Vítejte u Security Sunday – Week 1. našeho týdenního shrnutí ze světa cybersecurity (01. 01. – 07. 01. 2024).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Hacker se zmocnil účtu RIPE společnosti Orange Spain a způsobil zmatek v BGP
Společnost Orange Spain dnes utrpěla výpadek internetu poté, co hacker pronikl do účtu RIPE společnosti a chybně nastavil směrování BGP a konfiguraci RPKI. Směrování provozu na internetu zajišťuje protokol BGP (Border Gateway Protocol), který umožňuje organizacím přiřadit své IP adresy k číslům autonomních systémů (AS) a inzerovat je ostatním směrovačům, ke kterým jsou připojeny, tzv. peerům. Tyto vytvářejí routing tabulku, která se šíří do všech ostatních okrajových routrů v internetu a umožňuje sítím nalézt nejlepší trasu pro odeslání provozu na určitou IP adresu. Pokud však nepoctivá síť oznámí rozsahy IP obvykle spojené s jiným číslem AS, je možné tyto rozsahy IP zneužít k přesměrování provozu na škodlivé webové stránky nebo sítě. Podle společnosti Cloudflare je to možné, protože protokol BGP je postaven na důvěře a routing tabulka se aktualizuje podle toho, který inzerent má nejkratší a konkrétnější trasu.
Aby se tomu zabránilo, byl vytvořen nový standard nazvaný RPKI (Resource Public Key Infrastructure), který funguje jako kryptografické řešení únosu protokolu BGP. „RPKI je kryptografická metoda podepisování záznamů, které spojují oznámení trasy BGP se správným číslem AS původu,“ vysvětluje článek o RPKI ve společnosti Cloudflare. Povolením RPKI u směrovacího orgánu, jako je ARIN nebo RIPE, může síť kryptograficky potvrdit, že číslo AS a přidružené IP adresy mohou inzerovat pouze směrovače pod její kontrolou. Aktér jménem „Snow“ včera prolomila účet RIPE společnosti Orange Spain a na Twitteru ji vyzval, aby jej kontaktovala ohledně získání nových pověření. Od té doby útočník upravil číslo AS přiřazené k IP adresám společnosti a povolil na nich neplatnou konfiguraci RPKI. Ohlášení IP adres na cizím čísle AS a následné povolení RPKI účinně způsobilo, že tyto IP adresy již nebyly na internetu správně ohlašovány.
„Jak vidíme, to, co udělali, bylo vytvoření některých záznamů ROA /12, které v podstatě udávají, kdo je autoritou nad prefixem (tj. AS, který jej může oznamovat),“ řekl BleepingComputeru Felipe Cañizares, technický ředitel ze společnosti DMNTR Network Solutions.
„Ty seskupily prefixy /22 a /24 oznámené společností Orange Spain, což znamená, že AS, který by měl tento prefix oznámit, je AS49581 (Ferdinand Zink obchodující jako Tube-Hosting).“
„Do účtu Orange v koordinačním centru sítě IP (RIPE) došlo k nesprávnému přístupu, který ovlivnil prohlížení některých našich zákazníků. Služba je prakticky obnovena,“ uvedl Orange Spain na Twitteru. „Potvrzujeme, že v žádném případě nedošlo k ohrožení dat našich klientů, ovlivnilo to pouze navigaci některých služeb.“
USA obvinily 19 podezřelých spojených s tržištěm kybernetické kriminality xDedic
Americké ministerstvo spravedlnosti oznámilo ukončení nadnárodního vyšetřování kybernetického tržiště xDedic na dark webu a obvinilo 19 podezřelých z účasti na provozování a využívání služeb tohoto tržiště. Mezinárodní operace, na níž se podílely orgány činné v trestním řízení ze Spojených států, Belgie, Ukrajiny, Německa a Nizozemska s podporou Europolu a Eurojustu, vedla v lednu 2019 k zabavení domén a infrastruktury společnosti xDedic. Orgány činné v trestním řízení v době zabavení odhadovaly, že podvodné činnosti zprostředkované prostřednictvím kybernetického trhu xDedic dosáhly celkové výše více než 68 milionů USD. Před svým uzavřením provozovali správci xDedic servery po celém světě a k utajení umístění svých serverů a totožnosti kupujících, prodávajících a správců používali platby v kryptoměnách. Společnost xDedic umožňovala uživatelům nakupovat ukradené přihlašovací údaje k napadeným serverům po celém světě a osobní údaje obyvatel USA.
