Postřehy z bezpečnosti: ruské útoky (nejen) na ČR

Hacktivistické a finančně motivované útoky pocházející z Ruska

Velkou pozornost médií a odborné i široké veřejnosti si v uplynulém týdnu získaly zprávy spojené s ofenzivními kybernetickými aktivitami Ruska, v něm působících skupin i pro-ruských hacktivistických uskupení.

Pro domácí prostředí byla velmi významná vyjádření vedení NATO a Evropské komise, odsuzující ruské kybernetické útoky na členské státy NATO a EU, zejména Německo a Českou republiku. Tato vyjádření byla reakcí na prohlášení zástupců jmenovaných států – konkrétně německé ministryně zahraničí a českého Ministerstva zahraničních věcí – kteří v nich odsoudily nedávné útoky na české a německé instituce ze strany ruské skupiny APT 28, známé rovněž jako Fancy Bear nebo Sofacy Group. Německo si v souvislosti s nimi koncem týdne předvolalo ruského velvyslance a český ministr vnitra Rakušan prohlásil, že se tématu ruských kyberútoků chce věnovat na nadcházející schůzce ministrů vnitra zemí EU v Lucemburku.

V souvislosti se skupinou APT 28 zaslouží zmínku, že dle nově publikované zprávy společnosti Trend Micro byla lednová operace Dying Ember, která byla zaměřena na eliminaci botnetu využívaného mj. právě jmenovanou skupinou, zřejmě jen omezeně úspěšná a škodliví aktéři tak stále mají přístup k významné části původní infrastruktury.

Zprávu týkající se ofenzivních pro-ruských kybernetických aktivit publikovala v průběhu týdne rovněž CISA (agentura pro kybernetickou bezpečnost USA). Ta upozornila na probíhající útoky pro-ruských hacktivistických skupin na průmyslové systémy malého rozsahu provozované severoamerickými a evropskými organizacemi působícími v oblasti vodního hospodářství, energetiky, potravinářství a zemědělství. CISA při tom varovala mj. před zpřístupňováním řídicích průmyslových systémů z internetu, což i v současnosti představuje významný problém – nedávné analýzy naznačují, že celosvětově je z internetu zřejmě přístupných přes 100000 průmyslových systémů, a cca 1100 z nich se nachází v České republice.

Alespoň krátkou zmínku zaslouží rovněž, že v uplynulém týdnu publikoval ukrajinský národní CERT, resp. jeho mateřské organizace SSSCIP, report týkající se ruských kybernetických operací zaměřených na ukrajinské cíle, které byly realizovány v druhé polovině roku 2023. Z významných závěrů zprávy je možné uvést např. citelný nárůst finančně motivovaných útoků na ukrajinské organizace ve sledovaném období, nebo citelnější cílení ruských ofenzivních aktivit na poskytovatele telekomunikačních služeb.

V souvislosti s výše uvedeným zaslouží rovněž uvést, že ukrajinská vojenská zpravodajská agentura GUR se v nedávné době přihlásila k útoku na servery vládnoucí ruské strany a Telegram zablokoval a následně odblokoval chatboty užívané ukrajinskými bezpečnostními službami pro sběr dat o ruských aktivitách.

Prázdné repozitáře na Docker Hubu využívány při útocích

Společnost JFrog publikovala v uplynulém týdnu výsledky analýzy „prázdných“ repozitářů – tedy takových repozitářů, v nichž neexistuje žádný obraz kontejneru – na platformě Docker Hub. Již samotné počty těchto repozitářů byly překvapivé. Z cca 15 milionů repozitářů, které jmenovaná platforma hostuje, jich obrazy kontejnerů neobsahovalo 4,6 milionu. Ještě zajímavější však byl obsah, který v těchto repozitářích existoval.

Docker Hub umožňuje do repozitářů vedle nahrávání obrazů rovněž vkládat HTML dokumentaci, a této skutečnosti zjevně využili vybraní škodliví aktéři. Mnoho repozitářů, v nichž chyběly obrazy, totiž obsahovalo místo dokumentace škodlivý obsah, resp. podvodné texty a odkazy na škodlivé soubory.

Přestože takto zneužívaných repozitářů byla velká řada, výzkumníkům se při analýze podařilo identifikovat tři primární masivní kampaně, do nichž spadala převážná většina z nich (2,81 milionu). U jedné z těchto kampaní se nepodařilo identifikovat jednoznačný cíl, zbylé dvě kampaně pak byly zaměřeny na šíření malwaru vydávaného za pirátský obsah a na přesměrování návštěvníků na podvodné stránky požadující vložení údajů z platebních karet.

Bezpečnostní tým Dockeru v návaznosti na nahlášení výše popsané situace všechny potenciálně škodlivé repozitáře odstranil, lze však předpokládat, že škodliví aktéři budou ve zneužívání Docker Hubu podobným způsobem pokračovat i v budoucnu.

Čínská skupina Muddling Meerkat a její DNS aktivity

Výzkumný tým společnosti Infoblox v uplynulém týdnu publikoval analýzu netradičně se chovající čínské APT skupiny, kterou označili jako Muddling Meerkat.

