Postřehy z bezpečnosti: zubní kartáčky na nás (zatím) neútočí

12. 2. 2024
Doba čtení: 8 minut

Sdílet

 Autor: Depositphotos
Podíváme se na botnet složený z chytrých zubních kartáčků, nárůst plateb ransomwarovým skupinám v uplynulém roce, nebo podvod s využitím deepfake technologií, při němž si podvodníci údajně přišli na více než půl miliardy…

Neexistující botnet složený z chytrých zubních kartáčků

Počátkem týdne se v řadě odbornýchpopulárních médií (včetně těch českých) objevila informace o existenci masivního botnetu, složeného – poměrně netradičně – z přibližně tří milionů „chytrých“ zubních kartáčků. Tento botnet měl být dle publikovaných informací využit k masivnímu DDoS útoku na nejmenovanou švýcarskou organizaci, jíž měla být způsobena ztráta ve výši několika milionů eur.

Přestože zneužívání zranitelností v chytrých zařízení libovolného typu je v současnosti běžnou součástí každodenní reality, a výše zmíněná informace tak nutně nepůsobí jako sci-fi, nakonec se ukázalo, že žádný takový botnet nikdy neexistoval.

Informace o existenci botnetu byla nejprve publikována v článku zveřejněném švýcarským portálem Aargauer Zeitung, z něhož všechna další média čerpala, a údajně byla založená na vyjádření specialisty společnosti Fortinet, který měl DDoS útok s pomocí botnetu složeného ze zubních kartáčků uvést jako příklad aktuální hrozby.

Poté, co se zpráva rozšířila do dalších médií a řada členů odborné komunity ji začala zpochybňovat, publikovala nicméně společnost Fortinet vyjádření, v němž uvádí, že možnost existence výše zmíněného botnetu byla uvedena pouze jako hypotetický příklad, který byl na straně Aargauer Zeitung v důsledku chybného překladu špatně pochopen.

Samotný portál Aargauer Zeitung pak v reakci na toto vyjádření publikoval článek, v němž tvrdí, že vyjádření zástupců společnosti Fortinet rozhodně nebyla z jejich strany pochopena špatně, a že zmiňovaný DDoS, za nímž měl stát „kartáčkový botnet“ v nich byl prezentován jako reálný útok, včetně detailů typu délky jeho trvání a výše způsobených škod.

V době přípravy tohoto článku prozatím společnost Fortinet žádnou reakci na druhý článek Aargauer Zeitung nezveřejnila, lze nicméně očekávat, že k publikaci nějakého vyjádření z její strany ještě dojde.

Pro tuto chvíli můžeme v každém případě zůstat klidní – naše chytré kartáčky by neměly představovat o nic větší hrozbu než kdykoli dříve… Zdá se však, že bychom měli být čím dál tím opatrnější, pokud jde o bezbřehé důvěřování informacím publikovaným i v renomovaných odborných médiích.

Platby spojené s ransomwarem dosáhly v roce 2023 rekordní výše

Dle nově publikované analýzy společnosti Chainalysis přesáhly v loňském roce platby v souvislosti s ransomwarovými útoky poprvé v historii hranici jedné miliardy amerických dolarů. Celkem se měly dostat až na cca 1,1 miliardy.

Výdělky ransomwarových skupin v loňském roce tak citelně přesáhly nejen ty za rok 2022, kdy jmenovaná společnost evidovala platby v hodnotě „pouze“ 567 milionů, ale i za doposud rekordní rok 2021, v němž byly identifikovány platby v celkové výši 983 milionů.

Zmínku zaslouží, že kromě celkového objemu plateb rostl v poslední době i poměr evidovaných plateb v hodnotě přes jeden milion dolarů – zatímco na začátku roku 2022 dosahovalo alespoň milionové výše jen necelých 60 % všech evidovaných plateb, ke konci loňského roku už této hranice dosahovalo více než 70 % všech plateb.

Pro úplnost je vhodné rovněž uvést, že dle nové studie publikované v pondělí společností Malwarebytes narostly v průběhu loňského roku o 68 % také počty všech známých „velkých“ ransomwarových útoků.

Podvod využívající deepfake vynesl půl miliardy

Do odborných i populárních médií si v uplynulém týdnu našly cestu informace o prozatím zřejmě největším podvodu zaměřeném na získání finančních prostředků, při němž byly využity deepfake technologie.

Zaměstnanec hongkongské pobočky nejmenované nadnárodní společnosti se sídlem ve Velké Británii měl v rámci něj podvodníkům v průběhu několika dní převést postupně přes 200 milionů hongkongských dolarů (téměř 600 milionů korun).

Měl tak učinit v návaznosti na podvodný e-mail od finančního ředitele společnosti, který jej informoval o potřebě provedení „utajované transakce“, následovaný videokonferenčním hovorem, v průběhu něhož byl tento požadavek potvrzen a při němž byli vedle finančního ředitele přítomni i někteří další pracovníci postižené organizace. Jak se však později ukázalo, účastníci onoho konferenčního videohovoru, kteří vypadali a zněli jako skuteční kolegové daného zaměstnance, byli kombinací dříve nahraných audio a video záznamů a obsahu generovaného s pomocí umělé inteligence.

