Cybuloviny 20/24

Cybuloviny jsou s vámi už skoro pět měsíců a dvacáté vydaní vám přinese aktuální nekalosti ze strany čínské skupiny Volt Typhoon, reakci (pro)ruské hacktivistické scény na zatčení zakladatele Telegramu Pavla Durova ve Francii a třetí téma má sice společného ruského jmenovatele, ale z Francie se přesuneme na druhou stranu světa do vládních systémů v Mongolsku, o které se velmi zajímá ruská SVR.

Příjemné čtení.

Tým Cybule

Obsah:

  • Čínská skupina Volt Typhoon využila zranitelnosti nultého dne ke kompromitaci poskytovatelů internetu v USA
  • Hacktivistické skupiny zahájily útoky na Evropu po zatčení zakladatele Telegramu
  • Ruská APT29 zneužívala identické zranitelnosti jako společnost NSO

Čínská skupina Volt Typhoon využila zranitelnosti nultého dne ke kompromitaci poskytovatelů internetu v USA

(27.8.2024, Black Lotus Labs)

Výzkumníci týmu Black Lotus Labs upozornili na kampaň čínské skupiny Volt Typhoon (Vanguard Panda, UNC3236), ve které došlo k útoku na zranitelnost CVE-2024-39717 v platformě pro správu sítí Versa Director. Tato zranitelnost umožňovala útočníkům nahrávat škodlivé soubory, včetně vlastního webového shellu, který Black Lotus Labs nazvali VersaMem, na kompromitované servery. VersaMem je navržen tak, aby shromažďoval přihlašovací údaje a skrytě spouštěl libovolný kód. Analýza ukázala, že zranitelnost CVE-2024-39717 byla zneužita již 12. června 2024. Cílem útočníků byli poskytovatelé internetových služeb (ISP), spravovaných služeb (MSP) a informačních technologií, primárně v USA.

Profil skupiny Volt Typhoon (SOCRadar)

Co potřebujete vědět:
  • Kampaně skupiny Volt Typhoon jsou charakteristické používáním pokročilých technik k získání přístupu do sítí obětí.
  • Úřad pro kybernetickou bezpečnost a bezpečnost infrastruktury USA (CISA) přidal zranitelnost v platformě Versa Director do katalogu aktuálně zneužívaných zranitelností (KEV), což je pro většinu bezpečnostních týmů indikátorem naléhavosti a potřebu okamžité akce ze strany organizací, které daný software používají.
  • Volt Typhoon na sebe poprvé upozornil v květnu 2023, kdy došlo k odhalení kompromitace řady subjektů kritické infrastruktury v USA, ale i na ostrově Guam, na kterém se nachází klíčová základna USA v západním Pacifiku.
  • V polovině prosince 2023 narušila FBI, ve spolupráci s mezinárodními partnery, KV Botnet, která skupina Volt Typhoon používala k útokům a zakrytí vlastní aktivity. KV Botnet se skládal z kompromitovaných SOHO (Small Office, Home Office) routerů.

Komentář Cybule: Volt Typhoon se v rámci čínského kyberšpionážního ekosystému specializuje na útoky na subjekty, které lze klasifikovat jako kritickou infrastrukturu. Aktivita Volt Typhoon je specifická tím, že v systémech obětí obvykle nedochází ke zcizení (exfiltraci) dat, resp. kybernetická špionáž zřejmě není hlavním cílem této skupiny. Podle dostupných informací Volt Typhoon usiluje o udržení dlouhodobé nepozorované přítomnosti v napadených systémech, aby je v případě potřeby vyřadila z provozu. Impulsem může být např. zhoršení geopolitické situace mezi Čínou a Tchaj-wanem a zpomalení reakce USA v případě vypuknutí vojenského konfliktu. Telekomunikační společnosti, mobilní operátoři, poskytovatelé internetového připojení, energetická infrastruktura, logistické společnosti, to vše je typ infrastruktury, na kterých jsou do značné míry zavislé i ozbrojené složky a zejména civilní organizace, které jsou klíčové pro zásobování a přepravu materiálu. Americké úřady a kyberbezpečnostní firmy doposud neurčili příslušnost Volt Typhoon ke konkrétní organizaci, ale vzhledem k povaze aktivity této skupiny je pravděpodobné, že se jedná o ofenzivní tým, který je součástí Čínské lidové osvobozenecké armády (ČLOA).

