Botnet Eleven11bot: nováček, nebo starý známý?
Za jednu z největších známých DDoS kampaní pozorovaných od invaze na Ukrajinu
označili výzkumníci bezpečnostního ERT teamu Nokia Deepfield aktivitu jimi nově objeveného botnetu. Již 26. února identifikovali síť více než 30 000 kompromitovaných zařízení, složenou převážně z webkamer a síťových videorekordérů (NVR). Z tohoto botnetu byly generovány DDoS útoky o síle stovek tisíc až několika stovek milionů paketů za sekundu, mj. proti cílům v telekomunikačním sektoru a herním hostingu, které v některých případech trvaly i více dnů.
Na základě dat, která team Nokia Deepfield zveřejnil, se botnetem nazvaným Eleven11bot začaly zabývat další společnosti ze sektoru kybernetické bezpečnosti, např. informace o hrozbách (Threat Intelligence) zaměřená organizace Greynoise. Ta ve své zprávě uvádí výsledky analýzy více než 1000 IP adres, zachycených na honeypotech spol. Censys a přiřazených Eleven11bot.
Vyplývá z ní, že naprostá většina IP adres nebyla podvržena, a přes 60 % z nich lze lokalizovat do Íránu. Greynoise dokonce vyslovila domněnku, že se může jednat o odvetu za nový kurz „maximálního tlaku“ zahraniční politiky, již vůči Íránu začala prosazovat nová americká administrativa.
Nová zařízení jsou do botnetu připojována s pomocí útoků hrubou silou (Bruteforce), při nichž jsou zkoušena známá výchozí hesla konkrétních zařízení, a hledány otevřené porty služeb Telnet a SSH. Využívány jsou přitom některé známé zranitelnosti ve výrobcích např. firem Hikvision, Huawei nebo D-Link (CVE-2021–36260, CVE-2017–17106, CVE-2016–6277). Doporučení pro ochranu jsou pak notoricky známá, tedy používat silná hesla, měnit ta výchozí, aktualizovat firmware a monitorovat síťovou aktivitu.
Zajímavostí však je, že původní, v úterý 2.3. neziskovou společností Shadowserver Foundation zveřejněné odhady počtu infekcí dosahovaly čísla přes 86 000 zařízení, převážně ve Spojených státech a Spojeném království. Jednalo by se tak skutečně o mimořádně rozsáhlou síť, jednu z největších pozorovaných za poslední roky, a tato zpráva se tak postarala o mnoho titulků článků, překvapivě nejen na serverech zaměřených na kyberbezpečnost.
Nicméně již ve středu se objevila (tentokrát již mnohem méně přebíraná) aktualizace, zveřejněná opět Greynoise, která nejen značně koriguje odhad počtu infekcí (na méně než 5 000), ale také uvádí, že pravděpodobně nejde o nový botnet, ale „jen“ o novou variantu již notoricky známého malware Mirai, která cílí na specifický „chipset čínského“ výrobce HiSilicon.
Signatura, na základě které byl původně tzv. Eleven11bot detekován, se totiž ukázala být součástí legitimního provozu generovaného komunikačními protokoly zařízení tohoto výrobce. Spíše než o blamáž se tu však jedná o důsledek neradostné situace, kdy rozšíření nového (byť ne zrovna tentokrát přelomového) botnetu je často otázkou jen pár dnů.
Polská vesmírná agentura bez internetu
Polská vesmírná agentura (POLSA) začátkem minulého týdne ohlásila záměrné odpojení od internetu jakožto odpověď na kybernetický útok. Reakce agentury měla zabezpečit data po bezpečnostním incidentu a zabránit narušitelům v provádění dalších kroků. Zmíněný incident byl nahlášen patřičným autoritám a bylo spuštěno vyšetřování. Zatím ovšem POLSA nezveřejnila žádné detailní informace týkající se samotného útoku.
Polský ministr digitálních záležitostí Krzysztof Gawkowski zveřejnil na sociální síti X, že: Státní služby odpovědné za kyberbezpečnost detekovaly neautorizovaný přístup do IT infrastruktury Polské vesmírné agentury.
Gawkowski dále uvedl, že napadené systémy byly zabezpečeny a že CSIRT NASK (Polský tým pro reakci na počítačové bezpečnostní incidenty) a CSIRT MON (Polský vojenský tým pro reakci na počítačové bezpečnostní incidenty) pomáhaly s obnovou. Ta se povedla po třech dnech od incidentu a POLSA je nyní opět připojená k internetu.
Vícero detailů v současnosti není známo. Pouze informace týkající se zaměstnanců POLSA, již byli požádáni o vyřizování emailů přes mobilní zařízení.
Ač se nabízí možnost připisovat incident skupinám specializujícím se na ransomware, neboť odpojení od internetu bývá typickou reakcí na tento typ útoku, nedá se vyloučit působení skupiny s vazbami na určitý stát s ohledem na polskou dlouhodobou pomoc Ukrajině. Avšak bez detailních informací od POLSA jsou toto vše pouhé spekulace.
