Security News – Marec 2023

Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za marec 2023. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí. 

Politika 

Americká vláda zverejnila Národnú kybernetickú stratégiu. Ich snahou je povinná regulácia pre dodávateľov kritickej infraštruktúry. Stratégia taktiež dáva zelenú agresívnejšiemu prístupu „hack-back“ pri jednaní so zahraničnými protivníkmi a aktérmi ransomvéru. Plánom je presunúť kybernetickú zodpovednosť na organizácie, ktoré neboli schopné prijať preventívne opatrenia na zabezpečenie svojho softvéru. Stratégia je rozdelená na päť základných pilierov:

  1. Obrana kritickej infraštruktúry
  2. Narušenie a zlikvidovanie aktérov hrozieb
  3. Formulovanie trhovej sily na zvýšenie bezpečnosti a odolnosti
  4. Investovanie do bezpečnej budúcnosti
  5. Vytváranie medzinárodných partnerstiev na dosiahnutie spoločných cieľov

Novoklasifikovaná kyberšpionážna APT skupina Kimsuky (APT43) využíva agresívnu taktiku sociálneho inžinierstva. Zdá sa, že táto skupina najviac zohľadňuje osobné a geopolitické ciele diktátora Kim Jong Una. Okrem špionážnych aktivít sa sústreďuje aj na krádeže kryptomien, ktoré využíva severokórejský režim na obchádzanie sankcií.

Vyšetrovanie a výskum

U.S. Marshals Service vyšetruje prienik do ich systémov, odcudzenie dát a ich následné zašifrovanie. Odcudzené dáta obsahovali aj osobné údaje zamestnancov a citlivé právne informácie (súdne konania, vyšetrované subjekty).

Holandská polícia zatkla troch ľudí, ktorí boli zodpovední za krádež osobných údajov desiatkam miliónov osôb – mená, dátumy narodenia, čísla účtov, kreditných karieť, EVČ a iné. Napriek tomu, že od firiem najprv žiadali výkupné, tieto údaje po zaplatení aj tak predali na darknete. 

Spoločnosť Centric Health bola pokutovaná sumou 460 000 eur za ransomware útok v roku 2019. Útok sa dotkol 70 000 pacientov, z toho 2 500 nenávratne prišlo o svoje údaje (bez možnosti obnovenia zo zálohy). Regulátor zaznamenal kroky na riešenie situácie, ale niektoré z nich ešte prehĺbili škody- napríklad vymazanie niektorých informácií z pevného disku pred tým, než ich experti stihli analyzovať.

Výskumníci našli zraniteľnosť v OAuth implementácii na Booking.com. Zraniteľnosť umožňovala prevziať ľubovoľný účet, ktorý používal na prihlásenie Facebook účet. Taktiež umožnila získať prístup k ich osobným údajom, či údajom o platobnej karte.

Infraštruktúra na nabíjanie elektrovozidiel je veľmi náchylná na kybernetické útoky. Výskumníci našli dve zraniteľnosti v OCPP protokole. Tie umožňujú odopretie služby a krádež citlivých informácií. Idaho National Laboratory zistilo, že každá skontrolovaná nabíjacia stanica obsahuje závažné chyby z oblasti kyberbezpečnosti – neaktuálny operačný systém,  veľa služieb s “root” oprávneniami a iné.

Namiesto získania súdneho povolenia zvolila FBI kontroverznú taktiku – zakúpili si americké (USA) lokalizačné dáta. Dáta boli zakúpené od firiem, ktoré ich zbierajú za reklamnými účelmi.

Projekt Zero (Google) odhalil 18 zero-day zraniteľností v chipsetoch Samsung Exynos určených pre mobilné zariadenia, wearables a autá. Na kompromitáciu zariadenia stačí útočníkom poznať len telefónne číslo obete. Výrobcovia už majú k dispozícií aktualizácie. Kým sa však dostanú ku koncovým používateľom, tak to môže ešte trvať. Pre zníženie nebezpečenstva útokov sa odporúča vypnúť Wi-Fi calling a Voice-over-LTE (VoLTE)

FBI zverejnila Internet Crime Report 2022. Z neho vyplýva, že za posledný rok boli ransomware gangy úspešné v minimálne 860 prípadoch útokov na kritickú infraštruktúru. Správa tiež ukazuje, že najviac úspešných útokov smerovalo do sektorov zdravotníctva a kritickej výroby.

Medzinárodná policajná akcia pomohla zastaviť operácie služby ChipMixer na darkwebe. Služba slúži ako mixér kryptomien a vo veľkom ju používali hackeri, ransomware gangy a podvodníci, ktorí sa cez ňu snažili “preprať” svoje kryptomeny. Zaistili 7TB dát a vyše 46 miliónov dolárov.

Spoločnosť Jelly Bean urovnala v USA spor v sume takmer 300 000 dolárov. V spore sa pojednávalo o jednom z najväčších únikov dát v zdravotníckom sektore, ktorý bol nahlásený v roku 2021 (Healthy Kids Corp.). Udelená pokuta bola za porušenie regulácie HIPAA, zámerné a vedomé nedodržiavanie štandardného procesu údžby a aktualizácie systému. Toto viedlo k vzniku viacerých zraniteľností, ktoré boli zneužité pri útoku.

