FUN, i tak se dá nazvat načasování dnešních Cybulovin… Nebudeme lhát, naše dovolená byla opravdu taková. Nicméně zkratka FUN zároveň reflektuje i naše tři články týkající se Francie, Ukrajiny a Německa.
Více v popisku!
Příjemné čtení.
Tým Cybule
Obsah:
- Francouzské úřady ve spolupráci s Europolem odstraňují z kompromitovaných systémů malware PlugX
- Proukrajinské skupiny zaútočily na ruské banky a kyberbezpečnostní firmu
- Německo obvinilo Čínu z prolomení vládní agentury
Francouzské úřady ve spolupráci s Europolem odstraňují z kompromitovaných systémů malware PlugX
(27.7.2024, The Hacker News)
Francouzské úřady a Europol zahájily 18. července operaci k odstranění malwaru PlugX z kompromitovaných systémů v několika evropských zemích. Operace je vedená Pařížským státním zastupitelstvím a očekává se, že potrvá několik měsíců. PlugX, známý také jako Korplug, je malware široce používaný čínskými aktéry již od roku 2008. Novější varianty PlugX vykazují schopnost šířit se bez zásahu operátora a prostřednictvím infikovaných USB disků i na zařízení, která nejsou vystavená do internetu. PlugX je obvykle spuštěn v kompromitovaných hostitelích pomocí techniky DLL side-loading, což útočníkům umožňuje provádět libovolné příkazy, nahrávat a stahovat soubory, procházet soubory a sbírat citlivá data. Francouzská společnosti Sekoia vyvinula nástroj pro odstranění variant PlugX z infikovaných systému a poskytla ho francouzským úřadům a Europolu. Operace již prospěla přibližně stovce obětí nacházejících se ve Francii, Maltě, Portugalsku, Chorvatsku, Slovensku a Rakousku.
Rozdíl mezi “čistým” USB diskem a zařízením infikovaným PlugX (Sekoia)
Co potřebujete vědět:
- Cílem operace je vyčistění napadených stanic od varianty PlugX, která obsahuje schopnost šířit se bez pomoci lidského operatora, tzv. worm. PlugX s worm komponentem je pravděpodobně dílem čínské APT skupiny Mustang Panda a poprvé byl pozorován v červenci 2020. Cílem Mustang Panda pravděpodobně bylo zajištění šíření PlugX na síťová zařízení nepřipojená do internetu pomocí infikovaných USB zařízení.
- Operace navazuje na šetření francouzské společnosti Sekoia, která v září 2023 odhalila botnet zařízení sloužící k šíření malwaru PlugX. Sekoia následně za pouhých 7 USD koupila IP adresu, na které se nacházel C2 server botnetu. K 3. dubnu 2024, komunikovalo s C2 severem, který se dostal pod kontrolu Sekoia, téměř 100 tisíc unikátních IP adres.
- Technika, kterou Sekoia použila je známá jako “sinkholing” a používá se primárně právě k narušení činnosti botnetů. Sinkholing označuje praxi přesměrování škodlivého internetového provozu na určený server, známý jako sinkhole, kde může být analyzován a zajištěn. Přesměrováním provozu určeného pro servery příkazů a řízení (C2) na sinkhole mohou bezpečnostní výzkumníci a orgány činné v trestním řízení sledovat příchozí připojení, identifikovat kompromitované zařízení a zabránit dalšímu komunikaci mezi infikovanými stroji a jejich operátory.
- V případě botnetu pro malware PlugX sice nedošlo k přesměrování provozu na IP adresu pod kontrolou Sekoia, ale k zakoupení IP adresy, na které sídlil C2 server, ale princip zůstává stejný. Komunikace botnetu s C2 serverem je narušena a je možné identfikovat napadená zařízení.
- Na operaci se podílí Pařížské státní zastupitelství, francouzská policie a četnictvo (Gendarmerie), Národní agentura pro bezpečnost informačních systémů (ANSSI), Europolu a policejní síly v postižených zemích, vzhledem k nutnosti koordinovat s národními orgány při zasahování v postižených systémech.
Komentář Cybule: Akce koordinovaná francouzskými úřady není první podobnou operací svého druhu v roce 2024. V únoru 2024 došlo k zásahu proti botnetu KV Botnet, který využívala čínská skupina Volt Typhoon a v květnu se do hledáčku úřadů dostal největší známý botnet 911 S5, využívaný zejména ke kyberkriminálním účelům. PlugX je čínskými kyberšpionážními skupinami používaný již od roku 2008 a je stále populární i přes rozšíření novějších nístrojů jako je ShadowPad. PlugX se objevuje v nových variantách a za jeho oblíbeností stojí i modulární pluginový systém, který útočníkům poskytuje širokou škálu funkcí nad rámec poskytnutí vzdáleného přístupu.
Proukrajinské skupiny zaútočily na ruské banky a kyberbezpečnostní firmu
(29.7.2024, The Record)
Ukrajinská rozvědka zahájila sérii DDoS útoků zaměřených na ruské banky, mobilní poskytovatele a významnou kybernetickou firmu jako součást pokračujících kybernetických operací namířených proti Rusku. Hlavní ředitelství rozvědky (HUR) provedlo rozsáhlý útok na ruský bankovní sektor, který narušil služby hlavních bank jako Sberbank, Alfa-Bank a Tinkoff. Tyto útoky vedly k zamrznutí debetních a kreditních karet v bankomatech a zabránily platbám za veřejnou dopravu. Dále byly narušeny služby ruských mobilních a internetových poskytovatelů, včetně Beeline, MegaFon, Tele2 a Rostelecom, stejně jako služby populárních online messengerů a sociálních sítí.
