Check Point Software Technologies Czech

Pro-ruská hacktivistická skupina (16) se přihlásila k aktuální vlně útoků na české webové stránky. Nedostupné byly po omezenou dobu například weby Senát Parlamentu ČR, Úřad vlády ČR, Ministerstvo zahraničních věcí České republiky, Policie České republiky nebo stránky Poslanecká sněmovna Parlamentu České republiky a stránky předsedkyně Poslanecké sněmovny Parlamentu ČR Markéta Pekarová Adamová.

Skupina NoName057(16) je známá svými hacktivistickými aktivitami po celém světě a opakovaně útočí i na Českou republiku, ať už se jednalo o nedávné útoky na české banky nebo snahu narušit průběh prezidentských voleb. Tentokrát byl útok odvetou za summit Krymské platformy na Pražském hradě.

NoName057(16) velmi aktivně komunikuje prostřednictvím Telegramu, kde má na anglickém kanálu téměř 5000 sledujících a na své hlavním kanálu více než 55 000 fanoušků. Hackeři se chlubí svými útoky a také vyzývají fanoušky k podpoře útoků. Nejaktivnějším útočníkům nabízí dokonce odměnu ve výši až 25 000 Kč.

V těchto případech se nejedná o klasické hackerské útoky a narušení bezpečnosti. Při (Distributed Denial-of-Service) útocích zahltí hackeři webové stránky různými komunikačními požadavky, až se pod jejich náporem stránka zhroutí a je nedostupná. Někdy se může jednat o minuty, někdy o hodiny. Není tedy důvod k panice, útoky můžeme přirovnat k online demonstracím. Hacktivistickým skupinám jde většinou o získání pozornosti, zastrašování a šíření vlastní propagandy. Důležité je zmínit, že proti podobným typům útoků existují obranné technologie, které při správném nasazení a implementaci umí podobné útoky téměř vždy eliminovat a zajistit dostupnost služeb, které se útočníci snaží vyřadit z provozu.

Podobné hacktivistické útoky ve znamení politických nebo náboženských ideálů budou stále běžnější a organizace po celém světě se na ně musí připravit.

Zároveň je potřeba nebrat podobné útoky na lehkou váhu, protože v některých případech by se mohlo jednat jen o odvedení pozornosti od sofistikovanějších útoků.

Vzhledem k četnosti hacktivistických útoků zveřejnil Mezinárodní výbor Červeného kříže pravidla pro zapojení civilních hackerů a hacktivistických skupin do konfliktů. Mezi pravidla patří neútočit na civilní, zdravotnická nebo humanitární zařízení a také nepoužívání nástrojů, které se mohou rozšířit na oběti mimo původní cíl. Některé významné pro-ruské hacktivistické skupiny jako a ale oznámily, že se pravidly Červeného kříže nehodlají řídit.

Facebook zaplavily nebezpečné reklamy na , a další služby, hrozí stažení malwaru a krádeže dat.

Kyberbezpečnostní společnost Check Point Software Technologies varuje před novým trikem kyberpodvodníků. Na -u se uživatelům zobrazují sponzorované příspěvky, které lákají na informace o AI službách, ve skutečnosti je to ale jen trik, jak přimět nepozorné oběti ke stažení nebezpečných souborů. využívají nové stránky, ale i stránky s obrovským množstvím fanoušků, a lákají na poutavý obsah. Jakmile uživatel klikne na škodlivý odkaz a stáhne , hrozí hesel a dalších citlivých informací.

Většina podvodů nabízí tipy, novinky a „vylepšené“ verze AI služeb Google Bard nebo ChatGPT:

Obr. 1

Výše je jen ukázka několika málo příspěvků. Narazit můžete na množství dalších mutací, jako jsou příspěvky od Bard New, Bard Chat, GPT-5, G-Bard AI a mnoha dalších. Některé příspěvky a skupiny se snaží využít i popularity dalších AI služeb, jako je třeba Midjourney:

Obr. 2

V řadě případů lákají kyberzločinci i na další AI služby a nástroje. Jednou z největších stránek, s více než 2 miliony fanoušků, která parazituje na značce Jasper AI je Jasper.ai. I to ukazuje, jak drobné detaily mohou hrát důležitou roli a znamenat rozdíl mezi legitimní službou a podvodem.

Obr. 3

Uživatelé často nemají tušení, že se jedná o podvody, a tak pod příspěvky vášnivě diskutují o roli umělé inteligence a příspěvky likují nebo dále sdílí.

