V dnešním vydání vám nabídneme čtyři témata, místo obvyklých tří. V prvním článku se zaměřujeme na vývoj ruských operací v kyberprostoru od začátku roku 2025 s důrazem na útoky proti Ukrajině. Dále se podíváme na nedávnou zranitelnost nultého dne v zařízeních Cisco, před kterou varovala americká CISA. Třetí příspěvek se věnuje novým poznatkům o čínské skupině Salt Typhoon a způsobu, jakým čínské firmy podporují státem řízenou špionáž. Bonusové téma se bude věnovat kybernetické bezpečnosti kritické infrastruktury, konkrétně iniciativě, která zapojuje etické hackery do ochrany lokálních vodáren v USA.
Příjemné čtení!
Tým Cybule
Obsah:
- Ruské kybernetické operace v první polovině roku 2025
- Kritická zranitelnost v Cisco: CISA vydává mimořádné nařízení a varuje před masivními útoky
- Salt Typhoon pro své operace využívá ekosystém kombinující čínské tajné služby, najemné hackery a komerční bezpečnostní firmy
- V USA vznikla nová iniciativa propojující etické hackery s provozovateli vodárenských systémů. Jejím cílem je posílit kybernetickou bezpečnost
Ruské kybernetické operace v první polovině roku 2025
(2.10.2025, SSSCIP_CERT-UA)
V první polovině roku 2025 zaznamenal ukrajinský CERT-UA významné změny v chování ruských kybernetických útočníků, konkrétně přechod k rychlým kampaním typu „Steal & Go“ (ukrást a zmizet), využívání legitimních cloudových služeb jako krytí, nasazení technik zero-click a rostoucí využívání nástrojů generovaných pomocí umělé inteligence.
Co potřebujete vědět:
- Podle zjištění dochází k nárůstu taktiky, kdy se útočníci nesnaží udržet dlouhodobý přístup k napadeným sítím, ale místo toho, co nejrychleji shromaždit a odcizit data. Tento přístup „Steal & Go“ (ukrást a odejít) zkracuje dobu potřebnou k detekci a zablokování útočníků a ztěžuje tradiční forenzní analýzu po incidentu. V důsledku toho musí organizace přehodnotit své detekční priority: nejde jen o dlouhodobý trvalý přístup, ale také o to, aby byly okamžitě detekovány krátké akce zaměřené na exfiltraci dat. Do tohoto trendu zapadá aktivita UAC-0219, která nasazuje malware WRECKSTEEL – původně ve VBScriptu, později v PowerShellu – stažený a spuštěný pomocí skriptu VBS. WRECKSTEEL se zaměřuje na exfiltraci souborů s předdefinovanými příponami, pořizuje snímky obrazovky a poté je odesílá na server útočníka pomocí curl.exe.
- Útočníci stále častěji využívají běžné cloudové platformy (například Dropbox) a jiné legitimní služby k maskování škodlivého provozu a ukládání/odesílání zcizených dat. Díky důvěře ve velké poskytovatele může takový provoz unikat detekci po delší dobu – a i když poskytovatelé obvykle reagují rychle, někdy se stane, že útočníci dosáhnou svého cíle. Což značí především to, že je nutné monitorovat provoz směřující k běžným poskytovatelům cloudových služeb a od nich a zaznamenávat neobvyklé objemy nebo vzorce.
