Cybuloviny 31/25

/ Cybuloviny, Týdenní přehled

V dnešních Cybulovinách přinášíme tři témata.V prvním článku se zaměřujeme na nově identifikovaného aktéra WARP PANDA, spojovaného s Čínou, který se dlouhodobě orientuje na cíle v USA a na Tchaj-wanu. Případ této skupiny poukazuje na vysokou technickou vyspělost, hluboké znalosti cloudových a virtualizačních prostředí a pokračující trend zneužívání okrajových síťovýchzařízení jako vstupního bodu do firemních a vládních sítí. Druhý text rozebírá kauzu NoName057(16) a obvinění Victorie Dubranovové, která ilustruje, jak mohou proruští hacktivisté – často s přímými či nepřímými vazbami na státní struktury – provádět oportunistické útoky proti kritické infrastruktuře. Třetí článek pak přináší jiný, neméně důležitý pohled: výpadek služeb Cloudflare, který nebyl důsledkem kybernetického útoku, ale chybou při nasazování bezpečnostních opatření reagujících na zranitelnost React2Shell.

Příjemné čtení!

Tým Cybule

Obsah:

  • WARP PANDA: Nový aktér se zaměřením na USA a Tchaj-wan
  • NoName057(16) a případ Dubranovové: oportunistické útoky na kritickou infrastrukturu
  • Chyba při nasazování bezpečnostních opatření proti zranitelnosti React2Shell vedla ke krátkodobému výpadku služeb Cloudflare

WARP PANDA: Nový aktér se zaměřením na USA a Tchaj-wan

(4.12.2025, CrowdStrike, CISA)

Společnost CrowdStrike identifikovala nového aktéra hrozeb s vazbami na Čínu, kterého pojmenovala WARP PANDA. Tato skupina, která je aktivní minimálně od roku 2022, cílí na subjekty v USA napříč různými sektory, včetně technologií, právních služeb a výroby. WARP PANDA prokazuje rozsáhlé znalosti cloudových a virtuálních (VM) prostředí a udržuje vysokou úroveň technické vyspělosti i operační bezpečnosti. Kromě cílů v USA se skupina zaměřuje také na subjekty na Tchaj-wanu. Podobně jako další útočníci napojení na Čínu, i WARP PANDA vyniká ve zneužívání síťových zařízení (edge devices), konkrétně produktů Ivanti, zařízení F5 BIG-IP a instancí VMware vCenter a ESXi.

Souběžně s odhalením WARP PANDA vydala agentura CISA varování týkající se kampaně spojené s Čínskou lidovou republikou, která využívá malware BRICKSTORM k zajištění trvalého přístupu v napadených systémech. BRICKSTORM je sofistikovaný backdoor určený pro prostředí VMware vSphere a Windows. Mezi známé oběti patří především organizace v sektorech vládních služeb a informačních technologií. WARP PANDA je jednou ze skupin, které malware BRICKSTORM ve svých kampaních aktivně využívají.

Zranitelnosti zneužívané aktérem WARP PANDA (CrowdStrike)

Co potřebujete vědět:

  • CrowdStrike uvádí, že aktér působí aktivně nejméně od roku 2022, nově mu tak bylo přiděleno jméno podle systému, který pro pojmenování aktérů používá CrowdStrike (Panda pro čínské skupiny). WARP PANDA vykazuje ve své aktivitě významný překryv s aktérem, kterému jsme se na Cybuli již několikrát věnovali. Tím je skupina UNC5221, kterou pod tímto označení sleduje Mandiant (Google Threat Intelligence Group). Zda se jedná o identického aktéra je z dostupných informací těžké vyhodnotit. BRICKSTORM je používan i dalšími aktéry a cílení na edge zařízení a virtualizační prostředí je doménou několika dalších čínských APT skupin.
  • Pozorovaná kampaň se vykazuje vysokou mírou operační bezpečnosti. Útočníci využívají DNS-over-HTTPS (DoH), vícevrstvou TLS komunikaci a WebSockets ke skrytí řídící komunikace (C2). Používají také antiforenzní opatření, jako je mazání logů a „timestomping“ (manipulace s časovými razítky souborů). Přestože podobné metody mohou znít jako standardní postup, ne vždy má útočník trpělivost, motivaci a disciplínu používat antiforenzní techniky konzistentně a po celou dobu útoku.
  • Útočníci získali prvotní přístup zneužitím zranitelností v síťových edge zařízeních (např. Ivanti a F5 BIG-IP) a následně se přesunili do administrativního prostředí virtualizace (např. vCenter). V kompromitovaném prostředí poté kradou snapshoty virtuálních počítačů za účelem získání přihlašovacích údajů a vytvářejí neautorizované virtuální stroje pro další působení.
  • WARP PANDA prokazuje schopnosti i v kompromitaci cloudových prostředí. Na konci léta 2025 kompromitovala prostředí Microsoft Azure za účelem přístupu k citlivým datům ve službě Microsoft 365. S využitím ukradených relačních tokenů (session tokens) provedli útočníci útoky typu „session replay“, čímž pronikli do služeb Exchange, OneDrive a SharePoint. Útočníci exfiltrovali dokumenty týkající se síťové architektury prostředí oběti a informace reakcím na incidenty (incident response). Pro zajištění trvalého přístupu zaregistrovali neautorizovaná MFA zařízení a využili Microsoft Graph API k získání seznamu uživatelů a jejich rolí.
  • Předpokládá se, že aktivita je motivována požadavky na sběr zpravodajských informací v souladu se strategickými zájmy Čínské lidové republiky (ČLR). Malware obsahuje samoopravné mechanismy, které mají zajistit udržení přístupu po dlouhou dobu.

