Vláda České republiky obvinila Čínu z kybernetického útoku
Velkou pozornost ze strany české i zahraniční bezpečnostní komunity v uplynulém týdnu získalo středeční prohlášení Vlády České republiky informující o škodlivé kybernetické kampani, která vyústila v kompromitaci jedné ze sítí Ministerstva zahraničních věcí ČR.
Za aktéra, který stál za touto kampaní, označila vláda na základě společného vyšetřování domácích zpravodajských služeb a NÚKIB skupinu APT31. Jmenovaná skupina je spojována s Ministerstvem státní bezpečnosti Čínské lidové republiky a publikované prohlášení tak explicitně přisoudilo odpovědnost za útok právě tomuto státu.
Útočnou kampaň, která probíhala nejméně od roku 2022 a při níž se škodlivým aktérům údajně podařilo získat ze sítě ministerstva e-maily a další dokumenty odsoudily vedle České republiky i NATO a EU.
Čína sama nařčení z útoku – nijak překvapivě – odmítla. Sama pak v uplynulém týdnu obvinila z kybernetických útoků na vlastní infrastrukturu skupinu s údajnými vazbami na Taiwan.
Austrálie uzákonila povinnost hlásit platby za ransomware státu
Austrálie se v pátek stala zřejmě první zemí na světě, v níž mají organizace, které se staly oběťmi ransomwaru, povinnost hlásit státu jakékoli platby výkupného kybernetickým útočníkům. Učinit tak musí ve lhůtě 72 hodin.
Uvedená povinnost se bude týkat pouze organizací s globálním obratem převyšujícím 3 miliony australských dolarů ročně (cca 42,5 milionu Kč) a organizací kritických pro fungování státu, a bude tak dopadat jen na asi 6,5 % všech australských společností. Očekává se však, že australské vládní a bezpečnostní orgány díky ní získají citelně lepší přehled o reálných počtech a dopadech ransomwarových útoků.
O uzákonění podobné povinnosti, navíc s možností explicitně ve vybraných případech zakázat platby výkupného, aktuálně uvažuje mj. Velká Británie.
Jeden hotový SSH botnet a připravovaný základ pro druhý
Společnost DarkTrace v uplynulém týdnu informovala o nedávno vytvořeném botnetu sdružujícím kompromitovaná IoT zařízení postavená nad Linuxem.
Botnet, který výzkumníci označují jako PumaBot, je tvořen malwarem napsaným v jazyce Go a cílí na embedded/IoT zařízení, přičemž již nakažené systémy kompromitují další zařízení s pomocí brute-force útoků na službu SSH. Zajímavostí při tom je, že na rozdíl od většiny obdobných botnetů nevyhledávají již nakažená zařízení cíle pro další kompromitaci samostatně, s pomocí skenování veřejných IP adresních rozsahů, ale seznam cílových adres, na které se mají zaměřit, získávají centrálně z C2 serveru.
Pokud se botnetu podaří kompromitovat nové zařízení, je takový systém do botnetu připojen s pomocí škodlivého kódu, který je spouštěn formou nové služby Systemd. Informace o aktuální velikosti botnetu výzkumníci nezveřejnili.
Přibližně ve stejné době informovala společnost GreyNoise o aktuálně probíhající útočné kampani zaměřené na routery ASUS, kterou označila jako AyySSHush.
V rámci ní se škodliví aktéři pokoušejí kompromitovat cílová zařízení s pomocí brute-force útoků i využívání specifických authentication-bypass zranitelností. Pokud se jim podaří k zařízení přihlásit, zpřístupní útočníci službu SSH na portu TCP/53282 a nainstalují do zařízení svůj veřejný klíč, díky čemuž získají možnost se s pomocí SSH k systému v budoucnu kdykoli přihlásit.
Kompromitovaných zařízení je aktuálně celosvětově cca 9000 a výzkumný tým společnosti GreyNoise předpokládá, že škodliví aktéři si s pomocí nich připravují základnu pro budoucí botnet.
Přestože jak botnet PumaBot, tak kampaň AyySSHush prozatím zřejmě postihly jen velmi malé počty zařízení, jejich existence vhodně dokumentuje pokračující potřebu dbát i v roce 2025 na zabezpečení síťových SOHO zařízení a IoT prvků užívaných v domácích i firemních prostředích…
V kontextu botnetů zaslouží zmínku nicméně i jedna pozitivní zpráva z poslední doby, a to že americkým bezpečnostním složkám spolu s řadou dalších organizací se v průběhu května podařilo zabavit infrastrukturu botnetu Danabot, který byl dlouhodobě využíván jak kyberkriminálními skupinami, tak – zřejmě – ruskými státními aktéry. V souvislosti s touto akcí byla v USA rovněž vznesena obvinění proti 16 osobám, které se měly podílet na vývoji a provozu jmenovaného botnetu.
Jak velké nebezpečí představuje obchod s cookies?
Společnost NordVPN publikovala v uplynulém týdnu závěry své analýzy zaměřené na prodej cookies, odcizených s pomocí infostealerů a dalších technik, na dark webových a telegramových tržištích. Výzkumníci v rámci svých aktivit analyzovali více než 93,7 miliard cookies nabízených k prodeji na různých platformách, přičemž se pokoušeli identifikovat mj. jejich zdroj, obsah a zda byly v době prodeje ještě „aktivní“.
