Úvodní stránka

Logo NÚKIB

Ve středu 23. října Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) obdržel informace od partnerů, včetně ukrajinského CERT-UA, o aktivní phishingové kampani neznámého útočníka. Útoky byly potvrzeny v několika partnerských zemích, včetně vyšších desítek případů v České republice, přičemž celkový rozsah a objem útoků může nadále růst. Útočník se přitom vydává za společnosti Amazon, Microsoft a vládní kyberbezpečnostní instituce v napadených zemích. Podle ukrajinského CERT-UA mají být cílem vládní a armádní instituce, ale i soukromé společnosti v řadě sektorů.

Phishingový útok spočívá v zaslání e-mailu s tematikou nastavení služby pro sdílení dat a vzdálené správy společnosti Amazon. Text se taktéž odkazuje na zavedení politiky nulové důvěry (Zero Trust Policy). Příloha s různými názvy, vždy však ve formátu .rdp (Remote Desktop Protocol), vede uživatele skrze dialogové okno ke spuštění vzdálené správy mezi jeho zařízením a infrastrukturou útočníka.

V rámci dialogového okna může být pro navýšení důvěry uvedena škodlivá doména, zaměnitelná s názvy vládních institucí v napadené zemi. Například se může jednat o domény vytvořené záměnou jednoho či více znaků v názvu či zkratce statní instituce nebo v její skutečně užívané legitimní doméně.

Potvrzení vzdálené správy pak umožní útočníkům přístup k souborům a síťovým zařízením oběti, potenciálně i možnost spouštět programy třetích stran a vlastních skriptů útočníků.

NÚKIB proto doporučuje sadu kroků, které mohou zamezit případné kompromitaci: 

  • Blokace souborů .rdp v rámci e-mailové služby;
  • Omezení práv uživatelů spouštět .rdp soubory;
  • Nastavení firewallu k omezení možnosti programu mstsc.exe navazovat vzdálený přístup;
  • Nastavit pravidla, která zabrání uživatelům při použití RDP přesměrování lokálních zdrojů.

V případě jakéhokoli podezření na kompromitaci či záchyt škodlivého e-mailu neváhejte kontaktovat bezpečnostní tým vaší instituce, případně i přímo NÚKIB na adrese cert.incident@nukib.gov.cz.

Aktualizováno 29. 10. 2024.