Vítejte u bezpečnostní neděli – 9. týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (26.02 – 03.03 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Chyba v kernelu systému Windows opravená minulý měsíc je od srpna zneužívána jako zero-day
Společnost Microsoft v únoru řešila kritickou zranitelnost jádra systému Windows spočívající ve zvýšení oprávnění, a to po šesti měsících od upozornění na její zneužití jako hrozby nultého dne.
Bezpečnostní mezeru označenou jako CVE-2024-21338 objevil vedoucí výzkumník malwaru společnosti Avast Jan Vojtěšek v ovladači appid.sys nástroje Windows AppLocker. V srpnu byla okamžitě nahlášena společnosti Microsoft jako aktivně zneužívaná zranitelnost nultého dne.
Zranitelnost se týká celé řady operačních systémů včetně několika verzí Windows 10 a Windows 11, včetně nejnovějších verzí, a také Windows Server 2019 a 2022. Podle společnosti Microsoft umožňuje úspěšné zneužití této zranitelnosti místním útočníkům zvýšit oprávnění na úroveň SYSTEM při málo složitých útocích, které nevyžadují interakci uživatele. „Pro zneužití této zranitelnosti by se útočník musel nejprve přihlásit do systému. Útočník by pak mohl spustit speciálně vytvořenou aplikaci, která by zranitelnost zneužila a převzala kontrolu nad postiženým systémem,“ uvádí Redmond. Společnost Microsoft vydala záplatu pro tuto zranitelnost 13. února a ve středu 28. února aktualizovala poradenství, čímž potvrdila zneužití chyby CVE-2024-21338 ve volné přírodě. Zdrželo se však zveřejnění konkrétních podrobností o útocích. Společnost Avast informovala server BleepingComputer, že severokorejští hackeři Lazarus State využívají tuto chybu jako zero-day nejméně od srpna 2023. Jejich cílem bylo získat přístup na úrovni jádra a deaktivovat bezpečnostní nástroje, a vyhnout se tak odhalení pomocí méně nápadných technik BYOVD.
„Z pohledu útočníka otevírá přechod z administrátora do jádra zcela nové možnosti. S přístupem na úrovni jádra může útočník narušit bezpečnostní software, skrýt indikátory infekce (včetně souborů, síťové aktivity, procesů atd.), zakázat telemetrii v režimu jádra, vypnout zmírnění a další,“ vysvětluje Avast. Lazarus navíc tuto chybu využil k vytvoření primitivu pro čtení a zápis v jádře, což aktualizované verzi rootkitu FudModule umožnilo provádět přímou manipulaci s objekty jádra.|
Tato nová verze modulu FudModule se může pochlubit významnými vylepšeními v oblasti utajení a funkčnosti a obsahuje nové a aktualizované techniky rootkitů, které umožňují vyhnout se detekci a deaktivovat bezpečnostní ochrany, jako jsou AhnLab V3 Endpoint Security, Windows Defender, CrowdStrike Falcon a HitmanPro.
Německo zlikvidovalo Crimemarket, hlavní tržiště kybernetické kriminality.
Výsledkem operace bylo zatčení šesti osob, včetně jednoho z provozovatelů platformy. Crimemarket, uznávaný jako největší německy mluvící platforma pro nelegální obchodování, sloužil jako ústřední centrum pro výměnu nelegálních drog, narkotik a služeb v oblasti kyberkriminality. Kromě toho poskytovala návody a průvodce pro různé trestné činnosti. Zásah následuje po rozsáhlém vyšetřování trvajícím několik let, které vyvrcholilo identifikací provozovatelů platformy a mnoha uživatelů.
„Orgány činné v trestním řízení v Německu i v zahraničí zahájily v rámci spolupráce akci proti největší německy mluvící platformě pro obchodování se zločinem na internetu,“ uvádí se ve strojově přeloženém oznámení.
V rámci této operace bylo 29. února 2024 večer po celé zemi současně provedeno 102 příkazů k domovní prohlídce. Hlavní pozornost se soustředila na Severní Porýní-Vestfálsko, kde došlo ke třem zatčením, včetně zatčení 23letého muže, který je považován za hlavního podezřelého. K dalším třem zatčením došlo v jiných federálních státech. Policie zabavila řadu důkazů, včetně mobilních telefonů, IT zařízení a datových nosičů. Jen v Severním Porýní-Vestfálsku úřady zabavily drogy v 21 případech, včetně 1 kilogramu marihuany a různých tablet extáze. Zabavena byla také hotovost a movitý majetek v hodnotě téměř 600 000 eur. Operace byla zaměřena nejen na provozovatele Crimemarketu, ale také na jeho uživatele, přičemž vyšetřování stále probíhá.
