Cybuloviny 1/24

/ Týdenní přehled

Cybuloviny Vám každý týden, ve čtvrtek, přinesou tři nejzajímavější události ze světa kybernetické bezpečnosti a nových technologií, komentované redakcí Cybule. V prvním vydání se dočtete o nespokojenosti americké vlády s Microsoftem, spokojeností čínské vlády s bezpečností produktů Ivanti a rolí umělé inteligence v ovlivňování lednových voleb na Tchaj-wanu.

Obsah:

  • Zpráva CISA Cyber Safety Review Board kritizuje Microsoft za kompromitaci Microsoft Exchange Online
  • Několik hackerských skupin zneužívá zranitelností v produktech Ivanti
  • Čína ovlivňovala volby na Tchaj-wanu s pomocí AI

Zpráva CISA Cyber Safety Review Board kritizuje Microsoft za kompromitaci Microsoft Exchange Online

(2.4.2024, cisa.gov)

V uterý 2. dubna byla publikována vyšetřovací zpráva CISA Cyber Safety Review Board (CSRB), která se zabývá důvody a řešením kompromitace e-mailových schránek Microsoft Exchange Online ze strany Microsoftu. K prolomení e-mailů došlo v květnu a červnu 2022 v celkem 22 vládních institucích a soukromých organizací a tří think-tanků v USA. Mimo Spojené státy útok dopadl na čtyři vládní úřady, tři soukromé společnosti a tři vzdělávací instituce. Za útokem stojí čínská skupina Storm-0558. Vyšetřování incidentu prokázalo, že útočník získal přístup k šifrovacímu klíči, který mu umožnil generovat přístupové tokeny do e-mailových schránek obětí. Zpráva CSRB je silně kritická k bezpečnostním praktikám Microsoftu.

Co potřebujete vědět:
  • Mezi nejvýše postavené oběti incidentu patří americká ministryně obchodu Gina Raimondo, velvyslanec Spojených států v Čínské lidové republice R. Nicholas Burns a kongresman Don Bacon.
  • Zpráva kritizuje Microsoft za zavádějící tvrzení publikované dne 6. září, které předložilo jako nejpravděpodobnější verzi ztráty šifrovacího klíče sérii bezpečnostních chyb při procesování výpisu selhání systému (crash dump). Podle této verze se útočník měl dostat ke crash dumpu, který měl obsahovat dotyčný klíč, přes kompromitovaný účet inženýra Microsoftu. CSRB konstatuje, že Microsoft nemá žádné důkazy na podporu této verze a ve skutečnosti zůstává důvod ztráty klíče nejasný.
  • Zcizený šifrovací klíč byl vytvořen v roce 2016 a v době zcizení měl být zneplatněn. Microsoft daný typ klíčů zneplatňoval manuálně, ale tento proces byl pozastaven v roce 2021, aniž by byl nahrazen automatizovaným procesem. Zásadní pochybení Microsoftu tak umožnilo, že zastaralý šifrovací klíč byl stále platný v květnu 2023.
  • Microsoft koupil v květnu 2020 společnost Affirmed Networks zabývající se 5G technologií. Microsoft věří, že Storm-0558 kompromitoval účet zaměstnance Affirmed Networks, který později v roce 2021 získal přístup do sítě Microsoftu. Přes jeho zařízení došlo k prolomení sítě Microsoftu. CSRB kritizuje Microsoft za selhání v detekci kompromitovaných zařízení zaměstnanců, kteří se stali součástí Microsoftu skrze akvizici. Zpráva rovněž konstatuje, že Microsoft neposkytl důkazy, která by spojovaly kompromitaci sítě Microsoftu v roce 2021 s útokem na e-mailové schránky z května a června 2023.
  • Útok na e-mailové schránky s využitím podvržených tokenů nebyl odhalen Microsoftem, ale Ministerstvem zahraničí USA (State Department) a to jen díky skutečnosti, že State Department si zaplatil přístup k podrobnějšímu logování. Bez těchto zaznamů nebylo možné útok detekovat. Kritika pay-to-play politiky Microsoftu vedla k zpřístupnění podrobnějšího logování všem zákazníkům Microsoftu.

