SnailLoad: útok na soukromí zneužívající latenci
Výzkumníci z Technické univerzity Graz představili ve své publikaci inovativní útok zaměřený na narušení soukromí uživatele při běžném používání prohlížeče. Tento útok, nazvaný SnailLoad, umožňuje s vysokou pravděpodobností zjistit, jaké video uživatel sleduje, a méně přesně také odhalit navštívené webové stránky.
SnailLoad zneužívá odchylku síťové odezvy jako postranní kanál, ze kterého dokáže odvodit charakter činnosti oběti na cílovém počítači. K tomu stačí, aby si uživatel na pozadí velmi nízkou rychlostí stahoval objekt (obrázek, font) z útočníkova serveru. Žádná jiná interakce, spouštění kódu ani odposlech síťového provozu není pro úspěšné provedení útoku potřeba.
Výzkumníci museli pro odhalení přehrávaných videí či navštívených stránek u omezeného vzorku provést tzv. fingerprinting, při kterém měřili odezvy nebo charakteristiky při načítání či streamování, a následně využít konvoluční neuronové sítě pro porovnání.
Příčinou problematického chování je buffering na uzlech přenosové cesty mezi vysokorychlostním a nízkorychlostním segmentem. Typicky se jedná o poslední uzly před modemem či routerem uživatele. Vyvarovat se takového útoku je poměrně náročné, jedním ze způsobů je umělé snížení rychlosti sítě, což však reálně nelze aplikovat, nebo přidání šumu do celkového síťového provozu uživatele.
Výzkumníci se však domnívají, že není pravděpodobné, že by SnailLoad byl momentálně zneužíván aktivními útočníky. Jedním z autorů je i Daniel Gruss, který mimo jiné stojí za objevením notoricky známých útoků Meltdown a Spectre. Útok bude autory prezentován v srpnu na konferenci Black Hat USA 2024.
SnailLoad si můžete vyzkoušet a sledovat charakteristiku svého provozu v reálném čase. Za zmínku stojí i hudební videoklip, který autoři o svém útoku natočili a který paroduje vítěznou píseň letošní Eurovize.
Ruská umělá inteligence může ovlivnit volby v USA
Zpráva společnosti Insikt Group odhaluje, že vlivová síť napojená na ruskou vládu CopyCop v posledním týdnu změnila zaměření článků, které publikuje na svých webech. CopyCop vytváří a šíří politický obsah pomocí umělé inteligence a neautentických webových stránek. Dříve síť publikovala zejména zmanipulované zprávy o válce na Ukrajině, nyní tento obsah omezila a věnuje se téměř výhradně tématu prezidentských voleb v USA.
Během dvou dnů v květnu 2024 bylo registrováno přes 120 domén spojených s volbami v USA, které analytici v Recorded Future označili za části sítě CopyCop. V síti publikuje přes 1000 různých novinářských profilů vytvořených umělou inteligencí, aby se zprávy zdály legitimní. Zdrojem pro manipulované články jsou zejména americké konzervativní portály, proruská a ruská média. Generativní umělá inteligence následně tyto články zreprodukuje a publikuje na zmíněných doménách za falešné novinářské osobnosti.
Od konce května jsou nejčastěji zmiňovanými osobami v příspěvcích CopyCop bývalý americký prezident Donald Trump a prezident Joe Biden. Články upozorňují na chyby, kterých se prezident Biden dopustil během projevů, také kritizují neschopnost Bidenovy administrativy omezit inflaci. Méně kritické jsou vůči Trumpovi, bagatelizují jeho odsouzení a tvrdí, že to nebude mít žádný vliv na volby.
CopyCop je jen jednou z mnoha vlivových sítí napojených na Rusko, které se snaží šířit dezinformace a zavádějící výklady politických témat, jako jsou volby v USA, válka na Ukrajině, protesty v Gruzii nebo aktivity NATO.
Supply chain útoky na vzestupu: Polyfill a WordPress
Supply chain útoky, neboli útoky na dodavatelský řetězec, se stávají čím dál tím častější hrozbou. Tyto útoky cílí na vývojáře a dodavatele softwaru. Útočníci se snaží získat přístup ke zdrojovému kódu, aby upravili legitimní aplikace pro distribuci malwaru. Na jaře tohoto roku byl cílem takového útoku linuxový balíček xz-utils. V posledním týdnu byly termínem supply chain označeny hned dva útoky, první skrz službu Polyfill a druhý skrz WordPress pluginy.
Polyfill.io
Polyfill je populární JavaScriptová knihovna, která umožňuje starším prohlížečům lepší podporu moderních funkcionalit. Více než 100 tisíc webů ji používá pomocí domény cdn.polyfill.io.
Polyfill vzbudil pozornost už v únoru tohoto roku, kdy byl odkoupen čínskou společností Funnull provozující síť pro doručování obsahu (CDN). Od této doby byla doména cdn.polyfill.io opakovaně detekována při injektování malwaru do mobilních zařízení.
Kód knihovny je dynamicky generován na základě hlaviček HTTP, takže je pravděpodobné, že existuje více vektorů útoku. Společnost Sansec analyzovala jeden konkrétní vzorek, který přesměrovává uživatele mobilních zařízení na stránky internetové sázkové kanceláře pomocí falešné domény Google Analytics (www.googie-anaiytics.com), jiný vzorek ale přesměrovával např. na stránky s pornografickým obsahem. Kód má specifickou ochranu proti reverznímu inženýrství a aktivuje se pouze na konkrétních mobilních zařízeních v daných hodinách. Dále se neaktivuje, když je uživatelem administrátor. Také odkládá své spuštění, když nalezne webovou analytiku, nejspíše proto, aby se neobjevil ve statistikách.
