Předtím než nám začne dovolená, dovolte nám pozvat Vás na Summit NATO, kterého se kromě významných státníků účastnila i řada hacktivistických skupin, samozřejmě ne osobně, ale pouze virtuálně a bez pozvání. Letní atmosféru doplní turecká APT skupina Sea Turtle a chuť dálek čínská APT40.
Příjemné čtení.
Tým Cybule
Obsah:
- Hacktivistické skupiny útočí na summit k 75. výročí NATO
- „Pět očí“ a další spojenci přiřazují útoky na australské instituce čínské skupině APT40
- Profil turecké APT skupiny Sea Turtle: únosy DNS relace a cílení na disidentské skupiny
Hacktivistické skupiny útočí na summit k 75. výročí NATO
(11.7.2024, Cyble)
Summit k 75. výročí NATO, který se konal ve Washingtonu D.C. od 9. do 11. července 2024, přitáhl nejen světové lídry, ale také pozornost hacktivistických skupin. Tyto skupiny vyjádřily svůj nesouhlas propagandistickou kampaní, zahrnující sérii DDoS útoků na webové stránky NATO. Cílem útoků bylo podlomit jednotu NATO v poskytování další vojenské a finanční pomoci a ovlivňovat veřejné mínění proti členství Ukrajiny v NATO, což bylo jedno z hlavních témat summitu.
Co potřebujete vědět:
- Kampaň proti NATO a jejím spojencům zahájila skupina NoName057(16) dne 1. července, krátce po oznámení českého premiéra Petra Fialy, že s ukrajinským prezidentem Volodymyrem Zelenským plánují dokončit projednávání textu česko-ukrajinské bezpečnostní dohody před summitem NATO a dokument podepsat 18. července v Londýně na summitu Evropského politického společenství. Cílem útoku se staly webové stránky Ministerstva financí, Otevřená data Ministerstva financí, Portál moje daně a stránky Komory daňových poradců.
- Následně se k útokům na ČR přidaly skupiny Ziayaettin Power Proofs a KyotoSH, které 2. června zaútočily na bankovní sektor (ČSOB a Burzu cenných papírů).
- Kromě České republiky se cílem NoName057(16) stalo Dánsko, kde se vláda rozhodla vycvičit 50 ukrajinských pilotů na stíhačky F-16. Po oznámení, že dodá Ukrajině první stíhačky F-16, se 10. července stalo terčem i Nizozemsko.
- Útoky byly vedeny těmito hacktivistickými skupinami: People’s Cyber Army, NoName057(16), UserSec, Anonymous Central Russia.
- Od začátku července soustředily hacktivistické skupiny své útoky na organizační celky NATO jako jsou Středisko excelence pro krizové řízení a reakci na mimořádné události, Velitelství spojeneckých sil pro speciální operace a Centrum pro analýzu informací o bezpečnosti munice (MSIAC). Mezi další cíle patřil portál NATO Munitions Safety Information Analysis Center (MSIAC), NATO NEC CCIS Support Center a globální think-tank GLOBSEC.
- Ruské hacktivistické skupiny v těchto útocích doprovázeli jejich noví spojenci: CyberVolk (Indie), Hacker Council (mezinárodní) a 7 October Union (Aliance 42 propalestinských a protiizraelských skupin).
- Od 27. června hackerské skupiny zveřejnily dokumenty obsahující osobní údaje členů NATO, rozpočty, postupy a informace o klíčových událostech – všechny tyto dokumenty byly označeny jako NATO UNCLASSIFIED.
- Uniklé dokumenty NATO a řadu osobních údajů zveřejnily na svých telegramových kanálech tyto skupiny: SiegedSec a Anonymous Central.
Komentář Cybule: Hacktivistické skupiny soustavně útočí na významná mezinárodní fóra a státy, které podporují Ukrajinu, aby zvýšily svou viditelnost a přítomnost v médiích. Útoky na summit NATO slouží dvojímu účelu: zdůrazňují hrozby, které představují ruské a protizápadní skupiny, a ukazují na vývojové strategie hacktivistických skupin. Tyto útoky zároveň cílí na země, které poskytují Ukrajině vojenskou a finanční podporu, což je případ nedávných útoků na Českou republiku, Dánsko a Nizozemsko. Vzestup hacktivistických aliancí je novým a důležitým vývojem v oblasti hacktivismu. Tyto aliance představují významnou hrozbu pro NATO a jeho spojence a zároveň hrají důležitou roli při podpoře Ruska. Je důležité tento vývoj sledovat a být si vědom potenciálních hrozeb, které představují.
