Začátek kybernetického léta 2025 je ve znamení nového vývoje a nástrojů. Analýza kybernetických milicí čínské armády nám nabízí nový vhled do těsného propojení civilního a vojenského, soukromého a státního, a všeho mezi tím, v ČLR. Severokorejští operátoři spustili cílenou kampaň proti uživatelům Web3 technologií s pomocí nového malwaru NimDoor cílícího na uživatele MacOS. Do třetice všeho nového vám představujeme nový ransomwarový gang BERT, který šifruje data napříč platformami a zanechává za sebou ransomnote „Hello from BERT!“.
Příjemné čtení!
Tým Cybule
Obsah:
- Nová studie se zaměřuje na fungování čínských kybernetických milicí
- Severokorejští hackeři cílí na Web3: Malware NimDoor a sociální inženýrství
- Nová ransomware skupina BERT útočí v Asii a Evropě
Nová studie se zaměřuje na fungování čínských kybernetických milicí
(8.7.2025, Margin Research)
Studie společnosti Margin Research popisuje strukturu, vývoj a operační roli systému kybernetických milicí v Čínské lidové republice. Jedná se o první podrobnou studii od hlavní reorganizace Čínské lidové osvobozenecké armády (ČLOA) z roku 2015. Autoři svůj výzkum založili na analýze 136 známých jednotek kybernetických milicí a autoritativních čínských vojenských textů. Studie zdůrazňuje roli proběhlých reforem v posilování schopnosti KS Číny a ČLOA vést kybernetické operace, přičemž kybernetické milice v plánech Pekingu fungují jako klíčový doplněk v rizikových scénářích, jako jsou případné ofenzivní operace proti Tchaj-wanu. Z analýzy je patrná rostoucí profesionalizace a diverzifikace kybernetických milicí, které dnes vedle univerzit a státních podniků zahrnují i přední čínské komerční kyberbezpečnostní firmy, jako je Qihoo 360. Studie se zaměřuje i na právní, organizační a personální reformy a přetrvávajícím problémům s roztříštěností, náborem, školením a udržením odborných pracovníků. Autoři studie doporučují, aby se rámce pro analýzu kybernetických hrozeb posunuly od dosavadního zaměření na státem řízené APT skupiny směrem k zahrnutí netradiční aktérů, včetně jednotek kybernetických milicí působících v soukromém sektoru a výzkumných institucích.
Rozdělení podle sektoru u dvou typů kybernetických milicí (Margin Research)
Co potřebujete vědět:
- Čínský systém kybernetických milicí slouží jako rychle nasaditelná záložní síla, která výrazně zvyšuje operační kapacitu Lidové osvobozenecké armády (PLA) v kybernetické oblasti s minimálními nároky na přípravu. Na rozdíl od tradičních vojenských záloh tyto jednotky spoléhají na civilní odborníky, kteří již disponují pokročilými dovednostmi v oblasti ofenzivních kybernetických operací, průzkumu sítí a zneužívání systémů, což snižuje potřebu rozsáhlého výcviku. Výsledkem je mnohem menší funkční rozdíl mezi aktivními kybernetickými silami a milicemi, než je tomu v tradičních vojenských strukturách. U vybraných milic je předpoklad plynulého a rychlého přesunu z podpůrných rolí do hlavních operačních funkcí. Ve výsledku to ČLOA umožňuje navýšit a udržet kapacitu pro rozsáhlejší a dlouhodobější kybernetické kampaně, které by pouze s profesionálními vojáky nebylo možné efektivně provést.
- Jednotky čínských kybernetických milicí se dělí do tří hlavních typů podle své funkce a složení personálu. První typ představují tzv. stálé jednotky (常备型), které fungují jako stabilní součásti státních telekomunikačních regulačních úřadů, státem vlastněných či významných soukromých telekomunikačních společností a velkých podniků v oblasti síťových technologií. Tyto jednotky jsou trvale operačně připravené a představují klíčovou sílu pro plnění obranných kybernetických úkolů pod vedením strany a státu.
- Druhý typ tvoří záložní jednotky (储备型), jejichž členové pocházejí převážně z malých a středních IT firem nebo z komunit nezávislých odborníků na kybernetickou bezpečnost. Tito jednotlivci musejí mít alespoň středně pokročilé schopnosti v oblasti útočných a obranných kybernetických operací podle běžných standardů a jsou zařazeni do řízené databáze odborníků, kteří mohou být aktivováni v případě potřeby.
- Třetím typem jsou expertní jednotky (专家型), složené z vysoce kvalifikovaných odborníků rekrutovaných z univerzit, výzkumných institucí a inovativních soukromých firem. Tyto jednotky zahrnují specialisty, jako jsou zkušení inženýři, akademici nebo vedoucí výzkumu a vývoje, kteří plní poradní, technické a řídicí úlohy v rámci složitých nebo strategicky důležitých kybernetických operací.