Komentář Cybule: Kampaň skupiny WARP PANDA ilustruje nebezpečný vývoj v metodách (nejen) čínských státních aktérů a tím je posun od kompromitace jednotlivých koncových bodů (jednotlivých edge zařízení) ke kompromitaci administrační vrstvy pro virtualizace. Kompromitací prostředí vCenter a ESXi mohou útočníci efektivně obejít standardní nástroje pro detekci a reakci (EDR), které mohou běžet uvnitř hostovaných virtuálních strojů. Tento přístup poskytuje útočníkům absolutní přehled nad sítí oběti, který jim umožňuje vytvářet snapshoty celých serverů pro nepozorovanou krádež přihlašovacích údajů.

NoName057(16) a případ Dubranovové: oportunistické útoky na kritickou infrastrukturu

(9.12.2025, CISA)

Dne 9. prosince 2025 americké ministerstvo spravedlnosti (DOJ) obvinilo 33 letou ukrajinskou občanku Victorii Eduardovnu Dubranovou, vystupující také pod přezdívkami Vika, Tory a SovaSonya, z podpory proruské hacktivistické skupiny NoName057(16). Dubranovová je obviněna z provádění cílených kybernetických útoků proti chráněným informačním systémům, ze zneužívání přístupových oprávnění, závažné krádeže digitální identity a z účasti na organizovaném spiknutí, jehož cílem bylo narušit provoz kritické infrastruktury, včetně veřejných systémů zásobování pitnou vodou. Pod přezdívkou Vika působila na platformě Telegram, kde se navenek prezentovala jako grafická designérka se zaměřením na AI design, zároveň však vystupovala jako administrátorka proruských hacktivistických skupin NoName057(16) a CARR. V minulosti ona sama i skupina CARR na Telegramu opakovaně uváděly, že je ukrajinskou občankou žijící ve městě Dnipro, že nesouhlasí s politikou ukrajinské vlády a že v listopadu 2024 uprchla z Ukrajiny poté, co ji měla navštívit SBU (Bezpečnostní služba Ukrajiny).

Victoria Eduardovna Dubranova (breached.com)

Co potřebujete vědět:

