Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na útočníka, který se vydává za společnosti Microsoft, Amazon nebo české instituce. V Česku úřad zaznamenal desítky zachycených případů, jak uvádí na svých webových stránkách. Cílem mají být zřejmě vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů. Kybernetický úřad doporučil sadu kroků, které mohou zamezit případné kompromitaci. Jde například o blokaci souborů .rdp v e-mailové službě.
NÚKIB obdržel informace od partnerů o aktivní phishingové kampani neznámého útočníka ve středu. „Útoky byly potvrzeny v několika partnerských zemích, včetně vyšších desítek případů v České republice, přičemž celkový rozsah a objem útoků může nadále růst,“ uvedl úřad. Phishing je typem internetového podvodu, jehož cílem je získávání citlivých údajů.
Útočník se dle NÚKIB vydává za společnosti Microsoft, Amazon a vládní kyberbezpečnostní instituce v napadených zemích. Podle ukrajinské agentury pro kybernetickou bezpečnost CERT-UA mají být cílem vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů.
Útočník zneužívá identitu i českých vládních institucí, včetně NÚKIB. Škodlivé domény se objevují ve formátu nukib-gov[.]cloud. Seznam českých škodlivých domén obsahuje ale i ministerstva, vládu, státní úřady i Policii ČR.
V čem spočívá phishingový útok?
Phishingový útok spočívá v zaslání e-mailu s tematikou nastavení služby pro sdílení dat a vzdálené správy společnosti Amazon. Text se taktéž odkazuje na zavedení politiky nulové důvěry. Příloha s různými názvy, vždy však ve formátu .rdp (Remote Desktop Protocol), vede uživatele skrze dialogové okno ke spuštění vzdálené správy mezi jeho zařízením a infrastrukturou útočníka. V dialogovém oknu je pro zvýšení důvěry uvedena škodlivá doména zneužívající názvy vládních institucí v napadené zemi. Potvrzení vzdálené správy umožní útočníkům přístup k souborům a síťovým zařízením oběti, potenciálně i možnost spouštět programy třetích stran a vlastních skriptů útočníků.
NÚKIB doporučil sadu kroků, které mohou zamezit případné kompromitaci:
- Blokace souborů .rdp v rámci e-mailové služby
- Omezení práv uživatelů spouštět .rdp soubory
- Nastavení firewallu k omezení možnosti programu mstsc.exe navazovat vzdálený přístup
- Nastavit pravidla, která zabrání uživatelům při použití RDP přesměrování lokálních zdrojů
Seznam domén zneužívajících identitu českých vládních institucí:
md-gov[.]cloud
mf-gov[.]cloud
mo-gov[.]cloud
mpo-gov[.]cloud
mpsv-gov[.]cloud
msmt-gov[.]cloud
mv-gov[.]cloud
my-gov[.]cloud
mzd-gov[.]cloud
mze-gov[.]cloud
mzp-gov[.]cloud
mzv-gov[.]cloud
nakit-gov[.]cloud
nbu-gov[.]cloud
nukib-gov[.]cloud
policie-gov[.]cloud
mmr-gov[.]cloud
uohs-gov[.]cloud
uoou-gov[.]cloud
vlada-gov[.]cloud
V případě podezření na kompromitaci či záchyt škodlivého e-mailu mají dotyční kontaktovat bezpečnostní tým své instituce, případně i přímo NÚKIB na adrese cert.incident@nukib.gov.cz.
Podle loňské zprávy Check Point Research patří značka technologického gigantu Microsoft mezi nejčastější, které kyberzločinci napodobují při pokusech o krádeže osobních dat nebo platebních údajů. V loňském žebříčku byl Microsoft druhou nejnapodobovanější značkou, první byla americká maloobchodní korporace Walmart. Amazon byl na pátém místě.
AN
Zdroje a obrázky: NÚKIB; ProComputing; Pixabay
Napsat komentář