Komentář Cybule: Výsledek vyšetřování není pro Microsoft lichotivý. Jednotlivá pochybení lze za jistých okolností omluvit, ale jejich souběh způsobil naprosto zásadní selhání. CSRB identifikuje jako jednu z hlavních příčin bezpečnostní kulturu v Microsoftu a doporučuje prioritizaci bezpečnostních opatření na úkor zavádění nových služeb. Microsoft a jeho služby hrají zásadní úlohu v globální digitální infrastruktuře a v mnoha ohledech je jeho pozice nenahraditelná. O to důležitější je, aby Microsoft přehodnotil přístup k bezpečnosti svých produktů.

Několik hackerských skupin zneužívá zranitelností v produktech Ivanti

(4.4.2024, cloud.google.com)

Společnost Mandiant vydala dne 4.4.2024 zprávu, v níž zvěřejnila seznam čínských APT skupin, které zneužívají zranitelnosti nultého dne v produktech Ivanti. Konkrétně se jedná o zranitelnosti CVE-2023-46805, CVE-2024-21887 a CVE-2024-21893 a skupiny UNC5221 , UNC5266, UNC5291, UNC5325, UNC5330 a UNC5337 a také UNC3886.

Co potřebujete vědět:

Především se jedná o znalost TTP (taktiky, techniky, postupy), které jednotlivé skupiny využívají při svém cílení na jednotlivé oběti:

  • Skupina UNC5330 zneužívá kombinaci zranitelností CVE-2024-21893 a CVE-2024-21887 ve službě Ivanti Connect Secure VPN minimálně od února 2024. Využívá vlastní malware TONERJAM a PHANTOMNET („launcher“ určený k dešifrování a spuštění backdooru TONERJAM). Dále pak WMI (Windows Managment Instrumentation), který slouží k průzkumu, lateral movementu a vytváření perzistence v síti oběti. Skupina je známá i tím,  že kompromituje účty LDAP bind nakonfigurované na infikovaných zařízeních.
  • Aktivita UNC5266 se částečně překrývá s aktivitou UNC3569. Pro skupinu útočníků je typické: zavádění frameworku Sliver (C2) a využívání nástrojů WARPWIRE (slouží ke krádeži přihlašovacích údajů) a TERRIBLETEA (backdoor využívaný k provádění příkazů, keyloggingu, skenování portů).
  • Dalším významným špionážním aktérem, spjatým bezprostředně s Čínou, je APT UNC5337, který údajně pronikl do zařízení společnosti Ivanti již v lednu 2024 (s využitím CVE-2023-46805 a CVE-2024-21887). Pro skupinu je typická sada malwarových nástrojů známá jako SPAWN – ta je využívána UNC5521 i UNC5337 a  je navržena tak, aby umožnila přístup do sítě oběti bez detekce ze strany detekčních mechanismů. Na základě použití této sady dospěl Mandiant k závěru, že skupiny UNC5221 a UNC5337 jsou jedna a tatáž.
  • UNC5221 je skupina, která získala věhlas díky webshellům BUSHWALK, CHAINLINE, FRAMESTING a LIGHTWIRE, ROOTROT.
    Po úspěšném nasazení těchto webshellů následuje fáze reconnaissance (průzkum) a lateral movement, která v některých případech vede ke kompromitaci serveru vCenter v síti oběti pomocí backdooru v jazyce Golang s názvem BRICKSTORM.
  • Poslední z pěti čínských skupin spojených se zneužíváním bezpečnostních chyb produktů Ivanti je UNC5291, o které se Mandiant domnívá, že má pravděpodobně spojení s jinou hackerskou skupinou UNC3236 (známou také jako Volt Typhoon), především kvůli jejímu zacílení na akademický, energetický, obranný a zdravotnický sektor. Počátek aktivity pro tento cluster je prosinec 2023, původně se zaměřením na zařízení Citrix Netscaler ADC a poté, co byly podrobnosti zveřejněny v polovině ledna 2024, se skupina přesunula na zařízení Ivanti Connect Secure.

