Léto, dovolené, víkendy, to vše jsou slova, která vyvolávají představu odpočinku. V kybernetické bezpečnosti jsou však spojené i se zvýšenou pozorností a nervozitou. Závažné incidenty se zásadně objevují v pátek večer. Kritická zranitelnost? Štědrý den je ideální čas. Samozřejmě, že to neplatí vždy, ale je to pravda dost často na to, aby to byl v kybernetické bezpečnosti opakovaný vtip. Častý výskyt zranitelností nultého dne během letních dovolených nám dal termín „zero day summer.“ Letošním vítězem je zranitelnost CVE-2025-53770 v on premise verzi Microsoft.SharePoint server. Objevila se v sobotu 19. července společně s potvrzením aktivního zneužívaní ze strany kybernetických útočníků, společně se dvěmi zranitelnostmi, které byly opraveny o deset dní dříve. Nultá zranitelnost v produktech Microsoftu? To je okamžitý poplach v každém bezpečnostním týmu. První téma dnešních Cybulovin se bude věnovat zneužití zranitelností v SharePoint ze strany čínských kyberšpionážních skupin. U tématu kritických zranitelností (a hrozbách kritické infrastruktuře) zůstaneme i v případě solárních střídačů Growatt Cloud. Třetí téma patří do trendu zásahů orgánů činných v trestním řízení proti kyberkriminálním skupinám. Mezi 14. a 17. červencem došlo k zásahu Interpolu a dalších partnerů proti ruské hacktivistické a kriminální skupině NoName057(16), který vedl k narušení infrastruktury a vydání mezinárodních zatykačů.
Příjemné čtení!
Tým Cybule
Obsah:
- Eastwood: Globální úder proti hacktivistické skupině NoName057(16)
- Zranitelné SharePoint servery cílem (nejen) čínských kyberšpiónů
- V platformě pro správu a monitoring solárních střídačů Growatt byla objevena kritická zranitelnost umožňující převzít plnou kontrolu nad libovolnou instalací jiného uživatele
Eastwood: Globální úder proti hacktivistické skupině NoName057(16)
(16.7.2025, Europol)
Mezinárodní kybernetická operace s názvem Eastwood, koordinovaná Europolem, vedla v červenci 2025 k zásahu proti jedné z nejaktivnějších proruských hacktivistických skupin – NoName057(16). Ta stojí za stovkami DDoS útoků na evropské státní instituce a kritickou infrastrukturu. Operace zahrnovala prohlídky, zabavení IT vybavení a vydání mezinárodních zatykačů.
Operace EastWood (Europol)
Co potřebujete vědět:
- Skupina NoName057(16) se poprvé objevila v březnu 2022 jako reakce na podporu Ukrajiny ze strany západních států. Na rozdíl od tradičních kyberzločinců nevydělávají přímo na útocích – jejich cílem je narušit, zastrašit a ideologicky destabilizovat. Působí decentralizovaně a rekrutují nové členy přes Telegram kanál.
- Členové jsou převážně rusky mluvící, často motivování ideologicky a odměnami v kryptoměnách. Skupina používá gamifikované techniky (tabulky žebříčků, odznaky, veřejné uznání), aby si udržela angažovanost, zejména mezi mladšími jedinci.
- Specializuje se na DDoS útoky (Distributed Denial of Service), které ochromují weby a servery přetížením požadavky. Cílí na instituce v zemích podporujících Ukrajinu – včetně ministerstev, bank, dopravních systémů a energetiky. Zasažené byly např. Německo, Česko, Švédsko, Švýcarsko, Polsko, Litva a další země.
- Mezinárodní zásah probíhal mezi 14. a 17. červencem 2025. Zúčastnilo se jej 12 zemí (včetně Česka, Německa, Francie a Polska), spolu s podporou Kanady, Ukrajiny a USA. Proběhlo více než 20 domovních prohlídek a bylo zabaveno množství digitálních zařízení. Dále byly odhaleny servery sloužící k řízení DDoS útoků.
