Group zveřejnila hesla a konfiguraci k 15 000 zařízení Fortinet
(16.1.2025, Infosecurity Magazine)
Hacktivistická skupina Belsen Group zveřejnila více než 15 000 unikátních konfigurací firewallů FortiGate, které údajně získala využitím zero-day zranitelnosti v systémech Fortinet, označované jako CVE-2022-40684. Tato zranitelnost, která byla zveřejněna v říjnu 2022, umožnila útočníkům obejít administrativní ověření, což vedlo k exfiltraci citlivých dat, včetně uživatelských jmen, hesel (některá v prostém textu), certifikátů pro správu zařízení a kompletních pravidel firewallu.
Vzorek analyzovaných dat (DoublePulsar)

Co potřebujete vědět:
- Zveřejněná data byla nabízena zdarma na darkwebovém fóru a jsou organizována podle země a IP adresy. Klíčové soubory v úniku zahrnují config.conf, který obsahuje plné konfigurace zařízení, a vpn-users.txt, který uvádí VPN přihlašovací údaje v prostém textu. Kybernetický výzkumník Kevin Beaumont potvrdil autenticitu úniku porovnáním sériových čísel se zařízeními na Shodanu.
- Belsen Group považuje vypuštění zcizených údajů za svou první velkou operaci a naznačila další kybernetické kampaně v roce 2025. Zveřejněné konfigurace představují značná rizika pro zasažené organizace, včetně neoprávněného přístupu prostřednictvím odhalených přihlašovacích údajů, vhled do bezpečnostních politik sítě díky podrobným pravidlům firewallu a potenciální útoky typu adversary-in-the-middle pomocí odhalených certifikátů.
- Fortinet upozorňuje uživatele, aby své systémy aktualizovali co nejdříve po zveřejnění zranitelnosti, ale případ Belsen Group ukazuje na zkutečnost, že i dva roky stará zranitelnost může představovat významnou hrozbu.
- Belsen Group se označuje za novou skupinu, ale analýza uniklých dat naznačuje, že k jejich zcizení došlo v říjnu 2022 před zveřejněním aktualizace.
- Únik údajů k Fortinet firewallům přišel jen několik dní po zveřejnění nové zranitelnosti ve FortiGate, která byla podle zjištění společnosti Arctic Wolf zneužita jako zranitelnost nultého dne. Zranitelnost má označení CVE-2024-55591 a byla zařazena do katalogu KEV.
Komentář Cybule: Únik řízený skupinou Belsen Group je bezesporu významný. Otázkou mimo jiné je, jestli Belsen Group je aktérem, který data zcizil v říjnu 2022, nebo je získal od třetí strany, pro kterou již nebyla užitečná. Nezdá se příliš pravděpodobné, že by doposud neznámá hacktivistická skupina, měla kapacity ke zneužití zranitelnosti nultého dne. Zranitelnosti v zařízeních jako je Fortinet FortiGate nebo Ivanti Connect Secure jsou obvykle předmětem intenzivního zájmu státních špionážních skupin a, obvykle po jejich zveřejnění, kyberkriminálních gangů. Důvodem je, že představují vstupní body v zabezpečení vnitřních sítí a úspěšné zneužití zranitelnosti umožní útočníkovi nepozorovaný přístup do cílového systému.
Změny v hacktivismu v roce 2024
(15.1.2025, Silobreaker)
V průběhu roku 2024 se hacktivistické aktivity vyvíjely mnoha způsoby. Došlo k větší spolupráci mezi jednotlivými skupinami a k výraznému spoléhání se na používání ransomwaru, který umožňuje destruktivní operace. Kromě toho byla jejich pozornost rozšířena v souvislosti s významnými geopolitickými událostmi, jako jsou volby a probíhající konflikty v Gaze a na Ukrajině. Souběžně s těmito pokroky v hacktivistických operacích byla zaznamenána také zřetelná odezva v oblasti vymáhání práva zaměřeného na hacktivisty. Spojené státy nedávno obvinily údajné provozovatele Anonymous Sudan a oznámily sankce proti členům Cyber Army of Russia Reborn , zatímco Španělsko zatklo tři údajné členy hackerské skupiny NoName057(16).
