Zvoní DDoS útokům hrana?
Mezinárodní operace, na které se podílely policejní složky Německa, Francie, Řecka, Islandu a Spojených států, vedla k zatčení dvojice mužů ve věku 19 a 28 let německou policií. Zatčení muži byli obviněni nejen z provozování online tržiště „Flight RCS“ mj. pro výrobce syntetických kanabinoidů, ale zejména webu, na kterém byly dostupné tzv. „DDoS-for-hire“ služby, tedy přístup k nástrojům a zdrojům, umožňujícím za poplatek, bez technických znalostí a prostředků, komukoli spustit DDoS útok proti libovolným cílům.
Portál Dstat.cc nenabízel samotné tyto nástroje, ale sloužil jako jakýsi rozcestník s jejich popisem, a také např. „uživatelskými recenzemi“ efektivity jednotlivých služeb. Zájemci si zde mohli vybírat DDoS nástroje podle technických parametrů, nebo např. jejich účinnosti proti ochranám v globálních sítích typu CloudFlare, OVH apod. K dispozici byly také přehledně zpracované grafy a další výstupy z úspěšně provedených útoků, jimiž se tvůrci chlubili ve snaze zaujmout další zákazníky. Web hostoval také stejnojmenný kanál na síti Telegram, kde uživatelé koordinovali své aktivity, nabízeli služby, diskutovali strategii a podobně.
Na Dstat.cc dříve upozornil také významný hráč na poli bezpečnostních řešení, Izraelská společnost Radware. Ve své zprávě z ledna 2023 uvádí, že se zde prezentovali např. tvůrci botnetu Passion, spojovaní také s převážně ruskojazyčnými skupinami Killnet a Anonymous Russia. Jejich produkt byl použit mj. během útoků na zdravotnické subjekty ve vícero evropských státech z konce ledna 2023, prezentovaných jako „odveta“ za dodávku tanků Ukrajině.
Tato policejní akce se stala další součástí stále probíhající aktivity pod názvem „PowerOFF“, zaměřené již od od roku 2018 právě na boj s pachateli DDoS útoků. Je to tak její další významný úspěch, poté co např. již letos v červnu zaznamenala zatčení provozovatele služby DigitalStress.su. Kromě drobné zajímavosti – totiž využití národní (ccTLD .su = Soviet Union) domény bývalého Sovětského svazu (tedy státního subjektu zaniklého již v roce 1991) a podle britské NCA (National Crime Agency) údajně hojně využívané právě pachateli počítačové kriminality ve víře, že se tím nějak dostávají mimo dosah legislativy západních zemí – stojí za povšimnutí zejména samotný fakt, že tvůrci a provozovatelé DDoS nástrojů a služeb se stále více dostávají do rukou skutečných policistů z reálného světa.
Jde patrně o průvodní jev rostoucí účinnosti boje s počítačovou kriminalitou, a také sebejistoty jednotlivých agentur, o čemž svědčí mj. zpráva zaslaná NCA do jednoho úspěšně infiltrovaného komunikačního kanálu: „Sledujeme vás. Stojí vám to za to?“
Interpol opět zasahuje
Policejní organizace Interpol v minulém týdnu oznámila, že se jí podařilo uštědřit kyberzločinu nemalý zásah. V rámci mezinárodní operace Synergia II se podařilo zatknout 41 osob, eliminovat více než 1 000 serverů a také infrastrukturu běžící na 22 000 IP adresách .
Samotná operace byla zahájena v dubnu tohoto roku a skončila přibližně před dvěma měsíci v srpnu. Do operace bylo zapojeno nejen 95 členských států Interpolu, ale i další soukromé organizace zabývající se kybernetickou bezpečností, jako jsou Group-IB, Kaspersky, Team Cymru nebo Trend Micro. Díky úspěšné kooperaci se podařilo zatknout již zmíněných 41 jednotlivců, kteří byli zapleteni do různých druhů nezákonného jednání spojeného s ransomwarem, phishingem nebo Trojanem typu information stealer. Kromě zmíněných zatčených Interpol vyšetřuje dalších 65 podezřelých.