Po odhalení kompromitace knihovny začaly společnosti Cloudflare a Fastly hostovat čistý Polyfill na svých CDN ve snaze pomoct postiženým webům. Doména polyfill.io byla následně blokována jejím registrátorem Namecheap. Společnost Cloudflare se taktéž ohradila, že Polyfill.io na svých stránkách zneužil jejich obchodní značku, aby u uživatelů navodil pocit důvěry. Po zablokování domény polyfill.io se na oficiálním X účtu knihovny objevily příspěvky odmítající jakékoliv obvinění a označující je za pomluvu. Polyfill již přesunul svůj hosting na novou doménu a snaží se bojovat proti obviněním.
Jak nahradit kompromitovanou knihovnu na vašem webu napoví stránka Polykill od společnosti Leak Signal.
O víkendu vyšly na povrch další informace poukazující na významně větší rozsah tohoto útoku.
Kompromitované WordPress pluginy
Neznámý hacker upravil zdrojové kódy alespoň pěti pluginů na webu WordPress.org tak, aby obsahovaly škodlivé PHP skripty. Tyto skripty mohou na postižených stránkách vytvářet nové administrátorské účty. Zatím není jasné, jakým způsobem se útočníkovi podařilo pluginy kompromitovat, jeho činnost se ale datuje už k 21. červnu. Postižené pluginy jsou následující:
- Social Warfare verze 4.4.6.4 – 4.4.7.1 (opravené v 4.4.7.3) – více než 30 tisíc instalací
- Simply Show Hooks verze 1.2.1 (neopraveno) – více než 4 tisíce instalací
- Wrapper Link Element verze 1.0.2 – 1.0.3 (neopraveno) – více než 1 tisíc instalací
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (neopraveno) – více než 700 instalací
- Blaze Widget verze 2.2.5 – 2.5.2 (neopraveno) – více než 100 instalací
Julian Assange na svobodě
Zakladatel serveru WikiLeaks Julian Assange byl ve Velké Británii propuštěn na svobodu a opustil zemi poté, co strávil více než pět let ve věznici s maximální ostrahou Belmarsh. Tam byl držen za svou roli v kauze, kterou americká vláda označila za „největší vyzrazení utajovaných informací v historii Spojených států“.
Dvaapadesátiletý Assange ukončil čtrnáctiletou právní ságu tím, že se u soudu na tichomořském ostrově Saipan přiznal k jednomu obvinění ze spiknutí za účelem získání a vyzrazení tajných dokumentů americké národní obrany. Výměnou za toto přiznání byl odsouzen na 62 měsíců, které si již odpykal v britském vězení. Ve čtvrtek se tak Assange vrátil do Austrálie ke své rodině jako svobodný muž.
Kreativnější útoky na Windows
Odborníci z bezpečnostního týmu Elastic odhalili nový způsob, jakým se útočníci vypořádali s rozhodnutím Microsoftu ve výchozím nastavení zakázat makra pro soubory Microsoft Office stažené z internetu. Útočníci se nyní zaměřují na jiné vektory útoku, které využívají např. MSI, LNK a ISO soubory nebo JavaScript. Tyto metody jsou však dobře známé a snadno detekovatelné, což nutí útočníky hledat nové cesty.
Tým Elastic Security Labs díky analýze infikovaného souboru z VirusTotal odhalil novou pokročilou útočnou techniku, kterou nazval „GrimResource“. Tato technika zneužívá speciálně upravené soubory typu MSC (Management Saved Console) ke spuštění libovolného kódu na stroji oběti. První výskyt takové infekce byl datován k 6. červnu 2024, tehdy žádné antiviry neobsahovaly její signatury.
GrimResource využívá staré cross-site scripting (XSS) chyby v knihovně apds.dll
, která byla Microsoftu hlášena již roku 2018 a do dnešní doby nebyla záplatována. Útočníci mohou do upraveného MSC souboru vložit odkaz na zranitelný zdroj, což jim umožní spustit libovolný JavaScript v kontextu mmc.exe
(Microsoft Management Console). Kombinací této techniky s DotNetToJScript mohou spouštět jakýkoliv kód. V konkrétním vzorku analyzovaném Elastic Security Labs je finálním payloadem Cobalt Strike.
K dnešnímu dni je GrimResource detekován podle VirusTotal asi třetinou zahrnutých antivirů. Elastic Security Labs ve svém článku také uvádí, na co by se bezpečnostní týmy a administrátoři měli zaměřit, aby předešli nákaze, případně ji zvládli odhalit v dřívějších stádiích.
Ve zkratce
- Chyba v Apple AirPods umožňuje odposlech
- GitLab opravuje 14 zranitelností, z toho 1 kritickou a 3 vysoce závažné, v GitLab Community Edition (CE) a Enterprise Edition (EE)
- Indirector: nový útok na high-end procesory Intel
- TeamViewer detekoval podezřelou aktivitu ve své firemní síti, tvrdí, že jde o APT
- MOVEit pod útokem
- Až 10 milionů dolarů za informace o ruském hackerovi
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…