Bezpečnostní přehled za únor: nové hrozby v cloudu, AI i infrastruktuře
Kybernetická bezpečnost se i nadále vyvíjí velmi rychlým tempem. Únorový přehled incidentů a zranitelností ukazuje několik důležitých trendů – od rostoucích rizik v cloudových službách přes zneužívání umělé inteligence až po pokračující útoky na infrastrukturu a podnikové systémy.
Níže přinášíme výběr nejzajímavějších bezpečnostních událostí a technických hrozeb, které by organizace měly sledovat.
Google API klíče mohou nově fungovat jako autentizační údaje
Výzkumníci upozornili na změnu v ekosystému služeb Google, která může mít bezpečnostní dopady na cloudové projekty. Běžné Google API klíče začínající na „AIza“, které byly dlouhodobě považovány pouze za veřejné identifikátory, mohou nově sloužit také k autentizaci při využití služby Gemini API.
Pokud je Gemini v projektu aktivní, mohou tyto klíče:
- umožnit volání API rozhraní
- generovat náklady za využívání služby
- v některých případech poskytnout přístup k datům projektu
Analýza veřejných webových aplikací odhalila tisíce aktivních klíčů, které byly stále nastaveny v režimu „unrestricted“. To znamená, že jejich oprávnění se mohlo rozšířit bez vědomí vývojářů.
Situace zdůrazňuje důležitost pravidelných auditů API klíčů, omezení jejich oprávnění a správného nastavení přístupových politik v cloudových prostředích.
Případ insider threat: krádež obchodních tajemství technologických firem
Federální úřady v USA obvinily tři inženýry ze spiknutí za účelem krádeže obchodních tajemství velkých technologických společností.
Podle vyšetřování měli zaměstnanci neoprávněně získat a exportovat stovky interních dokumentů, které obsahovaly informace například o:
- návrhu procesorů
- kryptografických mechanismech
- bezpečnostních architekturách
Data měla být kopírována na osobní zařízení a externí úložiště, přičemž část z nich byla údajně přenesena i do zahraničí.
Tento případ opět připomíná, že insider hrozby patří mezi nejkomplexnější bezpečnostní rizika, zejména ve výzkumných a vývojových týmech pracujících s citlivými technologiemi.
Zneužití generativní AI pro trénink konkurenčních modelů
Další incident upozorňuje na nové výzvy spojené s generativní umělou inteligencí. Podle dostupných informací některé společnosti využívaly tisíce falešných účtů, aby mohly ve velkém objemu odesílat dotazy do AI modelu Claude.
Cílem této aktivity bylo:
- analyzovat odpovědi modelu
- extrahovat jeho schopnosti
- využít získané informace pro trénink vlastních AI systémů
Tento typ aktivit, často označovaný jako model distillation, může představovat riziko pro ochranu duševního vlastnictví v oblasti AI technologií.
Botnet SSHStalker napadá Linux servery
Bezpečnostní výzkumníci také zaznamenali nový botnet označovaný jako SSHStalker, který cílí na Linux servery.
Útočníci využívají zejména:
- starší zranitelnosti v linuxovém jádře
- slabá nebo neaktualizovaná systémová prostředí
Po kompromitaci se zařízení připojí k IRC infrastruktuře pro řízení botnetu, odkud útočníci koordinují další aktivity.
Infikované servery mohou být dlouhodobě ovládány a botnet využívá techniky jako:
- instalaci rootkitů
- manipulaci se systémovými logy
- skrytí škodlivé komunikace
Případ znovu ukazuje, že neaktualizované servery v infrastruktuře mohou představovat dlouhodobé bezpečnostní riziko.
Mezinárodní operace proti online podvodům
Pozitivní zprávou je rozsáhlá operace Red Card 2.0, kterou koordinoval INTERPOL ve spolupráci s bezpečnostními složkami v 16 afrických státech.
Výsledky operace:
- 651 zatčených osob
- zajištění více než 4,3 milionu USD z výnosů podvodů
- celkové škody přesahující 45 milionů USD
Zásah byl zaměřen především na:
- investiční podvody
- falešné půjčky
- podvodné schémata zneužívající mobilní platební systémy
Během operace bylo také zabaveno více než 2 300 zařízení a odstaveno přes 1 400 škodlivých domén a IP adres.
Technické hrozby a zranitelnosti sledované bezpečnostními týmy
Vedle globálních incidentů se v únoru objevilo také několik závažných technických zranitelností, které mohou ovlivnit podniková prostředí.
Kritická zranitelnost v BeyondTrust
V produktech BeyondTrust Remote Support a starších verzích Privileged Remote Access byla identifikována kritická zranitelnost umožňující vzdálené spuštění kódu bez autentizace.
Útočník může zranitelnost zneužít prostřednictvím speciálně vytvořených klientských požadavků. V případě úspěšného útoku může dojít k:
- spuštění systémových příkazů na serveru
- neoprávněnému přístupu k systému
- úniku dat nebo narušení služeb
Zero-day zranitelnost v Dell RecoverPoint
Další vážný případ se týká řešení Dell RecoverPoint for Virtual Machines, kde byla objevena zranitelnost typu hardcoded credentials.
Tato slabina byla podle dostupných informací aktivně zneužívána již od poloviny roku 2024 sofistikovanou útočnou skupinou označovanou jako UNC6201.
Útočníci prostřednictvím této zranitelnosti získávali:
- počáteční přístup do infrastruktury
- dlouhodobou perzistenci v napadeném prostředí
V kampaních byly pozorovány také specializované malware nástroje, které pomáhaly útočníkům udržet přístup v napadených systémech.
OpenSSL opravuje dvanáct zranitelností
Vývojáři knihovny OpenSSL vydali bezpečnostní aktualizace, které řeší celkem 12 zranitelností v této široce používané kryptografické knihovně.
Nejzávažnější problém může vést k:
- přetečení paměti
- odmítnutí služby (DoS)
- potenciálně i vzdálenému spuštění kódu
Zranitelnost souvisí s manipulací dat ve formátu CMS AuthEnvelopedData při zpracování specifických parametrů šifrování.
Organizace by proto měly zajistit rychlou aktualizaci OpenSSL knihoven ve všech systémech, které je využívají.
Co z toho vyplývá pro organizace
Únorový přehled ukazuje několik klíčových trendů v oblasti kybernetické bezpečnosti:
- cloudové služby a API klíče představují stále častější vstupní bod útoků
- generativní AI přináší nové typy bezpečnostních rizik
- infrastruktura založená na Linuxu zůstává cílem botnetů
- kritické zranitelnosti v podnikových systémech mohou být zneužívány dlouhodobě bez odhalení
Pro organizace je proto zásadní kombinovat správu zranitelností, monitoring aktivit a pravidelné bezpečnostní audity, aby bylo možné podobné hrozby identifikovat a řešit včas.