Hlavní navigace

Postřehy z bezpečnosti: boje pokračují i ve virtuálním světě

7. 3. 2022
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
Ani tento týden se bohužel nelze vyhnout tématu války na Ukrajině. Budeme se ovšem věnovat i jiným tématům, například praktickému nasazení nového způsobu DDoS amplifikace či podloudnému trojanovi TeaBot.

Válka na Ukrajině z pohledu kyberbezpečnosti

Válka na Ukrajině pokračuje a nadále ji doprovází celá plejáda událostí, které jsou zajímavé z pohledu kyberbezpečnosti. Když jdete do boje, je dobré si vypnout mobilní telefony, jinak se může stát, že na Google Maps vytvoříte dopravní zácpu.

Neznámí útočníci se dle společnosti Proofpoint zaměřili na informace o pohybu ukrajinských uprchlíků a zásob, pomocí podvodných zpráv se pak pokusili evropským vládním představitelům zodpovědným za tuto problematiku nainstalovat do počítačů malware SunSeed.

Cybersecurity and Infrastructure Security Agency (CISA) a the Federal Bureau of Investigation (FBI) vydali společné doporučení v oblasti kybernetické bezpečnosti společné doporučení v oblasti kybernetické bezpečnosti, ve kterém varují, že útoky na dostupnost dat, které byly zaznamenány na Ukrajině se mohou zaměřit na cíle na celém světě. Není divu…

Společnost Microsoft v pondělí oznámila, že detekovala nové kolo ničivých kyberútoků namířených proti cílům na Ukrajině. Ty proběhly několik hodin před začátkem prvního raketového útoku minulý týden. Útok byl proveden s využitím nového malwaru, který byl pojmenován FoxBlade.

Další malware určený k mazání dat detekovala v nejmenované vládní síti na Ukrajině společnost ESET. Tento malware byl pojmenován IsaacWiper a společnost ESET předpokládá, že to nebylo poprvé, kdy byl použit, pouze zůstal nepovšimnut. Upozornění na tento nový malware vydal v tomto týdnu také NÚKIB.

Útoky se nevyhýbají ani webu, ukrajinské stránky běžící na WordPressu jsou pod masivním a komplexním útokem.

Ani druhá strana konfliktu však nezaostává. Anonymous vydali v tomto týdnu řadu vyjádření o údajných úspěšných útocích na cíle v Rusku a Bělorusku.

Za zajímavost stojí například údajný útok na běloruské dráhy, kdy cílem je zpomalit provoz vlaků a tím zbrzdit vývoj okupačních sil, případně útok na ruskou vesmírnou agenturu Roscosmos, který měl údajně vést k vyřazení satelitů. Podle ředitele této agentury je kyberútok na satelity válečným aktem.

Ukrajinský analytik v odvetě za podporu ruské invaze nejdříve zveřejnil tisíce interních zpráv z XMPP serveru skupiny stojící za ransomwarem Conti. Konverzace obsahuje informace o aktivitách skupiny včetně dosud neznámých obětí, bitcoinových adresách nebo URL adresách s uniklými privátními daty. V druhém kole pak stejný analytik zveřejnil i zdrojový kód ransomwaru Conti a komponent ovládacího panelu. Tématu se věnuje také server krebsonsecurity.com ve svém dvoudílném článku.

Ve válce mlčí nejen múzy, ale také weby. Ruský úřad pro dohled nad Internetem a komunikacemi Roskomnadzor ruské verzi Wikipedie pohrozil zablokováním, kvůli heslu o ruské invazi na Ukrajinu. Ve čtvrtek pak také Rusko údajně zablokovalo přístup ke službám jako je Facebook a Twitter.

Určité omezování informací nebo dezinformací na Internetu ovšem probíhá na všech stranách. Kvůli šíření dezinformací zakáže Evropská unie fungování Moskvou podporované stanice RT (dříve Russia Today) a internetového serveru Sputnik. T-Mobile, O2 a Vodafone v Česku od minulého týdne blokují dezinformační weby

V pátek nicméně prošel ruskou Státní dumou zákon, proti kterému je vše výše uvedené jen takové pošťuchování. Za šíření nepravdivých informací nyní bude v Rusku hrozit až 15 let vězení.

Naopak organizace RIPE a ICCAN odmítly požadavky na zrušení domén .ru a .su a na odebrání ruských IPv4 a IPv6 rozsahů.

Chyba v ransomwaru PartyTicket (HermeticRansom)

Během malwarových útoků na Ukrajinu, které se odehrály 23. února, byl použit také ransomware PartyTicket aneb HermeticRansom. Analýza kódu ukázala, že šifrování souborů na napadených systémech není dokonalé a že malware nesprávně inicializuje šifrovací klíč. Zašifrované soubory s koncovkou .encryptedJB je tedy možné rozšifrovat.

