První podzimní vydání Cybulovin v roce 2025 se zaměříme na kampaň čínské skupiny UNC5221 proti americkému technologickému sektoru pomocí skrytého backdooru Brickstorm. Zatímco čínské skupiny často sdílí nástroje a postupy, mezi hlavními ruskými aktéry je taková spolupráce neobvyklá. Nebo spíše byla neobvyklá. V minulém čase. Společnost ESET předložila důkazy o spolupráci mezi skupinami Gamaredon a Turla, které jsou napojeny na ruskou FSB, a my jsme si je nemohli nechat pro sebe. Tento týden Cybuloviny zakončíme pohledem na varování českých a amerických úřadů před čínskými solárními technologiemi.
Příjemné čtení!
Tým Cybule
Obsah:
- Google upozorňuje na kampaň aktéra UNC5221 proti technologickým společnostem v USA
- Když APT spojí síly: Aliance Gamaredon-Turla a co to znamená pro kybernetickou obranu?
- NÚKIB i americké úřady varují před čínskými solárními technologiemi, představují vážné riziko
Google upozorňuje na kampaň aktéra UNC5221 proti technologickým společnostem v USA
(24.9.2025, GTIG, Bleeping Computer)
Analýza Google Threat Intelligence Group (GTIG) upozorňuje na probíhající kampaň, která se již více než rok zaměřuje na americké organizace, zejména na právní a technologický sektor. Vyšetřování prvních incidentů začalo v březnu 2025. Kampaň je připisovaná čínské skupině UNC5221 a využívá backdoor BRICKSTORM, který se vyznačuje pokročilou schopností vyhnutí se detekci, což UNC5221 umožňuje nepozorovanou a dlouhodobou přítomnost v sítích obětí. Průměrný nevyžádaný „pobyt“ útočníků v napadených systémech je 393 dnů. Primárními cíli kampaně se zdá být krádež duševního vlastnictví, strategická špionáž a kompromitace poskytovatelů služeb (např. SaaS, Software-as-a-Service) pro získání přístupu do prostředí jejich zákazníků. Ukradené informace jsou pravděpodobně využívány k podpoře čínských ekonomických a špionážních zájmů.
UNC5221 dlouhodobě cílí na síťová zařízení a servery VMware vCenter, které často postrádají tradiční řešení pro detekci a reakci na koncových bodech (EDR). Kampaň je pozoruhodná využíváním zranitelností nultého dne pro počáteční přístup a zaměřením na dlouhodobou perzistenci. Útočníci jsou také známí svou pečlivou snahou zahlazovat stopy, což ztěžuje určení počátečního bodu průniku. Dlouhodobá povaha této kampaně a sofistikovanost použitých nástrojů a technik představují významnou a trvalou hrozbu.
Sektory napadené malwarem Brickstorm (GTIG)
Co potřebujete vědět:
- UNC5221 je kybernetická špionážní skupina napojená na Čínu. Tato skupina je považována za technicky vysoce pokročilou, včetně schopnosti vyvíjet a nasazovat vlastní malware a zneužívat zranitelnosti nultého dne. Operace UNC5221 se vyznačují zaměřením na nenápadnost a dlouhodobou přítomnost s cílem podporovat čínské národními zájmy. Skupina se často se zaměřují na síťová „edge“ zařízení a virtualizační nástroje.
- Backdoor BRICKSTORM a TTPs (taktiky, techniky a postupy) skupiny UNC5221 vykazují spojitost s předchozími kampaněmi. GTIG odhalilo, že minimálně v jednom případě využila UNC5221 zranitelnosti nultého dne v nástroji Ivanti Connect Secure, což je konzistentní s dřívější aktivitou skupiny. UNC5221 bývá někdy spojována s další skupinou Silk Typhoon (také známá jako Hafnium), ale GTIG prozatím považuje UNC5221 a Silk Typhoon za dvě odlišné skupiny. Čínské kyberšpionážní skupiny se vyznačují sdílením malwaru a TTP, což ztěžuje atribuci na úrovní konkrétní skupiny.
- Malware BRICKSTORM je obzvláště účinný v tom, že se vyhýbá detekci tím, že je často nasazován na zařízeních na okraji sítě a hypervizory, která nejsou typicky monitorována bezpečnostním softwarem typu EDR (Endpoint Detection and Response). Brickstorm je napsán v programovacím jazyce Go, což ho činí přizpůsobitelným pro operační systémy Linux a BSD/OS.