Hacktivistické skupiny zahájily útoky na Evropu po zatčení zakladatele Telegramu

(25.8.2024, Telegram CARR)

Koncem srpna 2024 zasáhla Evropu vlna kybernetických útoků vedená proruskými hacktivistickými skupinami. Útoky byly zahájeny v reakci na zatčení Pavla Durova, zakladatele komunikační platformy Telegram francouzskými úřady. Tato kybernetická ofenzíva, která zahrnuje především DDoS útoky, cílí na klíčové sektory, jako jsou zdravotnictví, telekomunikace a energetika, ve Francii a v dalších zemích EU a NATO.

Co potřebujete vědět:
  •  Dne 24. srpna 2024 francouzské úřady zatkly Pavla Durova, zakladatele platformy Telegram. Tato akce vyvolala silnou reakci proruských hacktivistických skupin, které zahájily týdenní kampaň DDoS útoků proti Francii, kterou oznamila dne 25. srpna Cyber Army Russia Reborn (CARR).
  • V pondělí 26. srpna spojilo své síly několik ruských a proruských hacktivistických kolektivů, včetně Cyber Dragon, ReconSploit, Evilweb, Rootspolit, CGPlnet a RipperSec, s UserSec a People’s Cyber Army. Tyto skupiny společně zahájily koordinované kybernetické útoky zaměřené na různé webové stránky ve Francii a organizace spojené s Evropskou unií.
  • Několik hacktivistických aliancí, například High Society a Holy League, sdílelo tyto příspěvky na svých kanálech Telegram.

Koordinace kybernetických útoků několika hacktivistických skupin (Cyble).

  • Útoky se zaměřily především na francouzské veřejné i soukromé subjekty, včetně zdravotnictví, telekomunikací, energetického sektoru. Přestože CARR zveřejnil snímky obrazovky dokazující narušení dostupnosti webových stránek, většina postižených webů byla v době zveřejnění dostupná, což naznačuje, že dopady těchto útoků byly pouze omezené. 
  • Skupina CyberDragon se zaměřila na evropské lidskoprávní organizace a francouzské soudní instituce. UserSec útočil na dva francouzské soudy, které byly v důsledku DDoS útoků krátkodobě nedostupné.
  • Kromě toho se propalestinská skupina RipperSec přihlásila k útoku na francouzskou banku; v posledních měsících propalestinské skupiny – včetně RipperSec a Svaté ligy – pravidelně spolupracují s proruskými skupinami při útocích na západní subjekty.

Komentář Cybule: Zatčení Pavla Durova a následná právní opatření uložená francouzským soudem vyvolala prudký nárůst aktivit mezi proruskými a dalšími hackerskými skupinami. Kampaň #FreeDurov si získala podporu nejen proruských a propalestinských skupin, ale i dalších hackerských aliancí. Uvedené události otevírají zásadní otázku v oblasti kybernetické bezpečnosti, a sice hledání rovnováhy mezi ochranou svobody projevu a soukromím uživatelů na jedné straně a potřebou regulace a právní odpovědnosti na straně druhé. Nárůst hackerských útoků v reakci na právní kroky proti technologickým společnostem, jako je například Telegram, zdůrazňují obavy z přílišného zasahování státních orgánů do digitální svobody. Platformy jako Telegram se tradičně staví do role ochránců soukromí uživatelů a svobody projevu. Kritici Telegramu poukazují na ne zcela jasné politiky ochrany soukromí na platformě, podezření z vazeb na ruské bezpečnostní orgány a v neposlední řadě i volnou působnost pro fungování extremistických a kyberkriminálních skupin.

