Hlavní navigace

Postřehy z bezpečnosti: Kostěj je opravdu nesmrtelný

24. 5. 2021
Doba čtení: 5 minut

Sdílet

 Autor: koláž CESNET-CERTS
V dnešních postřezích se přesvědčíme, že Kostěj má opravdu tuhý kořínek, přestaneme číst knihy, zjistíme, že v bílých oblacích se může schovávat mnoho temných mraků a necháme se také spolehlivě identifikovat.

Temná strana východu nekončí

Jak jsme psali v minulých Postřezích, začátkem května útočníci nechvalně známé ruské skupiny Darkside Ransomware vyřadili největší americký ropovod US Colonial Pipeline. Výkonný ředitel společnosti Joseph Blount potvrdil deníku The Wall Street Journal, že za obnovením provozu ropovodu po šestidenním výpadku stojí zaplacení výkupného ve výši 75 bitcoinů (což činilo 8. května 4,4 mil. dolarů).

Blount přiznal, že nebylo snadné provést tento kontroverzní krok, ale je si jistý, že udělal správnou věc pro USA, neboť dodávky paliva byly v celé zemi ochromeny a bylo potřeba jednat co nejrychleji. Podle neoficiálních zpráv od zdroje blízkému US CP bohužel útočníci po přijetí platby zaslali tak úmyslně pomalý dešifrovací nástroj, že bylo systémy částečně stejně nutné obnovit ze záloh, jinak by se Američané svého paliva hned tak nedočkali. Vedení společnosti tuto zprávu odmítlo komentovat.

Krátce po zahájení postupného obnovování provozu ropovodu se začaly v ransomwarovém podsvětí dít zajímavé věci. Nejprve se ve čtvrtek 13. 5. v noci ruskojazyčné kyberzločinecké fórum XSS rozhodlo, že ransomwarové aktivity přestane z geopolitických důvodů podporovat, neboť generují příliš mnoho PR. Poslední tečkou prý bylo prohlášení Putinova tiskového tajemníka, který byl donucen vydat ospravedlnění, že jakkoliv to Rusku lichotí, nemá s útoky na americký plynovod nic společného. Veškeré skupiny provozující RaaS (Ransomware as a Service) dostaly zákaz nadále vyvíjet na XSS své aktivity a druhý den ráno na to byly z fóra odstraněny všechny příspěvky od Darksidu.

Po té konkurenční skupina REvil přeposlala příspěvek Darksidu z jiného ruského fóra Exploit, tou dobou již také smazaný, sdělující, že Darkside končí, neboť ztratil SSH přístupy ke svým platebním serverům, DOS serverům a blogu. Peníze Darksidu a jeho klientů byly prý následně převedeny neznámo kým a neznámo kam.

Média o tom ihned přinesla zprávu a začala bilancovat o kolik miliónů (90 dolarů) z kolika peněženek (47) postižených společností Darside připravil. REvil na základě toho zavedl pravidla pro své členy:

  • nebude se útočit na zdravotnictví a vzdělávací instituce
  • nebude se útočit na státní infrastrukturu žádného státu
  • každý útok podléhá předchozímu schválení vedení REvilu

Odborníci na bezpečnost ze společnosti FlashPoint se domnívají, že příspěvek na fóru Exploit, který navíc hned zmizel, byl falešný a Darkside ve skutečnosti o nic nepřišel. Hned den na to totiž Toshiba potvrdila, že její evropské pobočky byly ochromeny útokem. Tentokrát šlo o kompromitování 740 GB citlivých dat včetně jejich zašifrování ransomwarem a Darkside se k akci ve svém příspěvku přiznal. Bezpečnostní odborníci, kteří použitý malware zkoumají, naznačili, že tento i další úspěchy vyděračů má na svědomí větší zranitelnost podnikové sítě způsobené domácí prací zaměstnanců v období lockdownu.

Knihovna v ohrožení

Kybernetický útok zatím nezveřejněné povahy se opět nevyhnul ani České republice. V noci ze 17. na 18. května byly napadeny systémy Národní knihovny. Provoz výpůjčního systému byl ochromen na celý týden, databáze digitálních knihoven Kramerius byly odstaveny na několik dnů. Národní knihovna podala trestní oznámení na neznámého pachatele.

