Postřehy z bezpečnosti: kyberšpionáž bez hranic

23. 12. 2024
Doba čtení: 8 minut

Sdílet

Ilustrační fotografie. Hraniční přechod Česko - Slovensko, Bílá (CZ) - Makov (SK). (20. 6. 2023) Autor: Dalibor Z. Chvátal
Ilustrační fotografie. Hraniční přechod Česko - Slovensko, Bílá (CZ) - Makov (SK). (20. 6. 2023)
Podíváme se na nový spyware NoviSpy, řekneme si o nutnosti aktualizovat prohlížeč Chrome, na chvíli se přesuneme do Texasu za ukradenými osobními údaji a nakonec se zaměříme na kampaň proti kamerám čínských výrobců.

Sní Androidi jen o elektronických Pegasech? 

Parafrází na jméno původní knižní předlohy dnes již legendárního kyberpunkového filmového díla Blade Runner začínáme další zajímavý příběh, který aktuálně rezonuje bezpečnostní komunitou. 

Začněme však retrospektivou. Snad každý, kdo se zajímá o digitální bezpečnost, slyšel o aféře Pegasus. Nechvalně proslavený komerční digitální forenzní nástroj izraelské společnosti NSO Group určený pro infiltraci, následnou kompromitaci i exflitraci dat z chytrých zařízení s operačním systémem iOS, společně se svým jednovaječným „sourozencem“ pojmenovaným Chrysaor určeným pro tutéž činnost na zařízeních s operačním systémem Andoid, si rozhodně na nedostatek popularity i obchodních úspěchů nemohou stěžovat. 

Jejich oficiálními cíli mají být teroristé, osoby zvláště nebezpečné či vlivné v prostředí organizovaného zločinu. Realita se již několikrát ukázala být jiná a vrhá neblahé světlo na etické rámce a principy vlád či bezpečnostních složek, jež tento sofistikovaný produkt bohužel využívají k účelům podstatně rozdílným. Těmi jsou hlavně aktivity související s nelegálním sledováním lidskoprávních aktivistů, osob nepohodlných režimům (včetně těch dle našich evropských měřítek demokratických, netotalitních) a nezávislých novinářů či právníků. Toto vše při oficiálním stanovisku Izraele, že tyto produkty nesmí být obchodovány bez vědomí a schválení Ministerstvem Obrany státu Izrael. 

Nyní však toto duo z dílny NSO, jak se zdá, má dalšího souputníka, který sice není tak vyspělý z pohledu technologického, ale co do míry porušení etických pravidel oficiálními uživateli, tedy zmocněnci státních složek, si s nimi vůbec nezadá. Seznamujeme tak vás, čtenáře, se srbským zvědavcem jménem NoviSpy (aktuální seznam IoC dle Amnesty International). 

Jako první na jeho existenci upozornila nezávislá bezpečnostní laboratoř neziskové organizace Amnesty International (Amnesty International Security Lab) ve svém článku poté, co je kontaktoval srbský novinář Slaviša Milanov. Stalo se tak bezprostředně po jeho krátkém zadržení srbskou policií s oficiálním důvodem znějícím “řízení pod vlivem návykových látek”, kdy na služebně odevzdal svůj telefon a po výslechu jej zase dostal zpět, avšak s nečekaně vypnutým přenosem dat i WiFi připojením. 

To Slavišu Milanova vedlo k domněnce, že s telefonem někdo neoprávněně manipuloval, neboť on sám telefon na recepci policejní služebny odevzdával s oběma funkcionalitami zapnutými. Současně si byl vědom i skutečnosti, že srbská policie po něm rozhodně nepožadovala žádné umožnění manipulace s přístrojem, jeho odemčení za účelem nahlédnutí, nebo dokonce vyzrazení přístupového kódu k odemčení.  

Maje na paměti události z dřívějška, kdy jeho kolegové z oboru žurnalistiky byli cílem úspěšné infiltrace pomocí slavnějšího nástroje Pegasus ze strany srbských agentur (BIA), bylo dílem okamžiku, než Slaviša nabyl důvodného podezření, že se stal cílem nelegální kybernetické špionážní činnosti. Tentokrát však analýza nevedla k NSO a jejich Pegasu, nýbrž k jiné izraelské společnosti jménem Cellebrite. Ta se zabývá oborem v podstatě totožným jako NSO Group, přičemž jejich vlajkovou lodí je špičková forenzní nástrojová sada Cellebrite UFED

Poměrně pikantním detailem je, že dle zprávy specialistů ze Security Lab mělo Srbsko software získat od Norska, které srbskému Ministerstvu Vnitra poskytovalo v létech 2017 až 2021 značnou podporu v boji proti organizovanému zločinu. To zjevně obsahovalo i dodávku technologie Cellebrite. Tu srbské úřady získaly v rámci balíčku širší pomoci, financovaného Norskem a spravovaného Úřadem OSN pro projektové služby (UNOPS). Projekt měl zemi pomoci splnit požadavky na integraci do Evropské unie. Náš tým si tak nevyhnutelně klade základní otázku: Stalo se tak s vědomím, nebo bez vědomí Izraelců?  

