Národní úřad pro kybernetickou a informační bezpečnost - Upozorňujeme na zneužívání identit Amazon, Microsoft a českých institucí

24. říjen 2024

Ve středu 23. října Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) obdržel informace od partnerů, včetně ukrajinského CERT-UA, o aktivní phishingové kampani neznámého útočníka. Útoky byly potvrzeny v několika partnerských zemích, včetně vyšších desítek případů v České republice, přičemž celkový rozsah a objem útoků může nadále růst. Útočník se přitom vydává za společnosti Amazon, Microsoft a vládní kyberbezpečnostní instituce v napadených zemích. Podle ukrajinského CERT-UA mají být cílem vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů.

Mezi indikátory kompromitací se objevila i celá řada domén, které zjevně zneužívají identitu českých vládních institucí, včetně NÚKIB. Objevují se ve formátu nukib-gov[.]cloud. Seznam českých škodlivých domén obsahuje ministerstva, vládu, státní úřady i Policii ČR (úplný seznam níže).

Phishingový útok spočívá v zaslání e-mailu s tematikou nastavení služby pro sdílení dat a vzdálené správy společnosti Amazon. Text se taktéž odkazuje na zavedení politiky nulové důvěry (Zero Trust Policy). Příloha s různými názvy, vždy však ve formátu .rdp (Remote Desktop Protocol), vede uživatele skrze dialogové okno ke spuštění vzdálené správy mezi jeho zařízením a infrastrukturou útočníka. V rámci dialogového okna je pro navýšení důvěry uvedena škodlivá doména zneužívající názvy vládních institucí v napadené zemi. Potvrzení vzdálené správy umožní útočníkům přístup k souborům a síťovým zařízením oběti, potenciálně i možnost spouštět programy třetích stran a vlastních skriptů útočníků.

NÚKIB proto doporučuje sadu kroků, které mohou zamezit případné kompromitaci:

Blokace souborů .rdp v rámci e-mailové služby;
Omezení práv uživatelů spouštět .rdp soubory;
Nastavení firewallu k omezení možnosti programu mstsc.exe navazovat vzdálený přístup;
Nastavit pravidla, která zabrání uživatelům při použití RDP přesměrování lokálních zdrojů.

Seznam domén zneužívajících identitu českých vládních institucí:

md-gov[.]cloud

mf-gov[.]cloud

mo-gov[.]cloud

mpo-gov[.]cloud

mpsv-gov[.]cloud

msmt-gov[.]cloud

mv-gov[.]cloud

my-gov[.]cloud

mzd-gov[.]cloud

mze-gov[.]cloud

mzp-gov[.]cloud

mzv-gov[.]cloud

nakit-gov[.]cloud

nbu-gov[.]cloud

nukib-gov[.]cloud

policie-gov[.]cloud

mmr-gov[.]cloud

uohs-gov[.]cloud

uoou-gov[.]cloud

vlada-gov[.]cloud

V případě jakéhokoli podezření na kompromitaci či záchyt škodlivého e-mailu neváhejte kontaktovat bezpečnostní tým vaší instituce, případně i přímo NÚKIB na adrese cert.incident@nukib.gov.cz.

Podrobnější informace naleznete zde.

Aktuality

Prováděcí nařízení k NIS2 je tady

Dne 18. října 2024 bylo v Úředním věstníku EU publikováno finální znění prováděcího nařízení Evropské komise ke směrnici NIS2, které stanoví poskytovatelům digitálních služeb spadajícím do působnosti nového zákona o kybernetické bezpečnosti speciální pravidla pro řízení kybernetické bezpečnosti v organizaci.

Prováděcí předpis konkrétně stanoví sadu bezpečnostních opatření, která poskytovatelé digitálních služeb, mj. služeb cloud computingu, služeb vytvářejících důvěru, DNS nebo online tržišť, budou muset zavádět, a okruh kybernetických bezpečnostních incidentů, které budou muset hlásit. Tito poskytovatelé tedy nebudou zavádět bezpečnostní opatření a hlásit incidenty podle národní úpravy, ale právě podle prováděcího předpisu Komise (toto pravidlo upravuje § 18 návrhu nového zákona).

Prováděcí nařízení sice brzy vstoupí v platnost, nicméně závazným a vymahatelným se pro poskytovatele digitálních služeb stane až poté, co nabude účinnosti nový zákon o kybernetické bezpečnosti. Do té doby se prováděcím nařízením nikdo nemusí řídit. Doporučujeme však seznámit se s textem prováděcího nařízení dříve, než bude zákon přijat, neboť i v tomto případě budou mít regulované osoby povinnost uvést požadavky prováděcího nařízení do praxe ve lhůtě jednoho roku od registrace své digitální služby v Portálu NÚKIB.

Text prováděcího nařízení je dostupný zde: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=OJ:L_202402690.

Podrobné informace k prováděcímu nařízení jsou k dispozici na Portálu NÚKIB v části věnované novému zákonu o kybernetické bezpečnosti (tematický okruh 13. Regulace poskytovatelů digitálních služeb, dostupný zde: https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-bezpecnosti/okruh-regulace-poskytovatelu-digitalnich-sluzeb). Na Portálu NÚKIB naleznete také další důležité informace o připravované regulaci kybernetické bezpečnosti.

Otázky a odpovědi:

Do kdy musí být splněno?

Budou k tomu nějaké podpůrné materiály?

Co když poskytuji i jiné než digitální služby?

Najdu to někde v novém zákoně?

23.10.2024