Vítejte u bezpečnostní neděli – 10. týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (04.03 – 10.03 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Ruští hackeři ukradli zdrojový kód a některá tajemství zákazníků Microsoftu
Společnost Microsoft v pátek odhalila, že Kremlem podporovaná skupina známá jako Midnight Blizzard (a také jako APT29 nebo Cozy Bear) dokázal získat přístup k některým úložištím zdrojových kódů a interním systémům po hackerském útoku, který vyšel najevo v lednu 2024.
„V posledních týdnech jsme zaznamenali důkazy, že Midnight Blizzard využívá informace původně exfiltrované z našich firemních e-mailových systémů k získání nebo pokusu o získání neoprávněného přístupu,“ uvedl Microsoft
Společnost Redmond, která pokračuje ve vyšetřování rozsahu narušení, uvedla, že útočník se pokouší využít různé typy nalezených tajemství, včetně těch, která byla sdílena mezi zákazníky a společností Microsoft prostřednictvím e-mailu.
Neprozradila však, o jaká tajemství se jedná, ani rozsah kompromitace, ačkoli uvedla, že přímo oslovila postižené zákazníky. Není jasné, k jakému zdrojovému kódu byl získán přístup.
Společnost Microsoft uvedla, že zvýšila své investice do zabezpečení, a dále poznamenala, že protivník v únoru až desetinásobně zvýšil útoky sprejováním hesel ve srovnání s „již velkým objemem“ zaznamenaným v lednu.
MiTM phishingový útok může útočníkům umožnit odemknutí a krádež vozu Tesla
Výzkumníci předvedli, jak by mohli provést phishingový útok typu Man-in-the-Middle (MiTM) a kompromitovat tak účty Tesla, odemknout auta a nastartovat je. Útok funguje na nejnovější aplikaci Tesla verze 4.30.6 a na softwaru Tesla verze 11.1 2024.2.7.
V rámci tohoto útoku bezpečnostní výzkumníci Talal Haj Bakry a Tommy Mysk registrují nový „telefonní klíč“, který lze použít k přístupu do Tesly.
Výzkumníci svá zjištění oznámili společnosti Tesla s tím, že propojení vozu s novým telefonem postrádá řádné zabezpečení autentizace.
Útočník na dobíjecí stanici Tesla nasadil Wi-Fi síť s názvem „Tesla Guest“, což je SSID, které se běžně vyskytuje v servisních střediscích Tesla a majitelé vozů ho znají.
Mysk použil k vysílání sítě WiFi zařízení Flipper Zero, ale poznamenává, že totéž lze provést pomocí počítače Raspberry Pi nebo jiných zařízení, která jsou vybavena funkcí WiFi hotspot.
Jakmile se oběť připojí k podvržené síti, zobrazí se jí falešná přihlašovací stránka Tesla s žádostí o přihlášení pomocí přihlašovacích údajů k účtu Tesla. Cokoli oběť na podvodné stránce zadá, může útočník vidět na zařízení Flipper Zero v reálném čase.
Po zadání přihlašovacích údajů k účtu Tesla si podvodná stránka vyžádá jednorázové heslo k účtu, aby útočník mohl obejít dvoufaktorovou ochranu.
Útočník se musí přesunout před vypršením platnosti OTP a přihlásit se do aplikace Tesla pomocí ukradených přihlašovacích údajů. Po vstupu do účtu může útočník sledovat polohu vozidla v reálném čase.
Přidání nového klíče
Přístup k účtu Tesla oběti umožňuje útočníkovi přidat nový „telefonní klíč“.
Mysk říká, že přidání nového klíče Phone Key prostřednictvím aplikace nevyžaduje, aby byl vůz odemčený nebo aby byl chytrý telefon uvnitř vozidla, což představuje značnou bezpečnostní mezeru.
