Vítejte na bezpečnostní neděli – 5. Týden. náš týdenní přehled událostí ze světa kybernetické bezpečnosti (29. ledna – 04. února 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Společnost AnyDesk odhalila narušení bezpečnosti; hesla byla resetována hackery

Společnost AnyDesk přiznala nedávný kybernetický průnik, který ohrozil integritu výrobních systémů společnosti. Podle informací, které získal server BleepingComputer, hackeři úspěšně pronikli do systému a odnesli si zdrojový kód i soukromé klíče pro podepisování kódu. AnyDesk, významné řešení pro vzdálený přístup, které usnadňuje vzdálené připojení k počítačům, je široce využíváno podniky pro úkoly, jako je vzdálená podpora a přístup ke kolokovaným serverům. Bohužel je také oblíbený u škodlivých aktérů, kteří se snaží získat trvalý přístup k napadeným sítím a zařízením.

Mezi klienty společnosti AnyDesk patří 170 000 subjektů, včetně významných jmen, jako jsou 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS a OSN. Přehled incidentu Podle prohlášení z pátečního pozdního odpoledne se společnost AnyDesk o narušení dozvěděla po zjištění neobvyklé aktivity na svých produkčních serverech. Následný komplexní bezpečnostní audit potvrdil kompromitaci, což společnost AnyDesk přimělo k zapojení odborníků na kybernetickou bezpečnost ze společnosti CrowdStrike, aby situaci zmírnili. Ačkoli se společnost AnyDesk zdržela zveřejnění konkrétních informací o exfiltraci dat, bylo potvrzeno, že pachatelé získali cenná aktiva, jako jsou zdrojové kódy a certifikáty pro podepisování kódu. Součástí scénáře narušení naštěstí nebyl ransomware. Nápravná opatření společnosti AnyDesk V reakci na narušení bezpečnosti společnost AnyDesk urychleně přijala nápravná opatření, zrušila napadené bezpečnostní certifikáty a provedla nezbytnou nápravu a výměnu systému. Společnost AnyDesk ujistila své zákazníky o bezpečnosti své platformy a potvrdila, že neexistují důkazy o napadení zařízení koncových uživatelů. „Můžeme potvrdit, že situace je pod kontrolou a používání aplikace AnyDesk je bezpečné. Ujistěte se prosím, že používáte nejnovější verzi s novým certifikátem pro podepisování kódu,“ sdělil AnyDesk ve veřejném prohlášení. Ačkoli společnost AnyDesk uvedla, že nedošlo k odcizení žádných ověřovacích tokenů, z preventivních důvodů byla všechna hesla pro její webový portál zneplatněna. Uživatelům doporučujeme, aby svá hesla aktualizovali, zejména pokud jsou opakovaně používána na více platformách. Společnost AnyDesk v reakci na dotazy týkající se narušení bezpečnosti ujistila, že její konstrukce zabraňuje krádeži ověřovacích tokenů relací, protože jsou omezeny na zařízení koncových uživatelů a složitě propojeny s otisky prstů zařízení. Společnost proto zdůraznila: „Nemáme žádné náznaky únosu relace, protože podle našich znalostí to není možné.“

Výzkumníci odhalili rizika vzdáleného zneužití v systémech řízení letadel

Nedávný výzkum odhalil potenciální zranitelnost systémů, které řídí bezpečné vzlety a přistání letadel, a vyvolal obavy z dálkové manipulace s kritickými letovými údaji. Ve scénáři připomínajícím napínavou scénu v letadle ve filmu Smrtonosná past 2 identifikovali výzkumníci zkoumající elektronické letové kufry (EFB) zranitelnosti v aplikaci používané piloty Airbusu. Tyto zranitelnosti mohou za určitých okolností umožnit vzdálenou manipulaci se základními údaji. Ačkoli byla dotyčná scéna ze Smrtonosné pasti smyšlená a následně výzkumníky před několika měsíci vyvrácena, možnost podobných zneužití zůstává předmětem obav. Na EFB, obvykle přenosných počítačích podobných tabletům, jsou umístěny specifické aplikace pro letectví, které mají pomáhat při různých úkolech v pilotní kabině a kabině, včetně výpočtů výkonnosti zaměřených na zlepšení provozu letadla.

Zjištěná zranitelnost se nachází v aplikaci Flysmart+ Manager, součásti sady Flysmart+, kterou piloti Airbusu používají k synchronizaci dat v různých aplikacích, jež jsou důležité pro bezpečné vzlety a přistání. Bylo zjištěno, že aplikace Flysmart+ Manager, vyvinutá společností NAVBLUE, dceřinou společností společnosti Airbus, vypnula zabezpečení přenosu aplikací (ATS) nastavením klíče seznamu vlastností NSAllowsArbitraryLoads na hodnotu „true“. ATS, základní bezpečnostní prvek, nařizuje používat protokol HTTPS, čímž je zabezpečena komunikace mezi aplikací a jejím aktualizačním serverem. Antonio Cassidy, partner společnosti Pen Test Partners, který se na výzkumu podílel, upozornil na důsledky: „Útočník by mohl tuto slabinu využít k zachycení a dešifrování potenciálně citlivých informací během přenosu.“ Navzdory zjištěné zranitelnosti by provedení útoku vyžadovalo přesné podmínky, včetně zachycení přenosu dat do aplikace. Dokonce i Ken Munro, další partner společnosti Pen Test Partners, připustil, že v reálném světě je úspěšné zneužití nepravděpodobné.

