Něco vám na sebe prozradíme. Rádi čteme žaloby amerického ministerstva spravedlnosti týkající se kybernetických útoků. Proč? Protože se ze zřejmých důvodů soustředí na fakty doložitelný příběh jednotlivců a organizací, které stojí za kybernetickými útoky, a to je aspekt threat intelligence, který se na veřejnost často nedostane. Dnes vám přineseme hned tři žaloby – ve dvou případech čínských aktérů, konkrétně I-Soon a APT27. U prvního příspěvku se zdržíme ještě v Číně, kde vás zasvětíme do kampaně aktéra Silk Typhoon (který může být napojen na APT27) proti softwarovým platformám a IT službám s cílem kompromitovat koncové zákazníky. Třetím tématem je analýza botnetu PolarEdge od výzkumníků z francouzské společnosti Sekoia.
Příjemné čtení!
Tým Cybule
Obsah:
- Silk Typhoon se zaměřuje na dodavatelský řetězec IT služeb
- Americké ministerstvo spravedlnosti obvinilo zaměstnance I-Soon a členy APT27
- PolarEdge: Detailní pohled na nově odhalený IoT botnet
Silk Typhoon se zaměřuje na dodavatelský a softwarový řetězec IT služeb
(5.3.2025, Microsoft)
Microsoft Threat Intelligence ve své analýze upozorňuje na změnu taktiky čínské špionážní skupiny Silk Typhoon. Skupina se nyní zaměřuje na softwarová řešení, jako jsou nástroje pro vzdálenou správu a cloudová prostředí. Silk Typhoon byl konkrétně pozorován při zneužívání odcizených API klíčů a přihlašovacích údajů k účtům spojeným se správou privilegovaného přístupu (PAM) u poskytovatelů cloudových aplikací a firem spravujících cloudová data. Tento počáteční vektor útoku umožnil útočníkům proniknout do systémů jejich zákazníků.
Co potřebujete vědět:
- Po krádeži API klíčů útočníci zneužili získané administrátorské oprávnění k provádění průzkumu a sběru dat z cílových zařízení. Silk Typhoon se soustředil na informace, které souvisely se zájmy ČLR. Útočnící se například zajímali o informace týkající se vyšetřování orgánů činných v trestním řízení.
- V lednu 2025 byl Silk Typhoon pozorován při zneužívání zero-day zranitelnosti v nástroji Ivanti Pulse Connect VPN (CVE-2025-0282).
- Silk Typhoon používá tzv. krycí sítě (covert networks) tvořené kompromitovanými zařízeními (např. Cyberoam, Zyxel nebo QNAP) k utajení svých škodlivých aktivit. Krycí sítě jsou z popisu Microsoftu velmi podobné sítím ORB (Operational Relay Boxes).
- Silk Typhoon byl pozorován při útocích na různé sektory a regiony po celém světě. Mezi jeho cíle patří mimo jiné IT služby a infrastruktura, společnosti poskytující vzdálený monitoring a správu (RMM), jednotliví provideři (MSP) a jejich partneři, sektor zdravotnictví, právní služby, vysoké školství, obrana, vládní instituce, nevládní organizace (NGO) a energetický sektor, a to jak ve Spojených státech, tak i v dalších částech světa.
Komentář Cybule: Silk Typhoon (dříve Hafnium) se do povědomí veřejnosti dostal jako první aktér, který zneužíval čtyři zranitelnosti nultého dne v produktu Microsoft Exchange z ledna 2021. Silk Typhoon zneužil zranitelnost CVE-2021-26885, známou jako ProxyLogon, nejpozději 3. ledna 2021. Koncem února 2021 začaly zranitelnosti, v tu chvílí stále ještě zero-day, zneužívat čínské skupiny Tick (považovaná za součást Čínské lidové osvobozenecké armády), Lucky Mouse (známá také jako APT27), Calypso a Winnti (známá také jako APT41 a Chengdu 404). ProxyLogon incident je jedním z viditelných případů sdílení znalostí o zranitelnostech mezi čínskými APT skupinami.