Aby toho nebylo málo, po přidání nového klíče Phone Key nedostane majitel Tesly prostřednictvím aplikace žádné oznámení o této skutečnosti a na dotykovém displeji vozu se nezobrazí žádné upozornění.
S novým Phone Key může útočník odemknout vůz a aktivovat všechny jeho systémy, což mu umožní odjet, jako by byl majitelem.
Mysk uvádí, že útok je úspěšný na Tesla Model 3. Ve zprávě pro automobilku výzkumník uvádí, že unesený účet Tesla musí patřit hlavnímu řidiči a že vozidlo již musí být propojeno s telefonním klíčem.
Výzkumníci tvrdí, že požadavek na fyzický Tesla Card Key při přidávání nového Phone Key by zvýšil bezpečnost přidáním autentizační vrstvy pro nový telefon.
Hackeři při phishingových útocích kradou ověřovací hesla NTLM systému Windows
Hackerská skupina známá jako TA577 nedávno změnila taktiku a pomocí phishingových e-mailů ukradla ověřovací hashe NT LAN Manageru (NTLM), aby mohla provést únos účtu.
Společnost Proofpoint, která se zabývá zabezpečením elektronické pošty, dnes uvádí, že ačkoli v poslední době zaznamenala, že TA577 projevuje přednostní nasazení Pikabota, dvě nedávné vlny útoků ukazují jinou taktiku.
Odlišné kampaně TA577 spuštěné 26. a 27. února 2024 rozeslaly tisíce zpráv do stovek organizací po celém světě a zaměřily se na NTLM hashe zaměstnanců.
Hesla NTLM se v systému Windows používají k ověřování a zabezpečení relací a lze je zachytit pro offline prolomení hesla a získat tak heslo v otevřeném textu.
Kromě toho je lze použít při útocích typu „pass-the-hash“
Ukradené hashe mohou za určitých okolností a v závislosti na zavedených bezpečnostních opatřeních umožnit útočníkům zvýšit svá oprávnění, zmocnit se účtů, získat přístup k citlivým informacím, vyhnout se bezpečnostním produktům a pohybovat se v prolomené síti bokem.
Společnost Proofpoint uvádí, že samotné omezení přístupu hostů k serverům SMB nezmírňuje útok TA577, protože využívá automatické ověřování externího serveru, které obchází potřebu přístupu hostů.
Potenciálně účinným opatřením může být konfigurace brány firewall tak, aby blokovala všechna odchozí spojení SMB (typicky porty 445 a 139) a zastavila odesílání hashů NTLM.
Dalším ochranným opatřením by bylo zavedení filtrování e-mailů, které blokuje zprávy obsahující zazipované soubory HTML, protože ty mohou při spuštění vyvolat připojení k nebezpečným koncovým bodům.
Je také možné nakonfigurovat „Zabezpečení sítě: Omezit NTLM: Odchozí provoz NTLM na vzdálené servery‘ zásady skupiny Windows, aby se zabránilo odesílání hashů NTLM. To by však mohlo vést k problémům s ověřováním proti legitimním serverům.
Pro organizace používající systém Windows 11 zavedla společnost Microsoft další bezpečnostní funkci pro uživatele systému Windows 11, která blokuje útoky založené na NTLM přes SMB, což by bylo účinné řešení.
Nový malware Golang se zaměřuje na Docker, Hadoop, Redis a Confluence
Hackeři se zaměřují na špatně nakonfigurované servery s Apache Hadoop YARN, Docker, Confluence nebo Redis pomocí nového malwaru založeného na jazyku Golang, který automatizovaně zjišťuje a kompromituje hostitele.
Výzkumníci společnosti Cado Security, která se zabývá forenzní analýzou cloudu analyzovali užitečné soubory použité při útocích, skripty bash a binární soubory Golang ELF.
Výzkumníci poznamenávají, že sada narušení je podobná dříve nahlášeným cloudovým útokům, z nichž některé jsou připisovány skupinám jako TeamTNT, WatchDog a Kiss-a-Dog.
