Boj s phishingem v doméně .CZ

V posledních třech letech jsme mohli pozorovat velký nárůst phishingových stránek, které byly nahlášeny národnímu bezpečnostnímu týmu CSIRT.CZ. Zatímco v roce 2018 jsme řešili 518 phihingových stránek, v roce 2019 to bylo „jen“ 483, o rok později se jednalo už o 738 stránek, v roce 2021 jsme překročili tisícovku (1 277) a v roce 2022 jsme skončili na čísle 1 425. Naše statistiky však odrážejí pouze malou část celkového počtu útoků, protože národní CSIRT funguje jako „last resort“ a je nám tak hlášena pouze malá část útoků.

Locked Shields 21: Úspěch českého týmu, jehož členy byli i specialisté z CZ.NIC

Akce Locked Shields je v bezpečnostní komunitě považována za největší a nejkomplexnější mezinárodní cvičení kybernetické obrany. Je charakteristické svým mezikontinentálním přesahem, tedy účastní se ho nejen státy z Evropy, přestože tvoří drtivou většinu účastníků. Cvičení organizuje NATO Cooperative Cyber Defence Centre of Excellence se sídlem v estonském Tallinnu (CCDCOE) a za Českou republiku jej pravidelně koordinuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Český tým se již tradičně skládá ze zástupců státní, soukromé a akademické sféry. Technicky zaměřené jádro týmu tvoří odborníci z NÚKIB, Národní agentury pro komunikační a informační technologie (NAKIT), ze sdružení CZ.NIC a CESNET, experti z Masarykovy univerzity, a také specialisté ze společností Avast, Red Hat, PWC Česká republika a Accenture. Součástí týmu jsou pak dále odborníci zaměření na právo, komunikaci a analytiku.

Výměna kyberbezpečnostních expertů

Na konci předminulého roku se tým CSIRT.CZ zapojil do projektu CyberExchange. Jak už název napovídá, cíl projektu je motivovat pracovníky jednotlivých evropských kyberbezpečnostních týmů, aby podnikli výměnnou cestu k partnerům. Nejprve proběhla seznamovací fáze – každý tým vyslal zástupce, který prezentoval vyvíjené nástroje. Přestože se jako CSIRT.CZ s řadou ostatních týmů pravidelně setkáváme u jiných příležitostí, zde byl prostor představit všechny aktivity týmu naráz. Následovalo období zvažování a domlouvání, kterého experta kam pozvat. Každý subjekt by měl vyslat přibližně dva stážisty a dva další přijmout, přičemž výměny jsou myšleny jednostranně – málokdy se stane, že by tým stejnou zemi přijal i navštívil. Bylo třeba vyladit detaily, naplánovat rámcový rozvrh stáže, každá instituce zaslala partnerům svá očekávání, zřizovaly se vzdálené přístupy, aby při příjezdu pracovníka systémy běžely a neztrácel se čas čekáním na pracovní stanici nebo podpis certifikátu pro přístup do bezdrátové sítě. Pak už přichází na řadu samotná stáž – odlet, ubytování, nástup do cizí kanceláře. Za první rok se napříč Evropou realizovalo celkem 14 výměn, dvě z toho se týkaly CSIRT.CZ: CSIRTMalta a CERT.pl.

Agentura ENISA školila v Akademii CZ.NIC bezpečáky

Jednou z hlavních úloh CSIRT.CZ je pomoc s řešením incidentů, a aby taková činnost mohla být maximálně funkční a profesionální, zasednou občas i členové CSIRTu „do lavic“. Letos Národní bezpečnostní tým CSIRT.CZ poprvé uspořádal ve spolupráci s evropskou agenturou ENISA dvě technická školení. Co se školilo? Kdo se školení účastnil?

Bezpečnostní školení, které dává smysl

Kyberbezpečnost, bezpečnost IoT a další bezpečnostní termíny jsou skloňované čím dál tím častěji. Souvisí s nimi také školení, která mají internetové profesionály na problémy a problematické situace s internetovou bezpečností připravit. Jedním takovým je školení od společnosti SANS, které patří celosvětově mezi nejprestižnější a nejvyhledávanější. Společnost SANS nabízí celou řadu těchto školení. Konkrétně jedno z nich nese název SEC542: Web App Penetration Testing and Ethical Hacking.

Konec roku je pro děti na Internetu nejrizikovější

Ještě donedávna platilo, že nejrizikovějším obdobím na Internetu jsou pro děti letní prázdniny. Během nich tráví čas na sociálních sítích, experimentují s různými seznamkami a volnočasovými službami. Děti se tak často setkaly s kyberšikanou, obtěžováním přes sociální sítě, sextingem, vydíráním či zneužitím osobních údajů.

Další podvodná kampaň se snaží vystrašit uživatele

Koncem uplynulého týdne opět probíhala kampaň, která má jediný cíl – vystrašit uživatele a získat od nich peníze. Ačkoliv jsme nejen my již v minulosti na tyto podvody upozorňovali, jak prostřednictvím naší linky STOPonline, tak na webových stránkách CSIRT.CZ, jsou tyto kampaně stále částečně úspěšné. Ač se jednotlivé verze mohou lehce lišit, vždy obsahují pohrůžku uživateli, ve které údajný hacker tvrdí, že se dostal do jeho počítače a natočil jej při sledování pornografie.

Náš první FIRST onsite visit

Jako Národní bezpečnostní tým CSIRT.CZ jsme byli požádáni společností Accenture o podporu jejího členství v mezinárodní organizaci FIRST. Podpora bezpečnostních týmů v České republice je důležitou součástí naší činnosti, kterou navíc v rámci programu Connecting Europe Facility podporuje také Evropská unie. Proto jsme souhlasili, že kromě vyjádření naší podpory písemnou formou, tak jak je požadována organizací FIRST, provedeme ve společnost Accenture i takzvaný onsite visit.

Případová studie: CSIRT.CZ a statická analýza malware

Na základě upozornění nejmenované hostingové společnosti jsme se dostali k analýze souboru WindowsDefenderService.ini), který aktuálně není rozpoznán žádným z běžných antivirů, a dále souboru (EventManager.dll), jenž rozpoznají pouze tři antivirové systémy. Po prozkoumání obou jsme se rozhodli publikovat tento blogpost, který by měl ostatním pomoci zjistit, zda jejich servery nebyly napadeny; v závěru článku jsou uvedeny IoC, s jejichž využitím by mělo být možné ověřit, zda i vaše servery nebyly kompromitovány.