Pro úplnost je vhodné uvést, že dle vyjádření místních policejních orgánů prozatím v souvislosti s tímto podvodem nebyly zadrženy žádné osoby.

Využívání zero-day zranitelností se citelně zvýšilo

Bezpečnostní specialisté ze skupiny Threat Analysis Group (TAG) společnosti Google publikovali v uplynulém týdnu analýzu zaměřenou na fungování trhnu s komerčním spywarem a chování tvůrců takového spywaru (tzv. „Commercial Surveillance Vendors“ nebo „CSV“).

jejich zjištění mj. vyplývá, že CSV v současnosti stran využívání zero-day zranitelností plně konkurují státům a jimi podporovaným skupinám. Dokládá to mj. skutečnost, že tvůrci komerčního spywaru stály dle dat TAG za téměř polovinou všech známých dosavadních zero-day exploitů zaměřených na produkty samotné společnosti Google.

Nebezpečí spojená s komerčním spywarem – a zejména s jeho zneužíváním – jsou již dlouhou dobu významným tématem nejen v odborné bezpečnostní komunitě, ale i na úrovni mezinárodní politiky. Zmínku tak zaslouží i fakt, že Francie a Velká Británie v uplynulém týdnu společně zorganizovaly diplomatickou konferenci zaměřenou na problematiku „šíření a nezodpovědného využívání nástrojů a služeb pro kybernetické průniky“, jíž se účastnili i zástupci ČR. Závěrečná deklarace podepsaná vybranými státy na závěr této konference by měla vyústit v budoucí širší formální mezinárodní spolupráci v této oblasti.

Zmínku v souvislosti s tímto tématem rovněž zaslouží, že ministerstvo zahraničí USA v uplynulém týdnu informovalo o nové politice vízových omezení, zaměřených na osoby, které se dopustí zneužití komerčního spywaru, a použijí jej např. k cílení na disidenty, novináře apod., ale rovněž osoby, které budou zapojeny do prodeje, vývoje či distribuce nástrojů výše zmíněného typu.

Čínské APT skupiny pronikly do sítí Nizozemska a USA

Nizozemské ministerstvo obrany publikovalo v uplynulém týdnu zprávu, v níž popisuje úspěšný průnik do jedné ze svých sítí v průběhu roku 2023, za nímž s vysokou pravděpodobností stojí skupina podporovaná Čínskou lidovou republikou a při němž byl použit zcela nový perzistentní backdoor (RAT) pro zařízení FortiGate nazvaný COATHANGER.

Dopady tohoto průniku byly dle oficiálního vyjádření omezené, vzhledem k tomu, že postižená síť byla oddělená od zbytku infrastruktury ministerstva a byla využívána pouze pro práci na neutajovaných výzkumných a vývojových projektech a pro spolupráci s externími výzkumnými organizacemi.

Potenciálně velmi citelné dopady naopak mohly mít útoky čínské APT skupiny Volt Typhoon, známé též jako Vanguard Panda nebo UNC3236, na systémy kritické infrastruktury USA, na něž v uplynulém týdnu upozornily americké bezpečnostní služby.

Ty uvedly, že zmíněné skupině se historicky podařilo získat přístup do IT prostředí velkého počtu organizací kritické infrastruktury USA působících v oblasti komunikací, energetiky, dopravy a vodárenství, přičemž přístup do některých kompromitovaných prostředí si byla tato skupina schopná udržet po dobu nejméně pěti let.

Bezpečnostní služby Spojených států v souvislosti s těmito událostmi vyhodnotily, že APT aktéři podporovaní Čínou se pokouší získat schopnost narušit fungování kritické infrastruktury USA v případě vzniku významnějšího mezinárodního konfliktu.

Byly publikovány záplaty pro dvě kritické zranitelnosti ve FortiOS

Přinejmenším hektický konec týdne připravila administrátorům firewallů FortiGate společnost Fortinet, když ve čtvrtek informovala o existenci dvou kritických zranitelností v operačním systému FortiOS, které umožňují vzdáleně spouštět na zranitelném zařízení libovolný kód (CVE-2024–21762 a CVE-2024–23313).

bitcoin školení listopad 24

První z uvedených zranitelností byla navíc dle vyjádření společnosti Fortinet již potenciálně zneužita při reálných útocích. Vedle jmenované společnosti proto urychlené záplatování zmíněných zranitelností doporučily například i CISA nebo NÚKIB.

Další zajímavosti

Pro pobavení

Every computer, at the unreachable memory address 0x-1, stores a secret.  I found it, and it is that all humans ar-- SEGMENTATION FAULT.

Every computer, at the unreachable memory address 0×-1, stores a secret. I found it, and it is that all humans ar– SEGMENTATION FAULT.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.