„Pět očí“ a další spojenci přiřazují útoky na australské instituce čínské skupině APT40
(9.7.2024, ASD/ACSC)
Australská zpravodajská služba ASD (Australian Signals Directorate, obdoba americké NSA) vydala dne 9. července upozornění na aktivitu čínské skupiny APT40, která využívá zranitelností v SOHO (Small Office/Home Office) zařízeních k vytvoření infrastruktury, kterou následně používá k útokům na zamýšlené oběti. Upozornění popisuje aktivitu APT40 namířenou proti dvěma australským organizacím. ASD vydala upozornění ve spolupráci s kybernetickými úřady z dalších států „Pěti očí“ a partnerů z Německa, Koreje a Japonska. Upozornění se vztahuje k incidentu z roku 2022, který vyšetřovalo Australské centrum kybernetické bezpečnosti (ACSC), které funguje pod ASD. Incident se vyznačoval častým problémem napadených organizací, kterým je neaktualizovaný software. V některých případech APT40 zaútočila na zranitelnosti objevené v roce 2017, tj. bezpečnostní aktualizace byly v době útoku dostupné již pět let. Mezi zneužité zranitelnosti patří Log4J (CVE 2021 44228), Atlassian Confluence (CVE-2021-31207, CVE-2021- 26084) a Microsoft Exchange (CVE-2021-31207, CVE 2021-34523, CVE-2021-34473).
Workflow aktivity APT40 (ASD/NCSC)
Co potřebujete vědět:
- APT40 je rovněž známá jako Kryptonite Panda, GINGHAM TYPHOON, Leviathan a Bronze Mohawk. Skupina APT40 působí z města Chaj-kchou (Haikou) v provincii Chaj-nan (Hainan) v Čínské lidové republice a je s největší pravděpodobností řízena Ministerstvem státní bezpečnosti (MSS) ČLR.
- APT40 patří mezi rostoucí počet čínských APT, které útočí na zranitelnosti v síťových zařízeních vystavených do internetu, spíše než spoléhání se na techniky, které vyžadují interakci na straně uživatele v napadených organizacích, např. formou stažení infikovaného souboru zaslaného ve phishingovém mailu.
- APT40 se dostala do hledáčku západních úřadů již v roce 2021. V červenci 2021 odtajnilo Ministerstvo spravedlnosti USA žalobu na čtyři členy APT40, kterou spojovala s Hainan State Security Bureau, což je zastoupení čínské zahraniční rozvědky MSS pro provincii Chaj-nan. Obžalovaní vytvořili k zakrytí aktivit společnost Hainan Xiandun Technology Development Company. Jejich činnost vedla ke krádeži obchodních tajemství, duševního vlastnictví a cenných informací od různých globálních společností a organizací v mnoha odvětvích, včetně akademické sféry, letectví, biomedicíny a obrany.
- Zatímco některé zranitelnosti zneužité APT40 byly dlouhodobě známé, v dalších případech prokázala skupina mimořádnou schopnost zaútočit na právě zveřejněnou zranitelnost v řádech několika hodin od publikace.
- Aliance „Pět očí“ (Five Eyes, zkráceně FVEY) zahrnuje zpravodajské služby Austrálie, Kanady, Nového Zélandu, Spojeného království a Spojených států amerických. Tyto země dlouhodobě spolupracují v oblasti sdílení zpravodajských informací. Historie uskupení spadá do počátku 40. let 20. století.
- K upozornění ASD se připojily: Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národní bezpečnostní agentura (NSA), Federálním úřad pro vyšetřování (FBI), britské Národní centrum kybernetické bezpečnosti (NCSC-UK), Kanadské centrum pro kybernetickou bezpečnost (CCCS), Národní centrum kybernetické bezpečnosti Nového Zélandu (NCSC-NZ), německé úřady Federální zpravodajská služba (BND) a Spolkový úřad pro ochranu ústavy (BfV), Národní zpravodajskou služba Korejské republiky (NIS) a její Národní centrem kybernetické bezpečnosti a japonské Národní centrum pro incidenty a kyberbezpečnostní strategii (NISC) a Národní policejní agentura (NPA).