Jmenovaná skupina údajně nejméně od října 2019 využívá protokol DNS k realizaci řady vysoce nestandardních aktivit, při nichž generuje nemalé množství DNS provozu, avšak ne se zcela zjevným cílem.

Výzkumníkům se podařilo identifikovat případy, kdy tato skupina pravděpodobně vyhledávala otevřené DNS resolvery v cizích sítích, nebo s využitím tzv. Velkého čínského firewallu zasílala podvržené odpovědi na DNS dotazy na MX záznamy směrované na čínské IP adresy, avšak aktivity Muddling Meerkat byly citelně širší a jednoznačné závěry stran cílů jejího chování nebyl výzkumný tým schopen formulovat.

Autoři analýzy se nicméně domnívají, že detekované aktivity by mohly sloužit pro mapování cílů pro případné budoucí útoky na DNS infrastrukturu nebo pro vytváření „šumu“, umožňujícího skrývat jiné škodlivé aktivity související s anomálním chováním DNS.

Velká Británie zakázala prodej zařízení s jednoduše uhádnutelnými hesly

Ve Velké Británii vešel v uplynulém týdnu v účinnost zákon stanovující minimální požadavky na zabezpečení „chytrých“ zařízení, které je nezbytné splnit, aby bylo možné daná zařízení v rámci země uvádět na trh.

Nový zákon mj. stanoví, že nabízené produkty nesmějí mít nastavená snadno uhádnutelná výchozí hesla a že pro zařízení musí být po určitou minimální dobu poskytována podpora v podobě bezpečnostních záplat.

Velká Británie není prvním státem, v němž podobný zákon platí – již od roku 2020 jsou slabá výchozí hesla zakázána v Kalifornii – je však prvním takovým státem v rámci Evropy. Zřejmě brzy však již nebude z tohoto hlediska osamocen, vzhledem k tomu, že na úrovni Evropské unie je již delší dobu připravován obdobně zaměřený Akt o kybernetické odolnosti, jehož finální znění by v průběhu tohoto roku mělo být ze strany orgánů EU definitivně přijato.

Běloruští Kyberpartyzáni údajně pronikli do systémů KGB

Běloruská hacktivistická skupina Kyberpartyzáni oznámila koncem předminulého týdne, že se jí podařilo již na podzim 2023 proniknout do systémů běloruské zpravodajské služby KGB. Webové stránky jmenované organizace jsou již dva měsíce nedostupné.

Hacktivistům se v souvislosti se zmíněným průnikem údajně podařilo zcizit a zveřejnit osobní data více než 8600 zaměstnanců jmenované tajné služby, a také přibližně 40000 udání a dobrovolných nabídek spolupráce, které byly KGB zaslány v letech 2014–2023.

Další zajímavosti

• Pathfinder – nový útok na branch prediction mechanismy v procesorech Intel
• Počty DDoS útoků na švédské organizace se před vstupem země do NATO citelně zvýšily
• Nový botnet Goldoon cílí na routery D-Link s pomocí téměř deset let známé zranitelnosti
• Operace Europolu vyústila v likvidaci 12 podvodných call center
• Microsoft rozšířil podporu passkey autentizace
• Okta upozornila na zvýšené počty credential stuffing útoků
• Na domény hostující podvodné stránky americké pošty míří stejné množství provozu, jako na její legitimní web
• Rusko nahradilo Wikipedii její cenzurovanou kopií
• Rusko obviněno z rušení GPS signálu v pobaltských státech
• Čínské vládní webové portály mají dle nové studie významné bezpečnostní nedostatky
• NSA a FBI varovaly upozornily na zneužívání slabých DMARC politik ze strany severokorejské APT skupiny
• Prezident Zelensky odvolal vedoucího kybernetické bezpečnosti zpravodajské služby
• Hrad se zbavil telefonů Huawei
• Google opravil implementaci reCaptcha mechanismu, který způsoboval problémy v prohlížeči Firefox
• Publikována nová technika umožňující sledovat uživatele prohlížeče Safari v soukromém módu
• Google v loňském roce zabránil umístění 2.28 milionu potenciálně škodlivých či aplikací do obchodu Google Play
• Evropská komise se bude zabývat nedostatečným monitoringem šíření dezinformací na Facebooku a Instagramu v souvislosti s evropskými volbami
• Společnost Dropbox informovala o úniku dat ze systémů Dropbox Sign
• Člen skupiny za ransomwarem REvil odsouzen ke 14 letům odnětí svobody
• Aruba publikovala záplaty pro čtyři kritické RCE zranitelnosti
• FCC udělilo čtyřem telekomunikačním operátorům v USA pokuty ve výši téměř $200 milionů v souvislosti s prodejem geolokačních údajů zákazníků třetím stranám
• Postkvantová kryptografie v Chrome rozbíjí špatné implementace TLS v serverech
• Společnost Verizon publikovala letošní verzi svého Data Breach Investigations Reportu (DBIR)
• Ředitel společností, které dodávaly falešné produkty Cisco americké armádě i řadě jiných organizací odsouzen k 6 letům odnětí svobody
• CISA a FBI vydaly dokument s doporučeními pro eliminaci directory traversal zranitelností
• Organizace nyob podala stížnost na OpenAI pro porušování GDPR v souvislosti s poskytováním nesprávných osobních údajů

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…