Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci s Bezpečnostní informační službou (BIS), Vojenským zpravodajstvím ČR a mezinárodními partnery z USA, Velké Británie, Německa, Polska, Austrálie, Kanady, Dánska, Estonska, Francie a Nizozemska upozorňuje na dlouhodobou kybernetickou kampaň vedenou Ruskem. Podle zprávy NÚKIB jsou útoky zaměřeny především na logistické a technologické firmy, které pomáhají Ukrajině.
Za kampaní stojí jednotka ruské vojenské rozvědky GRU č. 26165, známá jako APT28 (Fancy Bear, Forrest Blizzard, aj.). „Tato skupina již více než dva roky vede špionážní operace proti subjektům z obranného a dopravního sektoru, zahrnující leteckou, námořní a železniční dopravu,“ uvádí NÚKIB. Cílem jsou také vládní instituce a komerční společnosti v členských státech NATO, na Ukrajině a v okolních zemích.
Útočníci využívají techniky jako password spraying, cílené phishingové e-maily, změny nastavení e-mailových schránek v prostředí Microsoft Exchange a zneužívání zranitelností v softwaru, například Outlook (NTLM) nebo WinRAR. „Získávají tak přístup do systémů, kde následně instalují malware sloužící k udržení přítomnosti a odcizování dat,“ varuje NÚKIB.
Další významnou součástí kampaně je monitorování přepravy pomoci na Ukrajinu. Jednotka GRU získávala přístup k IP kamerám na hraničních přechodech, železničních uzlech a dalších strategických místech. „Z analýzy více než 10 000 cílených kamer vyplývá, že většina z nich (81 %) se nacházela na Ukrajině. Další se vyskytovaly v Rumunsku, Polsku, Maďarsku a na Slovensku,“ uvádí zpráva. Kamery byly napadeny prostřednictvím veřejně známých výchozích přihlašovacích údajů nebo technik brute force.
Kromě toho se útočníci zaměřují na jednotlivce koordinující dopravu a firmy spolupracující s napadenými organizacemi, přičemž zneužívají důvěryhodné obchodní vztahy k dalšímu šíření. Cílem jsou také subjekty vyrábějící komponenty pro systémy průmyslového řízení (ICS) používané v železniční dopravě.
NÚKIB a partneři doporučují technologickým a logistickým společnostem posílit monitorování a aktivně vyhledávat známky kompromitace. „Tyto aktivity budou pravděpodobně pokračovat,“ varuje zpráva a vyzývá k zavedení odpovídajících ochranných opatření proti těmto sofistikovaným hrozbám.
Indikátory kompromitace a taktiky a techniky útočníků naleznete v plném znění dokumentu Ministerstva obrany USA zde.
MOHLO BY VÁS ZAJÍMAT: Ukrajina podle Turka masivně prohrává. To je fantasmagorie, reaguje Zdechovský
