Oživeno 25. února
Tiskovou zprávu společnosti Eset, ze které jsme včera čerpali, zaznamenal také Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), dnes zveřejnil další podrobnosti a doporučení.
HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí. Mířil primárně na finanční instituce a vládní kontraktory. Výčet zasažených cílů zatím není znám, ale zajímavé je, že kromě Ukrajiny malware řádil také v několika institucích v Litvě a Lotyšsku. Není ovšem jasné, zda to byl úmysl.
Datum kompilace malwaru 28. 12. 2021 uvedl už Eset, NÚKIB dodává, že soubory mají validní digitální podpis společnosti Hermetica Digital Ltd.
Úřad opakuje, že nelze vyloučit, že se cílem útoku stanou i české instituce, a připomíná platnost upozornění z 28. ledna. Zatím žádné takové útoky zjištěné nebyly, ale státním i soukromým institucím úřad doporučuje:
- zkontrolovat indikátory kompromitace wiperem
- zálohovat důležitá digitální aktiva na fyzicky odděleném offline médiu
- zkontrolovat stav a aktuálnost antivirového řešení
- provést audit privilegovaných účtů, doménových politik a plánovaných úloh
- ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit
Původní článek z 24. února
Rusko zaútočilo na Ukrajinu. Média se věnují primárně pohybu vojsk, ale invaze má i rozsáhlou kybernetickou stránku. Předvoj začal už v minulých týdnech, ale hlavní atak byl sladěný s pohybem tanků. Rusko v uplynulých dnech útoky na ukrajinské IT systémy odmítalo, nicméně dnes je otázka na původce útoku spíše rétorická.
Nefungují stránky vlády, parlamentu, ministerstva zahraničí, vnitra a obrany, některých bank a řady dalších institucí. Pod tlak se dostaly i stránky českého Ministerstva zahraničních věcí a české ambasády na Ukrajině.
Společnost ESET 23. února večer detekovala nový malware HermeticWiper. Jde o kód typu data wiper, který maže uživatelská data. Zneužívá legitimní ovladače softwaru EaseUS Partition Master, který slouží ke správě pevných disků. Poškodí data, pak restartuje počítač, avšak operační systém již nelze spustit. Zdá se, že útočí primárně na firemní sítě, ale podrobnější analýza teprve probíhá. Pohled do kódu softwaru ukazuje na vznik již 28. prosince 2021, z čehož je zřejmé, že byl útok připravován poslední dva měsíce.
Útok pod cizí vlajkou
V článku z 16. února cituje agentura Reuters místopředsedu ukrajinské vlády Mykhaila Fedorova, že největší DDoS útok v historii Ukrajiny přicházel z IP adres mnoha zemí včetně Ruska, Číny, Uzbekistánu a České republiky.
Národní centrála proti organizovanému zločinu dnes vydala zprávu, že šlo o typický spoofing, tedy podvržení IP adres, které slouží k zamaskování skutečné IP adresy útočníka. Vyplynulo to z šetření NCOZ
Tento článek je součástí balíčku PREMIUM+
Odemkněte si exkluzivní obsah a videa bez reklam na devíti webech.
Vyzkoušet za 1 Kč
Nebo samostatné Živě Premium