- Volba cílů, včetně právnických firem, poskytovatelů SaaS a technologických společností, naznačuje mnohostrannou motivaci. Cílením na právnické firmy mohou útočníci získat přístup k citlivým informacím týkajícím se soudních sporů, fúzí a akvizic a duševního vlastnictví. Kompromitování poskytovatelů SaaS jim otevírá cestu k datům jejich zákazníků. Kompromitace technologických společností by mohla být například využita k objevení nových zranitelností pro zneužití v budoucích útocích.
- Určení počátečního vektoru útoku je pro Google trvalou výzvou při vyšetřování aktivity UNC5221. Útočníci zůstávali v systémech v průměru 393 dní, což je déle, než je obvyklé období udržování záznamu logování. Stopy po původním průniku tak často zmizely.
Komentář Cybule: UNC5221, společně s UNC3886, patří mezi v současné době nejnebezpečnější čínské kyberšpionážní skupiny. Vyznačují se především schopností nacházet a zneužívat zranitelnosti nultého dne v síťových produktech Ivanti (UNC5221) a VMware (UNC3886). Často nepozorovaný vstup do prostředí obětí je umocněn schopností schovaní se v běžném provozu napadeného systému. Oběma skupinám jsme se v minulosti opakovaně věnovali.
Když APT spojí síly: Aliance Gamaredon-Turla a co to znamená pro kybernetickou obranu?
(19.9.2025, ESET)
Společnost ESET poskytla první technické důkazy o přímé spolupráci dvou kybernetických skupin spojených s Ruskou federací – Gamaredon a Turla. Obě skupiny jsou údajně napojeny na ruskou FSB. Jejich aktivity se v posledních měsících zaměřily na vysoce postavené subjekty na Ukrajině. Zjištěná data a technické indikátory naznačují, že se nejedná o náhodnou nebo jednorázovou interakci. Namísto toho spolupráce odráží sofistikovaný a strategický posun v ruských kybernetických operacích, přičemž každá skupina plní specifickou roli. Gamaredon funguje jako masivní „poskytovatel počátečního přístupu“, který kompromituje stovky až tisíce strojů, zatímco Turla funguje jako
extraktor informací, který se zaměřuje na cíle s nejvyšší zpravodajskou hodnotou. Tento model zvyšuje efektivitu operací a zároveň minimalizuje riziko odhalení obou subjektů, což představuje novou, znepokojivou úroveň koordinace v kybernetické válce.
Co potřebujete vědět:
- Skupina Gamaredon, známá také pod názvy jako Armageddon nebo Primitive Bear, je aktivní minimálně od roku 2013 a proslavila se masovými a rozsáhlými útoky, které jsou primárně zaměřeny na ukrajinské vládní instituce. Jejich operace jsou charakteristické velkým objemem a relativně méně sofistikovanými nástroji, což jim umožňuje kompromitovat obrovské množství cílů. Na druhé straně stojí skupina Turla, známá též pod přezdívkou Snake, která má ještě delší historii sahající až do roku 2004, a možná i do konce 90. let. Turla je kybernetickou APT skupinou, jejíž operační model se od Gamaredonu zásadně liší. Místo masového cílení se zaměřuje na vysoce postavené a kritické cíle, jako jsou vlády, diplomatické subjekty a obranné organizace po celé Evropě, Střední Asii a na Blízkém východě.
- Podle Bezpečnostní služby Ukrajiny se předpokládá, že Gamaredon provozují důstojníci Centra 18 FSB (známého také jako Centrum informační bezpečnosti) na Krymu, které je součástí kontrarozvědky FSB. Co se týče Turly, britské Národní centrum kybernetické bezpečnosti připisuje tuto skupinu Centru 16 FSB, hlavní ruské agentuře signálového zpravodajství.
- Zjištěná spolupráce mezi Gamaredonem a Turlou není nahodilá, ale představuje promyšlený a efektivní operační model. Zatímco Gamaredon provádí masové kompromitace, které vytvářejí širokou síť potenciálních obětí, Turla poté využívá tento již získaný přístup k identifikaci a útoku na nejcennější cíle.
- V únoru 2025 ESET detekoval, že nástroj PteroGraphin, který je považován za exkluzivní pro Gamaredon, byl použit k restartování malwaru Kazuar v3 od Turly na kompromitovaném stroji na Ukrajině.
Tento incident je mimořádně významný. Zpravidla by sofistikovaná skupina jako Turla, po získání přístupu, odstranila nástroje méně pokročilého aktéra, aby snížila riziko detekce a udržela si kontrolu nad kompromitovaným systémem. Skutečnost, že Turla aktivně využila PteroGraphin jako „metodu obnovy“ poté, co Kazuar pravděpodobně selhal nebo se nespustil automaticky, ukazuje na hlubokou technickou integraci a vysokou míru operační důvěry mezi oběma skupinami. Tato symbióza naznačuje, že spolupráce je systematická a plánovaná. - V dubnu a červnu 2025 bylo detekováno další nasazení Kazuaru v2, tentokrát pomocí Gamaredonových nástrojů PteroOdd a PteroPaste. Tyto opakované události potvrzují, že se nejednalo o jednorázovou náhodu, ale o etablovaný operační proces, ve kterém Gamaredon poskytuje počáteční přístup pro nasazení vysoce hodnotného malwaru Turly.