Americké ministerstvo spravedlnosti obvinilo zaměstnance I-Soon a členy APT27
(5.3.2025, The Record)
Ministerstvo spravedlnosti USA obvinilo celkem 12 čínských občanů z účasti na rozsáhlé kyberšpionážní kampani ve dvou odlišných případech. První žaloba se týká škodlivých aktivit ofenzivního kontraktora I-Soon. Celkem osm zaměstnanců společnosti a dva příslušnící čínského Ministerstva veřejné bezpečnosti čelí obvinění z kybernetickách útoků na organizace s globálním zaměřením. Podle obvinění, I-Soon kompromitoval ministerstva zahraničí Tchaj-wanu, Jižní Koreje, Indonésie a Indie. Z amerických úřadů mezi oběti patří vojenská rozvědka DIA a Ministerstvo obchodu USA. Obvinění se vztahují na období 2016-2023. Druhá žaloba cílí na údajné pachatele prolomení Ministerstva financí USA z prosince 2024. Dva občané ČLR, Yin Kecheng (尹可成) Zhou Shuai (周帅) jsou obviněni z dlouholeté aktivity, která vedla ke kompromitaci velkého množství organizací od roku 2011 až do současnosti.
„Wanted“ plakát s identitami podezřelých zaměstnanců I-Soon a Ministerstva veřejné bezpečnosti (FBI)
Co potřebujete vědět:
- Zaměstnanci společnosti i-Soon prováděli útoky a pokoušeli se proniknout do systémů obětí po celém světě na pokyn čínské vlády. Mezi cíle patřila velká náboženská organizace v USA, kritici a disidenti čínské vlády, zákonodárný orgán jednoho z amerických států, agentury vlády USA, ministerstva zahraničí několika asijských zemí a mediální organizace.
- Čínské zpravodajské služby platily I-Soon mezi 10 000 a 75 000 dolarů za každý kompromitovaný e-mailový účet. Obvinění uvádí, že I-Soon pracoval s nejméně 43 regionálními a lokálními pobočkami Ministerstva veřejné bezpečnosti a Ministerstva státní bezpečnosti.
- I-Soon je kyberofenzivní kontraktor, který je známý také jako Aquatic Panda, a který se do povědomí veřejnosti dostal poté, co firma čelila rozsáhlému úniku interní komunikace a dokumentů.
- Ve druhém případě spojuje Ministerstvo spravedlnosti (DOJ) obviněné Yina a Zhoua s aktérem známým jako APT27 nebo Emissary Panda. Z textu žaloby (ve skutečnosti dvou separátních žalob z let 2017 a 2023) však není zřejmé a jako formou propojení jde. APT27 je v tiskové zprávě DOJ překvapivě spojována s aktérem Silk Typhoon, propojení, které doposud nebylo veřejně opodstatněno. APT27 patří mezi nejdéle fungující čínské kyberšpionážní skupiny.
- Společně se zveřejněním žalob, DOJ oznámilo soudem autorizované zabavení internetových domén a VPS (Virtual Private Serveru), spojených s Yinem a Zhouem.
Komentář Cybule: Žaloby vydané Ministerstvem spravedlnosti (DOJ) poskytují hlubší vhled do prostředí ofenzivních kontraktorů, které čínská vláda využívá k útokům na organizace, které čínské státní a stranické orgány považují za prioritní z hlediska sběru zpravodajských informací a krádeží duševního vlastnictví. Tyto žaloby odhalují, jak je systém strukturován a jak jsou kontraktoři vybaveni pokročilými technologiemi a taktikami, které jim umožňují pronikat do zabezpečených systémů. Čínské státní a stranické orgány si své cíle vybírají velmi pečlivě – zejména pak pokud jde o organizace, které jsou strategicky důležité z hlediska zpravodajských informací a duševního vlastnictví. Tento systematický přístup zahrnuje nejen získávání citlivých dat, ale i krádež inovací, což může mít vážné důsledky pro technologický rozvoj a ekonomickou konkurenceschopnost postižených subjektů. DOJ tak prostřednictvím těchto žalob odhaluje nejen konkrétní incidenty, ale také širší strategii, kterou čínská vláda aplikuje k dosažení svých politických a ekonomických cílů prostřednictvím kybernetických operací.