- Autoři v příloze poskytují seznam 136 milicí, které se podařilo identifikovat a analyzovat. Seznam zahrnuje milice podle jejich funkce: (1) Network Warfare and Cybersecurity; (2) Intelligence, Reconnaissance, and Information Operations; a (3) Communications Operations and Maintenance. Kybernetické milice na úrovní regionálních zastoupení udržují například i tři hlavní mobilní operátoři a poskytovatelé připojení: China Telecom, China Unicom a China Mobile. Dále je v seznamu zastoupena celá řada regionálních univerzit, tzn. čínské univerzity udržují kybernetické milice pro potřeby ČLOA.
Komentář Cybule: Analýza Margin Research je významná objasněním úlohy, současného stavu a předpokládaného vývoje kybernetických milicí. Identifikace 136 jednotek ukazuje, že univerzity, technologický a kyberbezpečnostní sektor poskytují své odborné kapacity pro potřeby čínské armády společně se státními podniky a institucemi. Existence kybernetických milicí, společně s nově zmapovaným outsourcingem kybernetické špionáže soukromým kontraktorům ze strany čínských zpravodajských služeb, ukazuje na mizivou vypovídací hodnotu rozdílu mezi státním, soukromým a akademickým sektorem v ČLR.
Severokorejští hackeři cílí na Web3: Malware NimDoor a sociální inženýrství
(2.7.2025, ThehackerNews)
Severokorejská státem podporovaná hackerská skupina, pravděpodobně napojená na známé aktéry Lazarus nebo BlueNorOff, stojí za kampaní cílenou proti firmám a jednotlivcům působícím v oblasti Web3, kryptoměn a decentralizovaných financí (DeFi). Útočníci se zaměřují především na uživatele operačního systému macOS, kteří tvoří významnou část vývojářské a investorské komunity v kryptosvětě. Kampaň spojuje důmyslné sociální inženýrství s novým malwarem pojmenovaným NimDoor, napsaným v méně běžném programovacím jazyce Nim.
Co potřebujete vědět:
- Prvotní kontakt s obětí obvykle probíhá přes Telegram nebo prostřednictvím legitimně vypadající pozvánky přes Calendly. Útočník se vydává za zaměstnance známé společnosti a navrhuje online schůzku přes Zoom. Během komunikace je uživatel požádán, aby si stáhl „Zoom SDK“ nebo jinou podpůrnou knihovnu, která má být nezbytná pro komunikaci. Místo toho si nic netušící oběť stáhne a spustí škodlivý AppleScript, čímž dojde k první fázi infekce.
- AppleScript stáhne loader napsaný v C++ (například pod názvem InjectWithDyldArm64), který poté spouští hlavní škodlivý kód – označovaný jako trojan1_arm64. Tento trojan injektuje svůj kód do běžících systémových procesů a navazuje šifrovanou komunikaci s útočníkovým serverem pomocí protokolu WebSocket Secure (wss).
- Jádrem celé kampaně je však NimDoor – malware napsaný v jazyce Nim. Ten je z hlediska reverzního inženýrství velmi složitý na analýzu a zároveň poskytuje útočníkům možnost skrývat kontrolní logiku programu. NimDoor je navržen tak, aby dokázal zůstat skrytý, obnovoval se po ukončení procesu a odolával klasickým bezpečnostním opatřením, například pomocí zachytávání signálů SIGINT a SIGTERM. Útočníci si pro tuto kampaň nevybrali jazyk Nim náhodou – jeho schopnost kompilace do nativního kódu, nízká míra detekce bezpečnostními nástroji a možnost obfuskace z něj činí ideální volbu pro stealth operace.
- NimDoor stahuje další moduly, které mohou fungovat jako keyloggery, info-stealery nebo backdoory. Z kompromitovaného zařízení exfiltruje přihlašovací údaje z prohlížečů, data z aplikací jako Telegram nebo i přístupové údaje uložené v systému Keychain.
- Cílem není rychlý zisk, ale tichý přístup do infrastruktury Web3 firem a postupný sběr citlivých informací, které mohou být využity buď ke špionáži, nebo k dalším sofistikovaným finančním útokům.
Komentář Cybule: Nová kampaň není ojedinělá. Je součástí širší snahy severokorejských skupin získat finanční prostředky a zpravodajské informace ze západních technologií. MacOS už dávno není opomíjenou platformou, ale cílem – zejména tam, kde se mísí decentralizace, kryptoměny a globální komunikace. Obranou není jen silná antivirová ochrana, ale také změna myšlení: nikdy neinstalovat software na základě instrukcí z neověřených komunikačních kanálů, vždy ověřovat zdroje a chránit přístupové údaje. Pokud působíte ve světě kryptoměn nebo Web3, právě teď je čas ověřit, jak dobře je vaše zařízení připravené čelit této nové hrozbě.