Americká spoločnosť Blackbaud zaplatila pokutu vo výške 3 miliónov dolárov. Pokuta bola udelená za zavádzajúce informácie, ktoré firma poskytla, keď sa stala terčom ransomware útoku. Napriek tomu, že spoločnosť zistila, že rozsah útoku bol väčší, ako pôvodne oznámila, neupravila svoje počiatočné vyjadrenie.

Útoky

Nemocnica v Barcelone sa stala terčom kybernetického útoku. Boli zrušené všetky operácie, ktoré neboli akútne. 3000 pacientom museli presunúť vyšetrenia na iný termín. Za útokom stojí skupina Ransom House. Následkom útoku musela nemocnica znova zaznamenávať dokumentáciu papierovou formou. 

Univerzitná nemocnica v Bruseli sa stala terčom útoku a musela odpojiť všetky servery. Riaditeľ nemocnice ocenil dobre vypracovaný núdzový plán voči útokom, ktorý pomohol pomerne rýchlo obnoviť normálny chod nemocnice.

Kalifornská štátna agentúra HACLA, ktorá poskytuje dostupné bývanie pre nízkopríjmové skupiny, sa stala terčom ransomware útoku. Útočníci (LockBit) získali prístup k množstvu osobný dát (meno, social security number, čísla pasov, vodičských preukazov…), ktoré následne zverejnili na internete.

Útočníci používajú infikované verzie aplikácií Telegram a WhatsApp na získanie prístupov ku kryptopeňaženkám a následným krádežiam prostriedkov (cez tzv. seed). Výskumníci z firmy Eset zistili, že na šírenie používajú Google Ads. Po kliknutí na reklamný link presmerujú používateľa na stránku s infikovanými aplikáciami.

Emotet malware využíva na svoju distribúciu e-mailovú prílohu vo formáte Microsoft OneNote, aby sa vyhol detekcii a infikoval väčšie množstvo cieľov. Takto dokáže obísť zabezpečenie firmy Microsoft, ktoré blokuje spustenie makier vo Worde a v Exceli.

Športová asociácia NBA varovala svojich fanúšikov, že niektoré z ich osobných údajov mohli byť odcudzené. Stalo sa tak potom, ako odcudzili údaje od ich dodávateľa newslettra. Fanúšikovia boli varovaní pred možnými phishingovými kampaňami. 

Výskumníci v oblasti bezpečnosti sú cieľom novej malware kampane, ktorá ponúka pracovné pozície cez LinkedIn. Opätovne je z tohto typu kampane podozrivá Severná Kórea (skupina UNC2970). 

Ostatné

Zodpovednosť za nezabezpečenie softvéru a hardvéru by mali miesto používateľov prevziať ich výrobcovia. V USA sa očakáva zverejnenie stratégie, ktorá sa zameria na reguláciu bezpečnosti zo strany výrobcov. Druhou možnosťou je zvýšenie nárokov na dodávateľov pre vládne zákazky.

GitHub sprístupnil vyhľadávanie citlivých informácií pre svojich používateľov v repozitároch, kde majú admin/owner práva. Týmto krokom je možné dohľadať zabudnuté API kľúče, heslá k účtom, autentifikačné tokeny a iné citlivé dáta, ktoré by útočníkom umožnili prístup k citlivým údajom.

GitHub začal vyžadovať od vývojárov používajúcich platformu povinnú dvojfaktorovú autentifikáciu. Tento krok by mal zvýšiť bezpečnosť viac ako 100 miliónov používateľov. GitHub najskôr začal s malou skupinou používateľov, avšak do konca roka plánuje pokryť všetkých.

Americká Environmental Protection Agency zmenila výklad zákona z roku 1974 tak, aby zvýšila bezpečnosť kritickej infraštruktúry, ktorá slúži na dodávky pitnej vody. Po novom bude súčasťou auditov aj vplyv kybernetických incidentov na dodávky pitnej vody.

Americká agentúra CISA spúšťa proaktívny program, ktorého cieľom je identifikovať také zraniteľnosti vo vládnych agentúrach, ktoré môžu byť zneužité ransomware kriminálnikmi. Útočníci často na prienik do systémov zneužívajú existujúce a dobre známe zraniteľnosti. 

Nord Security zverejnila zdrojové kódy k svojej Linux verzii klienta NordVPN. Spoločnosť si od tohto kroku sľubuje zvýšiť dôveru používateľov v oblasti ochrany ich bezpečnosti a súkromia. Zároveň, open source komunita môže pomôcť vylepšiť už existujúci zdrojový kód.

Ľudia si neuvedomujú, že údaje, ktoré zadávajú do ChatGPT slúžia na ďalšie trénovanie a zlepšovanie systému. Často sa pri tom z pohľadu firiem, kde títo ľudia pracujú jedná o veľmi citlivé informácie. Ďalšou hrozbou pre firmy a ľudí sú útočníci, ktorí napodobňujú ChatGPT rozhranie a tak vedia získať priamy prístup k citlivým údajom.

Súťaž Pwn2Own sa konala s cieľom identifikovať neznáme bezpečnostné zraniteľnosti. Účastníci za nájdenie 27 neznámych zraniteľností získali viac ako milión dolárov a Tesla Model 3. Cieľom bezpečnostných expertov boli Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox a Tesla Model 3.