Konec Crimemarketu začal zprávami o problémech s přístupností na začátku týdne, kdy se uživatelé potýkali s potížemi při přihlašování, přestože stránky zůstaly online.
O výpadku kolovaly zvěsti, které ho spojovaly se zátahem na ChipMixer, službu pro praní špinavých peněz, kterou platforma využívá. Někteří naznačovali, že vyšetřování infrastruktury ChipMixeru mohlo ohrozit správce Crimemarketu, „Evolution“.
Dnešní oznámení policie potvrzuje, že problémy s přístupností stránek byly skutečně důsledkem zásahu orgánů činných v trestním řízení, a nikoli technických problémů.
Útoky ransomwaru na zdravotnická zařízení v posledních měsících prudce rostou
Tyto útoky ztížily péči o pacienty a ztížily přístup k životně důležitým lékům na předpis. Mezi nejzávažnější události roku 2024 patří útok na dceřinou společnost UnitedHealth Group, Change Healthcare, který měl dalekosáhlé důsledky pro infrastrukturu zdravotní péče v USA. Útok byl připsán skupině BlackCat ransomware, kterou společnost UnitedHealth oficiálně uznala za pachatele. Change Healthcare slouží jako platforma pro elektronickou výměnu plateb, kterou využívají lékaři, lékárníci a nemocnice pro podávání žádostí o vyúčtování v rámci americké zdravotní péče. Útok vedl k vážnému narušení provozu společnosti Change Healthcare, zejména ovlivnil schopnost lékáren zpracovávat faktury za léky na předpis. V důsledku toho nesou hlavní tíhu přerušení provozu pacienti, kteří jsou často nuceni platit plnou cenu za své léky až do obnovení běžného provozu. Vzhledem k tomu, že náklady na některé léky jsou neúměrně vysoké, čelí mnoho pacientů značné finanční zátěži. Krizi ještě zhoršuje skutečnost, že skupina BlackCat, známá také pod názvem ALPHV, tvrdí, že během útoku odnesla 6 TB dat společnosti Change Healthcare, která obsahovala citlivé osobní údaje milionů lidí.
V reakci na rostoucí hrozbu vydaly FBI, CISA a HHS společné doporučení, ve kterém varují nemocnice před hrozící hrozbou útoků BlackCat. Rick Pollack, prezident a generální ředitel Americké asociace nemocnic (AHA), zdůraznil závažnost situace: „Kybernetický útok na společnost Change Healthcare, který začal 21. února, je nejzávažnějším incidentem svého druhu namířeným proti americké zdravotnické organizaci.“ Dále zdůraznil probíhající dialogy se skupinou UnitedHealth Group a federální vládou a zdůraznil kritické důsledky dlouhodobého narušení systémů Change Healthcare. Takové narušení by mohlo narušit schopnost nemocnic a zdravotnických systémů plnit finanční závazky, včetně platů lékařů, nákupu základních léků a materiálu a financování důležitých smluvních prací v oblastech, jako je fyzická bezpečnost, stravování a environmentální služby.
Golden Corral, významný americký řetězec restaurací, odhalil únik dat, který postihl přibližně 180 000 osob
Narušení, které bylo zjištěno 15. srpna 2023, narušilo některé podnikové operace. Vyšetřování odhalilo, že útočník získal přístup ke konkrétním systémům a získal různé osobní údaje v období od 11. srpna 2023 do 15. srpna 2023. Následná analýza odhalila, že kompromitované údaje zahrnují jména, čísla sociálního zabezpečení, čísla řidičských průkazů, údaje o finančních účtech, zdravotní informace, údaje o zdravotním pojištění a pověření. Po důkladném přezkoumání společnost Golden Corral uzavřela rozsah narušení a do 26. ledna 2024 zjistila adresní údaje dotčených osob. Společnost neprodleně zahájila úsilí o informování potenciálně dotčených stran a regulačních orgánů, které začalo 16. února. Celkem bylo postiženo více než 183 000 osob, což společnost Golden Corral přimělo informovat úřad generálního prokurátora státu Maine.
Ačkoli neexistují žádné důkazy o zneužití kompromitovaných údajů, společnost Golden Corral doporučuje postiženým osobám, aby zůstaly ostražité vůči krádeži identity a kontrolovaly výpisy z účtů a vysvětlení dávek, zda nedošlo k podezřelé aktivitě. Pro zmírnění možných rizik nabízí řetězec restaurací postiženým osobám bezplatný přístup ke službám sledování úvěruschopnosti a poradenství v oblasti ochrany před krádeží identity a podvody. Navzdory těmto opatřením čelí společnost Golden Corral hromadným žalobám kvůli porušení předpisů. Zájem projevilo několik advokátních kanceláří zabývajících se právy spotřebitelů, což tento týden vedlo k podání nejméně tří žalob u východního okresního soudu Severní Karolíny. Jedna žaloba podaná bývalým zaměstnancem tvrdí, že společnost Golden Corral zanedbala zavedení odpovídajících bezpečnostních opatření, přestože si byla vědoma možných rizik spojených se shromažďovanými osobními údaji.