- Na osoby žijící v Ruské federaci vydalo Německo šest zatykačů. Dvě z těchto osob jsou označeny za hlavní strůjce aktivit NoName057(16). Celkem bylo vydáno sedm zatykačů, z toho na šest ruských občanů podezřelých z účasti na trestné činnosti skupiny. Všichni jsou uvedeni na seznamu mezinárodně hledaných osob a v některých případech byla jejich totožnost zveřejněna v médiích. Pět profilů bylo zveřejněno na internetových stránkách EU Most Wanted.
Komentář Cybule: Operace Eastwood byla významné narušení činnosti skupiny. Avšak Europol varuje, že podobné sítě jsou vysoce rezistentní – členové mohou pokračovat, infrastrukturu lze přesunout a obnovit během dnů. Důležitá bude, jako vždy, trvající mezinárodní koordinace, sdílení informací a zvyšování odolnosti státních, veřejných a firemních systémů.
Zranitelné SharePoint servery cílem (nejen) čínských kyberšpionů
(23.7.2025, Microsoft, 22.7.2025, The Record)
Dne 19. července publikovala nizozemská bezpečnostní firma Research Eye analýzu zneužívání nově odhalené zranitelnosti CVE-2025-53770 v softwaru Microsoft SharePoint, která dopadla na on premise instalace. Ve stejný den přiznal zranitelnost nultého dne a její aktivní zneužívání i Microsoft, který zveřejnil i související zranitelnost CVE-2025-53771. Research Eye upozornila i na zneužívání souvisejících zranitelností CVE-2025-49704 a CVE-2025-49706, kterou výzkumníci Research Eye souhrnně označili jako ToolShell. Označení, které se postupně vžilo pro všechny čtyři zranitelnosti. U zranitelností v široce rozšířených produktech Microsoftu je běžné, že jsou zneužívány státními aktéry. Již v pondělí 21. července oznámil CTO Google Charles Carmakal, že za útoky stojí (nejmenovaná) čínská skupina.Společnost Microsoft potvrdila atribuci čínským skupinám o den později. Podle Microsoftu se na útocích podílejí nejméně dvě čínské špionážní skupiny, Linen Typhoon a Violet Typhoon. Třetí aktér, s dočasným pojmenováním Storm-2603, je pravděpodobně čínskou kyberkriminální skupinou, která na zranitelné systémy instaluje ransomware Warlock.
Útoky vyvolaly značné znepokojení, protože SharePoint je hojně využíván vládami a velkými korporacemi. Kampaň údajně zasáhla více než 400 organizací. Odborníci varují, že hrozba stále trvá a pravděpodobně ji využijí i další aktéři s různými motivy. Pouhá aplikace bezpečnostní aktualizace nemusí stačit, protože útočníci po kompromitaci kradou kryptografické klíče, které jim mohou umožnit trvalý přístup. Situace je přirovnávána k útokům na servery Microsoft Exchange v roce 2021, přičemž odborníci varují, že plný dopad těchto zneužití SharePointu se může projevit až v průběhu několika měsíců.
Zranitelnosti nultého dne v letech 2023 a 2024 (Google)
Co potřebujete vědět:
- V rámci rozsáhlého kybernetického útoku zneužívajícího chyby v softwaru Microsoft SharePoint byl napaden i americký Národní úřad pro jadernou bezpečnost. Ačkoli nebyly údajně kompromitovány žádné citlivé nebo utajované informace, tento incident poukazuje na slabiny v zabezpečení i vysoce zabezpečených vládních agentur, pokud zranitelnost postihuje rozšířený software. Útok podtrhuje rostoucí hrozbu čínských hackerských skupin pro kritickou infrastrukturu a národní bezpečnost USA.