PHP-CGI RCE zneužita v útocích na japonské společnosti
Neznámí útočníci se od ledna 2025 zaměřují na organizace v Japonsku s využitím zranitelnosti označované jako CVE-2024–4577. Jedná se o vzdálené spuštění kódu (RCE) v implementaci PHP-CGI na Windows, která útočníkům umožňuje získat počáteční přístup k cílovým systémům. Podle zprávy výzkumníka Chetana Raghuprasada z Cisco Talos je po úspěšném průniku dále zneužívána sada nástrojů Cobalt Strike, konkrétně pluginy známé jako „TaoWu“. Cílem jsou společnosti z oblastí technologií, telekomunikací, zábavního průmyslu, vzdělávání a e-commerce.
První fáze útoku zahrnuje zneužití zranitelnosti CVE-2024–4577 k získání vstupního bodu a spuštění PowerShell skriptů. Tím je do systému vložen škodlivý shellcode pro Cobalt Strike, který útočníkům poskytuje trvalý vzdálený přístup. Následně probíhá detailní průzkum sítě, eskalace oprávnění a pohyb v infrastruktuře oběti. K tomuto účelu slouží nástroje jako JuicyPotato, RottenPotato, SweetPotato, Fscan a Seatbelt, zatímco perzistence se nastavuje úpravou registrů, plánováním úloh a tvorbou vlastních služeb právě pomocí pluginů sady Cobalt Strike.
Aby útočníci minimalizovali riziko odhalení, provádějí mazání auditorských záznamů operačního systému Windows (security, system, application) pomocí příkazů wevtutil. Posléze se pokoušejí o krádež hesel a NTLM hashů z paměti systému pomocí Mimikatz. Analýza řídicích (C2) serverů Cobalt Strike ukázala, že adresářová struktura byla ponechána volně přístupná, čímž došlo k odhalení všech útočných nástrojů a frameworků uložených na cloudu Alibaba.
Mezi zjištěnými nástroji se nachází mimo jiné Browser Exploitation Framework (BeEF) pro spouštění příkazů v kontextu prohlížeče, Viper C2 pro vzdálenou správu a generování reverzních shellů či Blue-Lotus, který umožňuje provádět útoky typu XSS, pořizovat snímky obrazovky, krást cookies a vytvářet nové účty v CMS. Podle Raghuprasada tyto aktivity – od eskalace oprávnění po instalaci dalších frameworků – naznačují, že cílem útočníků není jen sběr přihlašovacích údajů, ale pravděpodobně i příprava dalších škodlivých operací.
Kritická zranitelnost v Kibaně (CVE-2025–25012)
Společnost Elastic vydala bezpečnostní aktualizace řešící kritickou zranitelnost v nástroji Kibana pro vizualizaci dat z Elasticsearch, která umožňuje provádět vzdálené spuštění kódu. Chyba je označena jako CVE-2025–25012 a má skóre 9,9 z 10 podle CVSS. Jedná se o tzv. „prototype pollution“, kdy neoprávněné úpravy prototypů v JavaScriptu mohou vést k manipulaci s objekty, eskalaci oprávnění, neautorizovanému přístupu k datům či vzdálenému spuštění kódu. Prototype pollution v Kibaně umožňuje libovolné spuštění kódu díky speciálně upravenému nahrání souboru a odpovídajícím HTTP požadavkům, uvedla společnost ve své středeční zprávě.
Zranitelnost se týká všech verzí Kibany od 8.15.0 po 8.17.2, přičemž byla opravena ve verzi 8.17.3. Ve verzích 8.15.0 až 8.17.0 ji mohou zneužít pouze uživatelé s rolí Viewer. V novějších verzích 8.17.1 a 8.17.2 je zneužitelná jen uživateli s oprávněními fleet-all, integrations-all a actions:execute-advanced-connectors.
Elastic vyzývá všechny uživatele k okamžitému nasazení nejnovějších oprav, aby se vyhnuli možným útokům. Pokud není možné provést aktualizaci ihned, doporučuje společnost dočasně deaktivovat funkci Integration Assistant – v konfiguračním souboru kibana.yml nastavit xpack.integration_assistant.enabled: false.
V srpnu 2024 Elastic opravil další kritickou chybu typu prototype pollution v Kibaně (CVE-2024–37287, skóre CVSS 9,9), jež umožňovala provádět vzdálené spuštění kódu. O měsíc později následovaly záplaty dvou závažných deserializačních chyb (CVE-2024–37288, skóre CVSS 9,9 a CVE-2024–37285, skóre CVSS 9,1), které rovněž mohly vést k libovolnému spuštění kódu.
Ve zkratce
- EncryptHub nasazuje ransomware a nástroj pro krádež dat („stealer“) prostřednictvím trojanizovaných aplikací, PPI služeb a phishingu
- Safe{Wallet} potvrdila, že severokorejská skupina TraderTraitor ukradla 1,5 miliardy dolarů při útoku na Bybit
- Více než 1 000 webů WordPress bylo infikováno JavaScriptovými backdoory, které útočníkům poskytují trvalý přístup
- Skupina Silk Typhoon napojená na Čínu rozšiřuje kybernetické útoky na IT dodavatelské řetězce za účelem počátečního přístupu
Pro pobavení
When the auditor says everythind looks good and you can finally breathe again.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU