Jmenovatelem dnešních Cybulovin je kritická informační infrastruktura. Poprvé toto slovo zazní v souvislosti s prudkým nárůstem DDoS útoku na tento sektor, po druhé v souvislosti s přístup ke kritické informační infrastruktuře přes VPN zařízení a třetí téma se týká APT skupiny, která toho má hodně společného s notoricky známou Mustang Pandou.
Tým Cybule
Obsah:
- Statistika: Prudký nárůst DDoS útoků na kritickou infrastrukturu
- Společnost Dragos upozorňuje na hrozbu OT systémům přes kompromitované VPN zařízení
- ESET: CeranaKeeper útočí na vládní instituce v Thajsku
Statistika: Prudký nárůst DDoS útoků na kritickou infrastrukturu
(2.10.2024, NetScout)
Nová zpráva společnosti NETSCOUT odhaluje znepokojivý nárůst DDoS útoků, které se stále častěji zaměřují na kritickou infrastrukturu. Podle Threat Intelligence Reportu za první polovinu roku 2024 došlo k dramatickému nárůstu útoků na aplikační vrstvě o 43% a k 30% navýšení volumetrických útoků, zejména v Evropě a na Blízkém východě. Hacktivisté cíleně útočí na klíčovou infrastrukturu v sektorech, jako jsou bankovnictví, finanční služby, vláda a veřejné služby. Tyto útoky představují vážnou hrozbu, protože narušují nezbytné civilní služby v zemích, které se ideologicky střetávají s těmito skupinami. Klíčová odvětví, která již čelí častým a sofistikovaným multivektorovým útokům, zaznamenala za poslední čtyři roky 55% nárůst jejich intenzity.
Co potřebujete vědět:
- Proruská hacktivistická skupina NoName057(16) se více zaměřila na útoky na aplikační vrstvě, zejména na útoky typu HTTP/S GET a POST, což vedlo k 43% nárůstu oproti prvnímu pololetí roku 2022.
- Množství zařízení infikovaných prostřednictvím botů vzrostlo o 50 % s příchodem botnetu Zergeca a pokračujícím vývojem botnetu DDoSia, který používá NoName057(16) a který využívá pokročilé technologie, jako je DNS over HTTPS (DoH), pro řízení a kontrolu (C2).
- Distribuovaná infrastruktura C2 botnetu využívající boty jako řídicí uzly, které umožňují decentralizovanější a odolnější koordinaci útoků DDoS.
- 75 % nových počítačů se zapojilo do DDoS aktivit během pouhých 42 dnů od jejich spuštění.
- Většina této infrastruktury je bez jakékoliv zabezpečení a nedobrovolně se stává součástí rozsáhlých DDoS kampaní. Doba trvání útoku se lišila, 70 % trvalo méně než 15 minut
Komentář Cybule: Není náhodou, že epicentrem těchto kybernetických útoků se stala Evropa a Střední východ. Neustálé války a politické nepokoje v těchto regionech vytvářejí přesně takové podmínky, jaké hacktivistické skupiny často zneužívají. Mnohé z těchto skupin jednají z ideologických pohnutek a své útoky směřují proti státům, s nimiž nesouhlasí z politických důvodů. Nelze přehlédnout propojení mezi geopolitickými krizemi a nárůstem kybernetických útoků, zvláště v oblastech, které jsou již tak zatížené konflikty. Válka mezi Ukrajinou a Ruskem a napětí na Blízkém východě tyto kybernetické aktivity ještě více podnítily. Zatímco státy vedou tradiční formy války, digitální bojiště se také dostávají do popředí. DDoS útoky se staly klíčovou zbraní, která narušuje důležité civilní služby, čímž se konflikty přesouvají i na úroveň boje o kybernetickou dominanci vedle vojenské síly.
Společnost Dragos upozorňuje na hrozbu OT systémům přes kompromitované VPN zařízení
(30.9.2024, Dragos)
Společnost Dragos, která se specializuje na bezpečnost operačních technologií (OT), identifikovala aktivitu zaměřenou na kritickou infrastrukturu v Severní Americe, zejména v oblastech výroby či distribuce elektrické energie, ropy a plynu, distribuce pitné vody a čištění odpadních vod a průmyslové výroby. Konkrétně Dragos identifikoval široce rozšířené pokusy o přihlášení hrubou silou pomocí kombinace náhodných a skutečných uživatelských jmen současných a bývalých zaměstnanců zamýšlených obětí. Pozorovaná aktivita odpovídá počátečním fázím průzkumu (viz grafika Cyber Kill Chain) s cílem zajistit přístup k VPN zařízením, jako jsou Cisco SSL-VPN, Fortinet VPN a Palo Alto Global Protect VPN.
Cyber Kill Chain (Bitservis.cz)
Co potřebujete vědět:
- Útočník využíval především infrastrukturu virtuálních privátních serverů (VPS) od poskytovatele Stark Industries Solutions, široce využívaného hostingu pro útoky typu denial-of-service (DoS).
- Operační technologie (OT) jsou systémy, které monitorují a řídí fyzická zařízení v průmyslových prostředích. Příkladem jsou SCADA (Supervisory Control And Data Acquisition) a ICS (Industrial Control System) systémy. OT jsou nezbytné pro řízení různých procesů v sektorech, jako jsou výroba, energetika, doprava a další. Na rozdíl od tradičních informačních technologií (IT), které se zaměřují na správu dat a výpočetní techniku, se OT primárně zabývá provozem fyzického vybavení.