- Zpráva dokumentuje také případy takzvaných zero-click útoků, kdy zranitelnosti v e-mailových službách umožňují spuštění škodlivého kódu bez další interakce uživatele (tj. uživatel ani neotevře nic podezřelého). Nejčastěji zneužívanou zranitelností tohoto typu v Roundcube je CVE-2023-43770 – starý problém, který bohužel stále postihuje velké množství instancí. V Zimbra Collaboration Suite (Classic UI) byly pozorovány dva zero-click útoky zneužívající chyby ve zpracování souborů kalendáře ICS: CVE-2024-27443 (spuštění JavaScriptu přes atribut
onerroru taguimg) a CVE-2025-27915 (kód v atributuontoggleu tagudetails). Útočníci tak bez kliknutí spouštějí škodlivý kód a přes API Roundcube/Zimbra získávají přihlašovací údaje, kontakty a nastavují filtry pro automatické přeposílání e-mailů do schránek pod jejich kontrolou. Další používanou technikou byly skryté HTML bloky s poli pro login a heslo a nastavenýmautocomplete='on', díky čemuž prohlížeč sám doplnil uložené údaje, které pak útočníci exfiltrovali. Většina těchto kampaní je s různou mírou jistoty připisována skupině UAC-0001/APT28 (GRU). - Dalším trendem jsou nástroje založené na umělé inteligenci, které útočníci využívají k vytváření přesvědčivějších phishingových textů, ale také k vytváření škodlivého kódu. Některé z analyzovaných vzorků vykazují známky použití generativních technik. To znamená, že klasické pattern-based detektory mohou být méně účinné, což vyžaduje širší použití behaviorální detekce a modelů, které se naučí rozpoznávat odchylky ve zpracování programu.
- Některé kyberoperace – zejména aktivity připisované UAC-0002 / Sandworm – jsou časově sladěny s fyzickými útoky či dalšími formami nátlaku, aby maximalizovaly dopad a narušily reakční schopnosti oběti. Ilustrativním příkladem je operace proti Ukrajinským železnicím (Ukrzaliznytsia) z 23. března 2025 a 4. října 2025, provázaná se širší vlnou útoků za účelem zesílení škod.
Komentář Cybule: Ukrajina dlouhodobě funguje jako „testovací polygon“ pro protivníkovy TTPs – taktiky a nástroje ověřené v tomto prostředí se s odstupem přesouvají do dalších regionů i na civilní cíle. V tomto kontextu se „Steal & Go“ prosazuje jako nový standard: místo dlouhodobé perzistence dominuje krátká, úderná exfiltrace orientovaná na rychlou monetizaci či informační zisk. Pro obranu to znamená posun od IOC k indikátorům aktivity (IOA) a k minute-scale detekcím založeným na chování. Poznatky z UA je vhodné chápat jako včasný varovný signál a bez odkladu je převést do detekčních use-casů, „real-time“ telemetrie a připravených postupů pro rychlou reakci.
Kritická zranitelnost v Cisco: CISA vydává mimořádné nařízení a varuje před masivními útoky
(24.9.2025, CISA)
Americká agentura CISA vydala na konci září 2025 emergency directive – mimořádné nařízení, které se používá jen v nejvážnějších případech. Důvodem je zneužívání hned několika zero-day zranitelností v Cisco Adaptive Security Appliance (ASA). Útočníci dokážou získat plnou kontrolu nad zařízeními, instalovat škodlivý kód a zůstat v síti neodhaleni. Incident zasahuje nejen americké federální úřady, ale také soukromý sektor a partnery po celém světě.
Co potřebujete vědět:
- CISA tímto krokem nařídila federálním institucím okamžitě prověřit všechna Cisco ASA zařízení, odpojit je nebo aplikovat dostupné patche a nahlásit případné kompromitace přímo agentuře. Takové opatření se vydává jen několikrát do roka a ukazuje, že hrozba je považována za plošnou a kritickou. Cisco potvrdilo tři konkrétní zranitelnosti, označené jako CVE-2025-20333, CVE-2025-20362 a CVE-2025-20363. Tyto chyby umožňují vzdálené spuštění kódu, instalaci malwaru, získání trvalého přístupu i po restartu či aktualizaci a rovněž únik dat či pohyb útočníků napříč celou sítí. Podle CISA a Cisco byly dvě z těchto chyb aktivně zneužívány už od jara 2025.
- Útočníci navíc využívají velmi sofistikované techniky, kterými se snaží maskovat svou aktivitu. Deaktivují logování, manipulují s nastavením a dokonce záměrně způsobují pády zařízení, aby zakryli stopy a zkomplikovali forenzní analýzu. Díky tomu mohou v systému zůstat skryti i delší dobu, a to i v případě, že administrátoři provádějí pravidelné aktualizace.
