Dnešní Cybuloviny mají jedno společné slovo – kritická. Kritická zranitelnost protokolu NTLMv2 v systému Windows opět poukazuje na nedostatečnou odolnost starších autentizačních technologií. Stejně kritické jsou útoky na klíčovou informační infrastrukturu, k čemuž skupině Volt Typhoon pomáhá obnovený KV Botnet. A neméně alarmující je zpráva o kompromitaci amerického T-Mobile, kde za únikem dat stojí čínská skupina Salt Typhoon.
Příjemné čtení!
Tým Cybule
Obsah:
- Závažná zranitelnost NTLMv2 v systému Windows: Jaké představuje riziko?
- Čínská skupina Salt Typhoon kompromitovala i americký T-Mobile
- Volt Typhoon obnovuje KV-botnet narušený v lednu 2024
Závažná zranitelnost NTLMv2 v systému Windows: Jaké představuje riziko?
(14.11.2024, HackerNews)
Microsoft v rámci listopadového Patch Tuesday opravil NTLM zranitelnost CVE-2024-43451, kterou útočníci aktivně zneužívali jako zero-day při kyberútocích na Ukrajinu. Zranitelnost umožňuje útočníkům získat NTLMv2 hash uživatele při minimální interakci se škodlivým souborem, například jedním kliknutím nebo zobrazením jeho vlastností, a získat tak přístup k síti bez skutečných přihlašovacích údajů.
Co potřebujete vědět:
- Zranitelnost CVE-2024-43451 (skóre CVSS: 6,5) souvisí s chybou v NTLM autentizačním protokolu používaném v prostředí Microsoft Windows. Útočník, který získá NTLMv2 hash uživatele, může provést tzv. „pass-the-hash“ útok. Tento typ útoku umožňuje přístup k síti pod identitou legitimního uživatele bez nutnosti znát jeho heslo.
- Co tuto chybu činí zvláště nebezpečnou, je skutečnost, že vyžaduje pouze minimální interakci uživatele se škodlivým souborem. Podle Microsoftu může dojít ke spuštění zranitelnosti i při prostém kliknutí na soubor (single-click), jeho prohlížení (right-click) nebo jakoukoli jinou akcí, která nevede k přímému otevření nebo spuštění souboru.
- Jeden ze zaznamenaných útočných řetězců zahrnuje zasílání podvodných e-mailů z napadeného ukrajinského vládního serveru („doc.osvita-kp.gov[.]ua“), který příjemce vyzývá k obnovení akademických certifikátů kliknutím na podvrženou URL adresu vloženou do zprávy. To vede ke stažení ZIP archivu obsahujícího škodlivý soubor s internetovým zkracovačem (.URL). Zranitelnost se spustí, když oběť s URL interaguje kliknutím pravým tlačítkem myši, jeho odstraněním nebo přetažením do jiné složky. URL soubor slouží k navázání spojení se vzdáleným serverem („92.42.96[.]30“) odkud následně stahuje další škodlivé soubory, včetně malwaru Spark RAT.
- SparkRAT je open-source trojan pro vzdálený přístup, který útočníkům umožňuje převzít kontrolu nad systémem oběti. Útočníci také využívají tuto techniku pro udržení perzistence v infikovaném systému, která zajišťuje přístup i po restartu počítače.
- Ukrajinský CERT-UA spojuje tuto aktivitu pravděpodobně s ruským útočníkem, kterého sleduje pod označením UAC-0194.
Útočný řetězec (HackerNews)
Komentář Cybule: Popisovaná zranitelnost v systému Windows NTLM (CVE-2024-43451) znovu ukazuje, jak zranitelný může být protokol, který zůstává klíčovou součástí mnoha sítí, a to navzdory jeho zastaralosti. Útočníci mohou získat NTLMv2 hash, což jim otevírá cestu k útokům typu Pass-the-Hash. Tato metoda umožňuje nejen krádež identity uživatele, ale také další boční pohyb, který může vést ke kompromitaci celé infrastruktury. Zásadním problémem je, že NTLM dlouhodobě představuje lákavý cíl pro útočníky kvůli své roli v autentizačních procesech a zranitelnosti vůči technikám post-exploitačního průzkumu. I přes aktivní snahy nahradit NTLM modernějšími protokoly, jako je Kerberos, se NTLM stále používá v mnoha organizacích, což podtrhuje důležitost pravidelných aktualizací a zavádění bezpečnostních opatření na úrovni sítě.