„Celkem xDedic nabízel k prodeji více než 700 000 kompromitovaných serverů, z toho nejméně 150 000 ve Spojených státech a nejméně 8 000 na Floridě,“ uvedlo ministerstvo spravedlnosti. Oběti, jejichž informace byly prodány na trhu, pocházely z různých odvětví a míst po celém světě, včetně místních, státních a federálních vládních subjektů, nemocnic, univerzit, metropolitních dopravních úřadů, účetních a právních firem a penzijních fondů.
12 z 19 podezřelých, kteří byli obviněni na základě mezinárodního vyšetřování činnosti společnosti xDedic, již bylo odsouzeno, pět má být odsouzeno a dva čekají na vydání ze Spojeného království. Dva administrátoři xDedic, Moldavan Alexandru Habasescu a Ukrajinec Pavlo Kharmanskyi, byli odsouzeni k 41 a 30 měsícům vězení poté, co byli v roce 2022 zatčeni na španělských Kanárských ostrovech a v roce 2019 na mezinárodním letišti v Miami. Habasescu byl také hlavním vývojářem a technickým mozkem trhu, zatímco Charmanskyi byl tím, kdo platil administrátory, poskytoval podporu kupujícím a propagoval webové stránky pro kybernetickou kriminalitu.
„Prodejce na tržišti Dariy Pankov, ruský státní příslušník, byl jedním z největších prodejců na tržišti podle objemu, uvedl na prodej přihlašovací údaje více než 35 000 kompromitovaných serverů umístěných po celém světě a získal více než 350 000 dolarů v nezákonných výnosech,“ dodalo ministerstvo spravedlnosti. Nigerijský státní příslušník Allen Levinson byl na tržišti plodným kupcem, který se zajímal zejména o nákup přístupů k certifikovaným účetním firmám se sídlem v USA. „Informace, které z těchto serverů získal, použil k podání stovek falešných daňových přiznání vládě Spojených států a požádal o podvodné vrácení daně ve výši více než 60 milionů dolarů.“ Levinson byl po zadržení ve Spojeném království a vydání do Spojených států v roce 2020 odsouzen k 78 měsícům federálního vězení.
V loňském roce orgány činné v trestním řízení v rámci mezinárodní operace orgánů činných v trestním řízení s krycím názvem Spector rovněž zabavily trh s ukradenými pověřeními Genesis a zatkly 288 prodejců a kupců drog na dark webu. V červnu FBI zabavila hackerské fórum BreachForums poté, co v březnu zatkla jeho majitele Connora Briana Fitzpatricka (alias Pompompurina). V neposlední řadě vedla v prosinci mezinárodní policejní operace vedená Interpolem k zatčení 3 500 kyberzločinců a zabavení 300 milionů dolarů, zatímco německá policie zabavila Kingdom Market, dark webový trh, který obchodoval s nástroji pro kyberzločin, drogami a falešnými vládními průkazy.
Nigerijský hacker zatčen za krádež 7,5 milionu dolarů z charitativních organizací
V Ghaně byl zatčen nigerijský státní příslušník, který čelí obvinění v souvislosti s útoky na obchodní e-maily (BEC), kvůli nimž charitativní organizace ve Spojených státech přišla o více než 7,5 milionu dolarů. Olusegun Samson Adejorin byl zatčen 29. prosince za podvod na dvou charitativních organizacích v Marylandu a New Yorku, jak uvádí osmičlenná obžaloba federální poroty v USA. Konkrétně Adejorin čelí obvinění z podvodu, krádeže identity s přitěžujícími okolnostmi a neoprávněného přístupu k chráněnému počítači v souvislosti s útoky zaměřenými na dvě charitativní organizace se sídlem v Marylandu, které vyvrcholily zpronevěrou 7,5 milionu dolarů. V oznámení z tohoto týdne americké ministerstvo spravedlnosti (DoJ) uvádí, že k Adejorinovu podvodnému schématu došlo mezi červnem a srpnem 2020 a zahrnovalo neoprávněný přístup k e-mailovým účtům i vydávání se za zaměstnance charit.