- Krádež přihlašovacích údajů (nejen do VPN aplikací) je klíčem k hlubšímu přístupu v systémech oběti. S platnými přihlašovacími údaji mohou protivníci získat neoprávněný přístup k VPN, vybudovat stálý přístup a potenciálně se pohybovat napříč IT systémy a pronikat do OT prostředí. Používání legitimních přihlašovacích údajů také znamená, že se protivníci mohou vydávat za běžné uživatele, což dále ztěžuje odhalení jejich aktivit.
- Výzkumníci Dragosu zjistili, že až 70 % útoků na OT začíná útokem na informačních technologie (IT), jako vstupního vektoru. Po získání počátečního přístupu se útočníci snaží pohybovat z IT systémů do OT sítí tím, že využívají slabou segmentaci a komunikační protokoly.
- Aktivita popsaná v analýze Dragosu probíhala v období od 4. do 11. září 2024.
Komentář Cybule: Kompromitace IT infrastruktury je často jedinou cestou, jak získat přístup k OT (ICS, SCADA) systémům, které nejsou přímo vystavené do internetu. Útočník s přístupem do OT infrastruktury je v pozici, kdy může spustit sabotážní či destruktivní útoky. Jedním z nejznámějších případů útoku na OT infrastrukturu je působení malwaru Stuxnet v operačních systémech iránského jaderného programu. Mezi hlavní aktéry, kteří se specializují na kompromitaci OT systémů, patří ruská skupina Sandworm (APT44, jednotka GRU č. 74455). Jedním z posledních zmapovaných útoků Sandwormu je kompromitace největšího ukrajinského mobilního operátora Kyivstar z prosince 2023.
ESET: CeranaKeeper útočí na vládní instituce v Thajsku
(2.10.2024, ESET)
Kyberšpionážní skupina Mustang Panda (Earth Preta, Stately Taurus) patří mezi nejaktivnější aktéry napojené na Čínskou lidovou republiku (ČLR). Společnost Cyble upozorňuje na kampaň, při které aktér využívá ke škodlivé aktivitě legitimní nástroje Virtual Studio Code a úložiště Github, což stěžuje detekci, ačkoli podrobnější kontrola by odhalila neobvyklou aktivitu. Postup je velmi podobný kampani, kterou popsalo Palo Alto a které jsme se věnovali v Cybulovinách 22/24. Analýza společnosti ESET identifikuje aktéra, který se vyznačuje významnou podobností (včetně použitých nástrojů) s Mustang Panda, ale důležité rozdíly vedly ESET závěru, že aktivitu budou do budoucna sledovat pod označením CeranaKeeper. ESET ve své analýze představuje kampaň, jejíž cílem je vládní instituce v Thajsku. CeranaKeeper využívá legitimní služby jako jsou úložiště OneDrive, GitHub, Pastebin a Dropbox a zároveň disponuje řadou vlastních nástrojů, které průběžně vylepšuje. Schopnost vyvíjet a udržovat vlastní malware a kombinovat je s využitím veřejně dostupných služeb je známkou relativně vysoké úrovně sofistikovanosti útočníka. Kompromitace thajské vládní instituce proběhla v roce 2023.
Co potřebujete vědět:
- CeranaKeeper se primárně zaměřuje na vládní instituce v Thajsku, Myanmaru, Filipínách, Japonsku a Tchaj-wanu.
- CeranaKeeper vyvinul unikátní metody pro exfiltraci dat, včetně využití populárních cloudových služeb jako Dropbox a OneDrive k implementaci zadních vrátek a extrakci citlivých dokumentů.
- Skupina dále využívá GitHub jako skrytý C2 server tím, že vytváří pull requesty (legitimní funkce GitHubu) pro příjem příkazů z napadených strojů.
- Vlastnámi nástroji skupiny jsou:
- WavyExfiller: loader psaný v Pythonu, který zneužívá Dropbox k exfiltraci dokumentů.
- DropboxFlop: python backdoor, který získává tokeny z Dropboxu a umožňuje nahrávání souborů.
- OneDoor: C++ backdoor využívající OneDrive pro provádění příkazů a exfiltraci souborů.
- BingoShell: backdoor v Pythonu, která používá GitHub jako C2 server.
- Apis Cerana je druh medonosné včely rozšířené v Asii a označení aktéra CeranaKeeper je slovní hříčkou ukazující na podobnost se skupinou Mustang Panda, kterou ESET sleduje jako Bee Panda.
Komentář Cybule: Dřívější analýzy aktivity Mustang Panda od Palo Alto, Trend Micro a nově i Cyble a ESET popisují aktivity zaměřené na organizace ve východní Asii. Překryvy mezi jednotlivými aktivitami (ESET se, podobně jako Cyble, odkazuje na analýzu PaloAlto) naznačují, že ofenzivní týmy působící v rámci širší aktivity Mustang Panda se momentálně významně soustředí na region Jihovýchodní Asie. Jednou z výzev atribuce škodlivé aktivity konkrétní skupině je, že různé analytické týmy pracují s rozdílnými sety dat. Mustang Panda, Stately Taurus, Earth Preta či RedDelta jsou s velkou mírou pravděpodobnosti jeden a ten samý aktér (a řada společností používá vlastní systém jmenování aktérů). Nicméně s absolutní jistotou se to říct nedá a rozdíly mezi jednotlivými aktivitami existují. V případě CeranaKeeper učinil ESET rozhodnutí, že odlišnosti od známých atributů Mustang Panda jsou dostatečně významné pro vytvoření samostatného aktéra.