Nielen incident, ale koordinovaná dlhodobá kampaň

Google Threat Intelligence a Mandiant Consulting vydali vážne varovanie pre firmy a štáty. Nie je to len ďalšia „správa o malvéri“, ale signál o novej vlne sofistikovaných útokov s priamym dosahom na geopolitickú stabilitu.

Útočníci s väzbami na Čínu prenikli do veľkého počtu firemných sietí a cez zadné vrátka si vytvorili dlhodobý prístup na krádež citlivých údajov. 

Vypočujte si Report bezpečnosti, 966 slov, číta pre vás AI.

Backdoor BRICKSTORM rozhodne nie je bežný malvér. Po úspešnej infiltrácii umožňuje útočníkovi trvalý a skrytý prístup do kompromitovanej siete alebo zariadenia. Jeho dizajn a schopnosti ho radia medzi sofistikované APT nástroje.

Útočníci využívajú zero-day zraniteľnosti v zariadeniach Ivanti a cielia najmä na právne služby, technologické firmy, SaaS a outsourcing. V sieťach ostávajú v priemere 393 dní, pretože ich malvéry bežia na zariadeniach mimo pokrytia EDR riešení. Google preto uvoľnil bezplatný detekčný nástroj pre tieto platformy.

Útočníci nezostávajú len pri exfiltrácii dát. Získané informácie používajú na vývoj ďalších zero-day exploitov a na prienik do infraštruktúr ďalších obetí vrátane zákazníkov SaaS providerov. Skupina pokročilých hrozieb UNC5221 využíva popri BRICKSTORM-e aj vlastné úpravy škodlivého kódu, čím znižuje šance na detekciu. Okrem toho kradnú prihlasovacie údaje cez vlastný Tomcat filter a infiltrujú e-maily kľúčových osôb.

Predpokladá sa, že open source komunita verí GitHubu a má kryptomeny

Masívna phishingová kampaň na GitHube bola založená na falošných pozvánkach do programu Y Combinator Winter 2026. Útočník zneužil notifikačný systém GitHubu, otváral stovky issues na rôznych repozitároch a tagoval cieľových používateľov.

Takto generované e-maily pôsobili dôveryhodne, pretože prichádzali priamo z GitHubu. Prešli bezpečnostnými filtrami a skončili v inboxoch vývojárov, z ktorých mnohí vlastnia kryptomenové peňaženky.

Adresáti klikli na odkaz smerujúci na doménu podobnú skutočnému webu Y Combinator, kde sa nachádzala výzva na „overenie peňaženky“. Útočníci predstierali bezpečnostné overenie cez EIP-712 + Ethereum Attestation Service, no podpis v skutočnosti povoľoval prevod všetkých prostriedkov.

Diskusné fórum uvádza, že v jednej fáze útok otvoril vyše 3 800 issues, ktoré poslali približne 380-tisíc e-mailov v priebehu niekoľkých hodín.

Straty nie sú vyčíslené, konzervatívne odhady však vychádzajú z obdobných kampaní v roku 2025. Ak by kliklo na link len jedno percento obetí, už vtedy sú straty pozoruhodné. Ak by každá obeť stratila 100 amerických dolárov, tak útočník získal 380-tisíc dolárov. Ak by každá obeť stratila tisícku, tak je zisk 3,8 milióna.

Kampaň s falošnými pozvánkami odhalili bezpečnostní výskumníci a komunita okolo GitHubu a krypta, ktorí si všimli náhly príval issues a notifikácií.

Ako dostať do videohry malvér a obrať hráčov

Steam, najväčšia digitálna distribučná platforma pre videohry na svete, bojuje s kybernetickým zločinom na rôznych frontoch.

Lotyšský streamer RastalandTV si počas vysielania stiahol a spustil zo Steamu hru BlockBlasters a tá mu vyprázdnila kryptopeňaženku. Prišiel o viac než 32-tisíc amerických dolárov, ktoré mu fanúšikovia darovali na liečbu rakoviny.

BlockBlasters bol pôvodne bezplatný retro 2D platformer. Útočníci doň vpašovali koncom augusta škodlivý kód cez záplatu. Patch pridal skripty, ktoré zbierali údaje o antivírusoch, profiloch na Steame, prehliadačoch, potom spúšťali backdoor a komponenty, ktoré odosielali dáta na C2 server.