Výstupy z provedeného šetření vhodně poukazují na velikost problému, který obchod s cookies představuje.
Dle zjištění výzkumníků bylo více než 16,5 % zkoumaných cookies v době analýzy stále aktivní, což je vysoce problematické zejména v kontextu jejich obsahu – dle klíčových slov, jimiž byly cookies označeny, NordVPN odhaduje, že cca 18 miliard cookies bylo spojeno s identifikačními mechanismy a cca 1,5 miliardy cookies bylo spojených s přihlašováním, autentizačními mechanismy či navázanými relacemi.
Zmínku rovněž zaslouží, že více než 4,5 miliardy cookies bylo spojeno se službami společnosti Google (Gmail, Google Drive, …) a cca 1 miliarda spojena se službami společnosti Microsoft.
Uživatelé mohou nechtěně umožnit webovým aplikacím přistupovat k celému obsahu úložiště OneDrive
Společnost Oasis Security v uplynulém týdnu poukázala na problém spojený s možným neplánovaným poskytováním vysokých oprávnění webovým aplikacím ze strany uživatelů systému OneDrive, který vhodně dokumentuje širší problém s nastavováním oprávnění při využívání komponent třetích stran.
Problém je spojen s javascriptovou komponentou OneDrive File Picker, kterou publikuje společnost Microsoft a která má umožňovat vývojářům aplikací jednoduše integrovat do svých produktů mechanismus pro výběr souborů z OneDrive, které chtějí uživatelé daným aplikacím zpřístupnit. Tato komponenta je integrována do řady populárních webových aplikací, jako například ChatGPT, Slack nebo Trello.
Problematické na komponentě OneDrive File Picker je, že Microsoft v rámci oficiální dokumentace doporučuje vývojářům požadovat extrémně široká oprávnění (rozsahy Files.Read.All či Sites.Read.All, resp. pro upload Files.ReadWrite.All či Sites.ReadWrite.All), která fakticky umožňují přistupovat (či zapisovat) do celého obsahu úložiště OneDrive. Může se zdát, že tato doporučení ze strany Microsoftu jsou vzhledem k šíři poskytovaných oprávnění neadekvátní pro většinu případů užití, nicméně jmenovaná společnost v současnosti na straně svých systémů údajně nenabízí žádný vysoce granulární způsob přiřazování oprávnění aplikacím při použití OAuth.
Pokud tedy vývojář jmenovanou komponentu použije dle doporučení Microsoftu, snadno se může stát, že uživatel, který chce reálně zpřístupnit určité aplikaci pouze jeden vybraný soubor, nebo menší množinu souborů, danému systému zpřístupní všechna data, která má nahraná na úložišti OneDrive. Uživatel sice musí poskytovaná oprávnění explicitně potvrdit, ale jejich rozsah nemusí být z dialogu nezbytně zřejmý.
Přestože u legitimních aplikací lze předpokládat, že nebudou poskytovaný přístup zneužívat, riziko spojené s jejich případnou kompromitací či jiným zneužitím situace je významné. Výsledky analýzy tak lze považovat za přinejmenším znepokojivé a osobám a společnostem, které se domnívají, že historicky poskytly s pomocí popsaného mechanismu nechtěně široká přístupová oprávnění ke svým datovým úložištím nějaké aplikaci, lze doporučit ověřit rozsah těchto oprávnění v nastavení relevantních uživatelských účtů.
Další zajímavosti
- APT41 využívá události Google kalendáře jako C2 kanál
- GitHub je údajně nejčastěji zneužívanou legitimní službou pro distribuci malwaru v Evropě
- Policejní orgány při mezinárodní akci vyřadily z provozu službu AVCheck užívanou škodlivými aktéry pro testování schopnosti malwaru vyhnout se detekci komerčními antiviry
- Společnost Microsoft publikovala detaily k nově identifikované ruské APT skupině
- Knihkupectví Kosmas ochromil kyberútok
- Služby společnosti SentinelOne měly ve čtvrtek výpadek
- Společnost MathWorks, tvůrce nástroje MATLAB, informovala o ransomware útoku na své systémy
- Bývalý poradce pro národní bezpečnost označil čínské kyberútoky na americkou telekomunikační infrastrukturu za potenciální přípravu na válku
- Falešná stránka antiviru Bitdefender užívána pro šíření malwaru
- Muži, který na internetu publikoval explicitní deepfake fotografie australských žen, hrozí pokuta až 450 000 australských dolarů
- Velká Británie oznámila záměr vytvořit novou vojenskou jednotku zaměřenou na digitální a elektronický boj
- Pákistán zatknul 21 osob obviněných z provozování služby Heartsender, užívané pro šíření spamu a malwaru
- Oregon se stal teprve druhým státem USA, který zakázal prodej přesných geolokačních dat osob
- Apple údajně v posledních pěti letech zabránil podvodným transakcím v App Store v hodnotě více než $9 miliard
- Publikovány informace o útočné kampani ruské APT skupiny na Tádžikistán
- ConnectWise oficiálně informoval o sofistikovaném útoku na své služby
- Meta údajně zastavila čínské, íránské a rumunské operace zaměřené na šíření propagandy
- Německá policie zveřejnila identitu vůdce skupin Trickbot a Conti
- Navržená novelizace nařízení HIPAA obsahuje požadavek na realizaci každoročních penetračních testů
Pro pobavení
Never bring tequila to a key-signing party.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
