Živě Premium
Napětí mezi Českem a Ruskem může mít další důsledky. NÚKIB varuje před kyberútoky | Zdroj: Markus Spiske / Pixabay

Zdroj: Markus Spiske / Pixabay

Napětí mezi Českem a Ruskem může mít další důsledky. NÚKIB varuje před kyberútoky

Lukáš Václavík
20. dubna 2021
Diskuze (2)

Kvůli aktuální politické situaci by se Česko mohlo stát terčem útoků, varuje Národní úřad pro kybernetickou a informační bezpečnost. NÚKIB proto vydal šestistránkový dokument popisující, kdo by mohl být cílem útoků a jaké by k tomu mohli využít prostředky.

Tuto analýzu jsme poslali adresně správcům informačních systémů, které spadají pod náš zákon, a jsou tím pádem zásadní pro fungování státu a bezpečí a zdraví jeho obyvatel. Zároveň ji však dáváme volně k dispozici veřejnosti, aby tyto informace pomohly ochránit i systémy, které pod náš dohled nespadají,“ říká ředitel NÚKIBu Karel Řehka.

Dokument explicitně nezmiňuje Rusko jako zdroj možných útoků ani důvod současných problémů, avšak momentálně jde o největší mezinárodní krizi zaměstnávající české politiky, úřady i média.

Na pozoru se mají mít veřejná správa, ozbrojené složky, výzkumné a vývojové organizace nebo společnosti z oblasti energetiky, průmyslu, financí či informatické infrastruktury.

NÚKIB vyjmenoval 17 nejvíce využívaných zranitelností, týkají se mj. starších verzí MS Office, Flash Playeru, WinRARu, SharePointu atd. Varuje přitom před 23 technikami útoku. Hrozí phishing, DDOS, zneužití vzdálených služeb, rozesílání špionážního i destruktivního malwaru.

Česko bylo v uplynulých dvou letech cílem závažných kyberútoků hned několikrát, motivem ale nebyla politika. Ransomware trápil ajťáky v benešovské a brněnské fakultní nemocnici. Kvůli botnetu muselo přerušit těžbu OKD. Před měsícem zase útočníci zneužívali díru v poštovních serverech Exchange, s čímž se pokýtala i tuzemská veřejná správa. Webhostingová společnost Wedos pak tento měsíc odolávala rekordnímu DDOS útoku o síle 160 Gb/s.