Organizace kritické infrastruktury ve Spojených státech jsou v pohotovosti před útoky ransomwaru Phobos
Phobos, který je v provozu od května 2019, funguje v rámci modelu ransomwaru jako služby (RaaS) a od organizací, které se staly oběťmi, vylákal miliony dolarů.Společné poradenství vydané CISA, FBI a MS-ISAC upozorňuje na spojení Phobosu s variantami ransomwaru, jako jsou Backmydata, Devos, Eight, Elking a Faust. Útočníci používají taktiky, jako jsou phishingové e-maily, aby doručili škodlivé soubory, včetně zadních vrátek SmokeLoader, které usnadňují nasazení Phobosu a exfiltraci dat. Útoky Phobos běžně začínají phishingovými e-maily, které obsahují nástroje pro skenování IP adres a identifikaci zranitelných portů protokolu RDP (Remote Desktop Protocol), na které se následně zaměří útoky hrubou silou. K navázání spojení v napadených sítích se pak používají nástroje pro vzdálený přístup. Byly zaznamenány podvržené přílohy e-mailů, které přinášejí škodlivý náklad, zatímco kyberzločinci využívají legitimní spustitelné soubory k nasazení dalšího nákladu a obcházení síťové ochrany. Průzkum, sběr pověření a zjišťování se provádí pomocí nástrojů s otevřeným zdrojovým kódem, jako jsou Bloodhound, Mimikatz a NirSoft.
Bylo zjištěno, že Phobos maže zálohy dat, aby zmařil snahy o obnovu, a šifruje všechny připojené logické jednotky v cílových počítačích. Vyděračské taktiky zahrnují e-maily, hlasové hovory a aplikace pro zasílání rychlých zpráv. Kompromitované organizace jsou uvedeny na stránkách založených na Toru, které hostují údajně ukradená data. Poradenství obsahuje indikátory kompromitace (IoC), které mají organizacím pomoci identifikovat potenciální kompromitaci ransomwarem Phobos, spolu s doporučenými opatřeními na zmírnění následků. FBI, CISA a MS-ISAC vyzývají organizace, aby zavedly tato opatření a minimalizovaly tak pravděpodobnost a dopad ransomwaru Phobos a dalších ransomwarových incidentů.
Objevena nová varianta trojského koně pro vzdálený přístup (RAT) Bifrost pro Linux, která využívá klamavou doménu připomínající VMware
Bifrost, RAT identifikovaný před dvaceti lety, zůstává jednou z nejtrvalejších hrozeb, která proniká do systémů prostřednictvím škodlivých e-mailových příloh nebo webů, kde se shromažďují citlivá data. Nedávná pozorování výzkumníků z jednotky 42 společnosti Palo Alto Networks odhalila zvýšenou aktivitu Bifrostu, což vedlo k hloubkovému vyšetřování, které odhalilo tuto skrytější variantu. Nejnovější vzorky Bifrostu, které analyzovali výzkumníci z Unit 42, přinášejí vylepšení operačních a únikových schopností malwaru. Za prvé, server C2 (command and control) používá doménu „download.vmfare[.]com“, která se podobá legitimní doméně VMware, čímž se vyhýbá odhalení při kontrole. Toto klamavé rozlišení domény, které umožňuje veřejný DNS resolver na Tchaj-wanu, komplikuje sledování a blokování. Technicky je binární soubor malwaru zkompilován ve formě stripu bez ladicích informací nebo tabulek symbolů, což zvyšuje složitost analýzy.
Bifrost shromáždí název hostitele, IP adresu a ID procesu oběti, zašifruje je pomocí šifrování RC4 a přenese je do C2 prostřednictvím nově vytvořeného soketu TCP. Zpráva Unit 42 navíc upozorňuje na vznik verze Bifrostu pro ARM, která vykazuje podobné funkce jako analyzované vzorky x86. Tento vývoj naznačuje záměr útočníků rozšířit své útoky na architektury založené na ARM, které jsou v různých prostředích stále rozšířenější. Ačkoli Bifrost nepatří mezi nejsofistikovanější hrozby, zjištění týmu jednotky 42 zdůrazňují potřebu zvýšené ostražitosti. Vývojáři RAT jej zřejmě zdokonalují do podoby skrytější hrozby, která je schopna zasáhnout širší škálu systémových architektur.