Vítejte na bezpečnostní neděli – 6. Týden. náš týdenní přehled událostí ze světa kybernetické bezpečnosti (5. – 11. února 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Čínští hackeři se 5 let skrývali v americké infrastruktuře

Čínská kyberšpionážní skupina Volt Typhoon pronikla do sítě kritické infrastruktury ve Spojených státech a působila nejméně pět let, než byla odhalena, uvádí ve společném prohlášení CISA, NSA, FBI a partnerských agentur Five Eyes.

Hackeři z Volt Typhoon jsou známí tím, že v rámci útoků na organizace kritické infrastruktury hojně využívají techniky „living off the land“ (LOTL).

Skupina se zaměřila především na odvětví komunikací, energetiky, dopravy a vodovodů a kanalizací.

Její cíle a taktika se rovněž liší od typických kyberšpionážních aktivit, což vede úřady k přesvědčivému závěru, že se skupina snaží umístit v sítích, které jí poskytují přístup k provozním technologiím (OT), s konečným cílem narušit kritickou infrastrukturu.

„Je to něco, čím se zabýváme již dlouhou dobu,“ řekl Rob Joyce, ředitel kybernetické bezpečnosti NSA a zástupce národního manažera pro národní bezpečnostní systémy (NSS).

„Zlepšili jsme se ve všech aspektech této problematiky, od pochopení rozsahu Volt Typhoon, přes identifikaci kompromitací, které mohou mít dopad na systémy kritické infrastruktury, až po zabezpečení cílů proti těmto průnikům a spolupráci s partnerskými agenturami v boji proti kybernetickým aktérům z ČLR.“

Skupina běhen svých útoků také využívala botnet stovek malých kanceláří/domácích sítí (SOHO) po celých Spojených státech (nazvaný KV-botnet), aby skryla svou škodlivou činnost a vyhnula se odhalení.

FBI zastavila KV-botnet v prosinci 2023 a hackerům se nepodařilo obnovit rozloženou infrastrukturu poté, co laboratoře Black Lotus Labs společnosti Lumen zlikvidovali všechny zbývající servery C2 a payload.


Čínští hackeři využili chybu FortiGate k prolomení nizozemské vojenské sítě

Čínským státem podporovaní hackeři pronikli do počítačové sítě, kterou používají nizozemské ozbrojené síly, a zaměřili se na zařízení Fortinet FortiGate.

„Napadená počítačová síť byla používána pro neutajovaný výzkum a vývoj (R&D),“ uvedla nizozemská vojenská zpravodajská a bezpečnostní služba (MIVD) ve svém prohlášení. „Protože byl tento systém samostatný, nevedlo to k žádnému poškození obranné sítě.“ 

Vniknutí, ke kterému došlo v roce 2023, využívalo známou kritickou bezpečnostní chybu v systému FortiOS SSL-VPN (CVE-2022-42475, skóre CVSS: 9,3), která neautentifikovanému útočníkovi umožňuje spustit libovolný kód prostřednictvím speciálně vytvořených požadavků.

Jedná se o první případ, kdy Nizozemsko veřejně přisoudilo kyberšpionážní kampaň Číně. 

Zpráva přichází také několik dní poté, co americké úřady podnikly kroky k likvidaci botnetu o kterém jsme psali výše.


Raspberry Pi Pico prolomí BitLocker za méně než minutu

Technika útoku byla o víkendu zdokumentována ve videu na YouTube, které ukazuje, jak lze pomocí Raspberry Pi Pico získat přístup k zařízení zabezpečenému nástrojem BitLocker za méně než minutu, pokud máte k zařízení fyzický přístup.

Ve videu, které zveřejnil uživatel stacksmashing, byl použit notebook Lenovo, i když zranitelný bude i jiný hardware. Tato technika se také opírá o to, že je modul TPM (Trusted Platform Module) oddělený od procesoru. V mnoha případech budou tyto dva prvky spojeny a v takovém případě nelze zobrazenou techniku použít.

Pokud se vám však dostane do rukou podobně zranitelné zařízení zabezpečené nástrojem BitLocker, získání přístupu k šifrovanému úložišti se zdá být až trapně jednoduché. Podstata spočívá v odposlechu klíče k zařízení při jeho předávání z čipu TPM do procesoru. Předání klíče není zašifrováno.

Tento konkrétní notebook měl vedle vlastního konektoru pro přístup k signálům mezi čipy i přípojky, které bylo možné využít. 

Společnost Microsoft již dlouho připouští, že takové útoky jsou možné, i když je popisuje jako „cílený útok s dostatkem času“.

V uvedeném příkladu, který trvá méně než minutu, bychom tvrzení o „spoustě času“ zpochybnili, a i když je Raspberry Pi Pico za cenu necelých 10 dolarů nepochybně působivý, hardwarové výdaje nejsou ani drahé, ani specifické.

Pokud je váš hardware zranitelný, lze zmírnění dopadů dosáhnout pomocí kódu PIN.


Reklamy na Facebooku šíří nový malware který krade hesla

Nový malware Ov3r_Stealer, který krade hesla, se šíří prostřednictvím falešných pracovních inzerátů na Facebooku a jeho cílem je ukrást přihlašovací údaje k účtu a kryptoměny.

Falešné pracovní inzeráty se týkají manažerských pozic a vedou uživatele na URL adresu služby Discord, kde skript PowerShell stáhne z úložiště GitHub škodlivý payload.

Analytici společnosti Trustwave, kteří tuto malwarovou kampaň objevili, poznamenávají, že ačkoli žádná z jejích taktik není nová, vzhledem k popularitě Facebooku jako platformy sociálních médií zůstává vážnou hrozbou pro mnoho potenciálních obětí.


Falešný správce hesel LastPass objeven v App Store společnosti Apple

Společnost LastPass varuje, že se v obchodě Apple App Store šíří falešná kopie její aplikace, která pravděpodobně slouží jako podvodná aplikace ke krádeži přihlašovacích údajů uživatelů.

Falešná aplikace používá podobný název jako pravá aplikace, podobnou ikonu a červeně laděné rozhraní, které má vypadat podobně jako autentický design značky.

Název falešné aplikace je však „LassPass“ namísto „LastPass“ a jejím vydavatelem je „Parvati Patel“. 

Kromě toho má pouze jediné hodnocení (skutečná aplikace jich má přes 52 tisíc) a pouze čtyři recenze, které upozorňují na to, že jde o podvrh.

Skutečná společnost LastPass na existenci klonové aplikace upozornila prostřednictvím upozornění na svých webových stránkách, aby zvýšila pozornost zákazníků na riziko ztráty dat.

Společnost Apple potvrdila serveru BleepingComputer, že podvodná aplikace LastPass byla z obchodu App Store odstraněna, protože porušuje jejich pokyny týkající se napodobování aplikací. Vývojář aplikace byl také vyřazen z programu Apple Developer Program.


Společnost Fortinet varuje před kritickou chybou systému FortiOS SSL VPN, která je pravděpodobně aktivně zneužívána

Společnost Fortinet odhalila novou kritickou bezpečnostní chybu v systému FortiOS SSL VPN, která je podle ní pravděpodobně aktivně zneužívána.

Zranitelnost CVE-2024-21762 (skóre CVSS: 9,6) umožňuje spuštění libovolného kódu a příkazů.

„Zranitelnost mimo hranice zápisu [CWE-787] v systému FortiOS může vzdálenému neautentifikovanému útočníkovi umožnit spuštění libovolného kódu nebo příkazu prostřednictvím speciálně vytvořených požadavků HTTP,“ uvedla společnost ve čtvrtek.

Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala 9. února 2024 do svého katalogu známých zneužívaných zranitelností (KEV) zranitelnost CVE-2024-21762 s odkazem na důkazy o aktivním zneužívání.

Federální úřady civilní výkonné moci (FCEB) byly pověřeny, aby opravy aplikovaly do 16. února 2024 a zabezpečily tak své sítě proti potenciálním hrozbám.


Nový skrytý backdoor „RustDoor“ cílí na zařízení se systémem Apple macOS

Uživatelé systému Apple macOS se stali terčem nového backdooru založeného na Rustu, který funguje od listopadu 2023.

Bylo zjištěno, že backdoor s kódovým označením RustDoor se vydává za aktualizaci pro Microsoft Visual Studio a cílí na architektury Intel i Arm.

K dnešnímu dni bylo zjištěno více variant malwaru s drobnými úpravami, což pravděpodobně svědčí o aktivním vývoji. Nejstarší vzorek RustDoor pochází z 2. listopadu 2023 a obsahuje širokou škálu příkazů, které mu umožňují shromažďovat a odesílat soubory a získávat informace o napadeném koncovém zařízení.

Některé verze obsahují také konfiguraci s podrobnostmi o tom, jaká data mají být shromažďována, seznam cílových rozšíření a adresářů a adresáře, které mají být vyloučeny.

Získané informace jsou pak exfiltrovány na C2 server (command-and-control).


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.