Operace Interpolu „Synergia“ zlikvidovala 1 300 serverů kybernetické kriminality

V rámci koordinovaného mezinárodního úsilí nazvaného „Synergie“ se donucovacím orgánům podařilo zlikvidovat více než 1 300 řídicích a kontrolních serverů využívaných v ransomwaru, phishingu a malwaru. Řídicí a kontrolní servery (C2) slouží jako klíčová zařízení, která aktéři hrozeb používají k dohledu nad operacemi malwaru a shromažďování dat přenášených z napadených zařízení. Tyto servery umožňují aktérům hrozeb nasazovat další užitečné soubory nebo spouštět příkazy na infikovaných zařízeních a vytvářejí tak kritickou infrastrukturu pro různé kybernetické útoky. V období od září do listopadu 2023 se operace Synergia, do níž se zapojilo 60 donucovacích orgánů z 55 zemí, zaměřila na řídicí a kontrolní servery spojené se škodlivými aktivitami a neutralizovala je. Přibližně 70 % identifikovaných serverů C2 spojených s ransomwarem, malwarem a phishingovými kampaněmi se podařilo úspěšně odstavit, čímž byly operace kyberzločinců výrazně omezeny.

Většina zabavených serverů se nacházela v Evropě, značný počet serverů byl vysledován v Singapuru a Hongkongu. V Africe se zvýšila aktivita v Jižním Súdánu a Zimbabwe, zatímco operace v Americe, zejména v Bolívii, byly rovněž zrušeny. Kromě odebrání serverů vedla Synergia k zadržení 31 osob podezřelých z účasti na počítačové kriminalitě a dalších 70 podezřelých bylo identifikováno. Orgány činné v trestním řízení provedly 30 domovních prohlídek a zabavily příslušné důkazy, které pomohou při probíhajícím vyšetřování. Bernardo Pillot, zástupce ředitele Interpolu pro kyberkriminalitu, zdůraznil význam tohoto společného úsilí a prohlásil: „Výsledky této operace, dosažené společným úsilím mnoha zemí a partnerů, dokazují naše neochvějné odhodlání chránit digitální prostor.“

Narušení zabezpečení Cloudflare: Kompromitace služby Okta vedla k neoprávněnému přístupu.

Společnost Cloudflare odhalila narušení bezpečnosti, při kterém podezřelý „útočník z národního státu“ pronikl na interní server Atlassian a získal přístup k wiki Confluence, databázi chyb Jira a systému pro správu zdrojového kódu Bitbucket. Podle generálního ředitele, technického ředitele a ředitele CISO společnosti Cloudflare útočník nejprve 14. listopadu pronikl na server Atlassian, který si společnost sama hostuje. Následně po provedení průzkumu pronikli do systémů Confluence a Jira. Útočníci se vrátili 22. listopadu a pomocí nástroje ScriptRunner for Jira získali trvalý přístup k serveru Atlassian společnosti Cloudflare. Poté získali přístup k systému pro správu zdrojového kódu (Atlassian Bitbucket) a neúspěšně se pokusili prolomit konzolový server s přístupem do datového centra společnosti Cloudflare v São Paulu, které ještě nebylo v provozu.

Útočníci využili jeden přístupový token a tři pověření k účtu služby, které byly ukradeny při narušení služby Okta v říjnu 2023 a které se společnosti Cloudflare nepodařilo otočit mezi tisíci napadenými. Společnost Cloudflare zjistila narušení 23. listopadu, 24. listopadu hackerovi ukončila přístup a 26. listopadu zahájila forenzní vyšetřování. V reakci na to společnost Cloudflare otočila všechna produkční pověření, fyzicky rozdělila testovací a stagingové systémy, provedla forenzní analýzu 4 893 systémů a obnovila a restartovala všechny systémy ve své globální síti, včetně serverů společnosti Atlassian. Ačkoli se útočníci pokusili prolomit datové centrum společnosti Cloudflare v São Paulu, jejich snaha byla neúspěšná. Veškeré vybavení v brazilském datovém centru bylo vráceno výrobci, aby byla zajištěna úplná bezpečnost. Úsilí o nápravu bylo ukončeno 5. ledna, ale společnost Cloudflare se nadále zaměřuje na posílení softwaru, správu pověření a zmírnění zranitelností.

