cyber attack - kybernetický útok (Ilustrační foto)

NÚKIB : Útočník zneužívá identit Microsoft, Amazon a CZ institucí

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na útočníka, který se vydává za společnosti Microsoft, Amazon nebo české instituce. V Česku úřad zaznamenal desítky zachycených případů, jak uvádí na svých webových stránkách. Cílem mají být zřejmě vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů. Kybernetický úřad doporučil sadu kroků, které mohou zamezit případné kompromitaci. Jde například o blokaci souborů .rdp v e-mailové službě.

NÚKIB obdržel informace od partnerů o aktivní phishingové kampani neznámého útočníka ve středu. „Útoky byly potvrzeny v několika partnerských zemích, včetně vyšších desítek případů v České republice, přičemž celkový rozsah a objem útoků může nadále růst,“ uvedl úřad. Phishing je typem internetového podvodu, jehož cílem je získávání citlivých údajů.

Útočník se dle NÚKIB vydává za společnosti Microsoft, Amazon a vládní kyberbezpečnostní instituce v napadených zemích. Podle ukrajinské agentury pro kybernetickou bezpečnost CERT-UA mají být cílem vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů.

Útočník zneužívá identitu i českých vládních institucí, včetně NÚKIB. Škodlivé domény se objevují ve formátu nukib-gov[.]cloud. Seznam českých škodlivých domén obsahuje ale i ministerstva, vládu, státní úřady i Policii ČR.

V čem spočívá phishingový útok?

Phishingový útok spočívá v zaslání e-mailu s tematikou nastavení služby pro sdílení dat a vzdálené správy společnosti Amazon. Text se taktéž odkazuje na zavedení politiky nulové důvěry. Příloha s různými názvy, vždy však ve formátu .rdp (Remote Desktop Protocol), vede uživatele skrze dialogové okno ke spuštění vzdálené správy mezi jeho zařízením a infrastrukturou útočníka. V dialogovém oknu je pro zvýšení důvěry uvedena škodlivá doména zneužívající názvy vládních institucí v napadené zemi. Potvrzení vzdálené správy umožní útočníkům přístup k souborům a síťovým zařízením oběti, potenciálně i možnost spouštět programy třetích stran a vlastních skriptů útočníků.

NÚKIB doporučil sadu kroků, které mohou zamezit případné kompromitaci:
  • Blokace souborů .rdp v rámci e-mailové služby
  • Omezení práv uživatelů spouštět .rdp soubory
  • Nastavení firewallu k omezení možnosti programu mstsc.exe navazovat vzdálený přístup
  • Nastavit pravidla, která zabrání uživatelům při použití RDP přesměrování lokálních zdrojů
Seznam domén zneužívajících identitu českých vládních institucí:

md-gov[.]cloud
mf-gov[.]cloud
mo-gov[.]cloud
mpo-gov[.]cloud
mpsv-gov[.]cloud
msmt-gov[.]cloud
mv-gov[.]cloud
my-gov[.]cloud
mzd-gov[.]cloud
mze-gov[.]cloud
mzp-gov[.]cloud
mzv-gov[.]cloud
nakit-gov[.]cloud
nbu-gov[.]cloud
nukib-gov[.]cloud
policie-gov[.]cloud
mmr-gov[.]cloud
uohs-gov[.]cloud
uoou-gov[.]cloud
vlada-gov[.]cloud

V případě podezření na kompromitaci či záchyt škodlivého e-mailu mají dotyční kontaktovat bezpečnostní tým své instituce, případně i přímo NÚKIB na adrese cert.incident@nukib.gov.cz.

Podle loňské zprávy Check Point Research patří značka technologického gigantu Microsoft mezi nejčastější, které kyberzločinci napodobují při pokusech o krádeže osobních dat nebo platebních údajů. V loňském žebříčku byl Microsoft druhou nejnapodobovanější značkou, první byla americká maloobchodní korporace Walmart. Amazon byl na pátém místě.

AN
Zdroje a obrázky: NÚKIB; ProComputing; Pixabay


Uveřejněno

v

od

Komentáře

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.