Čínská skupina Salt Typhoon kompromitovala i americký T-Mobile
(15.11.2024, WSJ, 16.11.2024, Bleeping Computer)
T-Mobile je nejnovější, a třetí ze tří hlavních mobilních operátorů v USA, obětí kampaně čínské skupiny Salt Typhoon. Již začátkem října byla zveřejněna informace o kompromitaci operátorů Verizon a AT&T. T-Mobile uvedl, že nemá žádné důkazy o tom, že by útočníci získali přístup k citlivým informacím o zákaznících. Mluvčí společnosti uvedl, že situace je pečlivě monitorována a zatím nebyly zjištěny žádné závažné problémy. Podle informací zveřejněných deníkem Wall Street Journal, Salt Typhoon použila sofistikované metody k infiltraci americké telekomunikační infrastruktury, včetně zranitelností v routerech Cisco. Útočníci měli údajně přístup k telefonním linkám používaným vysokými vládními úředníky a politiky, což jim umožnilo shromažďovat záznamy hovorů a nezabezpečené textové zprávy. Kompromitaci potvrdily i americké vládní úřady. Zdroje známé WSJ dále uvedly, že v rámci stejné kampaně byly prolomeny i další telekomunikační firmy ze zemí, které udržují úzkou spolupráci s USA. Vyšetřování všech incidentů stále pokračuje a skutečný dopad aktivity Salt Typhoon bude s velkou pravděpodobností závažnější, než doposud známé informace naznačují.
Co potřebujete vědět:
- Společnost Microsoft označuje Salt Typhoon za čínského státem sponzorovaného aktéra. Skupina se primárně zaměřuje na komunikační infrastrukturu, stejně jako na vojenské a policejní organizace v regionech zahrnujících Severní Ameriku, Oceánii, Jižní Ameriku a jihovýchodní Asii. Salt Typhoon se specializuje na špionáž a krádež dat, přičemž se soustředí na zachytávání síťového provozu a kompromitaci síťových zařízení. Skupina je aktivní nejméně od roku 2020 a její aktivity se překrývají s činností dalších aktérů hrozeb jako jsou GhostEmperor (Kaspersky), FamousSparrow (ESET) a UNC2286 (Mandiant).
- Ještě před odhalením kompromitace T-Mobile se ke kampani skupiny Salt Typhoon vyjádřil Federální úřad pro vyšetřování (FBI) a Úřad pro kybernetickou a infrastrukturní bezpečnost (CISA), které ve společném prohlášení uvedli, že se útočníkům napojeným na čínskou vládou se podařilo kompromitovat sítě několika telekomunikačních společností za účelem krádeže záznamů hovorů zákazníků (CDR – Call Data Records), cílenou kompromitaci soukromých komunikací omezeného počtu vládních zaměstnanců a politiků. Útočníci dále zcizili informace, které mobilní operátoři poskytli americkým orgánům činných v trestním řízení na základě soudních příkazů.
- Záznamy o přenosu dat (Call Data Records, CDRs) jsou podrobné logy generované mobilními operátory, které dokumentují detaily telefonních hovorů uskutečněných a přijatých zákazníky. Tyto záznamy obvykle obsahují telefonní čísla volajícího a příjemce, délku hovoru, datum a čas zahájení a ukončení hovoru, typ hovoru (odchozí, příchozí, zmeškaný) nebo informace o vysílačích (umožňuje např. lokalizaci hovoru). CDR jsou klíčové pro různé účely, včetně fakturace, správy sítě a vyšetřování prováděných orgány činnými v trestním řízení. Přístup k CDR sám o sobě nedává přístup k obsahu rozhovorů nebo textových zpráv, ale může poskytnout vhled do komunikačních vzorců a CDR se často používají k monitorování komunikace související s trestnou činností nebo otázkami národní bezpečnosti.
- Wall Street Journal zveřejnil informaci i původní informaci o kampani Salt Typhoon dne 26. zaří 2024. Skutečnost, že se informace o incidentu objevily nejdříve v médiích ihned naznačovala, že vyšetřování incidentu je v počáteční fázi a informace, ke které se dostalo WSJ je neautorizovaným únikem informací. Nové informace o prolomení systémů T-Mobile naznačuje, že skutečný rozsah kompromitace je mnohem horší, než se zpočátku jevilo.
