Postřehy z bezpečnosti: botnet útočí urážkami na svého protivníka

Po prosincové zprávě o botnetu Kimwolf, který infikoval miliony zařízení s Androidem a proměnil je ve zdroje DDoS útoků, přichází v prvních dnech roku 2026 nový kontext ohledně toho, jak a proč se tato hrozba tak rychle rozmohla. Kimwolf nyní není jen velkým distribuovaným botnetem — jeho operátoři využívají rezidenčních proxy sítí jako primární zpětný vstup do lokálních sítí uživatelů, čímž překonávají běžné obranné bariéry domácích routerů a firewallů. Tato taktika umožňuje škodlivému kódu dostat se „skrz“ NAT a dostat se k zařízením, které by jinak za domácí sítí zůstaly skryty. Podle rozboru čínské XLab botnetí infrastruktura narostla na více než dva miliony infikovaných zařízení po celém světě s koncentracemi v zemích jako Vietnam, Brazílie, Indie, Saúdská Arábie, Rusko či Spojené státy — a velkou část tvoří levné Android TV boxy a set-top boxy bez jakékoli autentizace či zabezpečení. Tyto zařízení nejen poslouchají na otevřených portech jako ADB, ale navíc často obsahují předinstalované proxy komponenty, které se používají pro legitimní provoz — a právě jejich zneužití tvoří „backdoor“ do lokálních sítí. Operátoři botnetu Kimwolf se přitom neprojevují jen technickou zdatností, ale i poměrně neobvyklou osobní obsesí vůči osobě Briana Krebse, který jejich aktivity mapuje. Autoři Kimwolfu po něm pojmenovávali části infrastruktury, například používali doménu fuckbriankrebs.com k útokům, jiné domény kromě jména obsahovaly i částečnou fyzickou adresu nebo číslo sociálního zabezpečení. Nejde o první případ, kdy se provozovatelé botnetů snaží demonstrovat svou „sílu“ útoky na bezpečnostní výzkumníky, ale míra osobní fixace – včetně snahy upoutat pozornost a symbolicky se Krebsovi „pomstít“ – působí spíše jako emocionální reakce než racionální strategie. Mezi subjekty, které z tohoto botnetu mohly mít užitek, patří podle Krebse společnosti Resi Rack, nabízející hosting a proxy služby, Plainproxies/ByteConnect, autoři SDK pro monetizaci aplikací, a Maskify, nabízející levné proxy adresy na fórech s tématikou kyberkriminality. Nejnovější verze nesmrtelného hackingového fóra BreachForums utrpěla významný únik dat. Na síti se objevil soubor s 323 988 záznamy uživatelů, který zahrnuje přezdívky, data registrací, IP adresy a další interní informace z databázové tabulky uživatelů fóra MyBB. Soubor byl distribuován v archivní podobě spolu s PGP soukromým klíčem fóra a heslem k němu. Administrátor fóra uvedl, že data pocházejí ze starší zálohy ze srpna 2025, která byla krátce umístěna ve veřejně přístupné složce během procesu obnovy systému, a že byla stažena pouze jednou. Ač většina IP adres ve výpisu odkazuje na lokální smyčku a je tedy bezcenná, více než 70 000 záznamů obsahuje veřejné IP adresy. To může představovat bezpečnostní riziko pro jednotlivé uživatele fóra a zároveň poskytnout cenné informace pro bezpečnostní výzkumníky a orgány činné v trestním řízení. BreachForums, které vzniklo jako nástupce FBI zrušeného RaidForums, čelilo v minulosti četným zásahům policie a bylo obviňováno z toho, že funguje jako past (honeypot) pro vyšetřovatele. Soud v okrese Collin v Texasu vydal dočasný zákaz sbírání audiovizuálních dat z chytrých televizorů Samsung. Ty podle texaského generálního prokurátora obsahují funkci Automated Content Recognition (ACR) a každých 500 milisekund vytvoří a odešlou NAS servery výrobce screenshot aniž by o tom uživatel věděl a tuto funkci informovaně schválil. Soudní příkaz také obsahoval kritiku, že způsob jakým si Samsung získává souhlas uživatele je netransparentní a obsahuje tzv. dark patterns, tj. design uživatelského rozhraní, které je navrženo tak, aby uživatele oklamalo, zmátlo a donutilo ke specifické akci. Zákaz sběru dat trval pouze krátce a stejný soudce jej následující den zrušil. Příkaz byl reakcí na sérií žalob prokurátora Kena Paxtona na společnosti Sony, Samsung, LG, Hisense a TCL, jejichž televizory ACR obsahují.  Nová kampaň využívající sociálního inženýrství známá jako ClickFix cílí na hotely a další podniky v odvětví pohostinství v Evropě. Útočníci rozesílají phishingové e-maily, které vypadají jako oznámení o zrušené rezervaci Booking.com, a lákají personál, aby klikl na odkaz. Po kliknutí se uživatel ocitne na podvržené stránce, kde se objeví falešná modrá obrazovka smrti (BSOD), která má vypadat jako opravdový systémový problém. Obrazovka následně “radí”, aby oběť otevřela dialog Spustit a vložila příkaz, který jí byl zkopírován do schránky. Příkazem oběť samozřejmě nainstaluje malware. Za útokem podle bezpečnostních výzkumníků stojí kampaň označovaná PHALT#BLYX, která tímto trikem nainstaluje DCRAT – trojský kůň umožňující vzdálený přístup. Tento malware může útočníkům zajistit přístup k infikovanému počítači, přenášet data nebo dál šířit další škodlivý kód. Odborníci varují, že skutečná modrá obrazovka Windows nikdy neobsahuje pokyny ke spuštění externích příkazů – a právě to je jeden z hlavních znaků podvodu. Analýzu provedla společnost Securonix. Tchajwanská Národní bezpečnostní agentura (NSB) oznámila, že v roce 2025 došlo k desetnásobnému nárůstu počtu kybernetických útoků pocházejících z Číny cílených na energetický sektor země ve srovnání s rokem předešlým. Podle NSB čínské hackerské aktivity zasáhly celkem devět klíčových kritických sektorů, přičemž celkový počet incidentů spojených s Čínou se zvýšil o asi 6 % oproti předešlému roku. Největší nárůst byl zaznamenán právě v energetice, kde pokusy o průniky do sítí, škodlivé skenování systémů a úsilí o instalaci malwaru vyskočily o 1 000 %. Další sektory, jako záchranné služby a nemocnice, utrpěly zvýšení útoků o 54 %, komunikace a přenosové systémy o 6,7 %. Naopak finanční sektor a vodohospodářství zaznamenaly výrazné snížení počtu incidentů, zatímco věda, průmysl a potravinářství zůstaly zhruba na stejné úrovni jako předloni. NSB ve svém materiálu uvedla, že většina útoků využívala zranitelností hardware i software. Dále také zahrnovaly techniky jako distribuované DDoS útoky, sociální inženýrství nebo infiltrace přes dodavatelské řetězce. Zpráva také identifikovala několik čínských hackerských skupin zapojených do těchto kampaní. Podle Tchaj-wanu se tyto kybernetické operace často shodovaly s vojenskými manévry nebo významnými politickými událostmi, což naznačuje, že útoky mohou být součástí širší strategie tlaku na ostrov. Binární hodiny mají jedinou chybu… Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu… Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče. CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.