  • Obžaloba amerického ministerstva spravedlnosti (DOJ) uvádí, že ruská vojenská rozvědka GRU skupinu CARR nejen podporovala, ale přímo ji založila, financovala a operativně řídila. Tuto tezi posiluje i oznámení agentury CISA z 9. prosince 2025, podle něhož je za podporu vzniku skupiny CARR s vysokou pravděpodobností odpovědná vojenská jednotka 74455, jejíž aktivity jsou dlouhodobě spojovány se státem řízenou kybernetickou skupinou APT28. DOJ rovněž tvrdí, že osoba vystupující pod přezdívkou Cyber_1ce_Killer, která má být podle vyšetřování napojena minimálně na jednoho důstojníka ruské vojenské rozvědky GRU, se podílela na směřování činnosti skupiny CARR, zejména při výběru kybernetických cílů. S touto osobou měla být spojena blíže neupřesněná organizace, která skupině zajišťovala financování přístupu k různým službám, včetně pronájmu DDoS útoků.
  • Agentura CISA se domnívá, že administrátoři komunikačních kanálů skupiny CARR spolu s administrátorem NoName057(16) založili koncem září 2024 novou skupinu Z-Pentest. Důvodem měla být nespokojenost s úrovní podpory a financování ze strany GRU. Ačkoli Z-Pentest ve svých operacích často využívá taktiky, techniky a postupy (TTPs) podobné skupině CARR, podle dostupných informací již působí nezávisle na přímém řízení GRU.
  • Prohlášení DOJ potvrdilo, že skupina CARR má za sebou nejméně dvě úspěšné kybernetické operace s reálnými dopady. Patří mezi ně útoky na veřejné vodárenské systémy v několika státech USA, při nichž došlo k poškození řídicích prvků a následnému úniku stovek tisíc galonů pitné vody. Dalším potvrzeným incidentem byl útok z listopadu 2024 na masokombinát v Los Angeles, který způsobil únik čpavku a znehodnocení tisíců liber masa. Podle CISA tyto i další proruské hacktivistické skupiny často zneužívají snadno dostupná zařízení pro vzdálený přístup k útokům na kritickou infrastrukturu. Úspěšné průniky do SCADA sítí byly podle agentury realizovány převážně pomocí „základních metod“, přičemž útočníci v některých případech kombinovali průniky se souběžnými DDoS útoky, aby si usnadnili přístup k řídicím systémům.
  • Ty zahrnovaly především skenování zranitelných zařízení s otevřenými porty ve virtuálních privátních cloudech (VPC), vytváření dočasných virtuálních privátních serverů (VPS) určených ke spouštění nástrojů na prolamování hesel, používání běžného VNC softwaru pro vzdálený přístup k hostům a nasazování hrubé síly při hádání přístupových údajů. Častým scénářem bylo také získání přístupu k zařízením HMI, která byla chráněna výchozími, slabými, nebo dokonce žádnými hesly. Skupina Z-Pentest k těmto aktivitám navíc využívala veřejně dostupné nástroje, jako jsou Shodan a RealVNC Viewer, které jí umožňovaly oportunisticky vyhledávat zranitelné cíle na internetu. Používané TTPs tak naznačují spíše náhodný a příležitostný výběr obětí, jenž sahal od chytrých domácností a restauračních systémů až po vodárenskou, průmyslovou a komerční infrastrukturu.
  • Podle tvrzení DOJ je skupina NoName057(16) „státem schváleným projektem“, který je alespoň zčásti řízen ruskou, státem financovanou neziskovou IT organizací TsISM. Tato organizace se měla podílet mimo jiné na vývoji DDoS nástroje DDoSia, jenž byl skupinou NoName057(16) aktivně využíván při jejích operacích. Dostupné informace dále naznačují, že se na činnosti skupiny přímo podílelo několik zaměstnanců TsISM, přičemž CISA uvádí, že někteří z nich zastávali dokonce roli administrátorů NoName057(16).

Komentář Cybule: Popsané skutečnosti znovu potvrzují dlouhodobý trend, kdy státní aktéři využívají hacktivistické skupiny jako nástroj kybernetických operací, aniž by se k nim museli oficiálně hlásit. Přímé propojení skupiny CARR s GRU, včetně role vojenské jednotky 74455 a osob napojených na ruskou rozvědku, výrazně oslabuje narativ o „nezávislém hacktivismu“ a naopak ukazuje na systematické řízení, financování a strategické zadávání cílů ze strany státu. Zároveň je však pozoruhodné, jak rychle se tyto struktury dokážou adaptovat. Vznik skupiny Z-Pentest naznačuje, že i při ztrátě přímé státní podpory jsou aktéři schopni pokračovat v operacích samostatně, přičemž si zachovávají know-how, nástroje i operační postupy. To výrazně komplikuje atribuci a obranu, protože hranice mezi státem řízenou skupinou a „nezávislými“ hacktivisty se stává čím dál více nejasnou. Z bezpečnostního hlediska je nejznepokojivější fakt, že útoky s tak závažnými fyzickými dopady byly realizovány pomocí základních, dlouhodobě známých technik. Kombinace slabě zabezpečených vzdálených přístupů, výchozích hesel a minimální segmentace sítí vytváří prostředí, v němž i relativně málo sofistikovaný útočník dokáže způsobit rozsáhlé škody.

