Čínští hackeři pronikli k poskytovatelům telekomunikačních služeb v USA

Americká FBI a agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) oznámily, že čínským hackerům se podařilo proniknout k poskytovatelům telekomunikačních služeb v USA.

FBI odhalila, že skupina hackerů známá jako Salt Typhoon napadla několik amerických poskytovatelů širokopásmového připojení, včetně Verizonu, AT&T a Lumen Technologies. Hackerům se podařilo získat přístup k systému pro odposlech komunikace, který hlavní operátoři udržují pro účely vyšetřování zločinů.

Podobné kyberšpionážní aktivity se však neomezují jen na Spojené státy. Kanadská vláda oznámila, že státem podporovaní útočníci z Číny provádějí v posledních měsících rozsáhlé síťové skeny zaměřené na široké spektrum organizací.

Ačkoli tyto skeny jsou zatím omezeny na průzkum, kanadská vláda vyzývá důležité organizace v zemi, aby implementovaly přísná bezpečnostní opatření.

Mezi doporučená opatření patří ochrana vícefaktorovým ověřením, sledování provozu nebo phishingová cvičení.

Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?

Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.

qBittorrent opravuje chybu, která vystavovala uživatele útokům MitM po dobu 14 let.

qBittorrent, aplikace pro sdílení souborů přes BitTorrent protokol, vyřešila zranitelnost umožňující vzdálené spuštění kódu, která vznikla selháním ověření SSL/TLS certifikátů v komponentě DownloadManager. Tato chyba se v aplikaci objevila od roku 2010 a byla konečně odstraněna v nejnovější verzi 5.0.1, vydané 28. října 2024.

Hlavním problémem bylo, že qBittorrent od roku 2010 akceptoval jakýkoli certifikát, včetně falešných/nelegitimních, což umožňovalo útočníkům v man-in-the-middle (MitM) pozici manipulovat s daty v síti.

Sharp Security, bezpečnostní výzkumník, upozorňuje na čtyři hlavní rizika plynoucí z této situace. qBittorrent vyzývá uživatele k instalaci Pythonu prostřednictvím pevně dané URL, pokud na Windows Python není dostupný. Z důvodu absence ověřování certifikátů by mohl útočník nahradit URL škodlivou verzí instalátoru Pythonu.

Dále, qBittorrent kontroluje aktualizace stahováním XML feedu z pevně dané URL. Bez platného SSL certifikátu by útočník mohl nahradit odkaz k aktualizaci v XML feedu škodlivým odkazem. DownloadManager v qBittorrentu je také používán pro RSS feedy, což umožňuje útočníkům modifikovat obsah RSS feedu a vložit škodlivé URL předstírající bezpečné torrentové linky.

Nakonec, qBittorrent automaticky stahuje komprimovanou GeoIP databázi a dekomprimuje ji, což umožňuje využití potenciálních chyb přetečení paměti prostřednictvím souborů z falešného serveru.

Nejnovější verze qBittorrentu 5.0.1 již tato rizika řeší, takže uživatelům se doporučuje co nejdříve upgradovat.


Malware „FakeCall“ přesměrovává bankovní hovory na útočníky

Nová verze škodlivého softwaru pro Android jménem „FakeCall“ přesměrovává odchozí hovory uživatelů k jejich bance na telefonní číslo útočníka. Cílem této nové verze je krást citlivé informace a také peníze z bankovních účtů.

FakeCall (nebo také FakeCalls) je bankovní trojský kůň zaměřený na voice phishing, při kterém jsou oběti oklamány prostřednictvím podvodných hovorů, které se vydávají za banky.

V minulých verzích FakeCall tlačil uživatele k tomu, aby zavolali bance z aplikace, která se vydává za finanční instituci. Poté byla zobrazena falešná obrazovka, která zobrazovala skutečné číslo banky, zatímco oběť byla přesměrována k podvodníkům.

V nejnovější verzi, kterou analyzovala společnost Zimperium, se škodlivá aplikace nastaví jako výchozí správce hovorů

„Škodlivá aplikace uživatele oklame a zobrazí přesvědčivé falešné uživatelské rozhraní, které se zdá být legitimním rozhraním pro hovory v systému Android s telefonním číslem skutečné banky.“ vysvětluje zpráva od společnosti Zimperium


Ransomwarové gangy se zaměřuje na VPN od společnosti SonicWall

Provozovatelé ransowaru Fog a Akira se stále více zaměřují na korporátní sítě, a to prostřednictvím SonicWall VPN. Útočníci pravděpodobně využívají chybu v kontrole přístupu SSL VPN sledovanou jako CVE-2024-40766.

SonicWall opravil tuto chybu v systému SonicOS na konci srpna 2024 a zhruba o týden později varoval, že již je aktivně zneužívána.

Arctic Wolf upozorňuje, že Akira a Fog provedly minimálně 30 narušení bezpečnosti, které začaly vzdáleným přístupem do sítě pomocí SonicWall VPN účtů. Z těchto případů je 75% propojeno s Akira, zbytek je připisován operacím Fog ransomware. Zajímavé je, že obě skupiny sdílejí infrastrukturu, což ukazuje na pokračování neoficiální spolupráce, což bylo dříve dokumentováno společností Sophos.

Podle výzkumníků z Arctic Wolf mezi vniknutím do systému a šifrováním dat uplynulo jen několik hodin, v některých případech dokonce jen 1,5-2 hodiny.

Japonský výzkumník Yutaka Sejiyama uvádí, že aktuálně je přibližně 168 000 koncových bodů SonicWall náchylných na napadení chybou CVE-2024-40766 a jsou přístupné do internetu.


Zero-day zranitelnost v systému Windows Themes

Výzkumníci společnosti ACROS Security objevili novou zero-day zranitelnost v systému Windows, která útočníkům umožňuje vzdáleně ukrást NTLM hashe uživatele.

Zero-day zranitelnost v systému Windows Themes byla objevena při vývoji opravy pro jiný bezpečnostní problém (CVE-2024-38030), který by rovněž mohl vést k úniku uživatelských pověření.

Bylo zjištěno, že pokud theme soubor využíval síťovou cestu k dalším souborům (například tapetě plochy), systém Windows automaticky odesílal síťové požadavky na vzdálené hostitele, čímž odhalil NTLM hash uživatele pouhým zobrazením souboru motivu v Průzkumníku Windows.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.