Společnost Technica Corporation, podporovatel americké federální vlády, napadena skupinou Blackcat Ransomware Group

Při nedávném incidentu s kybernetickými hrozbami se známý gang ransomwaru známý jako ALPHV nebo Blackcat přihlásil k odpovědnosti za napadení společnosti Technica Corporation, která poskytuje podporu americké federální vládě. Společnost ALPHV na dark webu oznámila, že úspěšně exfiltrovala 300 GB dat, včetně tajných a přísně tajných dokumentů souvisejících s americkými zpravodajskými službami, jako je FBI. Skupina pohrozila, že pokud se s ní Technica okamžitě nespojí, údaje zveřejní nebo prodá. Ukázka ukradených dat, která obsahovala 29 dokumentů včetně smluv ministerstva obrany a osobních údajů zaměstnanců společnosti Technica, byla sdílena v příspěvku na temném webu. Daily Dot se obrátil na společnost Technica s žádostí o potvrzení, ale v době tisku nedostal žádnou odpověď. Brett Callow, analytik hrozeb ve společnosti Emsisoft, zdůraznil závažnost situace a zdůraznil, že na podobné incidenty by se nemělo pohlížet izolovaně. Exfiltrovaná data by mohla být spojena s informacemi z jiných narušení, čímž by se dopad ještě prohloubil. Nedávný útok společnosti ALPHV následoval po tom, co FBI a globální zpravodajské agentury minulý měsíc zrušily její domovskou stránku na temném webu. Přesto skupina rychle obnovila své stránky na jiném místě temného webu.

ALPHV se proslavila předchozími útoky na kasina v Las Vegas, které způsobily značné narušení provozu. Skupina se zaměřila také na kritickou infrastrukturu a zdravotnická zařízení, včetně klinik plastické chirurgie. FBI na dotaz ohledně údajného narušení a dokumentů, které ALPHV získala, neodpověděla. Nedávné narušení kybernetické bezpečnosti vyvolalo obavy z možného vyzrazení utajovaných informací. Odborníci zdůrazňují, že je důležité posuzovat tyto incidenty v širším kontextu, a upozorňují, že kombinace údajů z různých narušení může vést k závažnějším důsledkům, než se původně předpokládalo. Historie útoků ALPHV na různá odvětví podtrhuje nutnost zvýšených opatření v oblasti kybernetické bezpečnosti napříč odvětvími. Vývoj situace podtrhuje měnící se problémy, kterým organizace čelí při ochraně citlivých informací před stále sofistikovanějšími kybernetickými hrozbami. Přetrvávající hrozba, kterou představují skupiny ransomwaru, jako je ALPHV, zdůrazňuje, že organizace musí naléhavě posílit svou kybernetickou obranu a spolupracovat s orgány činnými v trestním řízení v boji proti rostoucí hrozbě kybernetických útoků na kritickou infrastrukturu a vládní instituce.

Ransomware Akira se stává hrozbou zaměřenou na severoamerické společnosti

V dynamickém prostředí kybernetické bezpečnosti čelí organizace naléhavé potřebě posílit svou obranu proti stále sofistikovanějším útokům ransomwaru. V popředí zájmu je Akira, nově identifikovaný kmen ransomwaru, který stojí v čele skupiny kybernetických protivníků vybavených pokročilou taktikou a vedených vysoce zkušenými osobami. Nedávná analýza dat z blockchainu a zdrojových kódů vynesla do centra pozornosti ransomware Akira a rychle upevnila jeho pozici jedné z nejrychleji rostoucích hrozeb v kybernetické oblasti. Její vzestup se připisuje šikovnému využití strategií dvojího vydírání, přijetí modelu distribuce ransomwaru jako služby (RaaS) a zavedení inovativních platebních mechanismů. Společnost Akira, která debutuje v březnu 2023, se zaměřila na společnosti ve Spojených státech a Kanadě. Pozoruhodný je zejména fakt, že charakteristická stránka Tor leak, která podle zprávy společnosti Sophos připomíná „konzole se zelenou obrazovkou z 80. let“, vyžaduje od uživatelů zadávání specifických příkazů pro navigaci v rozhraní – což je vlastnost, která vzbuzuje pozornost v kruzích kybernetické bezpečnosti.

Na zajímavosti přidává i to, že navzdory společné příponě .akira pro šifrované soubory se nová Akira z hlediska základního kódu jen málo podobá svému jmenovci z roku 2017. Tento vývoj podtrhuje dynamickou povahu kybernetických hrozeb, kdy se staří protivníci znovu objevují s novými taktikami a vylepšeným modem operandi. Ransomware Akira, původně objevený týmem MalwareHunterTeam, vykazuje po aktivaci významnou funkci – systematicky maže stínové kopie svazků systému Windows v infikovaném zařízení. Navíc objevující se spojení mezi skupinou ransomwaru Akira a již zaniklým gangem ransomwaru Conti naznačují možnou příslušnost. Předpokládá se, že Conti, proslulá jako jedna z nejznámějších rodin ransomwaru v poslední době, se vyvinula z vysoce cíleného ransomwaru Ryuk, který označuje linii plodných kybernetických hrozeb. Tato složitá spojení poukazují na adaptivní povahu kybernetických hrozeb a na neutuchající snahu zločineckých organizací vyvíjet a rozšiřovat své škodlivé aktivity.

Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.