DATASYS

Edge zařízení jsou pro útočníky lákavý cíl. Firewall běží 24/7, má vysoká oprávnění a často na něm neběží stejné dohledové vrstvy jako na běžných stanicích.

Unit 42 popsala zero day CVE-2026-0300 v PAN OS v části User ID Authentication Portal, takzvaném Captive Portalu. Zranitelné systémy umožňují neautentizovanému útočníkovi vzdáleně spustit kód s root oprávněním na PA Series a VM Series firewallech.

Zneužívání má být zatím omezené, ale po průniku se objevily typické kroky vyspělých aktérů, tunelovací nástroje jako EarthWorm a ReverseSocks5, práce s Active Directory a mazání logů a stop.

Prakticky je nejdůležitější ověřit, jestli je Captive Portal vystavený do internetu. Pokud ano, riziko roste výrazně. Dává smysl omezit ho jen na důvěryhodné interní adresy nebo ho vypnout, pokud není potřeba, a co nejrychleji aplikovat doporučená opatření a aktualizace.

Zálohy dlouho platily jako poslední záchranná brzda. Když útočníci zašifrují servery, obnoví se data z poslední čisté kopie a jde se dál. Jenže moderní ransomware s tím počítá. Proto útočníci stále častěji nejdřív hledají zálohovací infrastrukturu a snaží se ji poškodit nebo zničit ještě před samotným šifrováním.

Typický scénář dnes vypadá tak, že útočník nejprve získá přístup, ukradne přihlašovací údaje, pohybuje se po síti a mapuje, kde jsou zálohy, snapshoty a možnosti obnovy. Teprve potom přijde finále, šifrování a vydírání. Pro oběť je to zásadní rozdíl. Zálohy sice existují, ale jsou dostupné ze stejného prostředí, přes stejné účty, bez ochrany proti smazání a ve chvíli incidentu už nejsou použitelné.

Právě proto dnes nestačí říct „zálohujeme“. Důležitější otázky jsou, kdo se k zálohám dostane, jestli je lze smazat nebo přepsat, jestli jsou oddělené od produkce a jestli je organizace pravidelně testuje obnovou. Velkou roli tu hrají i neměnné zálohy, tedy takové, které po určitou dobu nejdou upravit ani odstranit, a offline kopie, které nejsou dosažitelné z napadené sítě.

Poučení je jednoduché. Zálohování už není jen IT rutina. Je to součást obrany proti útoku a musí být chráněné stejně důsledně jako produkční systémy. Protože u ransomware incidentu už klíčová otázka nezní, zda firma zálohuje, ale jestli její zálohy přežijí samotný útok.

AI útoky v cloudu už nejsou jen teorie do prezentací. Unit 42 popisuje, jak postavili testovací systém složený z několika AI „agentů“, který měl jediný úkol. Dostat se v prostředí Google Cloudu k citlivým datům a zkopírovat je ven. V laboratorních podmínkách to zvládl téměř samostatně, od začátku až do konce.

Nejdůležitější zjištění je, že AI obvykle nevymýšlí úplně nové díry. Funguje spíš jako urychlovač. Umí extrémně rychle využít chyby, které v cloudu vznikají běžně, špatně nastavené přístupy, příliš široká oprávnění, nebo služby, které jsou dostupné víc, než by měly být. Jednotlivě to často nevypadá dramaticky, ale když se tyto drobnosti poskládají za sebe, vznikne z nich cesta k vážnému problému.

V jejich scénáři systém nejdřív zmapoval prostředí, našel slabé místo ve webové aplikaci, přes které se dostal k přístupovým údajům, pak si ověřil, k čemu všemu má v cloudu oprávnění, a nakonec se dostal až k databázím v BigQuery a data z nich vyvedl ven. Ne kouzly, ale tím, že ty kroky skládal rychleji, důsledněji a bez únavy.

Poučení pro praxi je jednoduché. Cloud je pro automatizované útoky ideální, protože většina věcí se dá dělat přes rozhraní a skripty. Pokud se obrana opírá hlavně o ruční kontrolu a reakci v řádu hodin, bude čím dál častěji pozdě. Klíčové je pravidelně kontrolovat přístupy a oprávnění, omezit zbytečně otevřené služby a mít dohled, který umí zachytit podezřelé chování v reálném čase, ne až při zpětném vyšetřování.

Na Androidu se pořád opakuje stejný vzorec. Útočníci nejčastěji nesází na složité triky, ale na škodlivé verze mobilních her a aplikací mimo ověřené zdroje. A v březnu to podle analýzy ESET nejvíc odneslo Polsko a Česká republika.

V čele statistik zůstala rodina Hiddad, tedy reklamní malware šířený hlavně přes falešné verze her. Útočníci opět použili stejnou návnadu jako dřív, škodlivou verzi hry Shadow Fight 2. To často ukazuje, že lidé podceňují varovné signály a adware berou jako „jen otravnou reklamu“. Jenže adware může být první krok. Přesměruje na nebezpečné stránky, stáhne další malware nebo sbírá informace pro cílenější útok.

Rizikem zůstává i Agent.FNM, malware maskovaný za streamovací aplikace. Tady už nejde jen o data z telefonu. Napadené zařízení může skončit v botnetu a být zneužité k dalším útokům, včetně rizika pro sítě, do kterých se telefon připojuje doma nebo v práci.

Praktické poučení je pořád stejné. Stahovat aplikace jen z oficiálních obchodů, vyhýbat se „upraveným“ a „premium“ verzím, sledovat recenze a brát mobil jako plnohodnotný cíl útoků, ne jako vedlejší zařízení.

Útok na organizaci někdy nezačíná e mailem ani serverem. Začne nenápadně v rohu kanceláře, na routeru, který se roky neměnil a pořád běží na výchozím nastavení.

Podle informací amerických úřadů měl ruský státní aktér APT28 budovat globální síť kompromitovaných SOHO routerů a využívat je pro kyberšpionáž. V jednom z popsaných scénářů šlo o zneužití zranitelnosti u modelu TP Link TL WR841N, která umožňuje obejít autentizaci a upravit konfiguraci zařízení.

Nejzajímavější část je, co potom. Útočník změnil nastavení DHCP a DNS tak, aby provoz zařízení v síti směřoval na jím kontrolované DNS servery. Tím získal možnost sledovat, kam uživatelé chodí, a u vybraných služeb vracet podvržené odpovědi. Prakticky si tak připravil prostor pro útok typu adversary in the middle a mohl se dostat k heslům, tokenům a dalším citlivým údajům i tam, kde se běžně spoléhá na šifrování.

Tohle je připomínka, že domácí a malé kancelářské prvky nejsou „méně důležité“. Naopak. Kdo ovládá DNS cestu, často ovládá i to, co uživatel vidí a kam se připojuje.

Co z toho plyne pro praxi. Pokud je router na konci životnosti a nedostává aktualizace, je to bezpečnostní dluh a často nejlevnější je výměna. Minimem je aktuální firmware, změna výchozích přihlašovacích údajů a vypnutí nebo omezení vzdálené správy z internetu. A pokud prohlížeč nebo poštovní klient začne varovat na neplatné certifikáty, není to otrava, ale jeden z mála signálů, že se něco děje na cestě mezi vámi a službou.