Security News – Júl 2023

Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za júl 2023. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí. 

Politika

Pročínska hackerská skupina Storm-0558 hackla e-mailové kontá viac ako dvoch desiatok organizácií, vrátane amerických a európskych vládnych agentúr. Útočníci použili autentifikačné tokeny, ktoré sfalšovali pomocou ukradnutého kľúča Microsoft, na podpisovanie spotrebiteľských účtov. 

Proruská skupina RonCom aktívne zneužívala zraniteľnosť vo Windows a MS Office. Zneužívali ju aj počas samitu NATO v Litve, kde mohli útočníci bez autentifikácie úplne narušiť princípy dôvernosti, dostupnosti a integrity, i keď komplikovaným spôsobom.

GitHub varuje pre kampaňou severokórejskej skupiny Lazarus. Kampaň cieli na programátorov blockchain, cryptocurrency, online stávkovania a kybernetickej bezpečnosti. Ich cieľom je infikovať ich malware-om, na čo využívajú sociálne inžinierstvo a pozvánku na prácu na GitHub repozitári so škodlivými NPM závislosťami.

Ukrajina rozložila ďalšiu veľkú farmu botov, ktorá sa dotkla viac ako 100 ľudí v takmer dvadsiatich lokalitách. Tiež zadržali viac ako 150 000 SIM kariet. Boti boli používaní na šírenie ruskej propagandy a na ospravedlňovanie ruskej invázie na Ukrajinu.

Ruská skupina From Russia with Love tvrdí, že ukradla informácie týkajúce sa bezpečnosti samitu NATO vo Vilniuse. Veľká časť dát však pochádzala z verejne dostupných informácií, ktoré boli zverejnené až po samite. Litovské centrum kybernetickej obrany tvrdí, že sa žiadny útok na kritickú infraštruktúru nekonal.

Biely dom sa snaží zvýšiť bezpečnosť IoT zariadení tak, že zaviedol dobrovoľnú známku “U.S. Cyber Trust Mark”. Na to, aby zariadenia získali túto certifikáciu, musia spĺňať kritéria a štandardy definované organizáciou NIST.

Vyšetrovanie a výskum

Bývalý zamestnanec Kalifornskej spoločnosti na úpravu vody bol obžalovaný za úmyselný pokus znefunkčniť bezpečnostné a ochranné systémy spoločnosti. Po svojom odchode zo spoločnosti sa ju pokúsil zámerne poškodiť pomocou softvéru na vzdialený prístup, ktorý nainštaloval na svoj pracovný počítač. 

Výskumníci varujú, že desiatky tisíc monitorovacích a diagnostických fotovolatických systémov (od Solar-Log, Danfoss Solar Web Server,…) je voľne dostupných na webe. Môžu sa tak stať terčom hackerov, keďže neautorizovaní používatelia vedia pristupovať k údajom a pri výskyte zraniteľností môžu aj aktívne zneužiť systémy.

Švédsky úrad pre ochranu údajov udelil za používanie Google Analytics dve pokuty v sume viac ako jeden milión eur. Používaním Google Analytics pokutované spoločnosti porušili GDPR, pretože došlo k transferu osobných údajov do tretích krajín, ktoré nemajú dostatočnú ochranu osobných údajov. 

Nórsky úrad pre ochranu údajov zakázal na sociálnych sieťach Facebook a Instagram behaviorálnu reklamu. Takéto reklamy sú zakázané, pokiaľ používatelia neudelia explicitný súhlas so spracovaním svojich osobných údajov na tento účel.

Viac ako 15 000 Citrix zariadení je zraniteľných voči vzdialenému spusteniu kódu. Odhalené boli aj ďalšie zraniteľnosti. Ku všetkým boli vydané aktualizácie alebo návody ako minimalizovať ich dopad.

Výskumníci preverili bezpečnosť platformy Honeywell Experion DCS. Našli deväť zraniteľností, z toho sedem bolo kritických. Umožňovali vzdialené vykonávanie kódu aj bez detekcie na strane operátora. Platforma sa používa v kritickej infraštruktúre, najmä v ropnom priemysle. Pred zverejnením informácií o zraniteľnostiach spoločnosť vydala aktualizácie.

Nemeckí výskumníci našli viacero zraniteľností vo firmware určenom pre satelity. Rovnako zistili, že v tejto doméne sa používa extrémne málo bezpečnostných prvkov.

Výskumníci odhalili zraniteľnosti v Terrestrial Trunked Radio (TETRA), ktoré sa používa najmä v Európe, ale aj iných krajinách. Zraniteľnosti umožňujú dešifrovať komunikáciu v reálnom čase, injektovať správy a deanonymizovať používateľov. Zraniteľnosť TEA1 na šifrovací algoritmus pôsobí ako zamerne vložený backdoor. 

Útoky a úniky informácií

Šírenie malware-u prostredníctvom USB kľúčov stúplo trojnásobne. Za malware-mi Sogu a Snowydrive stoja dve pročínske skupiny, ktoré sú výrazne zamerané na špionážnu aktivitu a exfiltráciu informácií. Výhodou šírenia cez USB kľúče je obídenie sieťových bezpečnostných mechanizmov a úvodná maskovanosť. 

Deutsche Bank potvrdila, že jeden z ich poskytovateľov služieb sa stal obeťou úniku dát. Stalo sa tak pravdepodobne v rámci krádeži údajov MOVEit Transfer. Systémy banky však neboli napadnuté ani nijako ovplyvnené.

Najväčší japonský prístav Nagoya musel prerušiť svoju činnosť pre ransomware útok. Keďže cez prístav prechádza 10% celkového japonského obchodu, každé prerušenie jeho činnosti vedie k významným hospodárskym škodám. Za útokom stojí ransomware gang LockBit.

