Hlavní navigace

Postřehy z bezpečnosti: útoky na ruská rádia a mediální servery

27. 2. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na útoky na ruské mediální systémy, zneužívání kritické zranitelnosti v systémech FortiNAC nebo netradiční požadavky ze strany autorů ransomwaru HardBit.

Rok od začátku války na Ukrajině

CISA, federální agentura USA odpovědná za oblast kybernetické bezpečnosti, publikovala počátkem uplynulého týdne varování o očekávaném navýšení počtu kybernetických útoků proruských skupin na evropské a americké organizace v souvislosti s blížícím se výročím začátku války na Ukrajině. Jak dalece se očekávání CISA splnila, ukáží zejména informace publikované v nadcházejících týdnech. V souvislosti s týdnem uplynulým však stojí v kontextu probíhajícího konfliktu za zmínku dvě události, za nimiž údajně stály úspěšné útoky proukrajinských skupin.

První z nich byl výpadek nejméně dvou ruských mediálních portálů v průběhu projevu prezidenta Putina k parlamentu a zástupcům dalších vybraných organizací, který byl těmito portály v danou dobu živě přenášen a který se věnoval právě probíhající válce. Důvodem výpadku měl být dle vyjádření IT ARMY of Ukraine na Telegramu jí organizovaný DDoS útok na systémy vybraných ruských médií.

Druhou ze zmiňovaných událostí bylo vysílání varování o náletech a raketových útocích cílících na ruská území některými ruskými rádiovými stanicemi v průběhu středečního rána. Rusko posléze v oficiálním vyjádření oznámilo, že tato varování byla falešná a do vysílání se dostala v důsledku blíže nespecifikovaného „hackerského útoku na satelitní systém“.

Vedle výše uvedeného dění zaslouží v souvislosti s válečným konfliktem na Ukrajině alespoň krátkou zmínku rovněž nově publikovaná analýza společnosti ESET věnovaná wiperům (škodlivému kódu, jehož primárním cílem je smazání/likvidace dat), které byly od začátku roku 2022 proti ukrajinským systémům použity.

Výkupné podle výše pojistného plnění

Provozovatelé ransomwaru HardBit aktuálně dle analýzy společnosti Varonis vkládají do tradičních zpráv informujících oběti o zašifrování dat i jeden netradiční požadavek. Jde o žádost o „anonymní“ sdělení výše, do níž má dle pojistné smlouvy jejich pojišťovna krýt škody spojené s výkupným v případě ransomwarového útoku.

Tato informace by dle vyjádření škodlivých aktérů měla umožnit vhodně stanovit podmínky výkupného a úspěšně završit související vyjednávání, což by bylo přínosné jak pro ně, tak pro jejich oběti (méně pak, samozřejmě, pro relevantní pojišťovny).

Zneužívání kritické zranitelnosti ve FortiNAC

Ve čtvrtek 16. února publikovala společnost Fortinet záplatu pro zranitelnost v systémech FortiNAC, jíž byl přiřazen identifikátor CVE-2022–39952 a která umožňuje neautentizovanému vzdálenému útočníkovi zapsat na zranitelné zařízení libovolný soubor a v souvislosti s tím i potenciálně získat schopnost spouštět na něm libovolný kód.

Necelý týden po uvolnění záplaty byla bezpečnostními výzkumníky zveřejněna detailní analýza jmenované zranitelnosti, spolu s proof-of-concept exploitem pro její zneužití. Nově publikovaný exploit začali téměř okamžitě využívat útočníci k cílení na zařízení dostupná z internetu, a organizacím, které systém FortiNAC využívají, je tak na místě doporučit jejich co nejrychlejší záplatování.

Informace o využití dat v Google Play

Výzkumný tým organizace Mozilla Foundation publikoval v uplynulém týdnu závěry analýzy rozdílů mezi štítky, které v obchodě Google Play informují uživatele o nakládání s jejich údaji ze strany konkrétních aplikací, a politikami, které reálně upravují, jak mohou poskytovatelé aplikací data legálně sbírat a využívat.

Výzkumníci se zaměřili na 40 nejstahovanějších aplikací, přičemž více či méně závažné rozdíly mezi štítky, které uživatel v obchodě u aplikací vidí a souvisejícími politikami zjistili u téměř 80 % zkoumaných aplikací. Na základě těchto dat se uživatel potenciálně rozhoduje, zda pro něj není sběr dat příliš invazivní a tedy zda si danou aplikaci nainstaluje.

Mozilla v souvislosti se svými zjištěními kritizovala systém, který Google pro stanovení štítků využívá, s tím, že obsahuje závažné mezery a neposkytuje tak uživatelům aplikací spolehlivé informace o zpracování jejich dat. Informace poskytované štítky jsou totiž odvozeny od dotazníku, který vyplňuje autor aplikace.

root_podpora

Google v reakci na tuto kritiku a publikované materiály oznámil, že zjedná nápravu, pokud by došlo k nahlášení nesprávných informací o zpracovávání dat ze strany vývojářů aplikací. Metodiku užitou výzkumným týmem Mozilly však současně označil za chybnou a kritizoval smysluplnost klasifikace výstupů použitou v analýze.

Další zajímavosti

Pro pobavení

[exclamation about how cute your cat is] -> [last 4 digits of your cat's chip ID] -> [your cat's full chip ID] -> [a drawing of your cat] -> [photo of your cat] -> [clone of your cat] -> [your actual cat] -> [my better cat]

[exclamation about how cute your cat is] → [last 4 digits of your cat's chip ID] → [your cat's full chip ID] → [a drawing of your cat] → [photo of your cat] → [clone of your cat] → [your actual cat] → [my better cat]

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.