- Podle dostupných informací stojí za útokem pravděpodobně státem podporovaná skupina známá jako UAT4356 či Storm-1849. Ta je spojována i s dřívější kampaní ArcaneDoor, která rovněž cílila na zařízení Cisco. Rozsah útoků je globální a zasahuje nejen federální úřady v USA, ale i soukromé firmy, kritickou infrastrukturu v oblasti energetiky a telekomunikací a také partnery v Evropě a Asii. Cisco potvrdilo, že byly kompromitovány tisíce zařízení po celém světě.
- Organizace by proto měly bez odkladu zmapovat veškerá Cisco ASA zařízení ve své síti, nainstalovat dostupné opravy a v případě, že používají zařízení již nepodporovaná, je nahradit nebo odpojit. Dále je nezbytné provést důkladnou kontrolu sítě podle indikátorů kompromitace, poskytnutých CISA a Cisco, a posílit monitoring pomocí specializovaných bezpečnostních řešení. Klíčové je také zajistit, aby administrátoři dokázali včas rozpoznat podezřelou aktivitu.
Komentář Cybule: Za aktuální kampaní stojí podle CISA a Cisco skupina označovaná jako UAT4356 nebo Storm-1849. Jde o aktéra podporovaného státem, který je spojován především s ruskými zájmy. Skupina už dříve vedla kampaň známou jako ArcaneDoor, při níž rovněž cílila na síťová zařízení Cisco a snažila se získat trvalý přístup do prostředí obětí. Typické je pro ni využívání zero-day zranitelností a velmi propracovaná schopnost zůstat skrytá.
Salt Typhoon pro své operace využívá ekosystém kombinující čínské tajné služby, najemné hackery a komerční bezpečnostní firmy
(24.9.2025, DomainTools)
Společnost DomainTools, která se specializuje na využití informací z DNS záznamů k mapování infrastruktury kybernetických aktérů, publikovala analýzu skupiny Salt Typhoon a její vazby na hybridní prostředí státní špionáže v ČLR. DomainTools upozorňují, mimo jiné, na personální vazby Salt Typhoon na známého ofenzivního kontraktora společnost I-Soon, který skupině poskytuje technickou podporu. Čínské kyberšpionážní skupiny, napojené na Ministerstvo státních bezpečnosti (MSS) nebo čínskou armádu (PLA), se mohou opřít o komplexní ekosystém, který propojuje státní aparát s legitimními čínskými společnostmi s nájemnými hackery, mezi které patří I-Soon, v podpoře špionážních aktivit čínského státu a Komunistické strany Číny.
Kyberšpionážní ekosystém v ČLR (DomainTools)
Co potřebujete vědět:
- Salt Typhoon, identifikovaný společností Microsoft, vykazuje různou míru překryvu s aktéry mapovaných dalšími kyberbezpečnostními společnostmi, včetně Ghost Emperor (Kaspersky), FamousSparrow (ESET), Operator Panda (CrowdStrike) a Earth Estrie (Trend Micro).
- Salt Typhoon provádí cílené kyberšpionážní operace zaměřené na telekomunikace, vládní instituce, obranný sektor nejméně od roku 2019. Skupina využívá jak vlastní malware, tak techniky „living-off-the-land“ k dosažení svých cílů, mezi které patří shromažďování zpravodajských informací a krádeže duševního vlastnictví.
- DomainTools zmiňují i zapojení dalších společností, konkrétně Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology a Sichuan Zhixin Ruijie Network Technology, které fungují jako krycí společnosti pro aktivity MSS nebo dodavatelé infrastruktury. Všechny výše uvedené firmy byly identifikované ve varování, které na konci srpna vydaly americké úřady a tajné služby ve spolupráci s mezinárodními partnery, včetně Národního úřadu pro kybernetickou a informační bezpečnost.