- Společnost Microsoft byla v posledních letech terčem několika významných kybernetických útoků. Mezi nejzávažnější patří útok na Microsoft Exchange Server v roce 2021, který postihl desítky tisíc organizací po celém světě, a útok skupiny Lapsus$ v roce 2022, při kterém unikl zdrojový kód produktů Microsoftu. V roce 2023 čínští hackeři zneužili cloudové služby Microsoftu k proniknutí do e-mailových účtů amerických vládních úředníků. Tyto incidenty vedly k intenzivnímu zkoumání bezpečnostních postupů společnosti Microsoft.
- Linen Typhoon (APT27) je aktivní od roku 2010 a zaměřuje se především na krádeže duševního vlastnictví z vládních institucí, organizací v obranném sektoru a lidskoprávních organizací. Violet Typhoon (APT31) se specializuje na špionáž a cílí na současné bývalé vládní a vojenské představitele, nevládní organizace a think-tanky v USA, Evropě a východní Asii. APT31 je známá i v Česku. V květnu 2025 přiřadila česká vláda skupině APT31 útok na Ministerstvo zahraničních věcí ČR. Třetí skupina, Storm-2603, je podezřelá z napojení na Čínu a v minulosti nasazovala ransomware Warlock a LockBit.
- Útočníci zneužívají zranitelnosti k obejití ověřování a vzdálenému spuštění kódu na serverech SharePoint. Po proniknutí do systémů nasazují škodlivý kód, který jim poskytuje zadní vrátka pro trvalý přístup. Kradou také kryptografické klíče, což jim může umožnit přístup i po aplikaci bezpečnostních záplat. To představuje vážnou hrozbu pro integritu a důvěrnost dat postižených organizací.
- Společnost Microsoft vydala bezpečnostní aktualizace a vyzvala zákazníky k jejich okamžité instalaci. Odborníci však upozorňují, že samotné záplatování nemusí stačit, zejména pokud již došlo ke kompromitaci, která mohla zůstat neobjevena. Doporučuje se provést důkladnou kontrolu systémů na přítomnost kompromitace, resetovat kryptografické klíče a posílit celkovou bezpečnostní architekturu.
Komentář Cybule: Microsoft se snaží prezentovat jako společnost, která klade bezpečnost na první místo. Série zavažných incidentů, při kterých došlo k zásadním pochybením na straně Microsoftu, svědčí o něčem jiném. Analýza společnosti Google došla k závěru, že z celkového počtu 75 zranitelností nultého dne, celých 22 jich patřilo produktům od Microsoftu (viz přiložený obrázek). Na jednu stranu nemůže být překvapením, že tak rozšířený ekosystém nástrojů představuje významný podíl na celkovém počtu zranitelností nultého dne. Na druhou stranu prominentní pozice Microsoftu v systémech státních institucí a velkých organizací klade na Microsoft významné nároky, které společnost z Redmondu nedokáže uspokojivě naplnit.
V platformě pro správu a monitoring solárních střídačů Growatt byla objevena kritická zranitelnost umožňující převzít plnou kontrolu nad libovolnou instalací jiného uživatele
(19. 7. 2025, DIVD)
Nizozemský DIVD (Dutch Institute for Vulnerability Disclosure) publikoval informace o nově odhalené kritické chybě v cloudové platformě pro správu a monitoring čínských solárních střídačů Growatt Cloud.
Co potřebujete vědět:
- Zranitelnost, nyní označená jako CVE‑2025‑29757, mohla umožnit útočníkovi s běžným uživatelským účtem zcela převzít účet jiného uživatele prostřednictvím chyby ve funkci plant transfer. Ta sloužila k převodu správy solární instalace z jednoho uživatelského účtu na druhý, ale při převodu neprováděla dostatečnou autorizaci.
- DIVD přiřadil zranitelnosti hodnocení CVSS 9,4 (Critical) a její potenciální dopad označil jako závažný: po převzetí cílové solární elektrárny mohl útočník nejen celou elektrárnu odstavit, ale mohl měnit i její provozní parametry, například frekvenci nebo ochranu proti přetížení.