PolarEdge: Detailní pohled na nově odhalený IoT botnet
(25.02.2025, Sekoia)
Tým Sekoia odhalil nový botnet nazvaný PolarEdge, který je aktivní nejméně od roku 2023. Ten zneužívá zranitelnosti edge zařízení od výrobců jako je Cisco, ASUS, QNAP a Synology. Monitorování prostřednictví honeypotů odhalilo pokusy o zneužití zranitelností CVE-2023-20118, což vedlo k objevu více než 2000 infikovaných zařízení po celém světě.
Lokalizace zařízení kompromitovaných PolarEdge (Sekoia).
Co potřebujete vědět:
- Zranitelnost CVE-2023-20118 postihuje routery Cisco (modely RV016, RV042, RV042G, RV082, RV320 a RV325), které často dosáhly konce své životnosti, stejně jako zařízení značek ASUS, QNAP a Synology. Tato zařízení jsou klíčová pro síťovou infrastrukturu jak v domácnostech, tak v podnikových prostředích.
- Botnet využívá zranitelnost CVE-2023-20118, která umožňuje vzdálené spuštění příkazů (RCE). Díky této chybě, která má hodnocení CVSS 6.5, může neautentizovaný útočník pomocí speciálně upravených HTTP požadavků získat přístup k systémovým funkcím zařízení bez nutnosti ověření.
- V útoku registrovaném vůči honeypotům společnosti Sekoia byla zranitelnost údajně použita k doručení dříve nezdokumentovaného implantátu, backdooru TLS, která obsahuje funkci naslouchání příchozích klientských připojení a spouštění příkazů. Útočníci používají shell skript s názvem „q“, který je stažen přes FTP ze serveru (IP adresa 119.8.186[.]227). Tato adresa se nachází v Singapuru a patří společnosti Huawei Cloud (ASN: 136907). Po exploitaci zranitelnosti je tento skript spuštěn, aktivuje backdoor TLS, který umožňují dálkové ovládání zařízení. Tento proces zahrnuje řadu kroků, včetně stažení škodlivého payloadu, extrakce binárky a nastavení perzistence. Nasazený backdoor TLS disponuje funkcemi, jako je mazání protokolů, ukončování podezřelých procesů a neustálá komunikace s C2 serverem. Po spuštění backdoor vytváří nepřetržitý cyklus, ve kterém zařízení informuje C2 server o své infikaci a umožňuje útočníkovi kontrolovat jeho činnost.
- Infikovaná zařízení byla identifikována na více než 2 000 IP adresách, přičemž největší koncentrace se nachází v USA, Tchaj-wanu, Rusku, Indii, Brazílii, Austrálii a Argentině. Tato geografická rozmanitost poukazuje na globální rozsah útoku a potenciál hrozby, který ovlivňuje jak spotřebitele, tak podnikové sítě.
- Přesný účel botnetu PolarEdge zatím není jednoznačně určen, nicméně existují spekulace, že infikovaná zařízení mohou být využita jako „Operational Relay Boxes“ pro koordinaci kybernetických útoků, například DDoS útoků či dalších kybernetických operací. Tato schopnost ovládnout velké množství zařízení představuje zásadní riziko pro globální kybernetickou bezpečnost.
Komentář Cybule: PolarEdge představuje komplexní botnet, který využívá zranitelná zařízení a zařízení, u kterých skončila podpora ze strany výrobce. Zranitelnost CVE-2023-20118, využívaná k dálkovému spuštění příkazů, je alarmující zejména u zařízení, která dosáhla konce životnosti a nejsou již podporována. U zařízení po skončení podpory je důležité, aby organizace i jednotlivci prověřili bezpečnost svých zařízení, omezili přístup k administrativním rozhraním a implementovali další bezpečnostní opatření, aby minimalizovali riziko kompromitace a zneužití jejich zařízení k útokům na třetí organizace.
