Štítek: obranný sektor

Hackerská skupina Stealth Falcon zneužívala k cíleným špionážním útokům zero-day zranitelnost ve Windows

  • Check Point identifikoval dosud neznámou zranitelnost systému Windows (CVE-2025-33053), která byla aktivně zneužívána.
  • Skupina Stealth Falcon využívala zero-day zranitelnost k cíleným špionážním útokům na subjekty na Blízkém východě a v Africe.

PRAHA – 13. června 2025 Kyberbezpečnostní společnost Check Point Software Technologies odhalila pokus o kybernetický útok na významnou obrannou organizaci v Turecku. Útočníci využili v rámci špionážní operace dosud neznámou zranitelnost ve Windows a zneužili také legitimní nástroj systému Windows k nepozorovanému spuštění škodlivého kódu. Check Point o svých zjištěních informoval Microsoft, který zranitelnosti přiřadil číslo CVE-2025-33053 a vydal opravu.

„Za útoky pravděpodobně stojí kyberšpionážní skupina Stealth Falcon, někdy označovaná také jako FruityArmor, která je aktivní nejméně od roku 2012 a má za sebou řadu útoků na politické a strategické subjekty na Blízkém východě a v Africe. Zaměřuje se zejména na významné cíle ve vládním a obranném sektoru. Stealth Falcon využívá zero-day zranitelnosti, vlastní malware a sofistikované infiltrační mechanismy, což jsou znaky dobře financované APT skupiny,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Útočníci poslali oběti nejprve phishingový e-mail s PDF souborem zaměřeným na poškození vojenského vybavení. Ve skutečnosti se ale nejednalo o neškodný PDF soubor, ale o zástupce a soubor .url, který dokázal nepozorovaně spustit kód ze serveru ovládaném útočníky. Kyberzločinci zároveň dokázali v počítači oběti oklamat legitimní nástroj systému Windows, což jim umožnilo spustit nebezpečný kód, aniž by museli v první fázi infekčního řetězce ukládat soubory přímo do napadeného počítače. To jim pomohlo vyhnout se odhalení.

Infekční řetězec

Jakmile byl zástupce aktivován, spustila se další fáze útoku a do akce byl nasazen vícestupňový loader nazvaný Horus Loader podle egyptského boha slunce, což je narážka na kódové označení skupiny.

Horus Loader je flexibilní a těžko odhalitelný. Dokáže mimo jiné:

  • Odstranit stopy zanechané v předchozích krocích infekčního řetězce
  • Obejít základní detekční mechanismy
  • Nasadit a otevřít podvodný dokument, který má odvést pozornost
  • Nepozorovaně aktivovat finální špionážní kód

Zatímco je oběť zaujata prohlížením falešného dokumentu, který má odvést pozornost, malware tiše pokračuje ve své práci na pozadí. Následuje jedna z technicky nejvyspělejších fází operace: nasazení špionážního nástroje Horus Agent.

Jde o speciální program vložený do Mythicu – což je legálně dostupný nástroj, který se často používá při testování zabezpečení firemních systémů. Mythic pomáhá bezpečnostním expertům napodobit útoky hackerů a odhalit tak slabiny.

Na rozdíl od běžného malwaru je Horus napsán v jazyce C++ a je vytvořen s důrazem na flexibilitu a utajení. S ostatními agenty sdílí pouze základní vlastnosti – dost na to, aby fungoval na dané platformě, ale ne dost na to, aby byl snadno detekovatelný nebo odhalitelný kvůli podobnosti kódu.

Horus Agent se následně připojí k řídícímu a velícímu serveru a začne pomocí frameworku Mythic realizovat pokyny. Všechny operace jsou prováděné nepozorovaně, aby nedošlo k odhalení a skupina mohla dlouhodobě krást citlivé informace. Celý postup je proveden velmi profesionálně a ukazuje i na dobrou znalost cílových prostředí a obranných nástrojů.

Stealth Falcon kombinuje zero-day zranitelnost CVE-2025-33053, legitimní nástroje, vícestupňové loadery a speciálně vytvořené implantáty. Ukazuje to, že i drobnosti v konfiguraci a funkcích lze zneužít jako zbraň.

Operace špionážní skupiny Stealth Falcon je dalším varováním, že je nezbytné využívat proaktivní detekci hrozeb a zaměřit se na prevenci a ochranu v reálném čase. Mimořádné hrozbě cílených útoků čelí zejména kritická infrastruktura a vládní a obranné organizace.

Pokud organizace chtějí zjistit, jestli náhodou i u nich nedošlo k narušení bezpečnosti v rámci této operace, doporučujeme zkontrolovat protokoly a monitorovací systémy a hledat následující:

  • E-maily s přílohami obsahujícími zdánlivě neškodnou URL adresu nebo soubor LNK.
  • Neobvyklá nebo neidentifikovaná připojení k serverům WebDAV spuštěná výchozími procesy systému Windows.
  • Použití nástrojů, jako jsou iediagcmd.exe a CustomShellHost.exe, které spouštějí podřízené procesy ze vzdálených míst nebo pracují v nezvyklých kontextech, například jsou spouštěny ze vzdálených počítačů nebo se nacházejí na koncových bodech, kde se jejich spuštění neočekává.
  • Procesy spouštěné vzdáleně, které se maskují jako legitimní systémové nástroje, jako jsou route.exe, ipconfig.exe, netsh.exe nebo explorer.exe.

