Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal v souvislosti se vzrůstající hrozbou kybernetických útoků a kyberšpionáže, které jsou spojeny s probíhajícím ozbrojeným konfliktem mezi Ruskou federací a Ukrajinou VAROVÁNÍ podle zákona o kybernetické bezpečnosti. Hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Kritická, tedy hrozba je velmi pravděpodobná až téměř jistá.

Další upozornění ohledně aktuální situace se týká výskytu nového destruktivního malware typu wiper, který dne 23. února identifikovala společnost Eset na Ukrajině. Ten způsobuje mazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Státním i soukromým institucím v tuto chvíli proto NÚKIB doporučuje konkrétní kroky, které najdete přímo v článku.

NÚKIB nabádá organizace řídící se zákonem o kybernetické bezpečnosti, jakož i další tuzemské organizace, zejména pak média, k ostražitosti proti nejčastěji používaným technikám útoků a k provedení aktualizace informačních systémů a jejich komponent tak, aby nedocházelo ke zneužití známých zranitelností.

„K vydání tohoto varování přistupujeme z preventivních důvodů, protože hrozba vzhledem k aktuální situaci stoupla nad běžnou úroveň. Základem pro vydání jsou naše vlastní zjištění a poznatky z činnosti našich partnerů. Informace, které máme k dispozici, vedou k důvodné obavě z reálné hrozby kyberšpionáže a kybernetických útoků na významné cíle v České republice, především na strategické instituce veřejné správy, prvky kritické informační infrastruktury, informační systémy základních služeb či média,“ říká ředitel NÚKIB Karel Řehka.

NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni Kritická, tedy hrozba je velmi pravděpodobná až téměř jistá. V souvislosti s touto hrozbou doporučuje provedení úkonů, které jsou detailně popsány ve VAROVÁNÍ.

NÚKIB v souvislosti se vzrůstajícím napětím na Ukrajině již dříve zveřejnil dvojici doporučení k zabezpečení tuzemských systémů, a to dne 17. ledna 2022 a dne 28. ledna 2022. Vydané Varování na tato doporučení navazuje.

Varováním se správci a provozovatelé systémů regulovaných zákonem o kybernetické bezpečnosti musí zabývat, zejména musí zohlednit popsané hrozby a přijmout adekvátní opatření. Zohlednění varování a zavedení adekvátních opatření doporučujeme také organizacím, které nespadají pod zákon o kybernetické bezpečnosti.

Celý text varování najdete zde.

Upozornění na výskyt nového destruktivního malware typu wiper

Dne 23. února identifikovala společnost Eset na Ukrajině výskyt nového destruktivního malware typu wiper, který způsobuje mazání dat včetně části systému, která umožňuje spuštění zařízení (Master boot record). Malware nazvaný HermeticWiper napadl stovky zařízení ukrajinských společností a státních institucí, podle dostupných informací wiper mířil na finanční instituce a vládní kontraktory. Finální výčet zasažených cílů aktuálně není znám, kromě Ukrajiny bylo zasaženo i několik institucí v Litvě a Lotyšsku, přičemž není jasné, zda úmyslně či nikoliv.

Binární soubory mají validní digitální podpis společnosti Hermetica Digital Ltd. a datum kompilace 28. 12. 2021, což poukazuje na dlouhodobě vedenou a plánovanou akci.

Tento rok se, spolu s útokem wiperu WhisperGate v polovině ledna, jedná již o druhý kybernetický útok na Ukrajině cílící na destrukci dat. Nelze vyloučit, že s ohledem na situaci se cílem útoků mohou stát i české instituce. NÚKIB k této hrozbě vydal 28. 1. upozornění, které nadále zůstává v platnosti.

V tuto chvíli nejsou známy techniky prvotního průniku do sítě vedoucí k nasazení wiperu, s dalšími zjištěními bude NÚKIB informace aktualizovat.

Státním i soukromým institucím je v tuto chvíli doporučeno:

– Zkontrolovat uvedené indikátory kompromitace v rámci svých systémů.

– Mít připravené zálohy důležitých aktiv na fyzicky odděleném offline médiu a ověřit jejich funkčnost.

– Zkontrolovat stav antivirového řešení, konkrétně zdali je korektně spuštěno na všech zařízeních a aktualizováno.

– Provést audit privilegovaných účtů, doménových politik a plánovaných úloh.

– Ověřit funkčnost logování a řešení bezpečnostního dohledu, zejména viditelnost aktivit privilegovaných účtů, příkazové řádky/Powershell a síťových aktivit.

V případě pozitivního nálezu nebo jiné aktivity s potenciální souvislostí informujte o této skutečnosti Vládní CERT na adrese cert.incident@nukib.cz.

Indikátory kompromitace a odkazy najdete zde.

Zdroj: nukib.cz; JM