„Alarmující je, že pro šíření podvodů jsou využívány facebookové stránky, které mají desetitisíce, statisíce a v některých případech i miliony fanoušků. Řada lidí potom může mít dojem, že jde o legitimní obsah. Mnoho stránek přitom existuje již dlouho. Jen dříve byly používány ke sdílení nejrůznějších citátů, motivačních obrázků, fotek z cest, zvířátek nebo politické agendy, tedy obsahu, na který řada lidí ráda reaguje. Ale pomocí podvodně ukrytého malwaru mohou útočníci stránky ukrást a zneužít je k další propagaci škodlivého obsahu. Podvodníci také často původní stránky různě přejmenovávají,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Obr. 4, 5, 6 a 7

„Kyberzločinci většinou používají scénář, ve kterém se snaží nalákat uživatele k návštěvě legitimně a kvalitně vyhlížející webové stránky, kde stačí kliknout na tlačítko a stáhnout novou verzi umělé inteligence. Řada stránek vypadá velmi podobně, některé jsou ovšem poměrně kreativní, každopádně všechny vypadají vizuálně zajímavě, aby vzbudily pozornost a přesvědčily návštěvníky ke kliknutí. Ale místo AI služby se stáhne nebezpečný soubor,“ upozorňuje Daniel Šafář.

Obr. 8

Kyberzločinci vynakládají velké úsilí, aby podvody vypadaly důvěryhodně. Když uživatel vyhledá na Facebooku „Midjourney AI“, najde stránku s 1,2 miliony sledujícími, takže pravděpodobně uvěří, že se jedná o autentickou stránku.

Obr. 9

Pokud mají příspěvky mnoho lajků a komentářů, znamená to, že ostatní uživatelé na obsah reagovali, což v očích mnoha lidí dále zvyšuje důvěryhodnost.

Obr. 10

Hlavním cílem této falešné facebookové stránky Mid-Journey AI, stejně jako mnoha dalších, je přimět uživatele ke stažení malwaru. Aby vše působilo ještě důvěryhodněji, jsou odkazy na škodlivé webové stránky kombinovány s odkazy na legitimní recenze nebo na sociální sítě.

Obr. 11

První odkaz vede na ai-midjourney[.]net, kde je pouze tlačítko Začít.

Obr. 12

Jakmile uživatel na tlačítko klikne, je přesměrován na další podvodnou stránku midjourneys[.]info, která nabízí ke stažení Midjourney AI zdarma na 30 dní. Ve skutečnosti uživatel ale stáhne soubor MidJourneyAI.rar z Gofile, bezplatné platformy pro sdílení a ukládání souborů. „Některé podvody se dokonce ani nenamáhají přesměrovat uživatele na podvodný web, ale hned ve facebookovém příspěvku nabízí odkaz, který okamžitě začne stahovat nebezpečný soubor,“ dodává Daniel Šafář z kyberbezpečnostní společnosti Check Point Software Technologies.

Obr. 13

Místo MidJourney si ovšem oběť stáhne nebezpečný soubor Mid-Journey_Setup.exe s malwarem , který krade data a informace. Malware se uloží, včetně všech pomocných souborů, do složky TEMP.

Jakmile je malware v počítači, odešle útočníkům na zprávu „Nová oběť“ s popisem nově infikovaného počítače, včetně jeho názvu, verze operačního systému, paměti RAM, doby provozu a konkrétní cesty, ze které byl malware spuštěn. Tyto informace umožňují kyberzočincům přesně rozeznat, který podvod byl v tomto případě úspěšný.

Malware krade nejrůznější informace, včetně cookie, záložek, historie prohlížení a hesel. Zaměřuje se také na kryptoměnové peněženky, včetně , , a dalších, ale cílí i na přihlašovací údaje z různých sociálních a herních platforem.

Jakmile jsou všechna data z cílového počítače ukradena, jsou uložena do jednoho archivu a nahrána na platformu pro sdílení souborů :

Obr. 14

Následně odešle na Discord zprávu „Infikováno“, která obsahuje podrobnosti o ukradených datech a odkaz na archiv. Většinu komentářů na falešné stránce vytvářejí boti s vietnamskými jmény a výchozím jazykem chatu je vietnamština, z čehož lze usuzovat, že se jedná o vietnamské hackery.

Obr. 15

Většina kampaní zneužívajících facebookové stránky a škodlivé reklamy šíří nějaký druh zlodějského malwaru. Check Point také odhalil, že některé kampaně využívají sofistikovaný zlodějský malware , který je velmi těžké odhalit. Jedním z jeho cílů jsou informace o facebookových účtech a krádeže facebookových stránek. Zdá se, že kyberzločinci se snaží zneužít existující stránky s velkým počtem uživatelů, včetně reklamních rozpočtů, takže mnoho stránek s velkým dosahem by mohlo být tímto způsobem zneužito k dalšímu šíření podvodu.

S ukradenými daty, stránkami, napadenými systémy a přihlašovacími údaji se také aktivně obchoduje na -u, což nebezpečnost podvodů ještě násobí.

Zvýšený zájem o umělou inteligenci útočníkům nahrává, navíc AI technologie umožňují vytvářet podvody mnohem sofistikovanějším a věrohodnějším způsobem. Proto je nezbytné se vzdělávat a znát rizika a taktiky kyberzločinců. Pro ochranu nejnovějšími triky podvodníků je důležité používat také pokročilá bezpečnostní řešení.