Jakmile Check Point zranitelnost odhalil, ihned vyvinul a nasadil ochranu, takže zákazníci jsou v bezpečí. Řešení Intrusion Prevention System, Threat Emulation a Harmony Endpoint detekují a blokují pokusy o zneužití této chyby.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
 X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

Mladé firmy mění obranný sektor. DEPO Ventures přivádí na IDET nejmodernější technologické startupy

Praha 14. května 2025Na konferenci DET (Defending Europe Together), kterou pořádá DEPO Ventures ve spolupráci s litevskými BSV Ventures, se vůbec poprvé představí zástupci defence startupů. Ti tak budou moci zasednout k jednomu stolu se zástupci armády, obranného průmyslu a investory. Konference se uskuteční v rámci mezinárodního veletrhu obranné a bezpečnostní techniky IDET od 28. do 30. května 2025 v Brně. Účastníkům z řad armád NATO, obranných firem, investorů i startupů nabídne prostor pro diskuzi o efektivnější spolupráci a přípravě na technologické a geopolitické změny, které dnes přicházejí rychleji než kdy dříve.

„Evropa potřebuje soběstačnost, kterou může zajistit pouze posílením domácí průmyslové základny, včetně zapojení malých a středních podniků s duálním využitím technologií. Uvědomit si dlouhodobý potenciál a nepřeceňovat krátkodobý dopad. Moderní bojiště se totiž vyvíjí rychleji než armádní nákupní procesy,“ říká Petr Šíma, spoluzakladatel společnosti DEPO Ventures.

Startupy přinášejí řešení, která obrana potřebuje

Obranný průmysl dnes čelí tlaku hned ze dvou stran – nutností urychleně inovovat a zajistit výrobu ve velkém měřítku. Tradiční výrobci často nestačí držet krok s technologickým vývojem, a to ani kapacitně. Startupy tak přinášejí nejen nové technologie, ale i přístup k agilnímu vývoji a zrychlenému testování.

Bez otevřenosti vůči inovacím a zjednodušování spolupráce (hlavně mezi vládami, firmami a investory) může zůstat evropský obranný průmysl roztříštěný a závislý zejména na americkém importu. To by mohlo v současné geopolitické situaci představovat strategické riziko. Podle organizátorů konference by cílem evropských vlád měla být větší soběstačnost a schopnost pružně reagovat na nové výzvy.

„Startupy jako němečtí ARX Robotics nebo Helsing již ukazují, že agilní a technologicky vyspělé firmy dokážou reagovat rychleji než tradiční hráči. Právě ‚defencetech‘ startupy by měly tvořit jeden z pilířů evropského obranného ekosystému. Potřebují však přístup k financování, datům i armádním strukturám,“ dodává Šíma.

DET nabídne to nejlepší z oblasti obranných technologií

V rámci konference budou prezentovány vybrané defensetech startupy, nejnovější technologie v oblastech autonomních systémů, umělé inteligence, satelitní infrastruktury a kybernetické bezpečnosti.

Konference DET představí v Brně významné osobnosti a témata evropských obranných inovací. Jako jeden z hlavních řečníků se objeví Jan Lukačevič, kosmický inženýr a člen NATO Young Leaders, který se zaměří na propojení vesmírných technologií s obranným sektorem. Dalším bodem programu je také fireside chat s Marcem Langem, generálním tajemníkem EHTEL, který bude hovořit o efektivním financování, které umožní stavět silné armády. Marc Lang bude hovořit o tom, co změnit v systému armádního zadávání zakázek, aby Evropa zůstala nadále konkurenceschopná. Vystoupí také Jiří Šedivý (EDA), Leoš Mauer (Czech NATO DIANA) a Dmytro Kuzmenko z ukrajinské VC a PE asociace.

Program konference přinese rovněž networking startupů, investorů a výrobních firem, které hledají nové příležitosti ke spolupráci. Zvláštní důraz bude kladen na jednání o zapojení českého průmyslu, včetně malých a středních firem, do výroby defencetech technologií zaměřených na umělou inteligenci, autonomní systémy, satelitní infrastrukturu a kyberbezpečnost.

Evropa musí investovat do budoucnosti, ne do minulosti

Podle Petra Šímy jsou zvyšující se rozpočty na evropskou obranu zásadním prvním krokem. Ještě důležitější ale je, kam směřují. DEPO Ventures podporuje větší důraz na výzkum, vývoj a nasazení technologií, které přinášejí reálnou změnu. Evropa potřebuje nejen více financí, ale také pružnější akviziční procesy a otevřenost vůči inovacím.

„Taková iniciativa může pomoci vytvořit skutečný obranný a průmyslový ekosystém s evropským DNA. Vyžaduje ale překonání zakořeněné nedůvěry mezi klíčovými aktéry – startupy, velkými firmami a ministerstvy obrany. Bez důvěry a efektivního propojení těchto světů nebude žádná technologická transformace dlouhodobě životaschopná,“ uzavírá Šíma.

Více o DEPO Ventures

DEPO Ventures je investiční skupina zaměřující se na rané fáze startupů v regionu střední a východní Evropy, podporovaná komunitou andělských investorů. S třetím andělským fondem v pořadí jejich portfolio zahrnuje více než 50 investic. Mezi významné projekty patří globální blockchainová platforma Tatum, inovativní řešení pro monitorování srdce z domova přes Kardi AI, mobilní průvodce SmartGuide či přelomová logistická platforma Ringil. Investiční skupina rovněž vede mezinárodní syndikát DEPO Angels, který propojuje investory s kvalitními startupy a zjednodušuje investiční proces. Vizí DEPO Venture je naučit podnikatele a osoby s vysokým jměním, že investice do startupů by měly být přirozenou součástí portfolia každého kvalifikovaného investora.

Exit mobile version