FBI varuje před zaměstnanci ze Severní Koreje
Nejspíše také díky proběhnuvší pandemii se značně rozmohl trend zaměstnávání lidí, kteří pracují pouze vzdáleně. FBI vydalo další varování před praktikou Severní Koreje, která tento trend zneužívá. Toto varování následuje sérii varování z let 2022, 2023 a 2024. IT pracovníci z tohoto státu se snaží podvodně získat zaměstnání v západních firmách. Využívají k tomu ukradené či falešné dokumenty, úpravu fotografií pomocí AI a face-swapping pro účely videokonferencí.
Tímto způsobem se jim podařilo v minulých letech získat zaměstnání ve stovkách předních amerických firem, většinou na pozici vývojáře. Nemalý zisk z příjmu těchto osob, pohybující se v milionech dolarů, je po vyprání použit na financování nukleárního programu KLDR.
Ke komunikaci a přístupu do sítě svého nic netušícího zaměstnavatele využívají Severokoejci notebookové farmy čítající desítky zařízení, které budují s pomocí amerických občanů. Ministerstvo spravedlnosti tento týden obvinilo dva Severokorejce, Mexičana a dva Američany právě z této činnosti.
Kvůli provozování těchto farem již FBI v minulém roce zatklo několik osob v Arizoně a Tennessee. Zveřejněn byl také případ IT bezpečnostní firmy KnowBe4, která omylem zaměstnala občana Severní Koreje, který využil ukradenou identitu. Ihned po získání přístupu se podvodník pokusil ukrást firemní data. Některé firmy navíc útočníkům práci navíc zjednoduší tím, že používají virtualizované počítače (VDI), tudíž odpadá potřeba využívání fyzického notebooku.
Protože z pohledu síťového provozu se zaměstnanec připojuje ze Spojených států a nebudí tím podezření, břemeno odpovědnosti tak leží i na bedrech HR oddělení, které musí důkladně prověřovat kandidáty na vypsané pozice. Podobné praktiky již také zaznamenala Jižní Korea a Japonsko. Podle FBI se Severní Korea začala orientovat i na evropské firmy. Máte ve svém týmu nového kolegu, který pracuje vzdáleně?
… a mohla bych ho vidět?
Únik dat ze systému PowerSchool
PowerSchool, jeden z největších poskytovatelů systémů pro správu škol (SIS) na světě, se stal terčem závažného kybernetického útoku, při kterém byla kompromitována data milionů uživatelů.
Společnost zdůrazňuje, že incident aktivně vyšetřuje ve spolupráci s bezpečnostními experty z CrowdStrike a příslušnými úřady. Hacker stojící za útokem tvrdí, že ukradl data více než 62 milionů studentů a 9,5 milionu učitelů z USA a Kanady, včetně jejich osobních údajů, hesel, zdravotních údajů a dalších citlivých informací. Pod pohrůžkou zveřejnění požadoval od společnosti výkupné, které mu bylo zaplaceno. Díky tomu prý žádná data nebyla zveřejněna. Společnost PowerSchool přislíbila zvěřejnění zprávy o incidentu do 17. ledna, nicméně do dnešního dne nebyla zveřejněna.
Příčinou úniku dat bylo neoprávněné použití kompromitovaných přihlašovacích údajů k přístupu do zákaznického portálu PowerSource. Útočník následně využil nástroj pro správu dat, který je součástí tohoto portálu, k exportu databázových tabulek „Students“ a „Teachers“ do CSV souborů.
Únik takového rozsahu je alarmující a zdůrazňuje, jak závažná rizika představují zranitelnosti v dodavatelském řetězci softwaru, zejména v sektoru vzdělávání, kde se často pracuje s osobními údaji dětí a studentů. Tento incident navíc upozorňuje na nutnost pravidelných auditů bezpečnostních opatření, monitoringu systémů a posílení zabezpečení ve školských institucích, které se stávají stále častějším cílem útoků.