K úspěšnému zpracování výběrů nad 10 000 dolarů používal Adejorin ukradené přihlašovací údaje k odesílání e-mailů z účtů zaměstnanců, kteří museli transakce schválit. Po těchto akcích Adejorin úspěšně podvedl oběť 1, aby převedla 7,5 milionu dolarů na bankovní účty, které útočník ovládal, zatímco organizace se domnívala, že tyto částky vkládá na legitimní bankovní účty oběti 2. Adejorinovi hrozí maximální trest 20 let za bankovní podvod, pět let za neoprávněný přístup k chráněnému počítači a povinný trest dva roky za krádež identity s přitěžujícími okolnostmi. V oznámení amerického ministerstva spravedlnosti se rovněž uvádí, že trest může být prodloužen o sedm let za zlomyslnou registraci a používání doménového jména. Útoky BEC, známé také jako CEO podvody, mohou mít za následek značné finanční škody. Zpráva FBI z loňského léta uvádí, že kompromitace podnikové elektronické pošty způsobila ztráty v řádu miliard amerických dolarů.
Mezi rozumná obranná opatření, která je třeba zvážit, patří zavedení vícefaktorového ověřování, které sníží pravděpodobnost neoprávněného přístupu k účtu, používání filtrování e-mailů k odhalování a blokování pokusů o phishing a zavedení ověřovacího postupu, který je základem žádostí o bankovní převod a zahrnuje použití sekundárního komunikačního kanálu. Pokud se setkáte s podezřelými požadavky, jako je změna údajů o bankovním účtu, může pouhé zavolání partnerovi na předem určené číslo a potvrzení akce pomoci zachránit miliony.
Kyberšpionážní kampaň Sea Turtle se zaměřuje na nizozemské IT a telekomunikační společnosti
Telekomunikace, média, poskytovatelé internetových služeb (ISP), poskytovatelé informačních technologií (IT) a kurdské webové stránky v Nizozemsku se staly terčem nové kyberšpionážní kampaně, kterou podniká hrozba Türkiye-nexus známá jako Sea Turtle. „Infrastruktura cílů byla náchylná k útokům na dodavatelské řetězce a ostrovní útoky, které útočná skupina využívala ke shromažďování politicky motivovaných informací, jako jsou osobní údaje o menšinových skupinách a potenciálních politických odpůrcích,“ uvedla v páteční analýze nizozemská bezpečnostní firma Hunt & Hackett.
„Odcizené informace budou pravděpodobně využity ke sledování nebo shromažďování zpravodajských informací o konkrétních skupinách a/nebo jednotlivcích.“ Sea Turtle, známý také pod jmény Cosmic Wolf, Marbled Dust (dříve Silicon), Teal Kurma a UNC1326, byl poprvé zdokumentován společností Cisco Talos v dubnu 2019, která podrobně popsala státem sponzorované útoky zaměřené na veřejné a soukromé subjekty na Blízkém východě a v severní Africe. Předpokládá se, že aktivity spojené s touto skupinou probíhaly od ledna 2017 a využívaly především únos DNS k přesměrování potenciálních cílů, které se pokoušely zadat dotaz na konkrétní doménu, na server ovládaný aktérem, který byl schopen získat jejich přihlašovací údaje. „Kampaň Sea Turtle téměř jistě představuje vážnější hrozbu než DNSpionage, vzhledem k metodice, kterou aktér používá při útocích na různé registrátory a registry DNS,“ uvedla tehdy společnost Talos.
