Security News – September 2022

Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za september 2022. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí.

Politika

Vyšetrenie kyberútokov na štátne inštitúcie v Albánsku viedlo k vyhosteniu všetkých zamestnancov iránskej ambasády v tejto krajine a k výraznému zhoršeniu vzájomných vzťahov. Kybernetické útoky môžu viesť k reálnym vojnám.

Ukrajina od začiatku vojny systematicky pracuje na likvidovaní bot fariem, ktoré šíria ruskú propagandu. Počet falošných účtov, ktoré tieto farmy kontrolovali na sociálnych sieťach presiahol 1,1 milióna.

Portugalsko sa stalo terčom útoku, ktorý viedol ku krádeži citlivých dokumentov NATO. Na situáciu upozornili americké tajné služby, ktoré objavili dokumenty na dark webe.

Do protestov v Iráne sa zapojili aj hacktivisti z Anonymous v rámci operácie OpIran. Snažia sa zneprístupniť vládne stránky, zverejňovať uniknuté dáta, či vyraďovať kamery v krajine.

Vyšetrovanie a výskum

Ukrajina odhalila a rozložila skupinu hackerov, ktorí ukradli prístupy k účtom 30 miliónov používateľov (prevažne z Ukrajiny a EÚ) a predali ich na dark webe. Dáta boli odkúpené prokremeľskými propagandistami, ktorí použili tieto účty pre šírenie dezinformácií na sociálnych sieťach.

Výskumníkom sa podarilo pokoriť výzvu a vytvorili obrázok, ktorý obsahuje a zobrazuje svoj vlastný hash. Vysporiadali sa aj s paradoxom, že pre výpočet hashu je potrebný vstupný súbor a zmenou vstupného súboru sa mení jeho hash.

Zraniteľnosti

Cisco odmietlo opraviť novoobjavenú zraniteľnosť na svojich malých VPN routroch. Dôvodom je ukončenie ich podpory. Úspešný útok vie spôsobiť preniknutie útočníka do IPSec VPN siete. Ak používate RV110W, RV130, RV130W, and RV215W mali by ste zvážiť ich výmenu.

Nové zraniteľnosti infúznych púmp s internetovým pripojením (Baxter) môžu spôsobiť znefunkčnenie zariadenia, krádež citlivých údajov alebo spôsobiť man-in-the-middle útok.

FBI vydala varovanie o riziku spojenom s používaním zastaraných a neaktualizovaných medicínskych zariadení (napr. inzulínové pumpy, defibrilátory, kardiostimulátory).

Americká CISA rozšírila zoznam známych zneužívaných zraniteľností, spolu s príkazom ich odstránenia pre americké federálne agentúry. Zaujímavosťou je, že jedna z týchto zraniteľností je známa od roku 2010, kedy bola prvýkrát aktívne použitá malwarom Stuxnet.

Útoky

Niekto vytrvalo útočí na kontrolné servery Cobalt Strike, ktoré používajú bývalí členovia proruského ransomware gangu Conti. Útoky zamestnávajú kriminálnikov a narúšajú ich aktivity.

Viacero ransomware gangov používa novú taktiku šifrovania súborov obete. Šifrujú sa len časti súborov. Šifrovanie je tým rýchlejšie a je ťažšie ho identifikovať.

Sieť hotelov InterContinental Hotel Groups (napr. Holiday Inn, Crowne Plaza) bola hacknutá, pričom bol výrazne narušený rezervačný systém od 5. septembra. Jedná sa o tretí úspešný útok od roku 2017.

Záchranná služba v New Yorku sa stala obeťou ransomware útoku, ktorý spôsobil aj únik osobných údajov klientov (mená, dátum zásahu, informácie o poistke a v niektorých prípadoch aj Social Security numbers).

Spoločnosť Rockstar Games bola hacknutá, pričom útočníci získali zdrojové kódy a videá z GTA 5 a z pracovnej verzie GTA 6.

Uber sa stal obeťou útoku. Viaceré vnútorné systémy boli kompromitované. Útok umožnilo úspešné sociálne inžinierstvo.

Spoločnosť Revolut sa stala cieľom hackerského útoku. Osobné údaje 50 150 používateľov (0,16% používateľov) boli odcudzené. Finančné prostriedky neboli zasiahnuté. Rozbieha sa už phishingová kampaň, preto treba byť opatrný.

Ransomware gang LockBit bol kompromitovaný a unikol jeho najnovší builder (šifrovač súborov). Poskytuje to lepšie možnosti pre analýzu a prijatie protiopatrení, ale na druhú stranu môže teraz hocikto rozbehnúť svoj ransomware gang.

Hackeri používajú populárnu techniku MFA Fatigue: už kompromitované konto (meno a heslo), ktoré je zabezpečené MFA (viacfaktorovou autentifikáciou) začne dostávať veľa žiadostí o potvrdenie prihlásenia do účtu. Cieľ je unaviť používateľa, ktorý nakoniec potvrdí súhlas, aby už nedostával ďalšie žiadosti. 

Nová malwareová kampaň cieli na zákazníkov indických bánk. Maskuje sa za poskytnutie odmeny zo strany danej banky. Tým sa snaží oklamať používateľov, aby si daný malware nainštalovali, ten následne odošle osobné údaje, vrátane jednorázových hesiel.

Ostatné

NSA, CISA a ODNI zverejnili odporúčania pre developerov ako zabezpečiť softvér proti útokom na dodávateľský reťazec. Jedným z podnetov bol útok na SolarWinds.

plánuje zaviesť nové pravidlá pre zvýšenie kybernetickej bezpečnosti. Týkať sa to bude hardvérových aj softvérových produktov. Výrobcovia sa budú musieť vysporiadať s nájdenými zraniteľnosťami a incidentami, ktoré budú aj nahlasovať.

Aktualizovanie softvéru je v dnešnej dobe výrazne aj o odstraňovaní zraniteľností. Príkladom je Microsoft Patch Tuesday, ktorý odstraňuje 64 zraniteľností, vrátane piatich kritických, v produktoch: Windows, Edge, .Net Framework, Azure, Azure Arc, Office, Defende atď.

Používanie pokročilých možností pre kontrolu pravopisu v Google Chrome a Microsoft Edge naráža na problém s ochranou súkromia. Dáta sú posielané do spoločností Google a Microsoft a môžu to byť napríklad heslá, adresy, dátumy narodenia, bankové a platobné informácie.

Microsoft Windows 11 získal v poslednej aktualizácii novú funkcionalitu, ktorá umožňuje detekovať zadávanie hesla do nezabezpečenej aplikácie (napr. Notepad) alebo web stránky. Túto funkcionalitu však treba zapnúť a snáď sa v čase rozšíri počet podporovaných aplikácií.

Podcast

Podcast Cyber Security Headlines prináša každý deň krátke správy (<10min) z oblasti cybersecurity a raz do týždňa hodnotia s hosťom najvýznamnejšie udalosti (na úrovni CISO – chief information security officer).