Cybuloviny 28/24

/ Kybernetické útoky

Sofistikovaná operace zaměřená na šíření falešných zpráv a napodobování obsahu renomovaných mediálních organizací s cílem ovlivnit veřejné mínění a podkopat důvěru v demokratické procesy – to je ruská operace Overload neboli Matrjoška. Pozadu však tento týden nezůstávají ani jiní aktéři, na jejichž aktivity Vás upozorňujeme v souvislosti se zneužíváním zranitelností – jak v systému FortiManager, kde hraje hlavní roli nový aktér UNC5820, tak v prohlížeči Google Chrome, kde se vedení ujala skupina Lazarus.

Tým Cybule

Obsah:

  • Nový aktér UNC5820 aktivně zneužívá zero-day zranitelnost v nástroji FortiManager
  • Operace Overload zaměřená na americké prezidentské volby: Jak dezinformace ovlivňují politickou scénu
  • Zero-day zranitelnost v Google Chrome: Lazarus Group a její útoky na kryptoměnový sektor

Nový aktér UNC5820 aktivně zneužívá zero-day zranitelnost v nástroji FortiManager

(24.10.202, Mandiant)

Kyberbezpečnostní společnost Mandiant publikovala prvotní analýzu incidentu ve více než 50 zařízení FortiManager v neupřesněném počtu organizací. Mandiant přiřadil útok novému aktérovi UNC5820. Zneužitá zranitelnost byla společností FortiNet publikována ve čtvrtek 24. října pod identifikátorem CVE-2024-47575 a týká se nástroje FortiManager, který slouží k správě FortiGate firewallů. Vyšetřování Mandiantu prozatím ukázalo na skutečnost, že UNC5820 zneužil zranitelnost ve FortiManager nejdřívě dne 27. června. Zatímco analýza incidentů stále probíhá, předběžné závěry ukazují, že útočník stáhnul konfigurační ůdaje FortiGate firewallů, které daný nástroj FortiManager obsahoval. Konfigurační data obsahují informace o nastavení FortiGate zařízení a přihlašovací údaje uživatele. Tato data tedy mohla být využita skupinou UNC5820 k dalšímu pohybu na zařízeních spravovaných správcem FortiManager a v dalším kroku i k pohybu hlouběji do podnikové sítě. Mandiant ale doposud nenašel důkazy o tom, že by UNC5820 podobným způsobem získaná konfigurační data zneužil. Kromě exfiltrace konfiguračních údajů nebyla zaznamenána další aktivita ze strany útočníka.

Zranitelnosti v nástrojích FortiNet a Ivanti mají na svědomí celou řadu kyberbezpečnostních memů

Co potřebujete vědět:
  • Mezi prvními, kdo o zranitelnosti informoval, byl výzkumník Kevin Beaumont. Nejdříve na Mastodon účtu dne 13. října a poté dne 23. října 2024 na blogu DoublePulsar. Beaumont upozornil na aktivní zneužívání zranitelnosti v době, kdy nebyla zranitelnost zdokumentována.
  • FortiNet obecně nemá moc dobrý měsíc (a rok). Dne 11. října publikoval na svém blogu analýzu zranitelnosti v konkurenčním produktu od společnosti Ivanti. Známý výzkumník Florian Roth postup kritizoval, protože publikace obsahovala detaily, které útočníci mohli využít k vlastním útokům. O den dříve přidala americká CISA do katalogu známých aktivně zneužívaných zranitelnosti (KEV) starší zranitelnost v produktu FortiNet, publikovanou v únoru 2024 pod identifikátorem CVE-2024-23113.
  • CISA letos zařadila do katalogu KEV čtyři zranitelnosti v produktech FortiNet.
  • Mandiant používá kategorii UNC (uncategorized, nezařazené) pro skupiny (nebo aktivitu), která je v počáteční fázi identifikace. V ideálním případě se UNC skupinu podaří přiřadit k existujícímu aktérovi s oznařením APT (např. APT44, označení Mandiantu pro jednotku GRU 74455 známou jako Sandworm) nebo se z dané UNC vyvine zcela nová APT skupina. Další variantou je sloučení nové UNC s již existující. Obvykle si ale nová skupina udrží UNC označení poměrně dlouho. Mandiant přiřadil APT označení „jen“ 45 skupinám (APT1 je z února 2013), z nichž je v roce 2024 celá řada neaktivní. UNC skupin je mnohonásobně víc.
  • Vzhledem k absenci informací a dalším postupu útočníka nelze blížeji určit motivaci nebo původ útočníka.