Komentář Cybule: Ačkoli technické detaily interakce mezi Gamaredonem a Turlou jsou fascinující, plné porozumění jejich významu vyžaduje širší kontext. Zjištění nejsou izolovaným incidentem, ale jsou spíše moderní manifestací dlouhodobé strategické kultury a organizační spolupráce v rámci ruského bezpečnostního aparátu. Je důležité si uvědomit, že tyto dvě entity – Centrum 18 a Centrum 16 – mají dle dostupných informací „dlouhou historii spolupráce“, která sahá až do doby studené války. Tuto historickou vazbu je možné chápat jako základ, na kterém současná kybernetická spolupráce stojí. Konflikt na Ukrajině, který eskaloval v roce 2022, se ukázal být katalyzátorem, který tuto spolupráci posílil a zaměřil. Data Esetu jasně ukazují, že aktivity obou skupin se v posledních měsících koncentrují na ukrajinský obranný sektor. To je jasný signál, že kybernetické operace jsou vnímány jako klíčový zpravodajský a strategický nástroj v probíhajícím vojenském konfliktu. Technické útoky jsou tedy jen viditelnou špičkou ledovce, který je součástí hlubší, státem řízené strategie.
NÚKIB i americké úřady varují před čínskými solárními technologiemi, představují vážné riziko
(8.9.2025, pv magazine, 11.9.2025, pv magazine)
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování před hrozbou spočívající v předávání dat a ve výkonu vzdálené správy z Čínské lidové republiky. Hrozba je hodnocena jako „vysoká“, tedy pravděpodobná až velmi pravděpodobná, a týká se mj. i čínských solárních střídačů používaných v malých solárních elektrárnách.Podle úřadu pochází 95–99 % střídačů v těchto instalacích z Číny. Střídače malých solárních elektráren jsou téměř bez výjimky připojeny ke cloudu čínského výrobce, což s sebou přináší celou řadu rizik, od krádeže uživatelských dat až po možnou škodlivou vzdálenou manipulaci se střídačem.
Obavy z možné škodlivé manipulace ale nejsou jen lokálním českým tématem. Americká správa dálnic (FHA) 11.9.2025 varovala, že v některých solárních zařízeních používaných v rámci dálniční infrastruktury byly objeveny skryté rádiové moduly. Tyto moduly se dle zjištění mohou nacházet třeba v nabíječkách pro elektromobily, v kamerách nebo meteostanicích napájených solární energií a mohou umožňovat neoprávněnou vzdálenou manipulaci. Obavy z neoprávněného přístupu Číny do klíčových zařízení energetiky zaznívají již delší dobu. Například organizace SolarPower Europe už letos na jaře vyzvala Evropskou komisi k přijetí přísných kyberbezpečnostních opatření pro solární infrastrukturu. Stalo se tak poté co byly v solárních střídačích a bateriových uložištích čínských výrobců údajně nalezeny nepřiznané komunikační moduly. O tomto incidentu informovala v květnu agentura Reuters.
Co potřebujete vědět:
- V ČR pochází 95–99 % malých solárních střídačů z Číny, NÚKIB varuje před rizikem vzdálené manipulace prostřednictvím cloudů čínských výrobců, ke kterým jsou rezidenční střídače téměř bez výjimky připojeny.
- Americká FHA upozornila na nález skrytých rádiových modulů v solárních zařízeních používaných v rámci dálniční infrastruktury.
- V Evropě i USA sílí tlak na zavedení přísných pravidel pro kybernetickou bezpečnost energetických zařízení a omezení vlivu Číny.
Komentář Cybule: Podle dostupných informací se zdá, že napříč relevantními institucemi roste shoda na tom, že současné problémy digitalizované energetiky už není možné dále přehlížet. Závislost na čínských technologiích, které tvoří drtivou většinu malých solárních instalací, s sebou nese nejen ekonomické a průmyslové problémy, ale i zřetelná rizika pro kybernetickou a národní bezpečnost. V blízké budoucnosti tak velmi pravděpodobně bude nutné si tento problém oficiálně přiznat – nejen v Česku, ale napříč celou Evropou – a začít systematicky nasazovat technická i regulatorní opatření, která dokážou hrozby zmírnit a udržet na přijatelné úrovni.