Phishing používající legitimní Google domény
Díky kombinaci chyby v Google Workspace, která umožňuje registraci jakékoliv g.co subdomény, spoofingu telefoního čísla a sociálního inženýrství, se útočníci snaží o získání přístupu k účtům Google.
Útočníci oběti zavolají z legitimně vypadajícího čísla, představí se jako bezpečnostní experti společnosti Google a oběť upozorní, že zaznamenali a zablokovali podezřelý přístup na Google Workspace účet. Jako ověření, že se skutečně jedná o Google, je útočník schopen zaslat e-mail s doménou *.g.co, který projde ověřením SPF, DKIM i DMARC. Poté oběti sdělí, že je nutné odhlásit se ze všech zařízení a poté resetovat heslo. Uživateli útočník zašle na zařízení ověření pomocí výběru čísla na displeji. Toto prezentují jako resetovací kód, ačkoliv se ve skutečnosti jedná o potvrzení přihlášení útočníka pomocí zařízení, které má oběť u sebe.
Programátor Zach Latta sepsal, jak tato technika funguje, včetně nahrávky části telefonního hovoru s útočníkem, protože se sám stal cílem tohoto útoku.
Toto je další phishingový útok zneužívající chyby ve službách Google. Nedávno byl také popsán podobný útok zneužívající prompt schovaný v e-mailu jako neviditelný text, který oběti při použití AI Gemini přidá do odpovědi škodlivý odkaz.
Hacker napadl své „mladé“
Společnost CloudSEK zveřejnila report o trojském koni, který byl součástí modifikované verze malware builderu XWorm RAT. Ta se šířila skrze githubové repozitáře, Telegram nebo YouTube videa s návodem, jak nástroj používat.
Po spuštění trojan nejprve zjistí, zda neběží ve virtualizovaném prostředí. Pokud cíl projde touto kontrolou, malware upraví registry, aby si zajistil své „přežití“ napříč restarty a ozve se přes Telegram svému C&C serveru. Z cíle se následně snaží zaslat domů Discord tokeny, systémové informace a polohu na základě IP. Poté vyčkává na jeden z 56 příkazů, které útočníkovi umožňují na počítači oběti nainstalovat keylogger, nahrávat obrazovku, šifrovat či stahovat soubory nebo získat hesla a cookies z přohlížeče.
Obětí se tak stalo přes 18 tisíc „script kiddies“, převážně v Rusku, USA, Indii, Ukrajině nebo Turecku. Výzkumníkům z CloudSEK se podařilo botnet rozbít pomocí integrovaného vypínače, který malware automaticky odinstaloval. Tento případ ukazuje, že „mezi zloději není žádná čest“.
Úník dat z Hewlett Packard Enterprise
HPE zveřejnilo, že se v polovině ledna nejspíše stalo obětí útoku známého hackera IntelBroker, který podle vlastního příspěvku na BreachForums ukořistil zdrojový kód, údaje o zákaznících a přístupy k API nebo platební bráně. HPE se tedy ani ne po roce znova zapsalo na pestrý seznam obětí toho záškodníka, na kterém najdeme mimo jiné firmy Nokia, Cisco, Home Depot nebo organizaci Europol. V závěru týdne pak IntelBroker ohlásil, že odchází z postu admina zmíněného fóra.
Analýza uniklých hesel
Společnost Specops Software vydala analýzu více než miliardy hesel, která unikla za použití malware během roku 2024. Že by rok 2025 byl rokem, kdy všichni uživatelé začnou používat správce hesel? Nejspíše ne, ale zasnít se můžeme.
Ve zkratce
- Zranitelnosti Ivanti jsou stále postrachem
- Zyxel opravuje bootloop i zabezpečení
- Magické pakety ohrožují VPN Juniper
- Více než 100 zranitelností LTE a 5G sítí
- PayPal pokutován 2 miliony dolarů za bezpečnostní pochybení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