Útok začali vyšetřovat poté, co obdrželi první upozornění na přístup k honeypotu Docker Engine API, přičemž na serveru byl spuštěn nový kontejner založený na systému Alpine Linux.
V dalších krocích se útočník spoléhá na několik shellových skriptů a běžné techniky útoku na Linux, aby nainstaloval cryptominer, vytvořil perzistenci a nastavil reverzní shell.
Podle výzkumníků hackeři nasadili sadu čtyř nových Golang payloadů, které jsou zodpovědné za identifikaci a zneužití hostitelů se službami Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) a Redis (c.sh).
Více než 225 000 kompromitovaných loginů do ChatGPT je na prodej na darknet marketech
Podle nových zjištění společnosti Group-IB bylo od ledna do října 2023 na nelegálních trzích k prodeji více než 225 000 záznamů obsahujících přihlášení do OpenAI ChatGPT.
Tato přihlášení byla nalezena v rámci záznamů o krádeži informací spojených s malwarem LummaC2, Raccoon a RedLine stealer.
Mezi červnem a říjnem 2023 bylo infiltrováno více než 130 000 unikátních hostitelů s přístupem k OpenAI ChatGPT, což představuje 36% nárůst oproti tomu, co bylo zaznamenáno během prvních pěti měsíců roku 2023.
Mezi tři nejčastější infostealery patří LummaC2 – 70 484 hostitelů, Raccoon – 22 468 hostitelů, RedLine – 15 970 hostitelů
Bývalý inženýr Googlu zatčen za krádež tajemství technologie AI pro Čínu
Ministerstvo spravedlnosti USA oznámilo obvinění 38letého čínského státního příslušníka a obyvatele Kalifornie z údajné krádeže chráněných informací společnosti Google při tajné práci pro dvě čínské technologické společnosti.
Linwei Ding (alias Leon Ding), bývalý inženýr společnosti Google, který byl zatčen 6. března 2024, „převedl citlivá obchodní tajemství společnosti Google a další důvěrné informace ze sítě společnosti Google na svůj osobní účet a zároveň se tajně spojil se společnostmi se sídlem v Číně působícími v odvětví umělé inteligence,“ uvedlo DoJ.
Obviněný údajně odcizil ze společnosti Google více než 500 důvěrných souborů obsahujících obchodní tajemství umělé inteligence (AI) s cílem předat je dvěma nejmenovaným čínským společnostem, které chtějí získat náskok v probíhajícím závodě v oblasti AI.
„Linwei Ding byl sice zaměstnán jako softwarový inženýr ve společnosti Google, ale tajně pracoval na obohacení sebe a dvou společností se sídlem v Čínské lidové republice,“ uvedl americký státní zástupce Ismail Ramsey.
Ding, který nastoupil do společnosti Google jako softwarový inženýr v roce 2019, byl obviněn z odčerpávání chráněných informací týkajících se infrastruktury superpočítačových datových center společnosti používaných pro provoz modelů umělé inteligence, softwaru Cluster Management System (CMS) pro správu datových center a modelů umělé inteligence a aplikací, které podporovaly.
Ke krádeži docházelo od 21. května 2022 do 2. května 2023 na osobní účet Google Cloud, tvrdí obžaloba a dodává, že Ding se tajně spojil se dvěma technologickými společnostmi se sídlem v Číně.
Ding byl obviněn ze čtyř případů krádeže obchodního tajemství. V případě odsouzení mu hrozí maximální trest 10 let vězení a pokuta až 250 000 dolarů za každý bod obžaloby.
Společnost VMware opravuje kritické chyby úniku ze sandboxu v systémech ESXi, Workstation a Fusion
Společnost VMware vydala bezpečnostní aktualizace opravující kritické zranitelnosti v produktech VMware ESXi, Workstation, Fusion a Cloud Foundation, které umožňují útočníkům uniknout z virtuálních počítačů a získat přístup k hostitelskému operačnímu systému.
