Čo je
Security News – Jún 2023
Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za jún 2023. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí.
Politika
V Česku sa začala diskusia o implementácií európskej smernice NIS2 a o posudzovaní rizík dodávateľského reťazca. Zákon už vstúpil do pripomienkového konania. Cieľom je získať možnosť obmedziť alebo zakázať dodávateľov z nespoľahlivých krajín.
V súčasnosti prebiehajú dve kampane dvoch rôznych APT skupín naviazaných na Severnú Kóreu. Jedna z nich sa zameriava na dosiahnutie finančného zisku, aby mohla ďalej financovať severokórejský režim, na ktorý sú uvalené medzinárodné sankcie. Druhá využíva sociálne inžinierstvo na získanie strategických informácií.
Severokórejská APT skupina Lazarus bola spojená s útokom na Atomic Wallet. Následkom útoku bolo odcudzených viac ako 35 miliónov dolárov. Na zamaskovanie pôvodu prostriedkov využili útočníci rôzne peňaženky, mixéry a práčky peňazí.
Spoločnosť Mandiant je presvedčená, že útočná kampaň vedená na VMWare hypervisor bola vykonaná činskou kyberšpionážnou skupinou. Zaujímavé je, že útočníci reagujú na zverejnené informácie o ich aktivitách a rýchlo menia svoje zvyklosti (napríklad zmena mien súborov a ich hashe).
Ukrajinskí hackeri z Cyber.Anarchy.Squad sa prihlásili k úspešnému útoku na ruského operátora Infotel JSC. Útok spôsobil výpadok viacerých bánk a inštitúcií, ktoré sú jeho zákazníkmi.
Švajčiarske inštitúcie sa stali terčom DDoS a ransomware útoku zo strany proruskej skupiny NoName, ktorá sa zameriava na krajiny, ktoré vo vojne s Ruskom podporujú Ukrajinu. Viaceré federálne stránky zostali nedostupné. Útok nastal po diskusii o podpore Ukrajiny v parlamente.
Deepfake technológia bola použitá na napodobnenie ruského prezidenta. V troch ruských regiónoch bola odvysielaná falošná správa o vyhlásení výnimočného stavu z dôvodu útoku zo strany Ukrajiny.
Vyšetrovanie a výskum
APT skupina Kimsuky, s napojením na Severnú Kóreu, sa v rámci spear-phishingovej kampane vydáva za novinárov a členov akademickej obce. Snaží sa tak získať informácie o think tankoch, výskumných centrách a iných organizáciách. Veľmi dobrou obranou je odolnosť ľudí voči phishingu a zároveň viacfaktorová autentifikácia.
FTC (Federal Trade Commission) pokutoval Amazon sumou 30 miliónov dolárov za porušenia ochrany súkromia v produktoch Alexa a Ring. Jedným z porušení bolo bezdôvodné ukladanie dát o deťoch a ich nahrávok pre svoje vlastné účely.
Dvaja rusi boli obvinení z krádeže 647 000 Bitcoinov z Mt. Gox, čo viedlo ku kolapsu tejto burzy. Obom hrozí približne 20 rokov za mrežami.
Google vyšetruje GMail zraniteľnosť, ktorá je spojená s Bran Indicators for Message Identification (BIMI). Keď je mail poslaný od konkrétnej spoločnosti, táto funkcia mu pridáva verifikačný symbol. Zdá sa, že primárnou príčinou tejto zraniteľnosti je zle nastavený SPF a DMARK záznam na strane odosielateľa.
FBI sa podieľala na odstavení hackerského fóra BreachForums a zatknutí jej majiteľa, ktorý je obvinený z obchodovania s údajmi miliónov američanov a stoviek amerických firiem. Patril medzi prominentných členov RaidForums a kyberkriminálneho podsvetia.
Kyberkriminálnici sa vo veľkom presúvajú z darkwebu (najmä TOR stránok) na Telegram. Dôvodom presunu je napríklad, že Telegram je rýchlejší, poskytuje im vyššiu anonymitu a obsahuje množstvo špecializovaných kanálov.
Útoky a úniky informácií
Harvard Pilgrim Health Care (USA), neziskový poskytovateľ zdravotnej starostlivosti, sa stal terčom ransomware útoku. V útoku bolo zasiahnutých viac ako 2,5 milióna ľudí, ktorým ukradli ich osobné údaje (vrátane mien, adries, dátumov narodenia a i.).
Nová séria online podvodov sa zameriava na krádež informácií z kreditných kariet. Postupuje tak, že najprv skompromituje etablované weby, kde následne nasadí škodlivé skripty. Zneužívajú pri tom známe zraniteľnosti platforiem, ako napríklad WordPress, Magento, WooCommerce, Shopify a iné. Podvody tiež využívajú obfuskáciu (zahmlievanie zdrojového kódu programov), ktorá stažuje detekciu škodlivých skriptov aj exfiltráciu dát.
FBI vydala varovanie pred novým typom sexuálneho vydierania (sextortion). Z voľne dostupných fotiek a videí sa s pomocou AI (deepfake) vygeneruje sexuálne explicitný obsah, ktorým je obeť vydieraná. Prevenciou je zdieľanie fotiek a videí len úzkemu okruhu ľudí.
