Vítejte na bezpečnostní neděli – 7. Týden. náš týdenní přehled událostí ve světě kybernetické bezpečnosti (12. – 18. února 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
ČESKÁ VOJENSKÁ ROZVĚDKA PROVEDLA AKTIVNÍ ZÁSAH V KYBERPROSTORU
Vojenské zpravodajství se v rámci svých úkolů podílí na obraně České republiky v kybernetickém prostoru. Za účelem plnění tohoto poslání provádíme řadu opatření, která jsou plně v souladu s platnou legislativou. Jednou z možností je aktivní zásah v kyberprostoru.
V lednu se VZ připojil k mezinárodní operaci DYING EMBER vedené USA. Operace spočívala v zásahu proti globální infrastruktuře kompromitovaných směrovačů zneužívaných aktérem APT28, spojeným s ruskou vojenskou zpravodajskou službou GRU. VZ provedl aktivní zásah spočívající v úpravě konfigurace části infrastruktury napadených zařízení.
Kompromitované routery byly zneužity skupinou APT28 proti důležitým cílům v České republice i v zahraničí, včetně našich spojenců v NATO a na Ukrajině.
Ransomware gang Akira zneužívá chybu CVE-2020-3259 v Cisco ASA/FTD
Agentura CISA (Cybersecurity and Infrastructure Security Agency) ve svém nedávném doporučení upozornila na aktivní zneužívání zranitelnosti CVE-2020-3259 v Cisco ASA/FTD známým gangem Akira Ransomware. Tato kritická bezpečnostní chyba se skóre CVSS 7,5 představuje významné riziko pro kybernetickou bezpečnost organizací. Zařazení CVE-2020-3259 do katalogu známých zneužívaných zranitelností organizací CISA podtrhuje naléhavost toho, aby organizace tento problém urychleně řešily. Zranitelnost, která spočívala v prozrazení informací v rozhraní webových služeb ASA a FTD, opravila společnost Cisco v květnu 2020. Navzdory vydání záplaty se záškodníci nadále zaměřují na neopravené systémy.
Skupina Akira Ransomware, jak oznámili výzkumníci společnosti Truesec, aktivně využívá CVE-2020-3259 při útocích na zařízení Cisco ASA a FTD. Prostřednictvím této zranitelnosti mohou útočníci získat přístup k citlivým údajům uloženým v paměti postižených zařízení, včetně přihlašovacích údajů. Zjištění společnosti Truesec poukazují na závažnost situace, kdy skupina Akira Ransomware využila tuto zranitelnost jako vstupní bod při několika útocích. Činnost skupiny, která zasahuje do různých odvětví, jako je vzdělávání, finančnictví a nemovitosti, podtrhuje rozsáhlou hrozbu, kterou představují útoky ransomwaru. CISA v zájmu zmírnění rizika, které představuje CVE-2020-3259, pověřila federální úřady, aby tuto zranitelnost vyřešily do 7. března 2024 v souladu se závaznou provozní směrnicí (BOD) 22-01. Působnost směrnice však přesahuje rámec federálních úřadů a vyzývá soukromé organizace, aby posoudily svou infrastrukturu z hlediska zranitelností uvedených v katalogu. V souvislosti s tímto vývojem odborníci na kybernetickou bezpečnost zdůrazňují význam proaktivních opatření. Organizace se vyzývají, aby pravidelně kontrolovaly katalog známých zneužívaných zranitelností a stanovily si priority pro záplatování zranitelných systémů, aby se ochránily před možným zneužitím.
Pokud organizace zůstanou ostražité a podniknou proaktivní kroky k řešení známých zranitelností, jako je CVE-2020-3259, mohou posílit svou kybernetickou bezpečnost a snížit riziko, že se stanou obětí ransomwarových útoků a dalších kybernetických hrozeb.
FBI narušila ruský botnet Moobot infikující routre Ubiquiti
V rámci významné kybernetické operace nazvané „Operace Dying Ember“ FBI úspěšně zlikvidovala botnet složený z routru Ubiquiti Edge OS infikovaných malwarem Moobot. Tato síť, organizovaná ruským Hlavním zpravodajským ředitelstvím generálního štábu (GRU), představovala pro Spojené státy a jejich spojence značnou hrozbu. Vojenská jednotka GRU 26165, známá také pod názvy APT28, Fancy Bear a Sednit, využívala tento botnet k proxy škodlivému provozu a k útokům typu spearphishing a krádežím pověření na nesčetné množství cílů, včetně amerických a zahraničních vlád, vojenských subjektů a firemních organizací.