Dále, výše uvedených 1 000 a více serverů poskytujících nelegální a škodlivé služby bylo eliminováno v Hong Kongu, dalších 291 v Macau. V Mongolsku bylo provedeno 21 domovních prohlídek a identifikováno 93 jednotlivců napojených na ilegální aktivity v internetovém prostředí. Na Madagaskaru úřady zabavily 11 elektronických zařízení k vyšetřování a v Estonsku bylo získáno kolem 80 GB serverových dat souvisejících s phishingem a malwarem pro bankovní sektor, a to zejména z důvodu provádění analýz.
Operace Synergia II byla odpovědí na neustále rostoucí bezpečnostní hrozby a zvyšující se profesní úroveň škodlivých aktérů po světě. Interpol tak ochránil mnoho potenciálních obětí a prokazuje, jak dobře řízená mezinárodní spolupráce umí přinést ovoce.
Google opravuje dvě zranitelnosti v Androidu zneužívané při cílených útocích
Google v pondělí publikoval oznámení o záplatách pro více než 40 zranitelností v rámci listopadové bezpečnostní aktualizace Androidu 2024, včetně dvou chyb, které byly zneužity při útocích
První z těchto dvou zranitelností, označovaná jako CVE-2024–43047, byla odhalena minulý měsíc poté, co Amnesty International a tým Google Threat Analysis Group (TAG) našli důkazy o jejím aktivním zneužití. Společnost Qualcomm opravila danou zranitelnost minulý měsíc. Varovala, že chyba ovlivňuje desítky čipových sad a popsala ji jako závažnou chybu typu use-after-free ve službě Digital Signal Processor (DSP). Skutečnost, že CVE-2024–43047 objevily Google a Amnesty, naznačuje, že chyba byla pravděpodobně zneužita komerčním výrobcem spywaru proti zařízením Android.
Druhá zranitelnost, která byla zneužita, označovaná jako CVE-2024–43093, je vysoce závažná chyba umožňující eskalaci práv v komponentě Android Frameworku. Rovněž ovlivňuje komponentu Documents UI projektu Project Mainline.
Google varuje, že existují indikace, že CVE-2024–43047 a CVE-2024–43093 mohly být omezeně cíleně zneužívány, ale nesdílel konkrétní informace o pozorovaných útocích.
Vložení zadních vrátek do Windows
Výzkumníci v oblasti kybernetické bezpečnosti upozornili na novou kampaň malwaru, která infikuje systémy Windows linuxovou virtuální instancí obsahující „zadní vrátka“, která umožňují vzdálený přístup k napadeným počítačům. Kampaň, nazvaná CRON#TRAP, začíná škodlivým zástupcem Windows (soubor LNK), pravděpodobně rozesílaným jako ZIP archiv přes phishingové e-maily.
CRON#TRAP funguje tak, že při otevření ZIP archivu uživatelem spustí soubor LNK, který využívá nástroj Quick Emulator (QEMU) k vytvoření Linuxového prostředí Tiny Core. Tento virtuální stroj je již předem nakonfigurován s nástrojem Chisel, který automaticky spojuje napadený počítač s C2 serverem útočníka skrze websocket.
Phishingové e-maily v této kampani se tváří jako „průzkum OneAmerica“ a obsahují 285MB archiv, jehož otevřením se spustí skript PowerShell, který v pozadí nastaví virtuální prostředí a zároveň zobrazí oběti falešnou chybovou zprávu. Chisel pak umožňuje obousměrnou komunikaci s C2 serverem útočníka.
Útočníci stále hledají nové způsoby, jak obejít detekci a zajistit přístup k systémům obětí. Kampaň CRON#TRAP ukazuje, že sofistikované metody, jako je využití virtuálního Linuxového prostředí, znesnadňují tradičním bezpečnostním nástrojům odhalení malwaru. Tato technika podtrhuje nutnost inovativních přístupů v kybernetické obraně, které dokáží reagovat na stále komplexnější hrozby.
Ve zkratce
- CISA varuje před aktivním zneužíváním kritické zranitelnosti v Palo Alto Networks
- Severokorejští hackeři útočí na kryptoměnové firmy s malwarem na macOS
- Cisco vydalo záplatu pro kritickou zranitelnost v URWB
- Prokurátoři žádají 17letý trest pro Jacka Teixeiru, který vynesl tajemství Pentagonu
- CrowdStrike koupí Adaptive Shield za 300 milionů dolarů
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…