Umění využít příležitost je základním principem v každé hře – a kybernetická bezpečnost není výjimkou. Skupiny jako APT41 a Sandworm hrají na tomto poli svou vlastní ligu, kde každý nově objevený exploit může být klíčem k dalšímu útoku a úspěchu. Nedávný incident s CrowdStrike Falcon zase ukázal, jak rychle mohou útočníci využít nabízenou šanci, ať už se to týká phishingu, ransomwaru nebo jiných forem kybernetických útoků. V dnešním vydání Cybulovin se podíváme na tyto kybernetické mistry, jejich techniky a strategii, tak abyste udrželi krok s neustále se měnící situací.
Příjemné čtení.
Tým Cybule
Obsah:
- Lednový výpadek dodávek tepla v ukrajinském Lvově způsobil nový malware FrostyGoop napadající průmyslové kontrolní systémy
- Čínská skupina APT41 se objevila s aktualizovaným arzenálem
- Útočníci zneužívají aktualizaci Falcon od CrowdStrike: Pozor na falešné bezpečnostní patche a ransomware
Lednový výpadek dodávek tepla v ukrajinském Lvově způsobil nový malware FrostyGoop napadající průmyslové kontrolní systémy
(23.7.2024, The Record)
Výzkumníci společnosti Dragos identifikovali nový malware nazvaný FrostyGoop, který je teprve devátým malwarem, který se zaměřuje pouze na průmyslové kontrolní systémy (ICS/SCADA). FrostyGoop byl použit v kybernetickém útoku proti energetické společnosti Lvivoblenergo na západě Ukrajiny. Útok vedl k tomu, že více než 600 domácností zůstalo po dobu téměř dvou dnů bez topení během mrazivých teplot, které ve Lvově v lednu 2024 klesly až na -20 °C. FrostyGoop zneužívá protokol Modbus, široce používaný v průmyslových automatizačních systémech, který usnadňuje přenos dat mezi různými zařízeními. Analytici Dragosu označují FrostyGoop jako první malware, který je speciálně navržen k zneužívání Modbusu k narušení systémů, které spravují fyzická zařízení. Ukrajinská bezpečnostní služba oznámila, že útok byl relativně rychle neutralizován, což umožnilo obnovení služeb. Nicméně incident zdůrazňuje pokračující hrozby pro kritickou infrastrukturu Ukrajiny, zejména ze strany kybernetických útoků spojených s Ruskem, které cíleně útočily na energetickou infrastrukturu již v období před únorem 2022.
Co potřebujete vědět:
- Modbus je komunikační klient/server protokol, který byl původně navržen pro programovatelné logické automaty Modicon v roce 1979, ale nyní je hojně používán i jinými zařízeními. Jedná se o otevřený protokol, který je hardwarově neutrální, což z něj dělá populární volbu pro komunikaci mezi hardwarovými komponenty v průmyslových provozech.
- I když Dragos nepropojil FrostyGoop s žádným konkrétním aktérem, jejich analýza odhalila, že útočníci přistupovali k síti energetického systému z IP adres umístěných v Moskvě.
- Hlavním podezřelým je ruská skupina Sandworm, která je součástí vojenské rozvědky GRU. Sandworm se dlouhodobě soustředí na kritickou infrastrukturu a specializuje se v destruktivních útocích. Jedna se jednoznačně o jednoho z nejagresivnějších aktérů kybernetických hrozeb. Společnost Mandiant v dubnu 2024 publikovala analýzu aktivit Sandwormu a přiřadila skupině označení APT44.
- Podle zprávy ukrajinského vládního CERT týmu (CERT-UA), Sandworm na jaře 2024 narušil systémy dodavatelů energie, vody a topení v 10 regionech, přičemž alespoň ve třech případech došlo ke kompromitaci dodavatelské řetězce. CERT-UA zdůraznil, že nedostatečná izolace serverů a slabé kybernetické praktiky mezi dodavateli usnadnily tyto útoky.