Zpráva z analýzy obsahuje jak YARA pravidlo určené k detekci ransomwaru, tak i script v jayzce Go, pomocí kterého lze zašifrované soubory dešifrovat.

Vzniká Sbírka IT, pomoz i Ty UA

Ocitáme se v konfliktu, kde digitální stránka hraje podobnou, ne-li stejnou roli jako pozemní síla. Proto vznikla iniciativa Tech Resistance a v rámci ní Sbírka IT pro Ukrajinu. Za podpory partnerů se vybírají notebooky, tablety, telefony a další elektronika na pěti sběrných místech s ambicí tuto síť rozšířit.

Repasované přístroje poputují přes Migrační konsorcium k těm, kteří utekli před konfliktem ze země, aby mohli zůstat ve spojení s domovem i mezi sebou navzájem, lépe našli práci a nastartovali nový život. Vybraná část sbírky naopak poputuje přímo na Ukrajinu, aby pomohla vytvořit technologické zázemí. Kromě sbírky pracuje iniciativa také na vzdělávání veřejnosti a programátorské výpomoci na míru.

Nová technika pro DDoS amplifikace v praxi

Ani ne šest měsíců poté, co byla možnost nového útoku představena v teorii, tu již máme první vlaštovky naznačující jeho využitelnost v praxi. Nová technika se nazývá TCP Middlebox reflection a zneužívá tzv. middleboxy (přijímáme návrhy na český překlad), které mají za úkol zablokovat vybrané stránky – například z důvodu firemní politiky. Využívá se zde toho, že middlebox zaregistruje například SYN paket jdoucí na zablokované stránky a sám vygeneruje odpověď tak, aby prohlížeč zobrazil informace o blokované stránce.

Z pohledu útočníka toužící o amplifikaci svého provozu se tak jedná o výborný zesilovač, který například na SYN packet s 33bajtovým payloadem vygeneruje 2156 bajtů dlouhou odpověď. Amplifikační faktor je tedy 65násobný. Podle všeho se tato metoda objevila v praxi poprvé 17. února a od té doby se stává stále oblíbenější. Pravděpodobně by bylo vhodné omezit middleboxy, aby své odpovědi posílaly pouze v rámci firemních sítí a nikoliv do internetu.

Odolný a maskovaný TeaBot

Bankovní trojan TeaBot, známý též jako Anatsa, má skutečně tuhý kořínek. Spolu s kamarádem Flubotem se objevil na scéně minulý rok a nehodlá za sebou jen tak zavřít dveře. Co naplat, že Google Play intenzivně skenuje aplikace, které nabízí. TeaBot nasadil zajímavou techniku, která se neskrývá přímo v aplikaci, ale v jejím updatu.

Takže když si uživatel instaluje hostitelskou aplikaci, jako jsou čtečka QR kódů nebo PDF dokumentů, vše je ještě v pořádku, žádný škodlivý kód se v ní nenachází. Úder přijde až po spuštění aplikace – uživatel je vyzván, aby stáhl update odkudsi z internetu… a pokud souhlasí, a řada uživatelů žel souhlasí, dílo je dokonáno. Pod pokličkou jej nosilo hned několik stovek aplikací z oficiálního Play Store.

Dva ransomware gangy na jednom cíli

Jisté kanadské zdravotnické zařízení zažilo velmi nešťastnou situaci. V listopadu 2021 se totiž útočníkům ze skupiny Karma podařilo získat přístup do jejich sítě skrze zranitelnost ProxyShell a nakazit celkem zhruba 20 strojů. Protože však útočníci detekovali, že se zřejmě jedná o zdravotnické zařízení, rozhodli se data „pouze“ ukrást (52 GB dat), ale nezašifrovat.

Na strojích zanechali zprávu s žádostí o výkupné. Krátce na to však (dříve než byl první incident vyřešen) skrze stejnou zranitelnost získala přístup jiná skupina – Conti. Ta však postupovala jinak a po extrakci dat (10 GB) skrze službu Mega stroje bez milosti zašifrovala a zanechala vyděračskou zprávu.

CS24_early

Metodika k hlášení kybernetického bezpečnostního incidentu

Národní úřad pro kybernetickou a informační bezpečnost vydal metodiku k hlášení kybernetického bezpečnostního incidentu. Dokument má za cíl stanovit, které případy narušení bezpečnosti informací lze považovat za taková narušení dostupnosti, důvěrnosti a integrity, která není nezbytně nutné hlásit na NÚKIB a jejichž hlášení nebude úřad vymáhat, což by mělo mít za cíl přinést větší právní jistotu a zvýšit počet hlášení kybernetických bezpečnostních incidentů, zejména těch nejvýznamnějších.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.