Tento botnet se odlišuje svým původem. Na rozdíl od předchozích iniciativ GRU nebo ruské Federální bezpečnostní služby (FSB) nebyl botnet Moobot vyvinut GRU od nuly. Namísto toho kyberzločinci, kteří nebyli spojeni s GRU, nejprve kompromitovali routery a nainstalovali malware Moobot, přičemž využili všeobecně známá výchozí hesla správce. Následně GRU botnet přepracovala a prostřednictvím Moobotu nasadila své vlastní škodlivé nástroje. Tato taktika proměnila botnet v mocný nástroj kybernetické špionáže s celosvětovým dosahem. Při vyšetřování FBI odhalila množství nástrojů a artefaktů APT28, které byly vloženy do napadených směrovačů. Patřily mezi ně skripty v jazyce Python pro získávání přihlašovacích údajů k webmailu, programy pro krádež číslic NTLMv2 a vlastní směrovací pravidla určená k přesměrování phishingového provozu na vyhrazenou útočnou infrastrukturu.
V rámci operace „Dying Ember“ provedli agenti FBI soudem schválené akce k neutralizaci hrozby, kterou představovala GRU. Vzdáleně přistupovali ke kompromitovaným routerům a pomocí malwaru Moobot odstraňovali ukradená a škodlivá data a soubory. Kromě toho odstranili samotný malware Moobot a zablokovali vzdálený přístup, čímž zabránili další infiltraci ruskými kyberšpióny. Aby FBI dočasně znemožnila GRU přístup ke směrovačům, upravila pravidla brány firewall a omezila přístup ke vzdálené správě, aniž by narušila standardní funkce nebo ohrozila uživatelská data. Tato opatření byla sice dočasná, ale účinně přerušila vazby směrovačů na botnet Moobot. Je pozoruhodné, že Moobot je druhým botnetem, který FBI v roce 2024 narušila, a to po lednovém zničení KV-botnetu využívaného čínskými hackery ze státu Volt Typhoon.
V reakci na rostoucí kybernetické hrozby vydaly organizace CISA a FBI pokyny pro výrobce směrovačů SOHO, v nichž je vyzývají, aby posílili zabezpečení zařízení prostřednictvím bezpečných výchozích nastavení konfigurace a odstranili nedostatky webového rozhraní pro správu během vývoje. Zákeřné aktivity kyberšpionážní skupiny APT28 jsou dobře zdokumentované, včetně hackerského útoku na německý Spolkový sněm v roce 2015 a útoků na Demokratický kongresový výbor (DCCC) a Demokratický národní výbor (DNC) v roce 2016. Několik členů APT28 proto v říjnu 2020 čelilo sankcím ze strany Rady Evropské unie za svou roli v hackerském útoku na německý Spolkový sněm v roce 2015.
Americké ministerstvo obrany informovalo více než 26 000 osob o možném narušení dat, které se datuje rok zpátky
Ministerstvo obrany (DOD) aktivně informuje více než 26 000 současných a bývalých zaměstnanců, uchazečů o zaměstnání a partnerů o možném incidentu narušení dat z počátku roku 2023. Toto narušení, které bylo poprvé zjištěno v únoru 2023, odhalilo citlivé osobní údaje online a přimělo ministerstvo obrany k okamžitým opatřením. Oznámení z 1. února 2024, které vydala Agentura pro obranné zpravodajství (DIA), vyzývá dotčené osoby, aby se preventivně zaregistrovaly do služeb na ochranu proti krádeži identity poskytovaných vládou.
Podle dokumentu k narušení došlo mezi 3. únorem 2023 a 20. únorem 2023, kdy poskytovatel služeb ministerstva obrany neúmyslně vystavil četné e-mailové zprávy na internetu. Ačkoli neexistují žádné důkazy o zneužití, odhalené e-maily obsahovaly osobní údaje spojené s osobami spojenými s ministerstvem obrany, včetně zaměstnanců, podpůrného personálu a uchazečů o zaměstnání. PII zahrnuje různé datové prvky, jako jsou adresy, čísla sociálního zabezpečení, údaje o kreditních kartách a biometrické záznamy, které by mohly být potenciálně použity k identifikaci osob. Když jsme DIA požádali o komentář, odkázala dotazy na mluvčího Pentagonu, který odmítl zveřejnit totožnost dotčeného poskytovatele služeb. Mluvčí nicméně potvrdil, že narušení se týkalo více než 20 600 osob.
Pokud jde o bezpečnostní opatření v síti, mluvčí Pentagonu uvedl, že postižený server byl okamžitě identifikován a 20. února 2023 odstraněn z veřejného přístupu. Prodejce odpovědný za odhalení mezitím základní problémy vyřešil. Ministerstvo obrany ve spolupráci s poskytovatelem služeb podniklo kroky k pochopení incidentu a zmírnění budoucích rizik. To zahrnuje zavedení procesních úprav a zlepšení detekce anomálií a výstražných funkcí s cílem posílit prevenci a detekci kybernetických událostí. Oddělení pokračuje ve spolupráci s poskytovatelem služeb s cílem zlepšit opatření v oblasti kybernetické bezpečnosti. Snahy o informování dotčených osob pokračují, což zdůrazňuje závazek ministerstva obrany k transparentnosti a odpovědnosti při řešení kybernetických bezpečnostních incidentů. Jak je uvedeno v dopise zaslaném potenciálním obětem, DIA ujišťuje příjemce, že byla přijata komplexní opatření k řešení narušení a posílení protokolů kybernetické bezpečnosti.