Nová ransomware skupina BERT útočí v Asii a Evropě
(7.7.2024, TrendMicro)
Od dubna 2025 sledují analytici kybernetické bezpečnosti vzestup nové ransomwarové skupiny označované jako BERT. Trend Micro ji interně pojmenovalo „Water Pombero“ a za poslední měsíce ji zdokumentovalo při útocích proti organizacím v Turecku, Malajsii, Kolumbii, na Tchaj-wanu i ve Spojených státech. Napadena byla například zařízení ve zdravotnictví, technologické společnosti nebo firmy z oblasti event managementu. Skupina je technicky zdatná, adaptabilní a nebezpečná především svou schopností operovat jak ve Windows, tak v Linux/ESXi platformách a přitom používat relativně jednoduchý, ale efektivní kód.
Ransomnotes Hello from Bert! (TrendMicro)
Co potřebujete vědět:
- Útok na Windows systémy začíná spuštěním skriptu start.ps1, který je obvykle dodán po zneužití slabého zabezpečení, kompromitovaných přístupových údajích nebo skrze jiný dropper. Tento PowerShell loader nejprve provede deaktivaci obranných mechanismů – jako je Windows Defender, firewall, UAC a další bezpečnostní služby – a poté stáhne a spustí hlavní šifrovací modul ransomwaru. Součástí kódu jsou komentáře v ruštině, což vyvolává podezření, že část infrastruktury nebo vývoje probíhala v prostředí s ruským jazykovým nastavením. Šifrování probíhá pomocí AES, přičemž zašifrované soubory nesou příponu .encryptedbybert. Po dokončení šifrování je v každém adresáři zanechána ransmware notes, jejíž první věta zní: “Hello from BERT! Your network is hacked and files are encrypted.”
- Novější varianty ransomwaru používají vícevláknové zpracování pomocí ConcurrentQueue – místo toho, aby nejprve vytvořily seznam všech souborů, začíná šifrování okamžitě při jejich objevení. Tím zvyšují rychlost útoku a snižují šanci, že obránci stihnou reagovat. BERT se neomezuje jen na Windows. Má vyvinutou i Linuxovou variantu, která je schopná šifrovat soubory na serverech běžících pod Linuxem, a dokonce i na virtualizačních platformách VMware ESXi. Na rozdíl od mnoha starších ransomwarových variant zde vidíme sofistikované použití až 50 paralelních vláken, která provádějí šifrování. Tato verze je rovněž schopná ukončit běžící virtuální stroje, což výrazně ztěžuje obnovu systémů. Podobné chování jsme dříve viděli u ransomwarů jako Babuk nebo REvil, jejichž části kódu zřejmě BERT převzal a upravil pro své potřeby.
- Trend Micro ve své analýze upozorňuje, že ačkoliv kód BERT není nijak mimořádně sofistikovaný, vyznačuje se vysokou mírou modularizace, rychlosti šifrování a kompatibility. Kód je aktivně upravován a vylepšován – za poslední dva měsíce byly zaznamenány tři nové varianty. Změny se týkají především způsobu šifrování, metod vypnutí systémových služeb a použití vláken.Zajímavé je, že BERT zatím neprovozuje žádnou webovou stránku pro zveřejňování uniklých dat (data leak site), jak je běžné u jiných ransomwarových gangů. Přesto výkupní poznámky hrozí dvojím vydíráním (double extortion) – tedy že pokud oběť nezaplatí, budou data zveřejněna nebo prodána.
- Podle Trend Micro a dalších výzkumníků se útoky zaměřují především na:
- Zdravotnická zařízení (např. nemocnice, laboratoře)
- Technologické společnosti
- Firmy zabývající se pořádáním akcí a eventů
- Země v Asii a Evropě, ale útoky byly zaznamenány i v USA
- Způsob šíření zatím nebyl plně objasněn, ale předpokládá se kombinace: zneužití veřejně známých zranitelností, použití kompromitovaných přihlašovacích údajů, manuální přístup skrze RDP nebo SSH.
Komentář Cybule: Nové ransomwarové skupiny budou pravděpodobně i nadále vznikat a zdokonalovat své taktiky, přičemž budou využívat a upravovat již existující nástroje. Jak ukazuje příklad skupiny BERT, k úspěšnému napadení není vždy zapotřebí sofistikovaných metod. I jednoduché, ale spolehlivé nástroje mohou efektivně posloužit k průniku do systémů, krádeži dat a následnému vydírání obětí.