- Za pozornost stojí také časová osa řešení této zranitelnosti. Zranitelnost byla na DIVD nahlášena už 11. dubna 2025, ve stejný den došlo také k prvnímu pokusu kontaktovat společnost Growatt ohledně opravy zranitelnosti. Na tuto výzvu Growatt nereagoval. Další pokusy následovaly 23. dubna, 11. května a 12. května, přičemž Growatt ani na jednu z těchto výzev nereagoval. Zareagoval až na čtvrtou výzvu, která ze strany DIVD přišla 4. června. Growatt potvrdil přijetí této výzvy až 7. června. Následně 11. června od DIVD obdržel a potvrdil přijetí kompletních technických detailů o zranitelnosti. Od chvíle, kdy byl výrobce považován za informovaného (11. května po druhé výzvě), trvalo tedy plných 31 dní, než chybu oficiálně uznal. Oprava byla implementována 13. června a Growatt následně 17. června oznámil, že zranitelnost byla odstraněna.
- Nejedná se o ojedinělý případ. Bezpečnostní komunita dlouhodobě varuje před rostoucím počtem závažných zranitelností v solárních technologiích. Například zpráva SUN:DOWN od Forescout z letošního jara identifikovala 46 nových zranitelností u výrobců Sungrow, Growatt a SMA a upozornila, že 80 % z nich bylo zařazeno do kategorie vysoce nebo kriticky závažných.
Komentář Cybule: Instalovaný výkon fotovoltaických elektráren dodávaných předními výrobci solárních střídačů dnes v Evropě dosahuje úrovní, které odpovídají definici zdrojů kritické infrastruktury. Zmíněný čínský Growatt v Evropě spravuje prostřednictvím své cloudové platformy elektrárny o celkovém výkonu přes 13 GW. Pokud by byla zranitelnost CVE‑2025‑29757 zneužita koordinovaně ve větším měřítku, mohla reálně ohrozit stabilitu distribučních i přenosových soustav. Pro porovnání, k počáteční destabilizaci přenosové soustavy při španělském blackoutu vedly nucené oscilace frekvence v solární elektrárně o celkovém instalovaném výkonu pouhých 0,5 GW.
Zarážející je i reakční doba výrobce – trvalo týdny, než chybu uznal a opravil. Zde se nedá dodat nic jiného, než že pokud mají podobné cloudové platformy řídit energetická zařízení s parametry kritické infrastruktury, musí také jednat s odpovědností a rychlostí, jaká se od klíčových hráčů v energetice očekává.
Navzdory reálným rizikům pro stabilitu přenosových a distribučních sítí jsou solární komponenty v rámci EU z legislativního hlediska stále klasifikovány jako běžná spotřební elektronika, na kterou se nevztahují žádné povinné kyberbezpečnostní požadavky. To samé platí pro veškeré platformy pro monitoring a vzdálenou správu, ke kterým se solární instalace připojují.
Nicméně existují země, které si rizika uvědomují a již aktivně jednají. Litva už loni zavedla zákon, který zakazuje vzdálený přístup čínských výrobců k instalacím obnovitelných zdrojů nad 100 kW instalovaného výkonu, a podle tamního ministerstva energetiky se připravuje rozšíření této povinnosti i na menší systémy. Velká Británie zavedla povinnou certifikaci solárních střídačů podle standardu ETSI EN 303 645, což je dosud jediný ucelený rámec kybernetické bezpečnosti pro spotřební IoT zařízení. A Indie v květnu oznámila nová pravidla kybernetické bezpečnosti pro všechny solární technologie, která mají platit už od roku 2026. Na evropské úrovni aktuálně probíhají diskuze ohledně řešení nedostatečné úrovně kyberbezpečnosti solárních střídačů a případného omezení čínských výrobců po vzoru Litvy.
