Hacktivisté útočí na kritickou infrastrukturu
Proruská hacktivistická skupina TwoNet přešla za méně než rok od provádění distribuovaných útoků narušení služby (DDoS) k útokům na kritickou infrastrukturu.
Nedávno se tato skupina přihlásila k útoku na vodárnu, která se ukázala být realistickým honeypotem zřízeným výzkumníky v oblasti kybernetických hrozeb speciálně za účelem sledování pohybů útočníků.
K narušení zařízení, které sloužilo jako návnada, došlo v září tohoto roku. Odhalilo, že se aktér přesunul od počátečního přístupu k destruktivní činnosti za přibližně 26 hodin.
Výzkumníci ze společnosti Forescout, která poskytuje řešení v oblasti kybernetické bezpečnosti pro podnikové IT a průmyslové sítě, sledovali činnost TwoNet v podvržené vodárně a všimli si, že hackeři zkoušejí výchozí přihlašovací údaje a získávají počáteční přístup v 8:22 ráno. Během prvního dne se skupina pokusila vypsat databáze v systému; podařilo se jim to na druhý pokus poté, co použili správnou sadu SQL dotazů pro daný systém.
Útočníci pokračovali vytvořením nového uživatelského účtu s názvem Barlati a na svou aktivitu upozornili zneužitím staré uložené zranitelnosti cross-site-scripting (XSS) sledované jako CVE-2021–26829. Následně využili bezpečnostní díru k vyvolání pop-up upozornění na rozhraní člověk-stroj (HMI), které zobrazilo zprávu „Hacked by Barlati“ (Napadeno Barlati). Poté deaktivovali aktualizace v reálném čase odstraněním připojených programovatelných logických kontrolérů (PLC) ze seznamu datových zdrojů a změnili nastavení PLC v HMI. Následující den v 11:19 zaznamenali výzkumníci Forescout poslední přihlášení útočníků.
Ačkoliv TwoNet původně vznikl jako další proruská hacktivistická skupina zaměřená na provádění DDoS útoků proti subjektům podporujícím Ukrajinu, nyní to vypadá, že se zaměřuje na více různých typů kybernetických útoků.
Na telegramovém kanálu útočníka Forescout zjistil, že se TwoNet pokusil zaútočit na rozhraní HMI nebo SCADA organizací kritické infrastruktury v „nepřátelských zemích“. Skupina také zveřejnila osobní údaje zpravodajských a policejních pracovníků, komerční nabídky kyberkriminálních služeb, jako je RaaS, hacker-for-hire nebo počáteční přístup k systémům SCADA v Polsku.
Výpadek Azure zablokoval nejen přístup k M365
Společnost Microsoft v minulém týdnu řešila výpadek, který postihl její síť pro doručování obsahu (CDN) Azure Front Door a bránil zákazníkům v přístupu k některým službám Microsoft 365.
Podle Redmondu incident začal kolem 07:40 UTC, kdy došlo ke zpožděním a časovým prodlevám v celé Evropě, Africe a na Středním východě při připojování k portálům Azure a Entra. Od té doby technické týmy společnosti restartovaly instance Kubernetes, jež způsobovaly ztrátu kapacity napříč instancemi AFD, aby je znovu uvedly do provozu.
V aktualizaci oficiální stránky stavu Azure, zveřejněné v 12:33 UTC (téměř pět hodin po potvrzení incidentu), společnost uvedla, že problémy s kapacitou Azure Front Door nyní postihují pouze asi 4 % zákazníků, kteří byli původně zasaženi. Následující den týmy společnosti vyřešily další několikahodinový výpadek, který bránil uživatelům po celém světě v přístupu ke službám Microsoft 365, včetně Exchange Online, Microsoft Teams a centra pro správu.
Ve čtvrtek 9. října Microsoft uvedl, že byl incident vyřešen a dotčené služby jsou plně obnoveny.
Crimson Collective útočí na cloudové instance AWS
Skupina Crimson Collective se v posledních týdnech zaměřuje na cloudová prostředí AWS (Amazon Web Services), aby ukradla data za účelem vydírání a finančního zisku.
Hackeři se přihlásili k odpovědnosti za nedávný útok na Red Hat a tvrdili, že odcizili 570 GB dat z tisíců soukromých repozitářů GitLab a vyvíjeli tlak na softwarovou společnost, aby zaplatila výkupné. Po odhalení incidentu se Crimson Collective spojil se skupinou Scattered Lapsus$ Hunters, aby zvýšil nátlak na Red Hat.
Analýza výzkumníků z Rapid7 poskytuje více informací o činnosti Crimson Collective, která zahrnuje kompromitaci dlouhodobých přístupových klíčů AWS a účtů pro správu identit a přístupů (IAM) za účelem eskalace oprávnění. Útočníci používají open-source nástroj TruffleHog k nalezení exponovaných přihlašovacích údajů AWS. Po získání přístupu vytvoří nové uživatele IAM a přihlašovací profily prostřednictvím volání API a vygenerují nové přístupové klíče.
