Čo je
máj 28. 2021
Security week 6
Zostaňte v bezpečí. Prinášame vám našu pravidelnú dávku noviniek z oblasti bezpečnosti.
Tisícky Tor výstupných uzlov umožňovali SSL stripping útok
Od roku 2020 útočníci pridali do siete Tor množstvo výstupných uzlov, ktoré prerušovali bezpečné spojenia predovšetkým so stránkami spojenými s krypto menami. Útok SSL stripping umožňuje zrušiť bezpečné HTTPS spojenie a nahradiť ho HTTP spojením. To sprístupní prenášané dáta na odpočúvanie, či modifikáciu. V tomto prípade dochádzalo k nahrádzaniu legitímnych krypto peňaženiek peňaženkami útočníkov.
Závažnosť tohto útoku zvýrazňuje to, že útočníci tvorili až 27 % výstupných uzlov. Aj keď uzly boli odstránené, tak reakcia Tor Project nebola moc efektívna, keďže začiatkom apríla torili takého škodlivé uzly opäť 4-6% výstupných uzlov.
Zločinecká skupina Darkside stojí za útokom na americký
FBI potvrdila, že ransomware gang Darkside stojí za útokom na spoločnosť Colonial Pipeline, ktorá spravuje ropovod vedúci z Texasu na východné pobrežie do New Yorku. Ropovod pokrýva 45 % spotreby paliva východného pobrežia USA. Gang cieli na organizácie obchodovateľné na burzách (napr. NASDAQ) a ukradnuté informácie využíva na vyhrážanie sa spoločnostiam. Zneužitie týchto informácií by mohlo viesť k poklesu ceny akcií, čo je unikátny prístup zo strany kyber zločincov. Zaujímavosťou tohto gangu je, že vydal verejné vyhlásenie, v ktorom sa zaviazal, že nebude útočiť na zdravotnícke zariadenia, pohrebné služby a spoločnosti venujúce sa výrobe a distribúcií vakcíny proti Covid-19.
Čínsky hackeri zacielili na ruského výrobcu ponoriek
APT skupina naviazaná na Čínu je podozrivá z použitia malware PortDoor na infiltrovanie systému spoločnosti, ktorá navrhuje ponorky pre ruské námorníctvo (Rubin Central Design Bureau for Marine Engineering). Pre infiltrovanie spoločnosti bol použitý nakazený RTF dokument, ktorý bol adresovaný mailom riaditeľovi spoločnosti a mal obsahovať popis podmorského autonómneho plavidla. Po nainštalovaní prijímal nové príkazy a ďalší škodlivý softvér z riadiacich serverov a samozrejme vykonával prieskum, eskaloval privilégiá. Štýl doručenia malware a formulácie ukazujú značnú podobnosť s ATP skupinami Tonto Team, Rancor, TA428.
Spoločnosť Swiss Cloud sa stala cieľom ransomware útoku
27. Apríla nastal bezpečnostný incident, ktorý ovplyvnil fungovanie cloudového poskytovateľa Swiss Cloud. Aj keď nedošlo ku kompromitácii celej sietem bolo ovplyvnených viac ako 6500 klientov. Vzhľadom na to, že sa jednalo o ransomware útok, tak sa spoločnosť snaží obnoviť zasiahnuté časti siete, niektoré je potrebné nanovo nainštalovať a nakonfigurovať. Bližšie podrobnosti o útoku firma nezverejnila. Zaujímave je to, že bola napadnutá firma takéhoto typu.
Pracovná skupina žiada o narušenie činnosti ransomware skupín
Spoločnosti ako Amazon, Cisco, FireEye, McAfee, Microsoft a mnohé ďalšie sa pridali k Ministerstvu spravodlivosti USA, Europolu a Britskej národnej kriminálnej agentúry s cieľom poukázať na potrebu vytvorenia medzinárodnej koalície pre boj s ransomware kriminálnymi skupinami. Bielemu domu doručili 81 stranový report, v ktorom žiadajú, aby sa toto stalo jednou z priorít amerických výzvedných služieb. Len v USA za rok 2020 bolo napadnutých takmer 2400 vládnych, zdravotníckych a školských organizácií. Náklady spojené s týmito útokmi vysoko prevyšujú zaplatené výkupné.
Belgicko postihol DDOS útok a vyradil jeho vládne stránky a zasiahol aj internú sieť
Belnet – belgický internetový poskytovateľ pre vzdelávacie, výskumné inštitúcie a vládne služby bol zasiahnutý masívnym DDoS útokom. Spôsobilo to výpadok webových stránok, vrátane vlády a polície. Zatiaľ nie je známy pôvod organizátora útoku.
12 ročná chyba v ovládači ohrozila stovky miliónov počítačov
Spoločnosti Dell sa podarilo odhaliť chybu v ovládači Dell DBUtil (ktorý má vplyv na BIOS), ktorá môže spôsobiť eskalovanie oprávnení a spustenie zdrojového kódu s kernel oprávneniami. Po získaní prístupu k počítaču je pre útočníkov jednoduché presúvať sa po sieti a napádať ďalšie počítače s touto zraniteľnosťou. Odporúča sa čo najskoršia aktualizácia.
Bezpečnostná aktualizácia rieši 21 problémov mailových serverov Exim
21 zraniteľností, označovaných aj ako 21Nails dokáže spôsobiť úplnú kompromitáciu Exim mailových serverov. Exim je bezplatný mailový server bežiaci na operačných systémoch založených na Unixe a na svete existuje takmer 4 milióny jeho inštancií. Všetky verzie vydané od roku 2004 sú zasiahnuté týmito zraniteľnosťami. Nejedná sa o prvé zraniteľnosti týchto serverov, už v minulosti varovala NSA pre ruskou APT skupinou, ktorá zneužívala chyby v systéme.