Ruská APT29 zneužívala identické zranitelnosti jako společnost NSO

(29.8.2024, Google Threat Analysis Group)

Analytici Threat Analysis Group (TAG) společnosti Google identifikovali špionážní kampaň cílenou na mongolské vládní webové stránky. TAG přiřazuje kampaň ruské hackerské skupině APT29 (známé také jako Cozy Bear). Aktivita APT29, která probíhala od listopadu 2023 do července 2024, využívala exploity původně vyvinuté komerčními kyberofenzivními firmami NSO Group a Intellexa. Podle TAG je případ pozoruhodným příkladem, kdy státní aktéři upravují komerční nástroje pro potřeby kybernetické špionáže. Analytici TAG poznamenali, že ačkoli přesná metoda získání komerčních exploitů skupinou APT29 zůstává nejasná, podobnosti mezi exploity použitými v této kampani a těmi prodávanými společností NSO a Intellexa je zřejmá.

Časová osa aktivity APT29 a komerčních sledovacách společností NSO a Intellexa (TAG)

Co potřebujete vědět:
  • Útočníci použili taktiku „watering hole“, při které útočník neútočí přímo na zamýšlené oběti, ale odhadne, nebo odpozoruje, které webové stránky navštěvují. Webové stránky jsou následně infikované malwarem. V případě kampaně APT29 došlo k umístění malwaru na webové stránky mongolské vlády (cabinet.gov[.]mn) a ministerstva zahraničnách věcí (mfa.gov[.]mn).
  • Kampaň původně cílila na uživatele iPhonů s verzemi iOS 16.6.1 a starší, které obsahovaly zranitelnost CVE-2023-41993. Později se kampaň rozšířila na uživatele mobilního operačního systému Androidu a prohlížeče Chrome. V druhé fázi se prostřednictvím dalších zranitelností (CVE-2024-5274 a CVE-2024-4671). Hlavním cílem útočníků byla exfiltrace souborů cookies uložených v prohlížeči a osobních údajů, jako jsou uložená hesla a informace o kreditních kartách.
  • NSO Group je izraelská kybernetická firma, která je primárně známá svým spywarem Pegasus, jenž umožňuje vzdálené sledování chytrých telefonů bez interakce uživatele, často označovaným jako „zero-click“ útoky.  Ministerstvo obchodu USA zařadilo v listopadu 2021 NSO Group na seznam „Entity List“.
  • APT29, také známá jako Cozy Bear, je kyberšpionážní aktér, která je spojována s ruskou civilní rozvědkou SVR (Služba vnější rozvědky). APT29 je aktivní nejméně od roku 2008 a je známá svou technickou zdatností a schopností obcházet ochranná opatření. APT29 se zaměřuje na širokou škálu cílů, včetně vládních a mezinárodních institucí, výzkumných institucí a subjekty kritických odvětví, jako jsou energetika, zdravotnictví, vzdělávání, finance a technologie.

Komentář Cybule: Cílení APT29 na mongolské úřady není samo o sobě příliš pozoruhodné. Rozvědné služby mají sběr informací o činnosti zahraničních vlád v popisu práce a SVR rozhodně není výjimkou. Mongolsko balancuje tradičně silný vliv Ruska s čínským zájmy a rozvíjením vztahů s USA a EU. Získání interní komunikace mongolského ministerstva zahraničí může Moskvě poskytnout výhodu. Využití upraveného komerčního spyware od izraelslých firem NSO a Intellexa (registrovaná v Irsku, ale zakladatelé jsou z Izraele) ovšem vyvolává řadu otázek, včetně jak se SVR k těmto nástrojům dostala. Za zmínku v neposlední řadě stojí, že NSO i Intellexa jsou na sankčním seznamu Ministerstva obchodu USA.

Přejít nahoru