Po březnovém rekordním měsíci se počet kybernetických incidentů, které Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) řešil v dubnu, vrátil do průměrných hodnot. Incidentům opět dominovaly případy, ve kterých došlo k narušení dostupnosti služeb. Tentokrát však nedostupnost nebyla způsobena jen DDoS útoky, v mnoha případech se jednalo o technickou chybu.

Foto: NÚKIB v dubnu evidoval 14 kybernetických incidentů. Po předchozím rekordním měsíci se počet
incidentů vrátil k průměrným hodnotám posledního roku. | NÚKIB

V dubnu pokračoval trend intenzivních phishingových kampaní proti strategickým vládním cílům v zemích NATO, včetně ČR. Tento trend nastartovala ruská agrese na Ukrajině, která zvýšila zájem státních aktérů o strategické informace jejich protivníků.

Foto: Stejně jako v několika posledních měsících neměla většina kybernetických incidentů závažné důsledky, které by výrazněji ovlivnily chod napadených organizací, a NÚKIB je proto eviduje jako méně významné. | NÚKIB

V zemích NATO se tak v posledním roce zrychlilo nejen tempo ruských kyberšpionážních útoků, ale také čínských. Jejich terčem se staly i české diplomatické cíle. Jedná se o kampaň, kterou společnost ESET spojuje se skupinou Mustang Panda. Skupina v kampani použila nový malware MQsTTang. Neobvyklý je na něm především způsob, kterým komunikuje se svým řídicím serverem. Komunikace totiž probíhá přes protokol MQTT, který se
využívá pro zařízení internetu věcí (IoT).

Žádný veřejně známý malware dosud protokol MQTT nevyužíval. Kampaň a v ní použitou novou techniku blíže popisujeme v posledních dvou kapitolách.

Foto: V dubnu pokračoval trend intenzivních phishingových kampaní proti strategickým vládním cílům v zemích NATO, včetně ČR. Tento trend nastartovala ruská agrese na Ukrajině, která zvýšila zájem státních aktérů o strategické informace jejich protivníků. | Shutterstock

V dubnu pokračoval trend posledního roku, kdy incidentům dominovalo narušení dostupnosti služeb. NÚKIB takto klasifikoval téměř dvě třetiny incidentů. Na rozdíl od přechozího měsíce ale příčinou nebyly pouze DDoS útoky, ale z velké části technické chyby. Výpadek služeb způsobený chybou nahlásilo NÚKIB pět organizací.

Vedle dostupnosti NÚKIB řešil také incidenty v těchto kategoriích:

• Dva incidenty, při nichž útočník po kompromitaci změnil údaje na webových stránkách oběti, NÚKIB klasifikoval jako informační bezpečnost
• Dva incidenty způsobené ransomwarem NÚKIB evidoval jako škodlivý kód
• V posledním případě neznámí útočníci kompromitovali e-mailovou schránku zaměstnance soukromé organizace a následně z ní rozesílali spamy na další adresy

Trendy v kybernetické bezpečnosti za duben pohledem NÚKIB

Phishing, spear-phishing a sociální inženýrství
Pokračuje trend intenzivních phishingových kampaní proti strategickým vladním cílům v zemích NATO, včetně ČR. Tento trend nastartovala ruská agrese na Ukrajině, která zvýšila zájem státních aktérů o strategické informace jejich protivníků. Podle veřejně dostupných informací se v zemích NATO v posledním roce navýšilo nejen tempo ruských kyberšpionážních útoků, ale také čínských.

Malware
V jedné z nedávných phishingových kampaní, kterou NÚKIB analyzoval, se objevil nový malware MQsTTang. Útočníci ho používají jako backdoor a zajímavý je na něm především způsob, kterým komunikuje se svým řídicím serverem. Komunikace probíhá přes protokol MQTT, který se využívá pro zařízení internetu věcí (IoT). Žádný veřejně známý malware dosud protokol MQTT nevyužíval.

Zranitelnosti
V dubnu se neobjevila žádná nová závažná zranitelnost, u které bychom očekávali plošné zneužívaní a která by
mohla být zneužívána napříč povinnými osobami NÚKIB.

Ransomware
NÚKIB evidoval dva případy ransomwarových útoků, oba proti malým a středním podnikům. Za jedním z incidentů
stál LockBit 2.0, ransomware z jedné z nejvíce aktivních „ransomwarových rodin“ v ČR. Počtem a charakterem obětí byly dubnové ransomwarové útoky podobné předešlým 12 měsícům. Útoky, které v posledním roce NÚKIB eviduje, nejčastěji zasahují menší podniky nebo základní a střední školy.

Útoky na dostupnost
V dubnu pokračovaly dozvuky březnové vlny hacktivistických DDoS útoků proti českým cílům. Jejich intenzita byla ale oproti předchozímu měsíci nižší a počet DDoS útoků, které NÚKIB v této souvislosti řešil, poklesl na třetinu. Útočníci se zaměřili především na organizace z dopravního sektoru.

OT – operační technologie
Ukrajinský CERT (CERT-UA) v dubnu informoval o incidentu, kdy si zaměstnanec energetické společnosti stáhnul z Torrent sítě pirátský Microsoft Office 2019. Následkem toho došlo ke kompromitaci počítače pomocí malware DarkCrystal a DWAgent. Tyto dvě aplikace poskytovaly neoprávněný přístup do sítě společnosti po dobu dvou měsíců. Více informací na CERT-UA.

Zdroj: NÚKIB