Chyba při nasazování bezpečnostních opatření proti zranitelnosti React2Shell vedla ke krátkodobému výpadku služeb Cloudflare

(5.12.2025, The Cloudflare Blog, AWS Security Blog)

Společnost Cloudflare dne 5. prosince 2025 zaznamenala globální výpadek části své infrastruktury, který dočasně ovlivnil dostupnost řady webových služeb po celém světě. Incident nebyl způsoben kybernetickým útokem, ale chybou při nasazování bezpečnostních opatření v rámci webového aplikačního firewallu v infrastruktuře Cloudflare. Opatření reagovala na kritickou zranitelnost React2Shell (CVE-2025-55182), která umožňuje vzdálené spuštění kódu v aplikacích postavených na frameworku React.

Graf znázorňuje výskyt chyb HTTP 500 v síti Cloudflare během trvání incidentu (červená křivka ve spodní části grafu) a porovnává jej s celkovým provozem na infrastruktuře Cloudflare, který incidentem ovlivněn nebyl (zelená křivka v horní části grafu) (The Cloudflare Blog)

Co potřebujete vědět:

  • Infrastruktura Cloudflare při incidentu dočasně chybně zpracovávala část HTTP požadavků, což se u postižených služeb projevovalo návratem chybových odpovědí HTTP 500. Dopad incidentu byl sice globální, ale časově omezený. Výpadek trval přibližně 25 minut, než byla problematická konfigurace stažena a provoz stabilizován. Přestože šlo o relativně krátkou událost měla porucha viditelný dopad na dostupnost celé řady webových služeb po celém světě.
  • Příčinou výpadku byla chyba ve starší části interní proxy infrastruktury Cloudflare, která se projevila při plošném nasazení nových pravidel webového aplikačního firewallu. Tato pravidla byla nasazována jako reakce na kritickou zranitelnost React2Shell (CVE-2025-55182), jež postihuje React Server Components. Zranitelnost má maximální hodnocení závažnosti CVSS 10.0 a umožňuje útočníkům bez nutnosti autentizace vzdáleně spustit libovolný kód na zranitelném serveru prostřednictvím manipulace s aplikační logikou zpracovávající serverové komponenty Reactu.
  • Podle analýzy AWS byla zranitelnost aktivně zneužívána bezprostředně po svém zveřejnění, přičemž značná část zaznamenané aktivity pocházela z IP adres a infrastruktury dlouhodobě spojované s čínskými aktéry Earth Lamia a Jackpot Panda. Skupina Earth Lamia je dlouhodobě aktivní zejména v Latinské Americe, na Blízkém východě a v jihovýchodní Asii a zaměřuje se na zneužívání zranitelností webových aplikací proti organizacím z oblasti finančních služeb, logistiky, IT, univerzit a státní správy. Skupina Jackpot Panda se soustředí především na cíle ve východní a jihovýchodní Asii, přičemž její aktivity podle AWS pravděpodobně souvisejí se sběrem informací v oblasti vnitřní bezpečnosti a korupce. V obou případech jde o aktéry, kteří dokáží velmi rychle využít nově zveřejněné zranitelnosti a integrovat veřejně dostupné exploity do svých útoků.
  • Analýza dat z honeypot infrastruktury AWS MadPot zároveň ukázala, že část útoků měla vytrvalý a metodický charakter. V jednom z pozorovaných případů strávil neatributovaný útočný klastr spojený s IP adresou 183[.]6.80.214 téměř hodinu systematickým laděním pokusů o zneužití zranitelnosti. Aktivita probíhala mezi 2:30:17 a 3:22:48 UTC dne 4. prosince 2025 a zahrnovala celkem 116 požadavků během 52 minut. Útočník se postupně pokoušel spouštět základní linuxové příkazy (např. whoami, id), zapisovat soubory do adresáře /tmp a číst citlivé systémové soubory, jako je /etc/passwd.

Komentář Cybule: Škodlivé aktivity pozorované v souvislosti se zranitelností React2Shell zapadají do dlouhodobě pozorovaného vzorce chování čínských aktérů. Čínské skupiny opakovaně prokazují schopnost rychle využívat jakékoliv zranitelnosti, přičemž jejich aktivity často cílí na sektory s vysokou informační hodnotou, jako jsou státní instituce, průmysl, finance nebo média. Z pohledu obrany je podstatné, že tento model útoků zásadně zkracuje časový prostor pro reakci. Zranitelnosti s vysokým dopadem se prakticky okamžitě stávají součástí reálných útočných kampaní, což klade výrazné nároky na schopnost organizací rychle aplikovat záplaty.

Related Posts

Přejít nahoru