Podvodníci cielia na starších ľudí. Snažia sa ich zmanipulovať k stiahnutiu softvéru, ktorý umožní vzdialený prístup k ich počítaču. Zároveň ich navádzajú k tomu, aby im poslali hotovosť cez štandardné zásielkové spoločnosti tým, že ich upozorňujú na fiktívnu nebezpečnú činnosť na ich účte.

Threads od spoločnosti Meta zatiaľ nemohol byť spustený v EÚ z dôvodu prísnejších zákonov pre ochranu súkromia. Problémom je snaha Mety využiť na novej platforme citlivé údaje používateľov z Instagramu. Írsky úrad pre ochranu osobných údajov už raz zabránil spoločnosti Meta využívať údaje z Facebooku a Instagramu v reklamných kampaniach na WhatsApp-e.

Firma ARx Patient Solutions priznala, že pri kybernetickom útoku v roku 2022 došlo k úniku osobných údajov viac ako 40 000 ľudí, väčšinou detí. Útok zapríčinila kompromitácia zamestnaneckého konta.

Firma G&J Pepsi sa stala obeťou ransomware útoku. Za útokom stálo kompromitované konto zamestnanca a neskoro nainštalovaná aktualizácia Exchange servera. Vďaka dobrému nastaveniu infraštruktúry sa im však podarilo odstrániť následky útoku v priebehu 7 hodín od jeho zistenia.

Rozsiahly útok proti státisícom WordPress stránkam cielil na zraniteľnosť v module WooCommerce Payments. Vďaka zraniteľnosti bolo možné ovládnuť celú stránku. Aktualizácia proti tejto zraniteľnosti je k dispozícií od marca.

Aplikácia elektronickej zoznamky nechala nezabezpečené údaje na jednom z Amazon serverov, čo viedlo k sprístupneniu 340 GB údajov, vyše 260 000 používateľských účtov, vrátane privátnych správ, záznamov z chatov, audio súborov a obrázkov, ktoré boli súkromne zdieľané medzi používateľmi. Používatelia by mali by pri využívaní takéhoto typu aplikácií obozretní.

V dôsledku ľudskej chyby došlo k úniku informácií o 5 600 klientoch VirusTotal. Stalo sa tak kvôli neúmyselnému nahratiu CSV súboru so základnými informáciami o klientoch. Informácie boli dostupné len pre majiteľov prémiovej platformy.

Napodobeniny ChatGPT, Google BARD, či Jasper na Facebooku pomáhajú šíriť malware zameraný na krádež informácií. Niektoré z napodobenín majú milióny sledovateľov, čo poukazuje na to, že sú veľmi rozšírené.

Po ransomware útoku upozornila nemocnica Tampa General Hospital 1,2 milióna pacientov, že ich informácie ukradli hackeri. Vďaka použitiu monitorovacích nástrojov a pomoci firmy so zameraním na forenznú analýzu nedošlo k zašifrovaniu údajov, čo by mohlo viesť k ochromeniu nemocnice.

Ostatné

Na konci roka bude vydaná nová verzia Windows 11 – 23H2, ktorá prinesie aj niektoré nové funkcionality: Windows Copilot, natívna podpora ovládania RGB, modernizovaný File Explorer, natívna podpora 7z, gz, RAR, tar a iné.

GitHub oznámil uvedenie bezheslovej autentifikácie vo verejnej beta verzií. Používať na to bude prístupové kľúče, ktoré sú viazané ku konkrétnym zariadeniam (počítačom, smartfónom), čo minimalizuje šancu na ich zneužitie a chráni používateľov pred krádežou identity. K dispozícií bude tiež biometria.

Microsoft testuje v systéme Windows 11 novú pokročilú ochranu proti phishingu. Tá je navrhnutá na ochranu pred únikom prístupových údajov do Windows a Active Directory. Ukradnuté prihlasovacie údaje sú najčastejším dôvodom kompromitácie firemných systémov.

Uskutočnil sa prieskum medzi 1 000 hackermi na tému Umelá inteligencia a kybernetická bezpečnosť. Až 85% potvrdilo, že používajú AI pri hackovaní, pričom 98% z nich použiloChatGPT. Medzi časté aktivity nasadenia Umelej inteligencie patrí použitie pri automatizovaní úloh, analýze dát a identifikácii zraniteľností.

Výrobcom priemyselnej infraštruktúry boli oznámené kritické zraniteľnosti komunikačnej techniky používanej v priemysle. Bez ich riešenia hrozia deštruktívne následky. Postihnuté moduly, rozšírené v kritických odvetviach ako voda či energia, môžu umožniť hackerom prevzatie kontroly a ovplyvňovanie prevádzky a spôsobiť tak výpadky. Podobnú hrozbu v minulosti predstavovala skupina Xenotime s malvérom Trisis. CISA varuje organizácie, aby aktualizovali firmware a minimalizovali riziká spojené s touto kritickou zraniteľnosťou.

Vyšla analýza mailov, ktoré boli doručené v prvom štvrťroku 2023. Vyšli z nej zaujímavé informácie, napríklad, že takmer 60% zo škodlivých mailov bolo zameraných na krádež prihlasovacích údajov.

Twitter ako zdroj informácií v informačnej bezpečnosti stráca svoj význam. Okrem poklesu počtu používateľov došlo aj k výraznému poklesu správ. Pokles je až 74% oproti dňu pred kúpou Twitter-u.

Vyšiel zoznam 10 základných tipov v oblasti kybernetickej bezpečnosti pre malé firmy.