I další perlička je blyštivá. Zaměstnanci srbské tajné služby si rozhodně nedělali hlavu s maskováním infrastruktury pro řízení napadených přístrojů (C2) a naprosto bezskrupulózně použili nejen IP adresy přímo navázané na jejich domovskou agenturu, ale z dat obsažených uvnitř datového provozu se dalo dojít až ke konkrétnímu zaměstnanci, který se stará o veřejné zakázky související s nákupem špionážních technologií. Tristní nedbalost ze strany špionů, že?  

Ale vraťme se do současnosti. Aktuální informace jsou takové, že celá aféra vedla k hloubkové analýze zabezpečení operačního systému Android TAG týmem Google a nálezu celkem šesti aktivně zneužívaných zranitelností se statusem Zero-Day (CVE-2024–38402, CVE-2024–21455, CVE-2024–33060, CVE-2024–49848, CVE-2024–43047, poslední zranitelnost zatím nebyla ani katalogizována) v softwarovém ovladači „adsprpc“ od společnosti Qualcomm, který se stará o provoz komponenty přístroje určené ke zpracování multimediálních dat (DSP – Digital Signal Processor) v chytrých zařízeních, která využívají čipové sady od tohoto výrobce.  

Dle vyjádření týmu TAG Google je úvodním vektorem útoku CVE-2024–43047, ostatní zranitelnosti jsou pak v tomto scénáři využity v poměrně komplexním řetězu následujících akcí, jenž vede přes obejití veškerých bezpečnostních mechanismů OS Android, eskalaci oprávnění a končí plným a persistentním ovládnutím postiženého zařízení na úrovni běžícího jádra. Ve svém technickém článku se Google velmi kriticky vyjádřil k postupu publikace záplat pro zranitelnosti CVE-2024–49848 a CVE-2024–21455, u kterých Qualcomm nedodržel vydání opravy ve standartní devadesátidenní lhůtě od doby ohlášení nálezu slabiny, či zranitelnosti. Technologický gigant pak znovu zdůraznil, že „bezpečnost jakéhokoli systému je pouze tak silná, jak silný je její nejslabší článek“, s odkazem na velmi pestrý ekosystém ovladačů pramenící z vysoké variability komponent a široké palety výrobců chytrých zařízení na platformě Android. 

Na dotaz novinářů k celé situaci se výrobce Qualcomm nechal slyšet, že aktivně pracuje na opravě CVE-2024–49848 (plánované vydání v lednu 2025). Ta jim byla právě Googlem ohlášena již před téměř pěti měsíci (!!!). Zranitelnost s identifikátorem CVE-2024–33060 (stejně jako ta, která aktuálně na přidělení CVE ještě čeká) byla pak opravena v balíčku ze září 2024, tedy je výrobcem považována za vyřešenou.  

Závěrem dlužno zmínit, že izraelská společnost Cellebrite se důrazně distancovala od vývoje jakéhokoli primárně špionážního programu a vyjádřila silné znepokojení nad flagrantním porušením podmínek užití, které jsou součástí každého jejich obchodního kontraktu. Dala tak poměrně jasně najevo, že jejich technologie Cellebrite UFED pouze umožnila instalaci škodlivého programu (s vysokou pravděpodobností srbského původu) a zároveň, pokud dojde k potvrzení nálezů Amnesty International, přislíbila výrazné přehodnocení svého vztahu k dotyčným agenturám. Není však jasné, zda tato opatření postihnou pouze Srbsko, které technologii aktivně zneužilo, nebo i Norsko, které tuto technologii pravděpodobně bez vědomí výrobce Srbsku poskytlo pod velmi pochybnou záminkou evropského integračního programu UNOPS. 

Nová verze Google Chrome opravuje závažné bezpečnostní chyby 

Společnost Google vydala aktualizaci pro prohlížeč Chrome, která řeší nově objevené bezpečnostní zranitelnosti ovlivňující prohlížeče na platformách Windows, Mac a Linux. Tyto zranitelnosti byly Googlem označeny jako „vysoce závažné“. Potenciálně mohou být tyto zranitelnosti zneužity útočníky k neoprávněnému přístupu nebo spuštění škodlivého kódu na postižených zařízeních. 

Aktualizace přichází v reakci na hlášení od bezpečnostních výzkumníků, kteří identifikovali slabá místa v různých komponentách prohlížeče. Google tradičně neuvádí podrobnosti o zranitelnostech, dokud většina uživatelů neprovede aktualizaci, aby se předešlo jejich zneužití. Uživatelům se proto důrazně doporučuje aktualizovat Chrome na nejnovější verzi co nejdříve. 