Zpráva společnosti Symantec spojuje ransomware Alpha se zaniklou operací NetWalker
Bezpečnostní výzkumníci odhalili přesvědčivé důkazy, které spojují ransomware Alpha s již nefunkčním ransomwarem NetWalker a osvětlují možné podobnosti jejich nástrojů, taktik a postupů. NetWalker, nechvalně proslulá platforma ransomwaru jako služby (RaaS), se nechvalně proslavila mezi říjnem 2019 a lednem 2021, než zásah orgánů činných v trestním řízení uzavřel její temnou webovou infrastrukturu. Alpha ransomware, odlišný od ALPHV/BlackCat, se objevil v únoru 2023 a měl pozoruhodně nenápadný profil, nebyl výrazně viditelný na hackerských fórech a zdržel se rozsáhlých útočných kampaní.
Nedávný vývoj však přivedl společnost Alpha do centra pozornosti, zejména díky založení webu pro únik dat a zveřejnění ukradených souborů z narušených sítí. Vyděračský portál Alpha v současné době eviduje devět obětí, přičemž u osmi z nich již aktéři hrozby zveřejnili kompromitované údaje. Nejnovější iterace ransomwaru Alpha používá pro šifrované soubory náhodnou osmimístnou alfanumerickou příponu a obsahuje upravené poznámky s výkupným, které oběti odkazují, aby kontaktovaly aktéry hrozby prostřednictvím služeb pro zasílání zpráv. Hlášené požadavky na výkupné se pohybují od 0,272 BTC až po 100 000 USD, což odráží rozdíly související s velikostí podniku oběti.
Nápadné podobnosti mezi operacemi NetWalker a Alpha naznačují, že vývojáři Alpha možná navázali na kódovou základnu NetWalker nebo ji upravili. Případně mohla nová hrozba získat užitečné soubory NetWalker a použít je pro své kampaně ransomwaru. Ačkoli Alpha v současné době působí na poli ransomwaru v menším měřítku, jeho výskyt podtrhuje potřebu zvýšené ostražitosti organizací. Rozvíjející se povaha hrozeb ransomwaru podtrhuje důležitost důkladných opatření kybernetické bezpečnosti, která zmaří potenciální útoky a zmírní související rizika.
Lazarus Group se obrací na YoMix Bitcoin Mixer pro praní ukradených kryptoměn
Lazarus, nechvalně známý severokorejský hackerský kolektiv, který se proslavil jako organizátor mnoha významných kryptoměnových loupeží, změnil taktiku praní špinavých peněz a nyní využívá směšovač bitcoinů YoMix, aby zamaskoval původ ukradených prostředků. Nedávná zpráva společnosti Chainalysis, která se zabývá analýzou blockchainu, naznačuje, že Lazarus přizpůsobil své metody praní špinavých peněz v reakci na vládní sankce uvalené na několik služeb míchání bitcoinů, které tento aktér dříve využíval. Podle Chainalysis zaznamenal YoMix v průběhu roku 2023 výrazný nárůst finančních prostředků, který lze přičíst spíše aktivitě Lazara než obecnému nárůstu popularity.
Zapojení Lazarusu do krádeží kryptoměn je klíčovým aspektem jeho operací, které podle všeho slouží nejen k financování aktivit skupiny, ale také k financování severokorejského programu vývoje zbraní. Mezi nedávné významné krádeže kryptoměn, které Lazarus zorganizoval, patří hack sítě Ronin Network (Axie Infinity) z března 2022, který vynesl 625 milionů dolarů, hack sítě Harmony Horizon z června 2022 se ztrátou 100 milionů dolarů a loupež Alphapo z července 2023, při níž hackeři získali 60 milionů dolarů v kryptoměnách. Od ledna 2017 do prosince 2023 ukradly severokorejské hackerské skupiny, včetně Lazarus, Kimsuky a Andariel, dohromady přibližně 3 miliardy dolarů v kryptoměnách, jak uvádí zpráva společnosti Recorded Future. Tyto nelegálně získané zisky prošly různými službami míchání mincí, které obcházejí předpisy proti praní špinavých peněz a přijímají vklady i z peněženek označených za podezřelé aktivity. Přestože Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí identifikoval a sankcionoval platformy, které Lazarus dříve využíval k praní špinavých peněz, jako jsou Blender, Tornado Cash a Sinbad, skupina se neustále přizpůsobuje a přechází na nové služby.
Chainalysis identifikuje YoMix jako nejnovější platformu, kterou severokorejský aktér využívá k zamlžování stop ukradených prostředků v kryptoměnách. Neustále se vyvíjející taktika Lazarusu podtrhuje přetrvávající problém v boji proti kyberkriminalitě a zdůrazňuje zásadní význam důkladných opatření v oblasti kybernetické bezpečnosti a mezinárodní spolupráce pro zmírnění hrozeb, které představují státem sponzorované hackerské kolektivy.