Komentář Cybule: Čínští kybernetičtí útočníci dlouhodobě útočí na tzv. edge zařízení, kde využívají kombinace zranitelností nultého dne, nástrojů s otevřeným kódem a vlastních backdoorů, které jsou přímo přizpůsobeny prostředí, na které se zaměřují. Mezi edge zařízení patří bezpečnostní, síťové a virtualizační technologie (například firewally, nástroje VPN, z virtualizací např. technologie společnosti VMware). Útočníci využívají skutečnosti, že edge zařízení nejsou chráněna technologiemi pro detekci a reakci na aktivity na koncových bodech (EDR). Cílem útočníka značné ztížení možnosti včasné detekce. Po překonání této obranné vrstvy často dochází k využití legitimních nástrojů (tzv. living-off-the-land, LOTL, LOLbins) k nepozorované přítomnosti a pohybu napříč napadenou sítí.

Čína ovlivňovala volby na Tchaj-wanu s pomocí AI

(5.4.2024, microsoft.com)

Společnost Microsoft vydala dne 5. dubna analýzu, ve které podrobně popisuje snahy Číny o zmanipulování tchajwanských voleb, které se uskutečnily 13. ledna 2024. Zpráva upozorňuje na různé použité taktiky, včetně nárůstu podvrženého obsahu zobrazujícího tchajwanské politické představitele vytvořeného s pomocí AI. Jedním z nejvýraznějších pokusů byla falešná zvuková nahrávka majitele společnosti Foxconn Terryho Gou. V podvržené nahrávce měl Terry Gou, který původně kandidoval na prezidenta, ale z kampaně odstoupil, vyzvat k podpoře druhého opozičního kandidáta Hou Yu-ih ze strany Kuomintang (KMT). Za podvrhem podle expertů Microsoftu stojí skupina napojená na Komunistickou stranu Číny (KS Číny) známá jako Storm-1376 nebo „Spamouflage“. Společnost Microsoft rovněž zaznamenala šíření videí televizních moderátorů a memů generovaných umělou inteligencí, jejichž cílem bylo oklamat diváky a ovlivnit výsledek voleb. Podle Microsoftu se jedná a první zdokumentovaný případ, kdy národní stát použil obsah generovaný umělou inteligencí k vměšování se do zahraničních voleb.

Co potřebujete vědět:
  • Falešná nahrávka prohlášení Terryho Gou se objevila na YouTube v den voleb, tj. 13. ledna, dva dny poté, co se online rozšířil podvržený dopis se stejným obsahem. YouTube nahrávku zablokoval dříve, než se stihla rozšířit mezi velké množství sledujících.
  • Obsah s AI televizními moderátory byl vytvořen s pomocí nástroje CapCut od ByteDance. Čínská společnost ByteDance je vlastníkem kontroverzní aplikace TikTok.
  • Skupina Storm-1376 „Spamouflage“ je velmi aktivní, ačkoli její informační operace se doposud nevyznačovaly vysokou mírou propracovanosti a dopadem. V srpnu 2023 odstranila společnost Meta (dříve Facebook) okolo 9000 účtů a skupin na socialních sítích Facebook a Instagram, které patřily pod Storm-1376.
  • V červenci 2023 upozornila expertka společnosti Nisos Sandra Quincoses na čínskou informační kampaň na sociální sítí X/Twitter zaměřenou na země v Latinské Americe.
  • Tchajwanské prezidentské volby vyhrál dosavadní viceprezident William Lai z Demokratické pokrokové strany (DPP). Čína bojkotuje jakékoli kontakty s představiteli DPP pro jejich odmítání čínského nároku na Tchaj-wan.

Komentář Cybule: Čínské informační operace zaměřené na Tchaj-wan se kromě ovlivnění politických procesů snaží i o vytváření a prohlubování neshod mezi Tchajwanci. Kampaň „Spamouflage“ pravděpodobně neměla významný dopad na výsledek prezidentských voleb, jiné to ovšem může být s polarizací společnosti. Tchajwanský think tank Doublethink Lab, který se specializuje na čínské vlivové kampaně, publikoval dne 8. dubna studii o polarizaci veřejného mínění na Tchaj-wanu. Zatímco téměř 94 % voličů DPP vyjádřilo důvěru v integritu voleb, stejný názor vyjádřilo jen 40 % KMT. S postupným zlepšováním AI nástrojů bude růst i riziko, že demokratické volby budou zásadně zmanipulovány ve prospěch autoritářských států.

Přejít nahoru