Komentář Cybule: Zranitelnosti v produktech jako jsou FortiNet FortiMamager/FortiGate, Ivanti Connect Secure nebo Citrix Netscaler jsou lákavým cílem celé škály aktérů, zejména ale skupin napojených na Činskou lidovou republiku. Důvodem je jejich klíčové postavení na perimetru sítí, kde jsou vystavená do internetu s cílem zvýšení ochrany vnitřní sítě. Paradoxně se tak útočníci dostávají do systémů obětí přes zařízení, která síť obvykle chrání před škodlivým provozem nebo neoprávněným přístupem. Zatímco kriminální skupiny častěji využívají zranitelnosti v podobných produktech poté, co dojde k jejich zveřejnění, útok na zranitelnosti nultého dne jsou častěji doménou na stát napojených aktérů. V případě UNC5820 půjde s větší pravděpodobností o státního aktéra, ale Mandiant se zcela správně nepouští do nepodložených spekulací.

Operace Overload zaměřená na americké prezidentské volby: Jak dezinformace ovlivňují politickou scénu

(23.10.2024, TheRecord)

Podle nové zprávy od společnosti Recorded Future ruská vlivová operace, označovaná jako Operace Overload (také Matryoshka a Storm-1679), v posledních měsících výrazně zaměřila své aktivity na americké prezidentské volby. Šíří dezinformace prostřednictvím falešných zpráv, videí, která napodobují zavedené zpravodajské kanály, a dokonce i falešných svědectví od údajných expertů. Primárním cílem je ovlivnit politickou diskusi a podkopat důvěru v demokratický proces, a to jak u veřejnosti, tak u samotných mediálních organizací.

Co potřebujete vědět:
  • Operace Overload se v minulosti soustředila na šíření protiukrajinské propagandy a dezinformací souvisejících s francouzskými volbami v roce 2024 a olympijskými hrami v Paříži.  V posledních týdnech se však její činnost výrazně zaměřila na americkou prezidentskou kampaň, a to především na viceprezidentku Kamalu Harrisovou, ale i na bývalého prezidenta Donalda Trumpa. Cílem kampaně není jednoznačně podpořit konkrétního kandidáta, ale spíše narušit důvěru ve volební systém jako celek.
  • Jaké jsou hlavní taktiky operace Overload?
    • Napodobování zpravodajských médii: Operace Overload se do značné míry spoléhá na vydávání se za renomované zpravodajské zdroje kopírováním jejich log, používáním podobných fontů a vytvářením obsahu, který vypadá legitimně.
    • Obsah generovaný umělou inteligencí: Jedním z posledních rozšíření sady nástrojů v operaci Overload je využívání umělé inteligence pro generování realistických hlasových projevů. Tento obsah, často používaný v krátkých videích, ještě více umocňuje jejich zdánlivou důvěryhodnost a ztěžuje rozlišení mezi legitimními a falešnými informacemi.
    • Cílení na média a organizace pověřené ověřováním faktů (Fact-Checking): Operace Overload se zaměřuje především na mediální organizace, subjekty a výzkumné pracovníky ověřující fakta. Operace se je snaží zahltit spamovými žádostmi a falešnými podklady pro ověřování faktů. To jim ztěžuje vyvracení ruských dezinformací a hrozí, že budou neúmyslně informovat o falešném obsahu, a tím zavádět ruské zlovolné narativy do hlavního politického diskurzu.
    • Podpora operace prostřednictvím sociálních sítí: Operace také využívá automatizované boty k šíření svého vlivového obsahu na sociálních sítích. Tato taktika, označovaná jako koordinované neautentické chování (coordinated inauthentic behavior, CIB), pomáhá rozšiřovat falešné narativy na platformách sociálních sítí, díky čemuž je obsah lépe viditelný pro širokou veřejnost.

Komentář Cybule: Operace Overload představuje ukázkový příklad sofistikované dezinformační kampaně, která využívá moderní technologie a taktiky k manipulaci s veřejným míněním. Zásadní je, že tento typ operací se neomezuje jen na volební období, ale je trvalou součástí širšího vlivového aparátu. S každým takovým útokem se hranice mezi pravdou a manipulací více rozmazává, což činí odhalování a odstraňování těchto hrozeb obtížnějším. Podle odborníků z Recorded Future potřebují dezinformační operace, jako je tato, značné zdroje a znalosti v oblasti public relations, marketingu a IT. To naznačuje, že Operace Overload má pravděpodobně vazby na ruské vládní struktury, které poskytují potřebné zázemí a podporu. Pro kybernetické bezpečnostní experty a mediální organizace je zásadní rozvíjet techniky pro identifikaci a vyvracení dezinformací. Jednou z účinných strategií je investice do nástrojů pro sledování digitálních médií a pokročilou analýzu dat, která umožní rychle odhalovat podvrhy a zabránit jejich šíření.