Pokračování 2 / 3

Nejčastěji využívané techniky kyberútoků

 
Číslo
techniky		 Název techniky Informace o technice Odkaz
s informacemi o mitigaci a detekci
T1566 Phishing Phishingové e-maily, které mohou obsahovat škodlivou v přílohu v podobě odkazu nebo přiloženého dokumentu. Odkaz MITRE
T1078 Valid Accounts Zneužití legitimních uživatelských účtů, které útočník kompromitoval (např. znalostí či krádeží přihlašovacích údajů). Odkaz MITRE
T1190 Exploit Public-Facing Application Zneužití zranitelností aplikací či programů otevřených do sítě Internet (webové stránky, SQL databáze, SMB, SSH apod.). Odkaz MITRE
T1133 External Remote Services Zneužití vzdálených služeb (VPN, Citrix
apod.) k získání prvotnímu přístupu k síti.		 Odkaz MITRE
T1195 Supply Chain Compromise Zneužití produktu třetí strany (softwarové aktualizace, manipulace zdrojového kódu apod.) ke kompromitaci cílového systému. Odkaz MITRE
T1212 Exploitation for Credential Access Zneužití zranitelnosti softwaru ke sběru přihlašovacích údajů. Odkaz MITRE
T1606.002 Forge Web Credentials: SAML Tokens Zfalšování SAML tokenů s libovolnými autorizacemi či životností. Zfalšované tokeny umožnují útočníkovi autentizaci ve službách využívající SAML 2.0 jako SSO (single sign-on) mechanismus. Odkaz MITRE
T1059 Command and Scripting Interpreter Zneužití příkazové řádky (zejména příkazová řádka Windows a PowerShell) ke spuštění škodlivého kódu. Odkaz MITRE
T1569 System Services Zneužití legitimních systémových služeb, nebo daemonů ke spuštění škodlivého kódu nebo programu. Odkaz MITRE
T1543 Create or Modify System Process Zneužití možnosti vytvořit, nebo upravit procesy na úrovni systému (zejména ve Windows) k opakovanému spuštění
škodlivého kódu.		 Odkaz MITRE
T1053 Scheduled Task/Job Zneužití plánování úloh (zejména Windows Task Scheduler) k prvotnímu, nebo opakujícímu se spouštění škodlivého kódu. Odkaz MITRE
T1055 Process Injection Vložení škodlivého kódu do legitimního procesu, zejména ve snaze vyhnout se odhalení. Odkaz MITRE
T1218 Signed Binary Proxy Execution Zneužití legitimních binárních souborů (zejména mshta.exe a rundll32.exe) k proxy
spuštění škodlivého kódu.		 Odkaz MITRE
T1218.005 Mshta Zneužití Windows nástroje Mshta.exe k proxy spuštění škodlivých .hta souborů, javaskriptů nebo VBS skriptů. Odkaz MITRE
T1218.011 Rundll32 Zneužití Rundll32.exe k proxy spuštění škodlivého kódu, zejména ve formátu DLL. Odkaz MITRE
T1027 Obfuscated Files or Information Snaha ztížit detekci/analýzu škodlivého souboru jeho zašifrováním, zaheslováním apod. Odkaz MITRE
T1036 Masquerading Snaha upravit škodlivý kód a soubory tak, aby je bezpečnostní nástroje považovaly za legitimní nebo neškodné. Odkaz MITRE
T1003 OS Credential Dumping Pokus o vypsání přihlašovacích údajů kvůli získání údajů k účtu z operačního systému
a softwaru.		 Odkaz MITRE
T1003.001 LSASS Memory Pokus o zisk a zneužití přihlašovacích údajů uložených v procesové paměti LSASS. Odkaz MITRE
T1497 Virtualization/Sandbox Evasion Prostředky využité pro detekci a vyhnutí se virtualizačním a analytickým prostředím. Odkaz MITRE
T1082 System Information Discovery Pokus o zisk detailních informací o operačním systému a hardwaru. Odkaz MITRE
T1105 Ingress Tool Transfer Přesunutí nástrojů nebo dalších souborů útočníkem z externího do
kompromitovaného systému.		 Odkaz MITRE
T1219 Remote Access Software Zneužití legitimní desktopové podpory a softwaru pro vzdálený přístup kvůli vytvoření interaktivního C2 kanálu pro zacílení systémů uvnitř sítí. Odkaz MITRE

Pokračování 3 / 3

Nejčastější zneužívané zranitelnosti

 
Zranitelnost Zranitelný systém Komentář Odkaz
CVE-2019-0604 Microsoft SharePoint N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-0604
CVE-2019-11510 Pulse Connect Secure (PCS) VPN N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-11510
CVE-2020-1472 Netlogon N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2020-1472
CVE-2017-8759 Microsoft .NET Framework N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2017-8759
CVE-2019-1132 Windows (Win32k) N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-1132
CVE-2018-4878 Adobe Flash Player N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2018-4878
CVE-2018-20250 WinRAR N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2018-20250
CVE-2018-13379 Fortinet FortiGate VPN N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2018-13379
CVE-2019-9670 Synacor Zimbra Collaboration Suite N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-9670
CVE-2019-19781 Citrix Application Delivery Controller and Gateway N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-19781
CVE-2020-4006 VMware Workspace ONE Access N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2020-4006
CVE-2018-0802 Microsoft Office 2007,
Microsoft Office 2010,
Microsoft Office 2013,
aMicrosoft Office 2016 (Equation Editor)		 N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2018-0802
CVE-2018-0798 Microsoft Office 2007,
Microsoft Office 2010, Microsoft Office 2013 a Microsoft Office 2016 (Equation Editor)		 N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2018-0798
CVE-2017-11882 Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2,
Microsoft Office 2013 Service Pack 1, a Microsoft Office 2016		 N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2017-11882
CVE-2017-0199 Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1 N/A https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2017-0199
CVE-2019-0708 Remote Desktop Services Podle nástroje Shodan je zranitelnost aktivní na 712 zařízeních v ČR. https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-0708
CVE-2019-10149 Exim (Mail Transfer Agent) Podle nástroje Shodan je zranitelnost aktivní na 74 zařízeních v ČR. https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE- 2019-10149
Vstoupit do diskuze (2)

Určitě si přečtěte

Články odjinud