Aktuální zpráva společnosti Check Point přináší závažné zjištění – malware Androxgh0st, který byl dosud známý hlavně útoky na webové servery, se spojil s nebezpečným botnetem Mozi. Toto spojení významně rozšiřuje jeho schopnosti a nově umožňuje útočit také na zařízení internetu věcí (IoT) a prvky kritické infrastruktury. Pro české organizace představuje v současnosti vůbec největší hrozbu – zasáhl už více než 7 % tuzemských firem.

Jak funguje nová varianta Androxgh0st?

Z technického hlediska je Androxgh0st pozoruhodný svou všestranností. Dokáže napadat systémy Windows, MacOS i Linux, což z něj činí skutečně multiplatformní hrozbu. Jeho tvůrci se zaměřili především na zranitelnosti v populárních webových technologiích. Mezi hlavní cíle patří PHPUnit, což je rozšířený testovací framework používaný PHP vývojáři, dále Laravel Framework, který patří mezi nejoblíbenější PHP frameworky současnosti, a v neposlední řadě také Apache Web Server, který pohání značnou část dnešního internetu.

Krádež citlivých údajů je stále na programu dne. Foto: Freepik

Malware je specifický svým zaměřením na krádež citlivých údajů. Útočníci pomocí něj získávají především přihlašovací údaje ke službě Twilio, která slouží pro komunikaci, SMTP přihlašovací údaje umožňující přístup k mailovým serverům a AWS klíče, díky kterým mohou proniknout do cloudové infrastruktury. Kromě toho se zaměřuje také na získávání dalších citlivých údajů z aplikací postavených na Laravel frameworku.

Spojení s botnetem Mozi přineslo Androxgh0stu nové schopnosti. Zatímco dříve se zaměřoval především na webové servery, nyní může využívat techniky vzdáleného spouštění kódu (RCE) a pokročilé metody krádeže přihlašovacích údajů. Důležitou vlastností je schopnost dlouhodobě setrvat v napadeném systému bez odhalení, což útočníkům umožňuje provádět řadu škodlivých aktivit včetně DDoS útoků.

Kritická infrastruktura v ohrožení

Propojení malwaru Androxgh0st s botnetem Mozi představuje významnou hrozbu především pro kritickou infrastrukturu. Pod tímto pojmem si můžeme představit několik klíčových systémů, bez kterých by moderní společnost nemohla fungovat. Patří mezi ně energetické sítě zajišťující dodávky elektřiny, plynu a tepla, stejně jako komplexní dopravní systémy řídící veřejnou i soukromou dopravu. Útočníci by mohli ohrozit také zdravotnické sítě propojující nemocnice, zdravotnická zařízení a jejich informační systémy. V ohrožení je rovněž vodohospodářská infrastruktura zodpovědná za distribuci pitné vody a čištění odpadních vod. Nesmíme zapomenout ani na telekomunikační sítě, které zajišťují propojení všech těchto systémů a umožňují jejich efektivní fungování a koordinaci.

Tyto systémy jsou lákavým cílem z několika důvodů. Případný úspěšný útok může způsobit rozsáhlé škody nebo dokonce ohrozit lidské životy. Navíc organizace provozující kritickou infrastrukturu často disponují značnými finančními prostředky, což z nich dělá atraktivní cíl pro vyděračské útoky.

V ohrožení mohou být i elektrárny a další prvky naší infrastruktury. Zdroj: Unsplash

Znepokojivé je především to, jak malware využívá IoT zařízení jako vstupní bod do infrastruktury. Mnoho IoT zařízení v průmyslovém prostředí běží na zastaralém softwaru nebo používá výchozí hesla, což útočníkům usnadňuje práci. Po získání přístupu může malware využít své nové schopnosti k laterálnímu pohybu v síti a postupně se dostat k citlivějším systémům.

Technicky zajímavá je také schopnost malwaru vytvářet kaskádové efekty. Útok na jeden systém může díky vzájemné propojenosti infrastruktury způsobit dominový efekt a ovlivnit další odvětví. Například narušení energetické sítě může mít dopad na zdravotnická zařízení, telekomunikace nebo vodohospodářství.

Situace v České republice je znepokojující

Ve srovnání s předchozím obdobím se Česká republika v žebříčku kybernetické bezpečnosti propadla o dvě příčky na 43. místo, což signalizuje zhoršující se situaci. Pro srovnání, sousední Slovensko si udržuje výrazně bezpečnější 81. pozici. Nejrizikovější zemí je aktuálně Etiopie.

Česko je častým terčem útoků ruských hackerů a kyberaktivistů. Zvhledem k podpoře Ukrajiny však s jejich brzkým koncem počítat nemůžeme. Důležitá je prevence a školení zaměstnanců i veřejnosti. Foto: Freepik

Detailní pohled na data z listopadu 2024 ukazuje, že Androxgh0st zasáhl 7,25 % českých organizací, což výrazně převyšuje globální průměr 5,18 %. Druhým nejrozšířenějším malwarem v ČR je trojan BMANAGER s 5,53 % zasažených organizací. Zajímavé je, že tento malware je globálně méně významný (pouze 0,80 % organizací), ale v českém prostředí představuje významnou hrozbu.

Mobilní hrozby a ransomware na vzestupu

V oblasti mobilních zařízení dominuje malware Joker, který se specializuje na krádeže SMS zpráv, kontaktů a informací o zařízeních. Jeho nebezpečnost spočívá především v schopnosti nepozorovaně přihlašovat oběti k prémiovým službám, čímž způsobuje finanční ztráty.

Znepokojivý vývoj lze v poslední době pozorovat u bankovního trojanu Anubis, který prošel významnou aktualizací a získal několik nových nebezpečných funkcí. Útočníci nyní mohou získat vzdálený přístup k napadenému zařízení, což jim umožňuje plnou kontrolu nad aktivitami uživatele. Trojan navíc implementuje pokročilé sledování stisknutých kláves, díky čemuž dokáže zachytit veškeré zadávané údaje včetně hesel a přihlašovacích údajů. Vývojáři malwaru přidali také vyděračské funkce, které mohou být použity k vydírání obětí. Jako by to nestačilo, Anubis nově disponuje i schopností nahrávat zvuk z napadeného zařízení, což představuje závažné riziko pro soukromí uživatelů.

Napadené zařízení může útočníkům také posílat zvuk. Foto: Unsplash

V oblasti ransomwaru dominují tři hlavní skupiny:

1. RansomHub (16 % útoků)
– Nástupce ransomwaru Knight
– Multiplatformní zaměření (Windows, macOS, Linux)
– Specializace na VMware ESXi prostředí

2. Akira (6 % útoků)
– Využívá sofistikované šifrovací metody
– Podobnost s uniklým ransomwarem Conti v2
– Šíření přes VPN zranitelnosti

3. KillSec3 (6 % útoků)
– Rusky mluvící skupina
– Specializace na zdravotnictví a státní správu
– Neobvykle vysoký počet útoků v Indii

Situace v oblasti kybernetické bezpečnosti se nadále komplikuje. Spojení malwaru Androxgh0st s botnetem Mozi představuje nový trend, kdy útočníci kombinují různé techniky k vytvoření sofistikovanějších hrozeb. Zvláště znepokojivé je zaměření na kritickou infrastrukturu a využívání IoT zařízení jako vstupních bodů. České organizace by měly této hrozbě věnovat zvýšenou pozornost, zejména vzhledem k nadprůměrnému výskytu tohoto malwaru v tuzemském prostředí.

Zdroj: TZ Check Point