Nové opravené verze jsou označeny jako 131.0.6778.204/.205 pro Windows a Mac, 131.0.6778.204 pro Linux a 131.0.6778.200 pro Android. Uživatelé by měli zkontrolovat, zda používají jednu z těchto verzí, aby minimalizovali riziko útoku. 

Další únik dat ze zdravotnického zařízení 

Centrum zdravotních věd Texaské technické univerzity a jeho protějšek v El Pasu zveřejnily informace o kybernetickém útoku ze září tohoto roku. Postižená organizace je veřejná akademická zdravotnická instituce, jež je součástí systému Texaské technické univerzity. Ta vzdělává a trénuje zdravotní profesionály, podporuje zdravotnické výzkumy, a kromě toho i poskytuje zdravotnickou péči pacientům. 

V září tohoto roku identifikovala instituce problémy v podobě narušení některých počítačových systémů a aplikací. Okamžitě po identifikaci těchto problémů byly provedeny kroky k zajištění bezpečnosti sítě a bylo zahájeno vyšetřování, je psáno v oficiálním vyjádření.  Narušení systémů vedlo k úniku dat u přibližně 1 465 000 uživatelů. Informace o jednotlivcích obsahovaly údaje typu celé jméno, datum narození, adresa bydliště, bankovní údaje, ale i čísla ID průkazů apod. Kromě toho odcizená data obsahovala citlivé informace týkající se zdravotního stavu pacientů, jakou jsou diagnózy a jejich léčba. Oběti úniku dat byly informovány o vzniklé situaci a Texaská technická univerzita nabídla postiženým bezplatnou pomoc s monitoringem bankovních účtů. 

Přibližně měsíc po incidentu se k aktivitě přihlásila skupina provádějící řadu škodlivých aktivit s názvem operace Interlock ransomware. Nekalí aktéři zveřejnili 2,1 milionu souborů o celkové velikosti 2,6 TB a kompletní balíček dat byl dostupný ke stažení z jejich platformy na dark netu. Dle internetového deníku BleepingComputer Interlock obecně požaduje při svých aktivitách od stovek tisíc až po miliony dolarů jako výkupné, a to na základě velikosti dané organizace.

Co dělá vaše webkamera, když se nedíváte? 

Americký úřad FBI vydal čerstvé varování před pokračující kampaní malware HiatusRAT, která cílí na webkamery a zařízení DVR (Digital Video Recorder) čínských výrobců, mezi jinými i tamní vládou majoritně vlastněné společnosti Hikvision. Formou tzv. Private Industry Notification (PIN) FBI informuje o pokračujícím zneužívání známých zranitelností (CVE-2017–7921, CVE-2018–9995, CVE-2020–25078, CVE-2021–33044, CVE-2021–36260), převážně umožňujících obejití autentizace uživatelů, zneužití slabých hesel nastavených z výroby, nebo např. neautorizované vykonání příkazu. 

Zařízení, jejichž administrační rozhraní jsou dostupná z veřejného internetu, jsou cílem plošného skenování otevřených TCP portů (typicky 23, 26, 554, 2323, 567, 5523, 8080, 9530), často za použití opensource nástroje Ingram. Dále bylo pozorováno využití nástroje Medusa pro útok hrubou silou, např. na hesla pro přístup přes protokol Telnet. Úspěšně napadená zařízení umožní útočníkovi provést další kroky směřující k jeho zapojení např. do ransomware botnetu názvů RagnarLocker nebo RansomHouse.  

Jako obranu FBI uvádí obecně rozšířená doporučení, mimo jiné pravidelné aktualizace firmwaru (ne vždy v tomto případě účinného, neboť některé výše uvedené zranitelnosti nejsou výrobcem dosud odstraněny). Řadou dalších doporučení je používání silných hesel, změna těch defaultních a limit na počet opakovaných pokusů o přihlášení. Dále izolace těchto zařízení v samostatném síťovém segmentu a aplikace pravidel na firewallu, monitoring provozu a použití MFA (více faktorového ověření).   

bitcoin školení listopad 24

Malware HiatusRAT je pozorován od roku 2022, během roku 2023 byly zaznamenány jeho aktivity proti cílům v americké armádě a jeho nové verze cílící na další platformy, které jsou založeny na jádrech ARM, nebo x86–64. V březnu 2024 pak probíhala kampaň zaměřená na IoT ve Spojených státech, Austrálii, Kanadě, Novém Zélandu a Velké Británii. Produkty od společnosti Hikvision, tedy nejen webové kamery a zařízení DVR, jsou, zejména kvůli nízké ceně, hojně rozšířené i v ČR. 

Ve zkratce

Pro pobavení

Enjoying your christmas? I work in cyber security
Autor: Cyber Security News

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Články tvoří společně jednotliví členové týmu CERT společnosti ČD - Telematika a.s.