Koncem roku 2021 společnost Microsoft poznamenala, že protivník provádí sběr zpravodajských informací s cílem naplnit strategické turecké zájmy ze zemí, jako je Arménie, Kypr, Řecko, Irák a Sýrie, a útočí na telekomunikační a IT společnosti s cílem „vytvořit si oporu před požadovaným cílem“ prostřednictvím zneužití známých zranitelností. Minulý měsíc pak bylo odhaleno, že protivník používá jednoduchý reverzní TCP shell pro systémy Linux (a Unix) s názvem SnappyTCP při útocích prováděných v letech 2021-2023, jak uvádí tým PricewaterhouseCoopers (PwC) Threat Intelligence. „Webový shell je jednoduchý reverzní TCP shell pro Linux/Unix, který má základní [příkazové a řídicí] funkce a pravděpodobně se také používá k vytvoření persistence,“ uvedla společnost. „Existují přinejmenším dvě hlavní varianty; jedna, která využívá OpenSSL k vytvoření zabezpečeného spojení přes TLS, zatímco druhá tuto schopnost vynechává a požadavky odesílá v čistém textu.“
Nejnovější zjištění společnosti Hunt & Hackett ukazují, že Sea Turtle je i nadále skrytou skupinou zaměřenou na špionáž, která provádí techniky vyhýbání se obraně, aby unikla pod radarem a sklízela e-mailové archivy. Při jednom z útoků zaznamenaných v roce 2023 byl jako počáteční přístupový vektor k nasazení SnappyTCP do systému použit kompromitovaný, ale legitimní účet cPanel. V současné době není známo, jak útočníci získali přihlašovací údaje. „Pomocí nástroje SnappyTCP odeslal aktér hrozby do systému příkazy k vytvoření kopie e-mailového archivu vytvořeného pomocí nástroje tar ve veřejném webovém adresáři webové stránky, která byla přístupná z internetu,“ poznamenala firma. „Je vysoce pravděpodobné, že aktér hrozeb exfiltraci e-mailového archivu provedl stažením souboru přímo z webového adresáře.“
Pro zmírnění rizik, která takové útoky představují, se organizacím doporučuje prosazovat zásady silných hesel, zavést dvoufaktorové ověřování (2FA), omezit míru pokusů o přihlášení, aby se snížila pravděpodobnost pokusů o hrubou sílu, monitorovat provoz SSH a udržovat všechny systémy a software v aktuálním stavu.
Link: https://thehackernews.com/2024/01/sea-turtle-cyber-espionage-campaign.html
SpectralBlur: Nová backdoor hrozba pro macOS od severokorejských hackerů
Výzkumníci v oblasti kybernetické bezpečnosti objevili nový backdoor do systému Apple macOS nazvaný SpectralBlur, který se překrývá se známou rodinou malwaru, která je připisována severokorejským aktérům. „SpectralBlur je středně schopný backdoor, který dokáže nahrávat/stahovat soubory, spouštět shell, aktualizovat svou konfiguraci, mazat soubory, hibernovat nebo uspávat na základě příkazů vydaných z [příkazového a řídicího serveru],“ uvedl bezpečnostní výzkumník Greg Lesnewich. Tento malware sdílí podobnosti s KANDYKORN (alias SockRacket), pokročilým implantátem, který funguje jako trojský kůň pro vzdálený přístup schopný převzít kontrolu nad napadeným hostitelem. Stojí za zmínku, že aktivita KANDYKORN se protíná také s jinou kampaní organizovanou podskupinou Lazarus známou jako BlueNoroff (aka TA444), která vrcholí nasazením backdooru označovaného jako RustBucket a pozdní fáze payloadu nazvaného ObjCShellz.
V posledních měsících bylo pozorováno, že aktér hrozby kombinuje různé části těchto dvou infekčních řetězců a využívá droppery RustBucket k doručení KANDYKORN. Nejnovější zjištění jsou další známkou toho, že severokorejští aktéři hrozeb se stále častěji zaměřují na systém macOS, aby infiltrovali vysoce hodnotné cíle, zejména ty v odvětví kryptoměn a blockchainu. „TA444 se s novými rodinami malwaru pro macOS stále rychle a zběsile rozjíždí,“ řekl Lesnewich. Bezpečnostní výzkumník Patrick Wardle, který se podělil o další poznatky o vnitřním fungování SpectralBlur, uvedl, že binární soubor Mach-O byl do služby pro skenování malwaru VirusTotal nahrán v srpnu 2023 z Kolumbie. Funkční podobnosti mezi KANDYKORN a SpectralBlur vyvolaly možnost, že je mohli vytvořit různí vývojáři s ohledem na stejné požadavky. To, čím malware vyniká, jsou jeho pokusy ztížit analýzu a vyhnout se detekci, přičemž využívá grantpt k nastavení pseudoterminálu a spuštění příkazů shellu přijatých ze serveru C2.
Odhalení přichází v době, kdy bylo v roce 2023 objeveno celkem 21 nových rodin malwaru určených pro systémy macOS, včetně ransomwaru, programů pro krádež informací, trojských koní pro vzdálený přístup a malwaru podporovaného národními státy, oproti 13 identifikovaným v roce 2022. „S pokračujícím růstem a popularitou systému macOS (zejména v podnikové sféře!) přinese rok 2024 jistě spoustu nového malwaru pro macOS,“ poznamenal Wardle.
Link: https://thehackernews.com/2024/01/spectralblur-new-macos-backdoor-threat.html