Komentář Cybule: Ministerstvo spravedlnosti USA sice bylo prvním úřadem, který podnikl formální kroky proti aktivitám skupiny, ale identita a napojení APT40 na MSS byly odhaleny již v lednu 2020 kolektivem neidentifikovaných analytiků, kteří vystupují pod identitou Intrusion Truth. Od zahájeni veřejné aktivity v dubnu 2017, Intrusion Truth postupně odhalili vazby na MSS u skupin APT3, APT10, APT17, APT40, APT41 a APT31. V řadě případu byly vazby na MSS minimálně předpokládané. V případě APT3 učinila identickou atribuci i bezpečnostní firma Recorded Future. Intrusion Truth ale ve všech případech identifikovali konkrétní jednotlivce a jejich vazby na čínské státní orgány. Zároveň došlo k prvnímu rozkrytí fungování čínských privátních kontraktorů a čínského státu, model, který nám je jasnější po úniku informací od společnosti I-Soon. Reakce na odhalení byly rozdílné. Zatímco APT3 zcela zmizela z kyberprostoru, skupiny jako APT40, APT41 (Chengdu 404) a APT31 (Xiaoruizhi Tech) fungují dál.
Profil turecké APT skupiny Sea Turtle: únosy DNS relace a cílení na disidentské skupiny
(1.7.2024, Cyberthint)
Bezpečnostní firma Cyberthint se zaměřila na aktivitu skupiny známe jako Sea Turtle. Skupina Sea Turtle je aktivní nejméně od roku 2017 a zaměřuje se primárně na organizace v Evropě a na Středním východě. Mezi její oběti patří vládní instituce, poskytovatelé internetových služeb (ISP), média, telekomunikační společnosti či poskytovatelé IT služeb v Evropě, severní Africe a na Blízkém Východě. Primární motivací Sea Turtle je shromažďování politických a ekonomických informací. Cíle skupiny odpovídají bezpečnostním a politickým zájmům Turecka. Sea Turtle totiž cílí i na Kurdskou stranu pracujících, kterou Turecko považuje za teroristickou organizaci, a další kurdské organizace a jednotlivce a další entity v opozici vůči současné turecké vládě. Mezi hlavní techniky Sea Turtle patří únos DNS relace, adversary-the-middle (AiTM) útoky pro získání přihlašovacích údajů, kompromitace webhostingového prostředí cPanel či zneužívání zabezpečeného protokolu SSH. Skupina v posledních kampaních používá backdoor SnappyTCP pro C2 a exfiltraci dat.
Co potřebujete vědět:
- V lednu 2024 byla odhalena kampaň Sea Turtle v Nizozemsku. Skupina v průběhu roku 2023 zaútočila na telekomunikační firmy, média, ISP a technologické společnosti. Pravděpodobným cílem byly citlivé informace o představitele disentu a etnických menšin a potenciálních politických odpůrců současné turecké vlady.
- Sea Turtle je také známá jako COSMIC WOLF, Marbled Dust, SILICON, Teal Kurma nebo UNC1326.
- Sea Turtle kompromituje třetí strany, jako jsou mobilní operátoři, poskytovatelé internetových služeb (ISP), IT firmy a registrátoři domén, kteří odpovídají na DNS dotazy, k získání počátečního přístupu k cílovým systémům. Po změně DNS záznamů cílových organizací, útočníci s použitím AiTM techniky napodobují legitimní služby, aby mohli zachytit a ukrást přihlašovací údaje uživatelů. V posledních letech Sea Turtle opouští únos DNS relace pro počáteční kompromitaci a cílí přímo na systémy svých obětí.
- Útoky Sea Turtle rozhodně nepatří mezi vysoce sofistikované. Rovněž se nedá říct, že by skupina vynaložila velké úsilí k zakrývaní své aktivity. Jak ukázala analýza společnosti PwC, Sea Turtle například hostovala mnoho svých nástrojů na veřejně dostupném repozitáři na GitHubu.
Komentář Cybule: Aktivita Sea Turtle ukazuje na znepokojující skutečnost, že na stát napojená hackerská skupina nemusí používat pokročilé postupy a technika, aby dosáhla operačního úspěchu. Svou roli zcela jistě hraje i to, že obětmi Sea Turtle jsou disidentské skupiny, které obvykle nemají prostředky a schopnosti bránit se kyberšpionážním aktivitám. Přes poměrně „otevřené“ fungování Sea Turtle, se toho o skupině příliš neví. Je pravděpodobné, že bude nějakou formu napojená na tureckou rozvědku MİT (Millî İstihbarat Teşkilatı).