Hlavní navigace

Postřehy z bezpečnosti: SolarWinds Orion a útok supply chain

21. 12. 2020
Doba čtení: 5 minut

Sdílet

 Autor: Solarwinds
Dnes se podíváme na dostupné informace k problému se SolarWinds Orion, na použití Wi-Fi v přístroji bez Wi-Fi, na výpadek serverů Google a na útoky na úřady spravující nukleární arzenál.

Solarwinds ohrožuje tisíce organizací

FireEye vyšetřuje útok supply chain, při kterém útočník označovaný jako UNC2452 distribuoval prostřednictvím softwarových updatů produktu SolarWinds Orion backdoor SUNBURST. Útok probíhal zhruba od března tohoto roku. Společnost FireEye informovala 33 000 zákazníků produktu, nicméně tvrdí, že zákazníků používaných verzí s backdoorem je méně než 18 000.

Společnosti FireEye, GoDaddy a Microsoft v tomto týdnu vytvořily „killswitch” backdooru SUNBURST. Využily toho, že při resolvování domény avsvmcloud[.]com (využívané backdoorem) na konkrétní IP adresy dojde k zablokování tohoto backdooru. Pokud si však v mezičase útočníci do dané sítě nainstalovali jiný backdoor, tak na ten toto opatření nebude mít vliv.

Pro správce systémů kritické informační infrastruktury významných informačních systémů nebo systémů základní služby vydal NÚKIB v souvislosti s touto kauzou také reaktivní opatření.

Jak ukrást data přes Wi-Fi z počítače, který Wi-Fi nemá

Izrealská univerzita Ben-Gurion přichází s dalším extrémně zajímavým tématem: Jak ukrást přes Wi-Fi data z počítače, který není připojen k síti… a nemá Wi-Fi.

Při práci s velmi citlivými údaji často podniky a instituce vybrané počítače záměrně nepřipojují k síti, aby se minimalizovalo riziko krádeže dat. To však nemusí být dostatečné, vzpomeňme si například na pokusy snímání diod přes kamerový systém. Ale možnost využití Wi-Fi v přístroji bez Wi-Fi je novinkou. K potenciálnímu útoku není třeba eskalace práv ani ovladače jádra. Stačí, když zaměstnanec získá přístup a vloží do počítače malware. Klíč spočívá ve sběrnici paměťového modulu DDR SDRAM, který slouží k výměně dat mezi procesorem a pamětí a generuje elektromagnetické záření.

Vysílání bylo vyzkoušeno na několik metrů a přenosová rychlost dosáhla až 100 bitů za sekundu. Běžná Wi-Fi přenáší data asi půlmilionkrát rychleji, i tak je to však pozoruhodný úspěch a připomíná, že elektromagnetické, akustické, teplotní i optické součásti jsou žhavé výzvy k sofistikovaným útokům.

Určování významných informačních systémů po novém roce

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydává nový podpůrný materiál, který povinným subjektům pomůže s postupy podle novelizované vyhlášky o významných informačních systémech a jejich určujících kritériích, která nabude účinnosti prvního ledna.

Nová vyhláška nabude částečně účinnosti od prvního ledna příštího roku. Jejím smyslem je zejména zpřesnění kritérií pro určení toho, zda daný informační systém je významný, nebo ne. Tím zvyšuje právní jistotu jednotlivých provozovatelů těchto systémů. Aby byl proces určování, který mají na starosti samotní správci systémů, co nejplynulejší, vypracoval NÚKIB podpůrný materiál, který provozovatele provede procesem určování.

PGMiner: první botnet těžící kryptoměnu, který zneužívá PostgreSQL

Výzkumníci z Palo Alto Networks Unit42 objevili nový botnet používaný k těžbě kryptoměny Monero, který se šíří pomocí PostgreSQL databáze. Botnet PGMiner vyhledává ve veřejném adresním prostoru IP adresy s otevřeným portem 5432 a snaží se pomocí slovníkového útoku autentizovat jako uživatel postgres.

Jakmile se mu to podaří, použije k instalaci a spuštění mineru funkci databáze „COPY from PROGRAM”, dostupnou od verze PostgreSQL 9.3. Pomocí této funkce vykonává svůj kód přímo v operačním systému. Tato verze pracuje pod Linuxem na platformách x64, ARM a MIPS. Nezpřístupňujte databázové porty v Internetu a používejte silná hesla.

Výpadek serverů Google

Minulý týden jsme si mohli povšimnout výpadku serverů společnosti Google. Jednalo se o relativně rozsáhlý výpadek služeb, který byl dle dostupných informací způsoben nedostatkem místa na disku u autentizačních serverů. Mimo služeb Youtube a Gmail byli zasaženi i uživatelé, které tato událost rázem rozdělila na dva tábory. V jednom si nemohli světlo rozsvítit a v druhém naopak zhasnout.

Kromě posměšků, dávajících chybu mimo jiné do souvislosti s nedávným ohlášením změn týkajících se datového úložiště, si však pracovníci společnosti Google vysloužili i uznání, že dokáží opravit problém i bez návodů na YouTube/Google (raději nebudeme domýšlet, co by se stalo, kdyby nešlo ani Stack Overflow). Každopádně nedá se nepřipomenout nedávný podobný výpadek společnosti Amazon, o kterém jsme psali v dřívějším díle.

Vánoční podvody na Facebooku

Uživatelé Facebooku by se měli mít na pozoru před vánočním podvodem, který se podle non-profit Identity Theft Resource Center může objevit během vánočních svátků. Podle expertů na krádeže identity, útočníci pomocí vytvořených kopií účtů vašich přátel, vás můžou kontaktovat, že vyhráli takzvaný „vánoční bonus“, a že jej můžete taky získat, když kliknete na přiložený odkaz.

Poté byste byli přesměrování na agenta Facebooku, který se vás snaží přesvědčit, že se jedná o soutěž a požadují vyplnění osobních údajů pro získání bonusu, případně také mohou požadovat malý poplatek, aby mohli výhru poslat na váš bankovní účet. Podobná varianta útoku se objevuje již od roku 2015.

Kyberútoky na úřady spravující nukleární arzenál

Dva úřady Spojených států amerických zabezpečující nukleární arzenál se staly cílem hackerského útoku. Jedná se o National Nuclear Security Administration a Energy Department, podezřelá síťová aktivita byla zaznamenána na celkem pěti různých pracovištích.

Podle oficiálního vyjádření se jednalo o velmi sofistikovaný útok na kritickou infrastrukturu, který byl těžko odhalitelný i odstranitelný. Malware prý však neohrozil bezpečnost kritických funkcí. Útok je prý spojen s nedávným odhalením škodlivého kódu v aktualizacích populárního software od SolarWinds na správu sítě.

DT2021 tip

Denně se vyrojí na 360 tisíc škodlivých souborů

Víc než pětiprocentní meziroční nárůst denně zachycených škodlivých souborů zaznamenala v roce 2020 společnost Kaspersky. V průměru každodenně detekovala 360 tisíc nových škodlivých souborů, což je o 5,2 % více než loni. Na tomto růstu se nejvíce podílely tzv. trojské koně (tj. škodlivé soubory s nejrůznějšími funkcemi od mazání dat po krádeže osobních informací) a zadní vrátka (specifický typ trojského koně, díky němuž útočníci mohou napadený počítač vzdáleně ovládat). Meziročně jich Kaspersky zachytil o 40,5 %, resp. 23 % víc, vyplývá z výroční statistické zprávy zveřejněné v Kaspersky Security Bulletinu.

Ve zkratce

Pro pobavení

BREAKING: CIA has deciphered monolith

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.