Černá mračna se valí googlí oblohou

Cloudové služby jsou čím dál tím větším hitem a firmy je rády využívají. Kyberzločinci samozřejmě v ničem nezůstávají pozadu a velice rychle si služby populárních infrastruktur zejména Googlu a Microsoftu oblíbili. V úložištích Office 365, Azure, OneDrive, SharePoint, G-Suite a Firebase a dalších se to tedy jen hemží hostovanými hrozbami.

V loňském roce bylo z MS Office 365 odesláno 59 809 708 škodlivých zpráv. Více než 90 milionů škodlivých zpráv bylo odesláno nebo hostováno společností Google. 27 % z nich má zdroj v GMailu, nejpopulárnější e-mailové platformy na světě. Statistika pro 1. čtvrtletí letošního roku uvádí sedm milionů škodlivých zpráv z Microsoft Office 365 a 45 milionů škodlivých zpráv z infrastruktury Google. Pro ten to znamená výrazný nárůst.

Jelikož jsou zprávy posílány z důvěryhodných domén, je velmi nesnadné je detekovat. I proto jsou cloudové služby využívány mnohem více, než kterýkoliv botnet. Jelikož lze jediný cloudový účet často použít pro přístup k řadě dalších systémů, snaží se útočníci o kompromitaci přihlašovacích údajů, aby mohli následně manipulovat s daty a posílat přesvědčivé e-maily, které vypadají, jako by byly od skutečného zaměstnance. V loňském roce bylo takto útočeno na 95% firem využívajících cloudové infrastruktury a ve více než polovině z nich se podařilo prolomení alespoň jednoho zaměstnaneckého přístupu.

Jak ukazuje čerstvá zpráva společnosti Proofpoint, phishingové kampaně jsou leckdy maloobjemové a cílí na konkrétní kategorie uživatelů, jako je např. finanční sektor, nebo na zaměstnance pracující v dopravě. Z uvedených příkladů je vidět, že útočníci využívají aktuálních reálných požadavků, které mohou v současné době uživatelům skutečně do jejich schránky dorazit. Podvodné maily obsahují zejména požadavky na souhlas s novými podmínkami čehokoliv, výzvy k znovunastavení videokonferenčních setkání, či nabídky zaměstnaneckých výhod. Kromě těžby přístupových údajů obsahují některé podvodné stránky také dokumenty se zavaděčem ransomwaru prostřednictvím maker.


Autor: proofpoint

Soukromí uživatelů po dalším výprasku

Vývojář Konstantin Darutkin ze společnosti FingerprintJS zveřejnil popis chyby v zabezpečení prohlížečů Firefox, Safari, Chrome, Edge a Toru. Tuto chybu nazval Scheme Flooding, neboť využívá aplikačního URL schématu prohlížeče. Díky ní lze propojit identity uživatelů stolních počítačů a sledovat jejich aktivity.

Na základě zjištění nainstalovaných aplikací lze uživateli přiřadit jedinečný identifikátor, který uživatele prozradí i když změní prohlížeč, použije anonymní režim prohlížení, nebo se připojí prostřednictvím VPN. Navíc tento seznam aplikací lze využít k profilování uživatele např. pro účely cílení reklamy, ale i útoků.


Ukázka zranitelnosti Scheme Flooding.

Chyba existuje více než pět let a její veškeré důsledky nejsou zatím plně známé. Letmým průzkumem nebylo zjištěno, že by ji zatím někdo využíval. Jak útok na schéma funguje ukazuje živé demo, jehož kód je též dostupný na GITHubu. Principem je připravený seznam známých aplikací dostupných přes URL schéma a jeho aplikace na uživatelův prohlížeč. 

UX DAy - tip 2

Pokud dané schéma (např. skype://) uspěje, je aplikace zaznamenána a pokračuje se další. Z výsledného seznamu funkčních odkazů je pak vytvořen onen unikátní identifikátor. Celý postup samozřejmě vyžaduje obcházení politiky otevírání nechtěných dialogových oken, což ovšem také není velký problém, jak ukazuje na začátku odkazovaný článek.

Další zajímavé zprávy

Pro pobavení


Autor: teachprivacy.com

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.