Hlavní navigace

Postřehy z bezpečnosti: útok na firmu Okta a možný konec skupiny Lapsus$

28. 3. 2022
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na aktuality spojené s válkou na Ukrajině, na úspěšný útok na společnosti Okta a Microsoft ze strany skupiny Lapsus$, ale i na údajné zatčení členů této skupiny.

Válka na Ukrajině a související dění

Twitterový účet s vazbou na Anonymous již na konci třetího březnového týdne informoval, že jmenované hnutí se zaměří na útoky na mezinárodní organizace, které budou i nadále působit v Rusku a odvádět tam daně. V uplynulém týdnu se pak k řadě útoků na takové organizace údajně Anonymous skutečně odhodlali, a to zejména ve formě DDoS útoků zaměřených na webové servery.

Hnutí Anonymous se rovněž pochlubilo získáním balíku 10 GB citlivých interních dat ze systémů společnosti Nestlé, která v Rusku stále působí, nicméně obsah následně zveřejněných souborů i vyjádření firmy Nestlé nahrávají spíše tomu, že k průniku do systémů společnosti ve skutečnosti nedošlo a předmětný balík „citlivých dat“ obsahoval jen testovací databázi omylem zpřístupněnou na jednom ze serverů firmy Nestlé v únoru.

Zdá se však, že skupiny hlásící se k Anonymous se citelněji zaměřily nejenom na soukromé společnosti, ale i na vybrané ruské instituce. Ke konci týdne jeden z twitterových účtů s vazbou na Anonymous informoval o údajném úspěšném průniku do systémů ruské centrální banky a odcizení mnoha citlivých dokumentů, a související balík dat byl později volně publikován. Původ a obsah zveřejněných dat nelze v tuto chvíli spolehlivě ověřit, nicméně na základě předběžných analýz se zdá, že by se skutečně mohlo jednat o interní data patřící Centrální bance Ruské federace.

V rámci států podporujících Ukrajinu docházelo v průběhu uplynulých dní k přípravám na potenciální reakci ze strany Ruska v podobě útoků cílených na jejich kritickou infrastrukturu a občany. Této problematice se věnovali lídři zemí G7 na proběhlém summitu, a samostatně pak Spojené státy, Velká Británie, a do jisté míry i Česká republika. NÚKIB totiž počátkem týdne publikoval varování v souvislosti potenciálními dopady aktuálních sankcí na dodavatelský řetězec organizací, do něhož mohou být zapojeny i subjekty z Ruska.

Mezi významné události s určitou vazbou na probíhající válku na Ukrajině patřilo rovněž zveřejnění informací o obvinění čtyř ruských občanů z historických útoků na organizace působící v energetickém sektoru ze strany USA a publikování detailního popisu technik a postupů, které měly být při těchto útocích použity.

Společnosti Okta a Microsoft byly obětmi skupiny Lapsus$

V průběhu minulého víkendu a začátku uplynulého týdne informovala skupina Lapsus$, která se specializuje na průniky do sítí velkých organizací a jejich následné vydírání s pomocí ransomwaru, že se jí podařilo získat přístup do systémů společnosti Microsoft a získat zdrojové kódy jejích vybraných produktů.

Jmenovaná společnost později potvrdila, že účet jednoho z jejích zaměstnanců byl skutečně kompromitován a balík dat, který skupina Lapsus$ v mezičase publikovala, tak skutečně obsahoval zdrojové kódy některých produktů, mj. systémů Bing nebo Cortana. V rámci průniku nicméně dle Microsoftu došlo pouze ke zcizení jeho interních dat a žádná zákaznická data nebyla kompromitována.

Situace byla trochu jiná v případě průniku do systémů společnosti Okta, který byl později skupinou Lapsus$ rovněž oznámen. Vedoucí informační bezpečnosti (CISO) Okty, David Bradbury, nejprve vydal prohlášení ubezpečující zákazníky, že z jejich strany není třeba žádné akce, protože platforma nebyla kompromitována. Uvedl nicméně rovněž, že v lednu se externímu útočníkovi podařilo na několik dní získat vzdálený přístup k laptopu servisního technika subdodavatele společnosti Okta, avšak vzhledem k omezeným právům spojeným s účtem technika by jakékoli dopady zanedbatelné.

