Hlavní navigace

Postřehy z bezpečnosti: zprávy o smrti skupiny Conti byly značně přehnané

23. 5. 2022
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na neúplný konec ransomwarové skupiny Conti, dopady ransomwarového útoku na ŘSD, možnost útoku na vypnutý iPhone i nešťastné ukládání hesel v prohlížeči Chrome.

Skupina Conti oficiálně ukončila svou činnost

Skupina Conti, známá úspěšnými ransomwarovými útoky cílenými zejména na velké korporace a významné instituce (vysoce efektivní a široce medializovaný byl například její nedávný útok na systémy Kostarické republiky), oficiálně ukončila v uplynulém týdnu své aktivity. Zánik „značky“ Conti však bohužel neznamená ukončení ransomwarových operací ze strany členů této skupiny.

Z dostupných informací totiž vyplývá, že vedení skupiny Conti navázalo partnerství s větším množstvím menších ransomwarových skupin (mj. AvosLocker, BlackByte, BlackCat, HelloKitty a Hive), v rámci nichž budou její členové od nynějšku aktivně působit. Útoky pod vlastní hlavičkou Conti tak už (alespoň v nejbližší budoucnosti) nejspíše neuvidíme, namísto nich lze však očekávat určité navýšení počtu útoků ze strany výše zmíněných menších ransomwarových skupin.

I s vypnutým iPhonem může útočník interagovat… ale

V návaznosti na publikaci výzkumu zaměřeného na zkoumání možností zneužití bezdrátové komunikace na vypnutých iPhonech, za nímž stojí akademický tým z univerzity v Darmstadtu a který byl zveřejněn 12. května, se v uplynulém týdnu objevila v médiích (i těch českých) řada článků upozorňujících na hypotetickou možnost zaútočit na iPhone s pomocí Bluetooth komunikace i ve chvílích kdy je daný iPhone vypnutý. Přestože mnoho médií explicitně zmiňuje „možnost nahrávat na vypnuté zařízení malware“, zjištění výzkumného týmu nejsou zdaleka tak hrozivá, jak mohou podobné titulky naznačovat.

Autoři výzkumu ve svém článku informovali o tom, že i po vypnutí iPhonu zůstávají vybrané komponenty (mj. Bluetooth čip) funkční až 24 hodin v rámci tzv. low-power módu (LPM), přičemž tento mechanismus slouží pro nalezení zařízení s pomocí funkce FindMy. Vzhledem k tomu, že integrita firmwaru Bluetooth čipu není zajištěná/ověřovaná s pomocí jeho podpisu, byli výzkumníci schopni na jailbreaknutém zařízení tento firmware modifikovat, a prokázat tak, že by hypotetický útočník s plným přístupem k zařízení mohl do firmwaru vložit i škodlivý kód, s nímž by bylo možné interagovat i po vypnutí zařízení.

Zmíněná zjištění jsou bezesporu zajímavá, avšak vzhledem k omezené využitelnosti výše popsaných skutečností v rámci reálných útoků mají, alespoň pro tuto chvíli, zejména akademický význam.

Ředitelství silnic a dálnic zasáhl ransomware

Ředitelství silnic a dálnic se dle vlastního vyjádření a informací poskytnutých NÚKIB stalo v úterý v ranních hodinách terčem ransomwarového útoku v důsledku něhož byly jeho vybrané systémy delší dobu nedostupné.

Bližší detaily k útoku nebyly poskytnuty, nicméně jeho dopad byl alespoň na venek citelný – po nějakou dobu nefungovala například bezplatná asistenční a informační linka pro řidiče, nástroj pro administraci veřejných zakázek, ani webové portály provozované ŘSD.

Zatímco zmiňovanou asistenční linku i portál Tender Arena se podařilo v průběhu týdne opět zprovoznit, webové portály dopravniinfo.cz a rsd.cz byly nedostupné ještě v době přípravy tohoto článku v průběhu víkendu.

Nešťastné ukládání hesel v prohlížeči Chrome

Ukládání hesel přímo v prohlížečích je odbornou komunitou dlouhodobě považováno za velmi špatnou bezpečnostní praxi. Důvodů pro obecné doporučování alternativních úložišť v podobě specializovaných správců hesel je více, avšak jedním z těch dominantních byla historicky ne vždy bezpečná forma ukládání hesel na straně prohlížečů.

To, že s hesly i v současnosti pracuje ne zcela bezpečně i velmi oblíbený prohlížeč Chrome ukazuje článek Xaviera Mertense z ISC z uplynulého týdne, v němž autor demonstruje, že hesla uložená tímto prohlížečem jsou sice v rámci relevantní databáze SQLite zašifrovaná s pomocí kryptografického algoritmu AES, avšak šifrovací klíč umožňující jejich rozšiřování je uložen ve volně přístupném souboru JSON. Získání hesel uložených v prohlížeči by tak nepředstavovalo pro hypotetického útočníka, který by získal schopnost vyčítat obsah souborů z datového úložiště, větší problém.

CISA publikovala několik zajímavých materiálů

Severoamerický regulátor v oblasti kybernetické bezpečnosti CISA (Cybersecurity & Infrastructure Security Agency) publikoval v uplynulém týdnu vedle doporučení pro mitigaci aktivně zneužívaných zranitelností v produktech firem VMware a F5 také seznam doporučení pro snížení rizik spojených z nejčastěji využívanými technikami pro získání úvodního přístupu k cílovému prostředí ze strany útočníků (tzv. Initial Access) a výstup z celkem 112 analýz zranitelností a rizik kritické infrastruktury a významných organizací v USA za rok 2021.

Zejména (avšak nejen) poslední zmiňovaný dokument může být zajímavý i pro organizace v České republice, vzhledem k tomu, že uvádí seznam taktik a technik útoků, které jsou v současnosti dle CISA nejaktuálnější, a na které tak může být smysluplné se zaměřit.

Skupiny APT jen zřídka využívají zranitelnosti 0-day

Výzkumný tým z univerzity v Trentu publikoval v pondělí zajímavou analýzu celkem 350 kampaní vedených 86 různými skupinami APT mezi lety 2008 a 2020, v níž demonstrují mj. omezené cílení na „unikátní“ (tedy jinými aktéry nevyužívané) a zranitelnosti 0-day ze strany jednotlivých skupin APT.

Vedle zájemců o problematiku útoků APT (Advanced Persistent Threat) mohou být výstupy z analýzy zajímavé také pro autory programů zaměřených na řízení zranitelností v organizacích, vzhledem k tomu že ukazují potřebu vhodné prioritizace patchů a nabízejí možné strategie pro tuto oblast.

skolení ELK

Další zajímavosti

Pro pobavení

Reakce na úspěšný ransomwarový útok může překvapit i u národní banky

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.