Týden v kyberbezpečnosti: zásah proti Tycoon 2FA, incidenty v Česku a nové zranitelnosti v Androidu a Cisco SD-WAN
Uplynulý týden přinesl několik důležitých událostí z oblasti kybernetické bezpečnosti – od mezinárodní operace proti phishingové infrastruktuře až po nové informace o incidentech v Česku a aktivně zneužívaných zranitelnostech v Androidu a Cisco SD-WAN.
Uplynulý týden přinesl několik důležitých událostí z oblasti kybernetické bezpečnosti – od mezinárodní operace proti phishingové infrastruktuře až po nové informace o incidentech v Česku a aktivně zneužívaných zranitelnostech v Androidu a Cisco SD-WAN.
Microsoft, Europol a partneři zasáhli proti phishingové platformě Tycoon 2FA
Mezinárodní operace vedená Microsoftem, Europolem a dalšími partnery vedla k narušení fungování phishingové platformy Tycoon 2FA, která patřila mezi nejvýznamnější služby typu phishing-as-a-service. Microsoft uvádí, že infrastruktura platformy byla spojena s desítkami milionů podvodných e-mailů měsíčně a zasahovala více než 500 000 organizací po celém světě.
Tycoon 2FA byl aktivní nejméně od roku 2023 a specializoval se na útoky typu adversary-in-the-middle. Nešlo tedy jen o sběr hesel. Platforma fungovala jako transparentní proxy mezi obětí a legitimní službou, například Microsoft 365 nebo Gmail. V reálném čase přeposílala přihlašovací údaje a autentizační výzvy, a zachytávala také session tokeny a cookies, které útočníkům umožnily převzít už ověřenou relaci.
Podle Microsoftu tvořil Tycoon 2FA v polovině roku 2025 přibližně 62 % phishingových pokusů, které firma blokovala, včetně více než 30 milionů e-mailů v jediném měsíci. Od roku 2023 je služba spojena s odhadovanými 96 000 odlišnými oběťmi, z toho více než 55 000 zákazníky Microsoftu. Nejvíce zasažené byly zdravotnictví a školství.
Microsoft na základě soudního příkazu zabavil 330 aktivních domén tvořících jádro infrastruktury Tycoon 2FA. Současně se do zásahu zapojily bezpečnostní složky v Lotyšsku, Litvě, Portugalsku, Polsku, Španělsku a Spojeném království. Cloudflare uvedl, že provedl technický zásah proti Workers projektům a infrastruktuře, které phishingová sada využívala.
Cloudflare také uvádí, že přístup ke službě začínal zhruba na 120 dolarech, což ukazuje, jak nízká byla vstupní bariéra pro útočníky.
Celý případ znovu ukazuje, že vícefaktorové ověřování výrazně zvyšuje bezpečnost účtů, ale samo o sobě není neprůstřelné. Proti podobným proxy útokům jsou odolnější zejména passkeys a hardwarové bezpečnostní klíče. To výslovně doporučují i partneři zapojení do zásahu.
NÚKIB: v únoru evidoval v Česku 23 kybernetických incidentů
Národní úřad pro kybernetickou a informační bezpečnost zveřejnil měsíční přehled incidentů za únor 2026. Podle reportu evidoval 23 kybernetických incidentů. Oproti lednu jde o výrazný pokles, únor však zároveň skončil nad průměrem posledních dvanácti měsíců.
Hlavním důvodem poklesu byl nižší počet evidovaných DDoS útoků, který podle NÚKIB klesl zhruba na třetinu lednové hodnoty. Naopak nárůst zaznamenala kategorie průnik, která se dostala na nejvyšší hodnoty za více než poslední rok. Přibližně polovina těchto incidentů zahrnovala útoky na mapové portály samospráv, zbytek tvořily například kompromitace účtů nebo okrajových zařízení.
Úřad dále evidoval několik případů phishingu, úniku informací a exfiltrace dat. Z pohledu závažnosti šlo o dva významné incidenty a 21 méně významných incidentů. Zajímavé také je, že šlo už o druhý měsíc v řadě bez evidovaného úspěšného ransomwarového útoku.
Android opravuje 129 zranitelností, jedna z nich mohla být zneužívána v cílených útocích
Google vydal březnový Android Security Bulletin, který podle přehledů opravuje 129 zranitelností. Největší pozornost vzbudila chyba CVE-2026-21385, kterou Google v oficiálním bulletinu označuje jako potenciálně zneužívanou v omezených, cílených útocích.
V oficiálním přehledu je CVE-2026-21385 vedena mezi zranitelnostmi v Qualcomm components, konkrétně v podsložce Display, a má závažnost High. Android bulletin zároveň připomíná, že zařízení s úrovní záplaty 2026-03-05 mají zahrnovat všechny příslušné opravy z březnového vydání.
V praxi zůstává problémem i distribuce oprav. Google bulletin vydává centrálně, ale dostupnost aktualizací závisí na výrobcích zařízení a jejich vlastních aktualizačních cyklech.
Cisco varuje před aktivně zneužívanými chybami v Catalyst SD-WAN
Cisco a bezpečnostní partneři v posledních dnech upozornili na aktivní zneužívání několika zranitelností v Cisco Catalyst SD-WAN. Nejzávažnější z nich je CVE-2026-20127, kterou Cisco popisuje jako chybu umožňující obejití autentizace. Úspěšné zneužití může útočníkovi umožnit získat administrátorská oprávnění na zasaženém systému. Cisco zároveň uvedlo, že si je vědomo omezené exploitace této zranitelnosti.
Na případ navázala další upozornění kolem dvojice CVE-2026-20128 a CVE-2026-20122. Cisco později doplnilo, že i tyto dvě nedávno opravené chyby v Catalyst SD-WAN jsou aktivně zneužívány.
Pro organizace je to důležité hlavně proto, že jde o technologii používanou pro správu a řízení podnikových WAN sítí. Úspěšné napadení tak může mít dopad na samotnou síťovou infrastrukturu, nikoli jen na jednotlivou stanici nebo účet.
Výzkumníci popsali novou samošířící kampaň v npm
Pozornost vzbudila také nová supply-chain kampaň v ekosystému npm. Výzkumníci popsali operaci označenou jako SANDWORM_MODE, v jejímž rámci bylo na npmjs.com zveřejněno 19 typosquatting balíčků. Podle dostupné analýzy tyto balíčky kradly přístupové údaje, infikovaly projekty a byly navrženy tak, aby se dál šířily mezi vývojářskými prostředími.
Jde o další připomínku toho, že supply-chain útoky se už netýkají jen velkých open-source knihoven s miliony stažení, ale i menších balíčků, které se snaží zneužít nepozornost vývojářů při instalaci závislostí.