Později však CISO Okty doplnil, že celkem 366 tenantů (tedy přibližně 2,5 % zákaznických účtů) mohlo být v době, kdy měly útočníci ke kompromitovanému účtu přístup, potenciálně určitým způsobem negativně ovlivněno.

Skupina Lapsus$ na vyjádření ze strany společnosti Okta reagovala vlastním prohlášením, v němž mj. uvedla, že dopad jejích aktivit na zákazníky může být potenciálně velmi citelný a jeho bagatelizace tak rozhodně není na místě, současně kritizovala interní bezpečnostní standardy a zvyklosti firmy Okta, které údajně rozhodně neodpovídají dobré odborné praxi.

Přestože tvrzení skupiny Lapsus$ není možné ověřit, reakce na přístup firmy Okta k vzniklé situaci byla ze strany zákazníků i odborné veřejnosti převážně negativní. Krom jiného i v důsledku relativně opožděného uvědomění zákazníků o potenciálním incidentu, ale také proto, že specifická doporučení pro reakci na aktuální situaci poskytovaly spíše jiné subjekty než Okta samotná.

Údajné zatčení člena skupiny Lapsus$

Zdá se, že k výše zmíněným útokům se váže také jedna pozitivní zpráva z uplynulého týdne. Po analýze dostupných informací totiž policejní orgány ve Velké Británii zatkly celkem 7 lidí ve věku mezi 16 a 21 lety v souvislosti s kybernetickými útoky, a nejméně jeden ze zatčených měl údajně stát za skupinou Lapsus$.

Zranitelnost v dálkovém ovládání Hondy Civic

Nejen pro majitele vozů Honda Civic vyrobených mezi lety 2016 a 2020 může být zajímavý nový výzkum ukazující možnost použít proti těmto automobilům jednoduchý rádiový replay útok a dosáhnout tak odemčení či zamčení dveří, nebo případně i vzdáleného nastartování vozidla.

Související zranitelnost, které byl přiřazen identifikátor CVE-2022–27254, je způsobena skutečností, že dálkové ovladače pro výše zmíněná vozidla nepoužívají plovoucí, ale statické kódy. Potenciálnímu útočníkovi tak stačí jednou si nahrát validní signál spojený například s odemčením vozidla, a následně jej může kdykoli sám opět vyslat a vozidlo odemknout.

Sama společnost Honda k nahlášené zranitelnosti uvedla, že její existenci sama neověřovala a nemůže tak potvrdit, že její výrobky jsou jí postiženy. Mluvčí Hondy nicméně rovněž uvedl, že principiálně jsou podobné replay útoky známým problémem a Honda aktuálně nemá v plánu starší vozy updatovat.

Regulátor v USA vyhodnotil společnost Kaspersky jako rizikovou pro národní bezpečnost

FCC, americký telekomunikační regulátor, připojil firmu Kaspersky Labs na seznam dodavatelů, jejichž produkty není z bezpečnostních důvodů možné financovat z federálních finančních zdrojů. Uvedení na tomto seznamu, na němž se historicky objevily mj. společnosti ZTE a Huawei, sice neznamená zákaz používání produktů a služeb Kaspersky v organizacích regulovaných ze strany FCC, nicméně v praxi má v podstatě stejný význam. Svůj krok FCC opodstatnilo vazbami jmenované společnosti na Rusko.

skolení ELK

Je vhodné připomenout, že úplný zákaz používání produktů firmy Kaspersky platí v USA už od roku 2017 pro všechny federální instituce.

Další zajímavosti

Pro pobavení


Autor: Neznámý

Pohled do alternativní reality inspirovaný úspěšným útokem skupiny Lapsus$ na Microsoft (viz výše). Zdroj: Reddit

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.