- Sichuan Juxinhe Network Technology je pravděpodobnou krycí společnost pro MSS. Tato taktika využívání zdánlivě legitimních podniků umožňuje státem sponzorovaným aktérům obstarávat zdroje, využívat lidské zdroje, které působí mimo státní sektor, a provádět operace s určitou mírou věrohodného popření. Beijing Huanyu Tianqiong Information Technology je čínská kyberbezpečnostní firma, která nabízí na komerční bázi legitimní služby svým klientům a zároveň vykazuje charakteristiky krycí firmy MSS. Sichuan Zhixin Ruijie Network Technology je legitimní kyberbezpečnostní firma, která funguje i jako dodavatel “služeb” pro čínskou vládu a armádu.
- Mezi známé oběti Salt Typhoon patří telekomunikační operátoři v USA, včetně Verizon, AT&T, T-Mobile, Lumen a dalších. V červenci 2025 vyšlo najevo prolomení systémů Národní gardy nejmenovaného státu USA. Ve Velké Británii Salt Typhoon kompromitoval v letech 2023-2024 nejmenované vládní instituce, organizace obranného sektoru a telekomunikační operátory. Napřič EU se cílem stala infrastruktura poskytovatelů internetového připojení.
Komentář Cybule: Celkový rozsah aktivity Salt Typhoon pravděpodobně nebude dlohou dobu zřejmý. Dílčí informace naznačují sérii rozsáhlých špionážních kampaních, která např. v USA vedla ke kompromitaci prakticky všech hlavních telekomunikačních operátorů. Komerční sektor v ČLR, včetně firem, které fungují v šedé zóně špionáže a finančně motivovaných útoků, je zcela k dispozici čínskému státu a umožňuje MSS, PLA, a dalším státním aktérům, skokově navyšovat schopnosti podnikat dlouhodobé kampaně, včetně schopnosti rychlé a pravidelné obměny útočné infrastruktury.
V USA vznikla nová iniciativa propojující etické hackery s provozovateli vodárenských systémů. Jejím cílem je posílit kybernetickou bezpečnost
(8. 10. 2025, Cybersecurity Dive / PR Newswire)
Organizace DEF CON Franklin na konci léta oznámila spuštění programu, v rámci kterého se komunita etických hackerů zapojí do posilování kybernetické bezpečnosti amerických vodárenských podniků. Cílem je pomoci zejména menším provozovatelům, kteří často nemají dostatečné prostředky pro rozsáhlé investice do kyberbezpečnosti.
Co potřebujete vědět:
- Program vznikl z iniciativy skupiny etických hackerů, kteří nabízeli bezplatnou pomoc s kyberbezpečností provozovatelům malých vodáren.
- Vzhledem k tomu, že zpětná vazba od provozovatelů byla velmi pozitivní a poptávka vysoká, došlo k postupnému rozšíření projektu do celonárodního programu.
- Cílem programu je systematicky vyhledávat a odstraňovat kritické zranitelnosti ve vodárenské infrastruktuře.
- Partnery projektu jsou například National Rural Water Association (NRWA), Cybersecurity and Infrastructure Security Agency (CISA) a několik univerzitních center zabývajících se aplikovaným výzkumem v oblasti OT bezpečnosti. Program již získal finanční podporu od řady dárců.
- Hackeři zapojení do programu mají smluvně ošetřené pravomoci provádět penetrační testy a simulace útoků na skutečné infrastruktuře. Vše probíhá v úzké koordinaci s provozovateli systémů.
Komentář Cybule: Program DEF CON Franklin ukazuje, že otevřená spolupráce mezi průmyslem, bezpečnostními výzkumníky a státní správou může být efektivní cestou, jak zvýšit odolnost malých provozů bez nutnosti masivních investic. Pokud by se podobný model podařilo adaptovat v Evropě, například formou dobrovolných testovacích programů pro malé provozovatele, mohlo by to zásadně pomoci zvýšit úroveň ochrany kritické infrastruktury.