V samostatné operaci proukrajinští hackeři, známí jako Cyber Anarchy Squad, pronikli do sítě ruské kybernetické firmy Avanpost, kde provedli defacement její webové stránky a zcizili citlivá data. Cyber Anarchy Squad uvedli, že se jim podařilo zašifrovat více než 400 virtuálních strojů běžících na Linuxu a Windows a většinu fyzických pracovních stanic zaměstnanců společnosti. Skupina také údajně zničila více než 60 TB dat a zcizila celkem 390 GB citlivých informací. Není známo, jak se útočníci dostali do systému Avanpost, jaké nástroje použili a jaký typ dat byl zcizen.
Co potřebujete vědět:
- Útok na ruský finanční a telekomunikační sektory začal 23. července a trval několik dnů. Útoky po dobu trvání narušily schopnost vybírat hotovost z bankomatů a způsobily výpadky dalších služeb. Ruské úřady obvykle odmítají potvrdit dopady ukrajinských kybernetických operací. Řada ruských bank však potvrdila výpadek služeb.
- Nejedná se o ojedinělý útok. Dne 20. června podnikla ukrajinská skupina IT Army DDoS na ruské banky a platební systém Mir, jehož důsledkem byl rovněž výpadek služeb. Další proukrajinská skupina Cyber Anarchy Squad podnikla 9. června útok na telekomunikačního operátora Infotel, který poskytuje služby ruským bankám. Cyber Anarchy Squad se hlasí i k útoku na kyberbezpečnostní firmu Avanpost.
- Avanpost působí v Rusku již 15 let a vyvíjí systémy autorizace a autentizace pro místní podniky. Společnost potvrdila incident v neděli 28. července s tím, že její infrastruktura byla zasažena „vážným kybernetickým útokem.“ Neposkytla však podrobnosti o tom, jak vážné poškození nastalo nebo jaká data – pokud nějaká – byla ztracena.
Komentář Cybule: Ukrajinské kybernetické operace prováděné úřady i nestátními aktéry ukazují na schopnost relativně menšího státu působit efektivní škody v kyberprostoru jako formu odvety proti agresorovi s výraznou převahou v konvenčních zbraních. DDoS útoky obecně mají omezený efekt, ale státní aktér obvykle disponuje dostatečnými prostředky, aby dokázal sílu DDoS útoku udržovat v řádu několika dnů. Válka v kyberprostoru mezi Ukrajinou a Ruskem rovněž ukazuje, že i destruktivní kybernetické útoky mají omezený účinek, pokud nejsou koordinovány s kinetickými aktivitami. Načasování požadovaného efektu kybernetického útoku s konvenčním použitím vojenské síly se nadále ukazuje jako významná výzva.
Německo obvinilo Čínu z prolomení vládní agentury
(31.7.2024, The Record)
Německo si předvolalo čínského velvyslance v Berlíně v reakci na kybernetický útok na Federální úřad pro kartografii a geodézii (BKG) z konce roku 2021. Jedná se o první předvolání čínského velvyslance Německem od potlačení protestů na náměstí Nebeského klidu v roce 1989. Německé ministerstvo vnitra uvedlo, že cílem útoku byla špionáž.
Ministryně vnitra Nancy Faeser útok odsoudila jako vážné narušení suverenity Německa a vyzvala Čínu, aby podobné aktivity ukončila. V posledních letech se zvyšuje napětí mezi Německem a Čínou, zejména kvůli obavám ohledně autoritářských praktik Číny a hrozeb v oblasti kybernetické bezpečnosti. Vyšetřování incidentu potvrzuje, že čínští státní aktéři stále častěji cílí na německé subjekty, s cílem krádeže citlivých informace týkající se technologií, politických informací a zahraniční politiky. Čínská ambasáda v Berlíně obvinění odmítla jako neopodstatněná a vyzvala Německo, aby přestalo politizovat otázky kybernetické bezpečnosti.
Co potřebujete vědět:
- Útok na státní kartografický úřad není v žádném případě nevýznamný. Ministerstvo vnitra uvedlo, že BKG plní důležitou funkci pro vládní a soukromý sektor, včetně organizací patřících do oblasti kritické infrastruktury.
- Německé ministerstvi vnitra, Spolkový úřad pro ochranu ústavy (BfV) ani Spolkový úřad pro bezpečnost informačních technologií (BSI) nejmenovaly konkrétního aktéra. Společně ovšem poukazují na rostoucí zájem čínských kyberšpioníážních aktérů o vládní a soukromý sektor v Německu.
- V květnu reagovalo Německo podobným způsobem, když odvolalo svého velvyslance v Moskvě poté, co německá vláda přiřadila kyberšpionážní kampaň proti Něměcku a Česku ruské vojenské rozvědce GRU. České ministerstvo zahraničí si ve stejné záležitosti předvolalo ruského velvyslance v Praze.
Komentář Cybule: Předvolání velvyslance, či odvolání vlastního velvyslance, patří mezi vážnější, i když převážně symbolické, kroky, kterými stát vyjadřuje nelibost vůči jinému státu. Německo v další fázi může na úrovni EU iniciovat aktivaci opatření dostupná v Cyber Diplomacy Toolbox, které mohou vést k uvalení sankcí na jednotlivce a organizace. Některé země umožňují podniknutí aktivních opatření k zabránění trvající škodlivé aktivity. To je však v případě kyberšpionážní kampaně extrémně nepravděpodobné. Kyberšpionáž, a špionáž obecně, není nijak regulována mezinárodním právem a tak pachatelé potenciálně čeli obvinění z porušení domácích zákonů poškozené země. U kybernetických pachatelů často dochází k odložení případu pro neschopnost zjistit konkrétního pachatele a zajistit jeho stíhání.