Co potřebujete vědět:
- Jedním z pozoruhodných pokroků v hacktivistických aktivitách byl rostoucí počet hacktivistů využívajících ransomware pro destruktivní operace a finanční zisk. V únoru 2024 Stormous a GhostSec, dva členové hacktivistického kolektivu „Five Families“, oznámili společnou spolupráci na ransomware-as-a-service (RaaS) nazvanou STMX_Ghostlocker. Skupiny se zapojily do koordinovaných útoků ransomwaru s dvojitým vydíráním, které se zaměřovaly na klíčové obchodní segmenty v mnoha zemích po celém světě. Nicméně nebyli jediní, k obdobným aktivitám se přidali i Head Mare, Twelve, KillSec, DragonForce, NullBulge, AzzaSec a CyberVolk.
- Různé probíhající i nové geopolitické události v roce 2024, od válečných konfliktů přes konference až po diplomacii, podnítily hacktivisty k akcím.
- Hacktivisté v roce 2024 ukázali, jaké škody mohou způsobit na volební infrastruktuře. Například proruská skupina HackNeT v červnu zaútočila DDoS útoky na nizozemské politické weby během voleb do Evropského parlamentu. Další proruské skupiny, jako NoName057(16) či People’s CyberArmy, plánovaly podobné útoky na evropské volby. Ruská kybernetická armáda a NoName057(16) navíc použily botnet DDoSia k útokům na japonské vládní a politické organizace během kampaně k volbám do Sněmovny reprezentantů.
- Hacktivistická aktivita spojená s konflikty na Ukrajině a v Gaze v roce 2024 nejen pokračovala, ale rozšířila své cíle. Proruské skupiny, jako Russian Cyber Army a NoName057(16), cílily nejen na Ukrajinu a NATO, ale také na země vnímané jako „protiruské,“ například na Japonsko a Moldavsko. Podobně propalestinské útoky mířily na Kypr a Singapur kvůli jejich údajné podpoře Izraele. Tento vývoj naznačuje širší záběr hacktivistů při výběru cílů.
Komentář Cybule: Hranice mezi hacktivismem a jinými typy kybernetických aktivit se stále více stírají, což je zvláště patrné v souvislosti s geopolitickým kontextem, ve kterém hacktivisté často operují. Řada skupin, jako jsou RansomHouse, Snatch a Stormous, propojuje hacktivistické a ransomwarové aktivity a vykazuje známky užších vazeb na ruskou politiku. Tvrzení bývalého šéfa kybernetické bezpečnosti ukrajinských bezpečnostních služeb Illia Vitiuka, že většina proruských hacktivistů funguje jako zástěrka pro státní agentury, tuto tezi dále podporuje. Hacktivistické aktivity připisované Íránu podobně často slouží jako krytí pro státem podporované operace, jak ukazují útoky skupiny Void Manticore na Albánii a Izrael pod identitami jako „Homeland Justice“ nebo „Karma for Israel.“ Tyto příklady ukazují, jak složité je přesně definovat a kategorizovat kybernetické aktivity, a zdůrazňují zároveň riziko, že státní operace mohou být maskovány jako hacktivismus. Dalším klíčovým důvodem, proč byl ransomware tak běžně přijímán, je jeho obecná dostupnost. Konkrétně Twelve, Head Mare, CyberVolk a Ikaruz Red Team byly všechny pozorovány, jak při svých útocích používají veřejně dostupné verze LockBit, mimo jiné kmeny ransomwaru. Při zvažování použití ransomwaru hacktivisty se zdají převládat dvě motivace, jednou z nich je potřeba dlouhodobé finanční stability. Pokud chtějí hacktivistické skupiny udržet a rozšířit své operace, obvykle potřebují přijmout formu generování příjmů. Samostatně ransomware poskytuje prostředky a ve srovnání s jinými rušivými metodami upřednostňovanými hacktivisty, jako jsou DDoS útoky, je ransomware schopen způsobit hmatatelnější a trvalejší škody, což může také vést ke zvýšení proslulosti a reputace, o kterou hacktivistou v mnoha případě tak jde.