Útočníci oslovovali hráčov, u ktorých predpokladali významnejšie krypto aktíva, cez Twitter alebo im ponúkali testovanie hry. Podľa analytikov bola táto aktivita súčasťou širšej kampane, ktorá pripravila obete minimálne o 150 000 dolárov zo 261 účtov na Steame. VXUnderground uvádza až 478 obetí.

Útočník však urobil chybu v OPSEC a nechal verejne dostupné údaje a prístupové tokeny k svojmu Telegram botovi. Výskumníci tak odhalili jeho identitu. Incident nebol ojedinelý, podobné prípady sa vyskytli aj pri iných hrách na Steame. Používatelia by si mali zmeniť heslá a presunúť kryptomeny, ak hru nainštalovali.

Niečo ako dokorán otvorené dvere pre kybernetický útok v značkovom obchode

Microsoft Entra ID, cloudová služba na správu identít a prístupov, mala vážnu zraniteľnosť, ktorá umožňovala úplné prevzatie organizácií. (Informácia pre znalcov – označenie CVE-2025-55241, základné skóre 9,8 kritická závažnosť.)

Problém spôsobila kombinácia nezdokumentovaných „actor tokens“ a chyby v Azure AD Graph API. Útočníci takto dokázali vytvoriť tokeny na napodobňovanie ľubovoľného používateľa či administrátora. Tokeny mali platnosť 24 hodín, nedali sa zrušiť a v systéme sa nezaznamenávali, čo sťažovalo odhalenie útoku.

Laicky povedané, útočník nemusel mať heslo, MFA ani prístup k účtu obete. Stačilo mu zneužiť slabinu v systéme Microsoftu Entra ID. Vedel sa vydávať za hocikoho v cudzej organizácii, a to dokonca aj za globálneho administrátora. Mohol čítať e-maily v Outlooku, dáta v OneDrive, dokumenty v SharePointe alebo manipulovať s účtami v Microsoft 365.

Práve výskumník Dirk-jan Mollema ukázal, že s týmito tokenmi získal práva globálneho administrátora. Menil roly, vytváral používateľov a resetoval heslá bez akéhokoľvek záznamu v systéme. Microsoft po nahlásení rýchlo vydal opravu a ukončil podporu Azure AD Graph API.

Incident opäť potvrdil, že ponechávanie starých komponentov v komplexných cloudových službách predstavuje veľké riziko. Medzi nevyhnutné opatrenia v organizáciách preto patria pravidelné audity infraštruktúry, modernizácia bezpečnostných opatrení, adaptívne politiky a monitoring podľa najnovších štandardov.

Sektor zábavy a hotelierstva je z hľadiska ochrany údajov a dôvery kritický

Významný americký prevádzkovateľ hotelov Boyd Gaming oznámil kybernetický útok. Túto sieť tvorí 27 zariadení v rôznych mestách USA, väčšinou v Las Vegas, a približne 16 000 zamestnancov, ročné tržby sú takmer 4 miliardy amerických dolárov.

Útočníci prenikli do systémov Boyd Gaming a získali osobné údaje zamestnancov aj ďalších jednotlivcov. Firma zatiaľ neuviedla presný rozsah ukradnutých dát, čas útoku ani totožnosť páchateľov, no označila množstvo uniknutých informácií ako „limitované“. Tento pojem je však nejasný a môže znamenať rozsah od niekoľkých až po tisíce postihnutých osôb.

V dôsledku incidentu už bol podaný návrh na kolektívnu žalobu v Nevade bývalým zamestnancom, ktorý tvrdí, že Boyd Gaming nezabezpečil dostatočné opatrenia na ochranu citlivých údajov.

Pozornosť profesionálov upútala informácia o komplexnom poistení proti kybernetickým rizikám, ktoré uviedla spoločnosť Boyd Gaming už v povinnom hlásení incidentu. Pokrýva náklady na riešenie incidentu vrátane vyšetrovania, právnych služieb a prípadných sankcií. V tomto sektore sa to považuje za silný signál toho, že si subjekty uvedomujú kybernetické hrozby a ich dosahy.