Následuje eskalace oprávnění připojením zásady „AdministratorAccess“ k nově vytvořeným uživatelům, čímž Crimson Collective získá plnou kontrolu nad AWS.
Útočníci využívají této úrovně přístupu k výčtu uživatelů, instancí, úložišť, umístění, databázových klastrů a aplikací, aby naplánovali fázi sběru a exfiltrace dat. Upravují hlavní hesla RDS (Relational Database Service), aby získali přístup k databázi, vytvořili snímky a poté je exportovali do S3 (Simple Storage Service) za účelem exfiltrace prostřednictvím volání API.
Společnost Rapid7 také zaznamenala snímky svazků EBS (Elastic Block Store), po nichž následovalo spuštění nových instancí EC2 (Elastic Compute Cloud). Svazky EBS byly poté připojeny pod permisivními bezpečnostními skupinami, aby se usnadnil přenos dat.
Po dokončení tohoto kroku Crimson Collective zasílá obětem vyděračskou zprávu prostřednictvím služby AWS Simple Email Service (SES) v napadeném cloudovém prostředí, stejně jako na externí e-mailové účty. Výzkumníci poznamenávají, že Crimson Collective při krádežích dat využíval více IP adres a některé IP adresy i opakovaně při různých incidentech, což usnadnilo jejich sledování. Zároveň poznamenali, že velikost a složení Crimson Collective zůstává neznámé, avšak činnost této skupiny ani její vyděračské taktiky by neměly být ignorovány.
FBI uzavřela portál BreachForums
Americká FBI zabavila doménu BreachForums, kterou skupina ShinyHunters používala jako web pro vydírání v souvislosti s úniky dat při rozsáhlých útocích na Salesforce. Útočníci tvrdí, že orgány činné v trestním řízení také ukradly zálohy databáze tohoto notoricky známého hackerského fóra.
V úterý byly odpojeny jak veřejně přístupná stránka breachforums.hn pro únik dat, tak její protějšek v TOR. Zatímco stránka přístupná skrze TOR byla rychle obnovena, doména breachforums zůstala nepřístupná a její domény byly převedeny na jmenné servery Cloudflare, jež byly dříve používány pro domény zabavené vládou USA. Ve čtvrtek v noci FBI akci dokončila, přidala na web banner o zabavení a přepnula jmenné servery domény na ns1.fbi.seized.gov a ns2.fbi.seized.gov.
Kromě odstranění webu skupina ShinyHunters potvrdila, že orgány činné v trestním řízení získaly přístup k archivovaným databázím předchozích verzí hackerského fóra BreachForums a zabavily backendové servery. Ve zprávě na Telegramu, jejíž podpis klíčem PGP skupiny ShinyHunters potvrdil server BleepingComputer, útočníci uvedli, že zabavení bylo nevyhnutelné, a dodali, že „éra fór skončila“. Na základě analýzy provedené po zásahu orgánů činných v trestním řízení ShinyHunters dospěli k závěru, že všechny zálohy databáze BreachForums od roku 2023 byly kompromitovány, stejně jako všechny escrow databáze od posledního restartu.
Tým ShinyHunters uvedl, že nikdo z hlavního administrátorského týmu nebyl zatčen, ale že nezaloží další BreachForums, protože takové stránky by měly být od nynějška považovány za honeypoty. Kyberzločinci zdůraznili, že zabavení nemá vliv na jejich kampaň proti Salesforce a zveřejnění dat je stále naplánováno na pátek v 23:59 EST.
Na stránkách gangu věnovaných úniku dat je uveden dlouhý seznam společností, kterých se kampaň týká, mezi nimi FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel a IKEA. Podle hackerů ukradli více než miliardu záznamů obsahujících informace o jejich zákaznících.
Další zajímavosti
- Od phishingu po malware: AI se stává novou kybernetickou zbraní Ruska ve válce proti Ukrajině
- Čínští hackeři využívají open-source nástroj Nezha v nové vlně útoků
- LockBit, Qilin a DragonForce spojují síly, aby ovládly ekosystém ransomwaru
- Microsoft spojuje Storm-1175 s exploitem GoAnywhere, jenž nasazuje ransomware Medusa
- Oracle EBS pod palbou, Cl0p využívá CVE-2025–61882
- Čínská kyberkriminální skupina provozuje globální podvodnou síť SEO pomocí napadených serverů IIS
- OpenAI narušuje činnost ruských, severokorejských a čínských hackerů, kteří zneužívají ChatGPT ke kybernetickým útokům
- Odborníci varují před rozsáhlým narušením zabezpečení VPN SonicWall, které postihlo více než 100 účtů
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