Komentář Cybule: Ruské hackerské skupiny, zejména skupina Sandworm (Voodoo Bear, APT44) napojená na vojenskou rozvědku GRU, se opakovaně zaměřují na ukrajinský energetický sektor. V roce 2015 Sandworm provedl útok, který způsobily výpadky proudu pro 200 000 lidí na západě Ukrajiny. Stejná skupina o rok později použila malware Industroyer k dalšímu narušení dodávek energie, tentokrát v hlavním městě Kyjevě. Industroyer, objevený slovenskou kyberbezpečnostní společností ESET, byl první malware specializující se na energetický sektor. V říjnu 2022 Sandworm způsobil dočasný výpadek proudu před rozsáhlými raketovými údery na kritickou infrastrukturu Ukrajiny. Ukrajinské úřady již dříve uvedly, že Rusko koordinuje své raketové údery s kybernetickými útoky, včetně případů, kdy je cílem energetická infrastruktura.
Čínská skupina APT41 se objevila s aktualizovaným arzenálem
(18.7.2024, Google Cloud)
Zpráva společnosti Mandiant odhalila, že notorický známá čínská hackerská skupina APT41 stojí za dlouhodobou kampaní zaměřenou na organizace v různých sektorech, včetně lodní dopravy, médií, technologií a automobilového průmyslu. Skupině se podařilo infiltrovat do sítí napadených organizací a po dlouhou dobu si udržovat neoprávněný přístup za účelem krádeže citlivých dat. Mandiant se mimo jiné zaměřil na analýzu nových nástrojů DUSTPAN a DUSTTRAP a došel k závěru, že vykazují podobnosti s již známými rodinami malwaru jako jsou DodgeBox a MoonWalk. DUSTTRAP je modulární nástroj, který zahrnuje několik komponent schopných provádět různé příkazy, zachytávat stisknutí kláves a manipulovat s Microsoft Active Directory. Zpráva dále zdůrazňuje, že malware byl podepsán pravděpodobně ukradenými certifikáty pro podepisování kódu, včetně jednoho spojeného s jihokorejskou herní společností.
Vývoj viktimologie skupiny APT41 v období 2012-2019 (Mandiant)
Co potřebujete vědět:
- Analýza Mandiantu se překrývá se zjištěními společnosti Zscaler, která o týden dříve publikovala dvoudílnou analýzu nových nástrojů, které pojmenovala DodgeBox a MoonWalk. Je pravděpodobné, že se jedná o stejné nástroje, které Mandiant pojmenoval DUSTPAN a DUSTTRAP.
- Dropper DUSTPAN načítá Cobalt Strike Beacon pro komunikaci s C2 serverem, zatímco DUSTTRAP je navržen k dešifrování a spouštění payloadu v paměti napadeného počítače, který slouží k navázání spojení mezi napadeným systémem a útočníkem řízenými C2 servery.
- APT41 ve svých útocích používá řadu pokročilých nástrojů, včetně webshellů ANTSWORD a BLUEBEAM, již zmíněných vlastních dropperů DUSTPAN a DUSTTRAP a veřejně dostupných nástrojů SQLULDR2 a PINEGROVE. Tyto nástroje usnadňují persistenci, rozmístění sekundárního malwaru v napadené síti a exfiltraci dat.
- Analýza obětí kampaně APT41 odhalila výrazný geografický vzor v jednotlivých sektorech. Většina napadených subjektů v oblasti lodní dopravy a logistiky se nachází Evropě a na Blízkém východě (např. Španělsko, Itálie, Turecko a Spojené království). Naopak všechny zasažené organizace v oblasti médií a zábavy mají sídlo v Asii (např. Tchaj-wan a Thajsko).
