Vítejte u Security Sunday – Week 38, našeho týdenního shrnutí bezpečnosti IT (18. 9. – 24. 9. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Hotely varují před podvodníky: Pozor na falešné stránky Booking.com
Kyberbezpečnostní specialisté odhalili novou formu útoku, kdy se hackeři dostávají do systémů hotelů a cestovních agentur s cílem získat citlivé finanční informace zákazníků. Tito kyberzločinci vytvořili sofistikovaný mechanismus, který zahrnuje vytvoření falešné platební stránky podobající se Booking.com.
Tato metoda začíná infekcí interních systémů hotelu či agenturu, což následně umožňuje útočníkovi komunikovat s opravdovými klienty pod značkou kompromitované společnosti. Tím pádem je snazší přesvědčit oběti ke kliknutí na podvodné odkazy. Ačkoliv tyto útoky jsou sofistikovanější a mohou snadněji přelstít i technicky zdatné uživatele, stále platí základní doporučení v oblasti kyberbezpečnosti: ověřovat pravost komunikace a vyvarovat se klikání na neznámé odkazy. Pokud se Vám odkaz zdá podezřelý, doporučuje se kontaktovat hotel přímo pro ověření zda se jedná o legitimní žádost.
Etičtí hackeři odhalili únik 38TB dat Microsoftu prostřednictvím Azure Storage
Nedávno došlo k úniku dat společnosti Microsoft v důsledku nesprávného sdílení otevřených tréninkových dat na GitHubu týmem výzkumníků v oblasti AI. Microsoft na tuto zranitelnost, která odhalila ohromujících 38TB soukromých dat z oddělení pro výzkum AI, rychle reagoval.
Zranitelnost odhalili etičtí hackeři z bezpečnostní firmy Wiz, když 22. června 2023 objevili sdílitelný odkaz využívající tokeny Azure Statistical Analysis System. Během dvou dnů byl tento token deaktivován a následně nahrazen. Problém vznikl nesprávným zacházením s tokeny Shared Access Signature (SAS) v Azure, určenými pro sdílení souborů.
Díky této chybě mohli hackeři přistoupit k úložišti obsahujícímu zálohy disků dvou bývalých zaměstnanců a interní komunikaci na platformě Microsoft Teams. Celkem se jednalo o 38TB citlivých informací, mezi kterými byly hesla, soukromé klíče a tréninková data AI.
Je důležité zdůraznit, že žádná zákaznická data nebyla kompromitována a žádné další služby Microsoftu nebyly ohroženy. Wiz ve svém blogovém příspěvku upozorňuje na potřebu bezpečného sdílení dat v éře rozšířeného výzkumu AI a doporučuje těsnou spolupráci mezi bezpečnostními týmy a vývojáři.
Ami Luttwak, spoluzakladatel a technický ředitel společnosti Wiz, podotkl, že s rostoucím využitím AI roste i množství dat a je zásadní zajistit bezpečnost tohoto procesu.
Ransomwarová skupina BlackCat napadla úložiště Azure pomocí šifrátoru Sphynx
Pracovníci společnosti Sophos X-Ops zjistili, že útočníci ze skupiny BlackCat použili novou variantu šifrovacího nástroje Sphynx s přidanou podporou pro použití vlastních přihlašovacích údajů.
Poté, co útočníci získali přístup k účtu oběti pomocí ukradeného jednorázového hesla (OTP), vypnuli ochranu proti neoprávněné manipulaci se soubory a upravili bezpečnostní zásady. Tyto akce byly možné díky odcizení OTP klíče z LastPass trezoru oběti pomocí rozšíření LastPass Chrome.
Následně útočníci zašifrovali systémy zákazníka společnosti Sophos a vzdálené cloudové úložiště Azure a ke všem uzamčeným souborům připojili příponu .zk09cvt. Celkem se provozovatelům ransomwaru podařilo úspěšně zašifrovat 39 účtů úložiště Azure.
Společnost Microsoft minulý měsíc také zjistila, že nový šifrovací nástroj Sphynx obsahuje hackerský nástroj Remcom a síťový framework Impacket pro pohyb v napadených sítích.
Skupinu BlackCat si můžete pomatovat například z minulého dílu Security Sunday, kde jsme informovali o útoku na síť MGM Resorts, kterou na 10 dní ochromil útok ransomware skupiny BlackCat.
Hackeři minulý týden prolomili systémy Mezinárodního trestního soudu
Mezinárodní trestní soud (ICC) v úterý informoval o kybernetickém útoku. „Koncem minulého týdne zjistily bezpečnostní služby Mezinárodního trestního soudu anomálii v síťovém provozu, která ovlivnila jeho informační systémy. Byla přijata okamžitá opatření v reakci na tento kybernetický bezpečnostní incident a ke zmírnění jeho dopadů.“ uvedl ICC.
ICC rovněž nastínil plány na zintenzivnění úsilí o posílení své kyberbezpečnostní ochrany, včetně urychlení zavádění cloudových technologií.
V současné době nejsou k dispozici žádné informace o rozsahu povahy kybernetického útoku a jeho dopadu na systémy soudu ani o tom, zda se pachatelům podařilo získat přístup k nějakým datům nebo souborům z jeho sítě nebo je z ní exfiltrovat.
Soud pouze sdělil, že „pokračuje v analýze a zmírňování dopadu tohoto incidentu“ a zaměřuje se na „zajištění pokračování hlavní činnosti soudu“.
Hackeři skupiny APT36 infikují zařízení se systémem Android pomocí klonů aplikace YouTube
Hackerská skupina APT36 alias „Transparent Tribe“ infikuje zařízení se systémem Android pomocí klonů aplikace YouTube. Jakmile je malware CarpaRAT nainstalován v zařízení oběti, může sbírat data, nahrávat audio a video nebo přistupovat k citlivým komunikačním informacím, a v podstatě funguje jako špionážní nástroj.
APT36 je skupina napojená na Pákistán, který je známý tím, že používá škodlivé nebo okleštěné aplikace pro systém Android k útokům na indické obranné a vládní subjekty a aktivisty za lidská práva v Pákistánu.
Tuto nejnovější kampaň zaznamenala společnost SentinelLabs, která varuje osoby a organizace spojené s armádou nebo diplomacií v Indii a Pákistánu, aby si dávaly velký pozor na aplikace YouTube pro Android hostované na webech třetích stran.
Zranitelnosti
- Společnost Trend Micro opravuje zranitelnost zero-day zranitelnosti svých zařízení
- Tisíce firewallů Juniper Junos jsou stále otevřené k únosům, kód pro zneužití je dostupný všem
- Nový malware SprySOCKS Linux používaný při kyberšpionážních útocích
- Společnost Fortinet opravuje zranitelnosti s vysokou závažností v produktech FortiOS, FortiProxy a FortiWeb
- Zranitelnosti systému Nagios XI: Závažné riziko pro organizace
- GitLab vydává naléhavé bezpečnostní záplaty pro kritickou zranitelnost
- Společnost QNAP vydává kritické aktualizace zabezpečení
- Mimořádné aktualizace společnosti Apple opravují 3 nové zero-days zranitelnosti
Kybernetický útok
- Špionážní skupina podezřelá z narušení energetické sítě
- Kyberzločinci se zaměřují na školy, ty bohužel nejsou připravené
- Crypto burza CoinEx hacknuta
- Proruská skupina zaútočila na kanadskou vládu pomocí DDoS útoků
- FBI a CISA vydávají společné varování před ransomwarem „Snatch“
- Největší indická technologická centra jsou označována za ohniska kybernetické kriminality