- Kampaň Salt Typhoon proti telekomunikačním službám v USA se velmi pravděpodobně zařadí mezi nejškodlivější čínské kyberšpionážní operace vedle kompromitace Office of Personal Management (OPM) z roku 2015, kreditové agentury Equifax v roce 2017 a zneužití zero-day zranitelnosti v Microsoft Exchange v roce 2021.
Komentář Cybule: Přístup do informačních systémů obsahujících informace o soudně nařízených odposleších je potenciálně nejškodlivější s výrazným dopadem na schopnost sledovat čínské špionážní aktivity v USA. Soudem nařízené odposlechy se totiž netýkají jen kriminálních případu, ale i vyšetřování špionážních aktivit a dalších aktivit souvisejících s národní bezpečností. Přístupem k odposlechům se čínské tajné služby mohou dozvědět, které aktivity jsou pod drobnohledem FBI a učinit případná protiopatření.
Volt Typhoon obnovuje KV-botnet narušený v lednu 2024
(12.11.2024, SecurityScorecard)
Čínská hackerská skupina Volt Typhoon byla po lednovém narušení botnetu KV-Botnet ze strany FBI zachycena při obnově své infrastruktury. Volt Typhoon při tvorbě botnetu využívá kompromitovaná síťová SOHO (small office/home office) zařízení, jako jsou routery, firewally a VPN zařízení. Botnety jí, stejně jako dalším čínským skupinám, slouží k zakrývání škodlivé aktivy přesměrováním komunikace přes legitimní, ale kompromitovaná, zařízení. Tyto postupy ztěžují odhalení a přisuzování aktivit konkrétním aktérům, protože škodlivá činnost snadno splývá s legitimním provozem. Úsilí Volt Typhoon ukazuje na přizpůsobivost pokročilých hrozeb (APT) a odolnost vůči zásahům bezpečnostních složek.
Co potřebujete vědět:
- Volt Typhoon, který je aktivní od poloviny roku 2021, se zaměřil na organizace kritické infrastruktury na Guamu a ve Spojených státech. Jejich kampaň zasáhla sektory jako komunikace, výroba, energetika, doprava, stavebnictví, námořnictví, vládní organizace, IT a vzdělávání. Chování skupiny naznačuje, že se zaměřuje na dlouhodobou špionáž a udržování neodhaleného přístupu k napadeným systémům. Analýza aktivit skupiny naznačuje, že Volt Typhoon usiluje o schopnost narušit kritickou komunikační infrastrukturu mezi USA a asijsko-pacifickým regionem během budoucích krizí. To naznačuje strategickou přípravu na možné geopolitické konflikty.
- Volt Typhoon se nesoustředí jen na cíle v USA. V listopadu bylo zjištěno, že skupina kompromitovala v červnu 2024 singapurského operátora Singtel. Podle nejmenovaných zdrojů byl útok na Singtel pravděpodobně testem pro útoky na cíle v USA.
- FBI narušila KV-botnet v lednu 2024, když na základě soudního příkazu vyslala na infikovaná zařízení vzdálený příkaz ke smazaní malwaru.
- V září 2024 narušila FBI botnet patřící jiné čínské kyberšpionážní skupině známé jako Flax Typhoon (Ethereal Panda, RedJulliett). FBI a mezinárodní partneři v rámci soudně schválené operace zasáhli proti botnetu Raptor Train, který zahrnoval více než 260 000 SOHO zařízení ve Spojených státech a po celém světě.
- Volt Typhoon při obnovení botnetu KV-Botnet může spoléhat na skutečnost, že zařízení, na které cílí, jsou často starší výrobcem nepodporovaná síťová zařízení. Jejich opětovné infekci tak mnoho nebrání. V případě KV-Botnet se zejména jedná o routery Cisco RV320/325 a Netgear ProSafe. U zařízení Cisco útočnící pravděpodobně zneužívají dvě zranitelnosti zveřejněné v lednu 2019: CVE-2019-1653 a CVE-2019-1652.
Komentář Cybule: Schopnost Volt Typhoon obnovovat infrastrukturu, která skupině slouží k zakrývání škodlivé aktivity, ukazuje na závažný problém existence velkého množství již nepodporovaných zařízení vystavených do internetu. Jediným trvalým řešením je, že tato zařízení jejich majitelé nahradí novějším modelem a budou dbát na jejich pravidelnou aktualizaci.