Tyto typy chyb jsou kritické, protože by mohly útočníkům umožnit získat neoprávněný přístup k hostitelskému systému, kde je nainstalován hypervizor, nebo získat přístup k jiným virtuálním počítačům běžícím na stejném hostiteli a narušit tak jejich izolaci.
V doporučení jsou popsány čtyři zranitelnosti, sledované jako CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 a CVE-2024-22255, se skóre CVSS v3 v rozmezí od 7,1 do 9,3, všechny však s hodnocením kritické závažnosti.
Praktickým řešením pro zmírnění problémů CVE-2024-22252, CVE-2024-22253 a CVE-2024-22255 je odebrání řadičů USB z virtuálních počítačů podle pokynů dodaných výrobcem. Všimněte si, že to může mít v některých konfiguracích vliv na připojení klávesnice, myši a klíče USB.
Stojí za zmínku, že společnost VMware vzhledem k závažnosti zranitelností zpřístupnila opravy zabezpečení pro starší verze ESXi (6.7U3u), 6.5 (6.5U3v) a VCF 3.x.
Nakonec výrobce k bulletinu zveřejnil často kladené dotazy, v nichž zdůrazňuje důležitost včasného záplatování a poskytuje pokyny pro plánování reakce a implementaci řešení/oprav pro konkrétní produkty a konfigurace.
Společnost VMware nezaznamenala ani neobdržela žádné zprávy naznačující aktivní zneužití těchto čtyř chyb. Správcům systémů se doporučuje přihlásit se k odběru e-mailové konference VMSA pro proaktivní upozornění v případě, že se stav zneužití změní.
QEMU emulátor zneužit jako tunel k průniku do firemní sítě
Během kybernetického útoku zaměřeného na nejmenovanou „velkou společnost“ bylo zjištěno, že útočníci využívají open-source emulátor hardwaru QEMU jako tunelovací software pro připojení k její infrastruktuře.
„Zjistili jsme, že QEMU podporuje připojení mezi virtuálními počítači: volba -netdev vytváří síťová zařízení (backend), která se pak mohou připojit k virtuálním počítačům,“ uvedli výzkumníci společnosti Kaspersky Grigorij Sablin, Alexander Rodčenko a Kirill Magaskin.
„Každé z mnoha síťových zařízení je definováno svým typem a podporuje další možnosti.“
Jinými slovy, jde o vytvoření virtuálního síťového rozhraní a síťového rozhraní typu socket, které umožní virtuálnímu počítači komunikovat s libovolným vzdáleným serverem.
Společnost Kaspersky uvedla, že se jí podařilo pomocí QEMU vytvořit síťový tunel z interního hostitele v rámci podnikové sítě, který neměl přístup k internetu, na hostitele s přístupem k internetu, který se připojil k serveru útočníka v cloudu se spuštěným emulátorem.
Zjištění ukazují, že útočníci neustále diverzifikují své útočné strategie, aby spojili svůj škodlivý provoz s legitimní aktivitou.
Kritická chyba Fortinet FortiOS CVE-2024-21762 může mít dopad na 150 000 zařízení připojených k internetu.
V únoru společnost Fortinet varovala, že kritická zranitelnost RCE identifikovaná jako CVE-2024-21762 (CVSS skóre 9,6) v systému FortiOS SSL VPN byla aktivně zneužívána.
Jedná se o zranitelnost typu out-of-bounds write, kterou lze zneužít odesláním speciálně vytvořených požadavků HTTP do zranitelných instancí. Výrobce doporučuje jako řešení vypnout SSL VPN.
Zranitelnost out-of-bounds write v systému FortiOS může vzdálenému neautentifikovanému útočníkovi umožnit spuštění libovolného kódu nebo příkazu prostřednictvím speciálně vytvořených požadavků HTTP.