Zero-day zranitelnost v Google Chrome: Lazarus Group a jejich útoky na kryptoměnový sektor

(23.10.2024, Securelist)

Severokorejskému útočníkovi známému jako Lazarus Group se připisuje zero-day exploit nyní již opravené bezpečnostní chyby v prohlížeči Google Chrome, který umožnil převzít kontrolu nad infikovanými zařízeními. Tato chyba typu confusion v JavaScriptovém a WebAssembly enginu V8 umožňovala útočníkům získat přístup k systému oběti pouhým navštívením podvržené webové stránky. Zranitelnost byla opravena v polovině května 2024, ale útoky začaly už v únoru tohoto roku.

Co potřebujete vědět:
  • Útočníci vytvořili webovou stránku „detankzone[.]com“, která vypadala jako profesionálně vytvořená webová stránka pro hru založenou na technologii DeFi a NFT. Multiplayerová online aréna (MOBA) s tanky, lákala uživatele ke stažení zkušební verze. Návštěva této webové stránky však spustila škodlivý skript v prohlížeči Google Chrome a poskytla útočníkům úplnou kontrolu nad počítačem oběti. Webová stránka byla navržena tak, aby návštěvníky nalákala ke stažení ZIP archivu s názvem „detankzone.zip“. Po spuštění tento archiv obsahuje plně funkční hru, která vyžaduje registraci hráče, ale zároveň v sobě ukrývá kód pro spuštění vlastního loaderu YouieLoad. Existuje podezření, že skupina Lazarus ukradla zdrojový kód z legitimní blockchainové hry na principu „play-to-earn“ s názvem DeFiTankLand (DFTL)
  • Konkrétně se exploit zaměřuje na dvě zranitelnosti. První z nich (CVE-2024-4947) umožňuje útočníkům získat přístup ke čtení a zápisu do celé adresní paměti procesu Chrome přímo z JavaScriptu. Druhá zranitelnost je využívána k obejití tzv. sandboxu V8. Výzkumníci vysvětlují, že druhá zranitelnost spočívá v tom, že virtuální stroj má pevný počet registrů a vyhrazené pole pro jejich ukládání. Indexy registrů jsou dekódovány z instrukcí, ale nejsou ověřovány, což umožňuje útočníkům přistupovat k paměti mimo hranice tohoto pole. Společnost Google opravila zranitelnost k obejití sandboxu V8 v březnu 2024, po hlášení chyby podaném 20. března 2024. Není však zatím jasné, zda útočníci tuto zranitelnost objevili dříve a zneužívali ji jako zero-day, nebo zda ji využívali až po zveřejnění opravy jako N-day zranitelnost.
  • Po úspěšném zneužití zranitelnosti útočníci spouštějí program, který má podobu shellcode a slouží k shromažďování informací o systému. Tyto informace jim pomáhají určit, zda je zařízení dostatečně hodnotné pro další kroky útoku. Přesná povaha škodlivého kódu, který je doručen po této fázi, zatím není známa.
  • Společnost Kaspersky vyzdvihla, kolik úsilí skupina Lazarus věnuje svým sociálně inženýrským kampaním. Lazarus má typický vzorec kontaktování vlivných osobností v oblasti kryptoměn, aby jim pomohly propagovat jejich škodlivé webové stránky. Útočníci několik měsíců budovali svou přítomnost na sociálních sítích a pravidelně zveřejňovali příspěvky na X (dříve Twitter) z různých účtů, kde propagovali svou hru s obsahem vytvořeným pomocí generativní umělé inteligence a grafických designérů. Jejich aktivity byly zaznamenány na platformách X a LinkedIn, stejně jako na speciálně vytvořených webových stránkách a v e-mailech zaslaných cílovým osobám.

Komentář Cybule: Lazarus Group opět dokazuje, že jejich útoky jsou nejen technicky pokročilé, ale i velmi dobře cílené. Zaměření na kryptoměnový sektor, který je pro mnoho uživatelů relativně nový a méně chráněný, činí jejich kampaně vysoce účinnými. Je patrné, že Lazarus pečlivě sleduje trendy v oblasti kybernetické bezpečnosti a adaptuje své taktiky, aby maximalizoval dopad. Kombinace zero-day exploitů a promyšleného sociálního inženýrství zvyšuje pravděpodobnost úspěšného průniku do cílových systémů. Navíc se zde ukazuje síla generativní umělé inteligence při vytváření věrohodného a atraktivního obsahu, který má za cíl oklamat i technicky zdatné uživatele.

Přejít nahoru