Heatmap v aplikácií Strava umožňuje zistiť domácu adresu aktívnych používateľov. Platí to najmä pre oblasti s menším výskytom používateľov. Útočníci si z tých údajov vedia vytvoriť profil o používateľoch. Funkciu je možné zablokovať.
Veľké módne značky, napríklad Puma, Nike, Adidas sa stali terčom veľkej podvodnej kampane. Útočníci napodobňujú ich webové stránky a využívajú pokročilé SEO metódy, vďaka čomu sa ich stránky zobrazujú na prvých miestach. Kampaň musela byť vopred naplánovaná. Používatelia takto môžu omylom zadať svoje prihlasovacie údaje, či číslo karty.
Po útoku museli nemocnice vo vidieckej časti štátu Idaho presmerovať pacientov do iných zariadení a nemohli využívať informačné systémy. Zasiahnuté nemocnice spolu s ich partnerskými klinikami poskytujú starostlivosť pre oblasť, kde žije 68 000 obyvateľov.
University of Manchester sa stala terčom útoku, počas ktorého bolo skopírovaných 7TB údajov. Údaje obsahovali napr. informácie o študentoch, absolventoch a zamestnancoch univerzity.
Čínska APT skupina Mustang Panda stojí za špionážnou kampaňou, ktorá bola zameraná na európske zdravotníctvo. Na infikovanie a šírenie využíva USB kľúče.
Americký vojenský personál sa stal terčom útoku. Zamestnancom niekto posielal do ich poštových schránok nevyžiadané smart hodinky. Po zapnutí sa hodinky automaticky pripojili na wifi sieť a nadviazali neautorizované spojenie s mobilnými telefónmi, čo im umožnilo prístup k bankovým informáciám, kontaktom, menám a heslám. Odporúča sa tieto zariadenia po obdržaní vôbec nezapínať.
Ostatné
Tento mesiac sa skončila podpora pre Windows 10 vo verzii 21H2 pre verzie Home, Pro, Pro Education a Pro for Workstations. Od budúceho mesiaca budú tieto verzie zraniteľné – z aktualizácií pre ostatné verzie bude zrejmé, aké zraniteľnosti odstraňujú. Vo verzii 21H2 tieto zraniteľnosti v zostanú.
Microsoft oznámil stiahnutie AI asistenta – Cortana z operačného systému Windows. Malo by sa tak stať koncom tohto roka a nahradí ho Windows Copilot. Naďalej však bude k dispozícií napr. v Microsoft Teams.
Z Chrome Web Store bolo odstránených 32 škodlivých rozšírení prehliadača Chrome. Dokopy mali viac ako 75 miliónov stiahnutí. Okrem legitímnej funkcionality, napríklad kradli citlivé informácie alebo vkladali na stránky nevyžiadanú reklamu.
Základné dosky od GIGABYTE sú náchylné voči útoku man-in-the-middle. Softvér na aktualizáciu firmware sa totiž pozerá na niektorú z troch Gigabyte stránok, pričom dve z nich používajú len HTTP a teda spojenie môže byť unesené útočníkom, ktorý môže následne podvrhnúť škodlivý obsah. Problém rieši najnovšia aktualizácia firmware.
Podľa agentúry Moody’s sa kybernetická bezpečnosť a práca s rizikami čoraz viac spája s ekonomickým zdravím firmy, dokonca aj s národnou bezpečnosťou. Aj keď môže byť ignorovanie žiadosti o zvýšenie zdrojov pre kybernetickú bezpečnosť z krátkodobého hľadiska efektívne, stredno a dlhodobé dôsledky môžu podnik výrazne ohroziť.
Vyšiel nový zoznam OWASP API Security TOP10, ktorý aktualizuje chyby spôsobujúce zraniteľnosti API rozhraní. Šesť chýb zostalo od roku 2019 nezmenených, ďalšie štyri boli na základe súčasného stavu zmenené alebo pridané.
Správca hesiel v Chrome získavá nové bezpečnostné zabezpečenia, ako napríklad separátny odkaz pre samostatné spravovanie, biometrickú autentifikáciu na plochu, importovanie hesiel z iných správcov. Pre iOS tiež pribudne prehľad o znovu používaných heslách na rôznych konátach a potenciálne kompromitovaných prihlasovacích údajoch.
Spoločnosť Meta sa vyhráža zablokovaním odkazov na novinové články na Facebooku a Instagrame pre používateľov zo štátu Kalifornia. Dôvodom je snaha o zdanenie platforiem a ich presun mediálnym domom v štáte. Podobný krok viedol v Austrálií viedol k získaniu 140 miliónov dolárov pre mediálne domy.
CISA vydala príkaz, aby federálne agentúry nainštalovali najnovšie aktualizácie na ich iPhone-y. Aktualizácia odstraňuje doposiaľ neznáme zraniteľnosti, ktoré umožňujú nasadenie spywaru. Podobne vydala aj príkaz na odstránenie zraniteľností, ktoré sú aktívne zneužívané proruskými hackermi s napojením na ruskú rozviedku GRU.
Milióny účtov na GitHube môžu byť náchylné na RepoJacking. Ten nastáva, keď sa zmení meno repozitára. V tom momente sa vytvára presmerovanie s cieľom zabrániť prerušeniu závislostí v projekte. Ak si však niekto zaregistruje staré meno, tak sa toto presmerovanie stáva neplatným a môžu sa preberať závislosti od útočníka, ktoré môžu obsahovať malware.