- APT41 je čínská hackerská skupina známá také jako Barium, Winnti nebo Wicked Panda. Skupina je aktivní více než deset let a zaměřuje se na širokou škálu sektorů, včetně zdravotnictví, telekomunikací, technologií a finančních služeb, přičemž její oběti se nacházejí po celém světě, včetně Spojených států, Evropy a Asie. APT41 zpočátku cílila hlavně na herní sektor a její útoky byly zcela zjevně motivovány finančním ziskem. Postupem času se začala zaměřovat na kyberšpionážní aktivity, což vedlo analytiky k hypotéze, že APT41 je kontraktor pro čínskou vládu, který se věnuje i kyberkrimininálním aktivitám.
Komentář Cybule: Hypotéza o APT41 jako kontraktorovi pro čínskou vládu se potvrdila v září 2020, kdy Ministerstvo spravedlnosti USA zveřejnilo žalobu na členy APT41. Žaloba zmínila i čínskou společnost Chendu 404. O dva roky později, v červenci 2022, publikoval anonymní kolektiv Intrusion Truth pětidílnou analýzu, která propojila aktivity APT41 se společností Chengdu 404 a identitou jejích členů. Případ Chengdu 404/APT41 naznačuje, že čínská vláda je za jistých okolností ochotná tolerovat kyberkriminální aktivity, ačkoliv se pravděpodobně nejedná o tak propracovaný model jako je v Rusku, kde jsou kyberkriminálná gangy de facto chráněné státem, za podmínky, že jejich oběti nejsou na území Ruské federace.
Útočníci zneužívají aktualizaci Falcon od CrowdStrike: Pozor na falešné bezpečnostní patche a ransomware
( 20.7.2024,CrowdStrike )
Selhání aktualizace bezpečnostního softwaru Falcon společnosti CrowdStrike se stalo nástrojem útočníků, kteří se snažili zneužít situace k šíření malwaru a podvodům. Aktualizace, která byla vydána 19. července 2024, měla aktualizovat obsah pro EDR senzor Falcon, ale chyba v kódu způsobila, že stanice s operačním systémem Windows spadly do smyčky BSOD (Blue Screen of Death). Incident způsobil globální výpadek IT služeb, který útočníci situaci velmi rychle využili k nabízení např. falešných nástrojů na opravu aktualizace.
Co potřebujete vědět:
- Krátce po vydání aktualizace začali útočníci šířit škodlivý soubor CrowdStrike Falcon.zip, který obsahoval v Pythonu napsaný nástroj pro krádež informací s názvem Connecio.
- Tento malware byl maskován jako legitimní aktualizace Falcon, která měla uživatele oklamat a přimět ho ke stažení a instalaci souboru. Jakmile byl Connecio v systému, byl schopen zachytit citlivé informace, jako jsou hesla, přihlašovací údaje a další důvěrné údaje.
- Útočníci si zároveň pro své podvody zaregistrovali tisíce domén v rámci které využili tzv. typo-squatting, jenž napodobovaly oficiální webové stránky CrowdStrike.
- Tyto domény byly použity k rozesílání podvodných e-mailů obsahujících odkazy na falešné aktualizace a k distribuci škodlivých souborů.
- Některé z těchto domén, například fix-crowdstrike-apocalypse[.]com, dokonce přímo vyzývaly uživatele, aby zaplatili výkupné v bitcoinech, přičemž částky se pohybovaly od 500 000 do 1 000 000 eur výměnou za údajné odstranění problémů.
- Útočníci také rozesílali výhružné emaily, ve kterých požadovali výkupné a snažili se přesvědčit oběti, že pouze zaplacením mohou získat „opravný balíček“ na ochranu před dalším poškozením.
Komentář Cybule: Tento incident opět ukazuje, jak snadno mohou kyberzločinci využít chaosu a strachu, které vznikají při řešení technických problémů a výpadků služeb. Identita konkrétních skupin kybernetických zločinců, které za těmito útoky stojí, zatím nebyla odhalena. Je však jasné, že se jedná o různé skupiny, které využily situace k šíření svého škodlivého softwaru, včetně pokusů a ransomwarový útok.