Kybernetická bezpečnost v ČR: únor byl podle NÚKIB průměrný

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se ve své únorové zprávě věnoval všem aspektům bezpečnosti. Kyberbezpečnostní komunita v únoru upřela svou pozornost na dění na Ukrajině. Česká republika nemá v tomto měsíci potvrzený žádný incident, který by byl s válkou prokazatelně spojený. Nicméně v době okolo zahájení ruské invaze probíhalo v České republice plošné skenování portů, včetně skenování vládních organizací a kritické infrastruktury.

Útočníci velmi pravděpodobně hledali slabá místa v zabezpečení českých cílů, kterých by mohli později využít k návazným kybernetickým útokům. Nelze ale vyloučit, že toto skenování s válkou na Ukrajině souvisí.

NÚKIB neklasifikoval žádný z únorových incidentů jako velmi významný. Do incidentů s významnějšími dopady se propsaly především ransomwarové útoky, které omezily fungování napadených subjektů.

Phishing: opatrnost je stále na místě

Zaměstnanci české vládní instituce obdrželi na konci února phishing s ukrajinskou tématikou. Žádný z nich ale škodlivý odkaz se souborem ve formátu .zip neotevřel a ke kompromitaci nedošlo. Útočník se snažil vzbudit dojem, že e-mail přišel z Evropské rady a odkazoval na analýzu současné situace. Na základě informací od partnerů a vlastní analýzy víme, že stejný útočník rozesílá phishingové e-maily i dalším evropským vládním organizacím. Vzhledem k aktuálnosti tématu je velmi pravděpodobné, že phishigových kampaní s ukrajinskou tématikou bude dále přibývat.

Zaměřeno na hrozbu: Kybernetické útoky související s ruskou invazí na Ukrajinu

Pozornost kybernetické bezpečnostní komunity, stejně jako celého světa, se upřela na dění na Ukrajině. Jak se napětí v průběhu února stupňovalo, úměrně s tím rostly i kybernetické hrozby proti České republice. V návaznosti na současnou situaci jsou pravděpodobné cílené útoky a neúmyslné přelití útoků, např. způsobených destruktivními malwary. Pravděpodobnost narůstá i vzhledem ke kybernetickým útokům proti Litvě a Lotyšsku malwarem HermeticWiper.

Jaké kybernetické události spojené s ruskou invazí na Ukrajinu jsme na území ČR zaznamenali?

NÚKIB v únoru neevidoval žádný kybernetický incident, který by byl prokazatelně spojený s ruskou invazí na Ukrajinu. Nicméně od 21. do 25. února probíhalo masivní skenování portů v celé republice. Dvě ruské IP adresy plošně mířily na české IP adresy, včetně adres české státní správy a kritické infrastruktury [šlo o adresy 92.63.197.97 a 45.143.203.5]. Nelze vyloučit, že toto skenování portů je spojené s válkou na Ukrajině.

Skenováním otevřených portů útočníci velmi pravděpodobně hledali slabá místa v zabezpečení českých organizací, kterých by mohli později využít k návazným kybernetickým útokům. Samotný fakt, že IP adresy, ze kterých probíhalo skenování, jsou registrované v Rusku, není dostačeným důkazem, že aktivita pochází právě odtamtud. Útočník si při troše snahy může zařídit hostování své infrastruktury téměř kdekoliv. Časový horizont skenování ale odpovídá narůstajícímu napětí na Ukrajině a zvýšené aktivitě ruských hackerských skupin. Navíc ty samé IP adresy vedle České republiky systematicky skenovaly také další evropské státy podporující Ukrajinu.

Zdroj: NÚKIB