Cybuloviny 18/24

/ Cybuloviny, Týdenní přehled

Cybuloviny přinášejí tento týden opět tři články, které mají jeden společný prvek a to Ruskou federaci. V prvním článku se podíváme na to, jak na ruské státní společnosti a agentury útočí čínské APT skupiny. V druhém, pro změnu, jak Rusko, respektive APT COLDRIVERS, útočí na odpůrce Ruska a do třetice – Rusko zakazuje Signal.

Příjemné čtení.

Tým Cybule

Obsah:

  • Hackeři napojení na Čínu útočí na ruské státní agentury a technologické společnosti
  • Phishingová kampaň APT COLDRIVERS, “Rivers of Phish”, cíleně útočí na odpůrce Ruska s cílem získat přihlašovací údaje
  • Rusko blokuje Signal ve snaze kontrolovat bezpečnou komunikaci

Hackeři napojení na Čínu útočí na ruské státní agentury a technologické společnosti

(13.8.2024, The Record, 8.8.2024, Kaspersky)

Hackeři napojení na Čínu napadli desítky počítačů patřících ruským státním agenturám a technologickým společnostem. O kampani pod názvem EastWind informovala minulý týden ruská kyberbezpečnostní firma Kaspersky. Ačkoli Kaspersky explicitně nepřiřadil útoky aktérům napojeným na Čínu, zdůraznil vazby mezi použitými nástroji a čínskými APT. Použit byl například nový backdoor PlugY, který je podobný nástroji, který používá čínská skupina APT27. Dalším malwarem s čínskou stopou je dropper GrewApacha používaný čínskou skupinou APT31, která je známá rovněž jako čínská kyberofenzivní firma Wuhan Xiaoruizhi (Wuhan XRZ). V neposlední řadě útočníci použili aktualizovanou verzi malwaru CloudSorcerer, o kterém Kaspersky informoval na začátku července 2024. CloudSorcerer byl již dříve použit proti ruským organizacím, ale zaznamenán byl i v útocích na cíle v USA.

Co potřebujete vědět:
  • Původním vektorem útoku byly phishingové e-maily s archivem RAR obsahujícím škodlivý soubor VERSION[.]dll, který po spuštění komunikuje s cloudovým úložištěm Dropbox pod kontrolou útočníků mapuje systémy obětí a instaluje další malware včetně GrewApache RAT.
  • Doposud nezmapovaný backdoor PlugY je stále analyzován. Předběžná analýza ukazuje, že PlugY je pravděpodobně výsledkem vývoje backdooru DRBControl, který je spojován s aktivitou skupiny APT27 a vykazuje podobnosti s malwarem PlugX, což je další nástroj často využívaný čínskými aktéry.
  • Útočník nepoužil stejný postup u všech obětí, použití nástrojů se lišilo v závislosti na cílovém prostředí. U backdooru VERSION Kaspersky doporučuje hledat relativně velké DLL soubory (vetší než 5 MB) v adresáři C:\Users\Public. GrewApacha RAT lze odhalit hledáním msedgeupdate[.]dll (rovněž o velikosti několika MB). PlugY, který je doručován pomocí backdooru CloudSorcerer, spouští proces s názvem msiexec[.]exe pro každého přihlášeného uživatele a také vytváří pojmenované kanály s názvem podle šablony .\PIPE\Y. Přítomnost těchto dvou indikátorů v systému je silným důkazem o použití PlugY.
  • Útočníci stojící za kampaní EastWind využívali oblíbené síťové služby jako jsou GitHub, Dropbox, Quora, LiveJournal nebo Yandex.Disk jako C2 servery pro skrytí škodlivé aktivity v síťovém provozu.

Komentář Cybule: Čínské kyberšpionážní operace namířené proti Rusku nejsou nikterak neobvyklé, navzdory deklarovanému “přátelství bez hranic” mezi oběmi zeměmi. V první polovině roku 2021 se čínská skupina APT31 zahrnula mezi své oběti poprvé i ruské organizace v globální kampani, která trvala nejméně od ledna do července 2021. V březnu 2022 se čínská skupina UNC3819 zaměřila na ruský obranný sektor s využítím phishingové kampaně, která lákala oběti na zdánlivě legitimní dokumenty ruského ministerstva zdravotnictví. Mustang Panda a Scarab cílili na ruské a ukrajinské organizace v únoru a březnu 2022. V červenci 2022 publikovala bezpečnostní firma SentinelOne analýzu nárůstu čínských kybernetických útoků na ruské organizace. Čína není jediným spojencem Ruské federace, který se snaží zabydlet v citlivých systémech ruských státních a státem kontrolovaných organizací. Dva různí severokorejští státní aktéři byli spojeni s útokem na společnost NPO Mašinostrojenija, která je jednou z předních ruských firem zabývající se vývojem raket.

Phishingová kampaň APT COLDRIVERS “Rivers of Phish” cíleně útočí na odpůrce Ruska s cílem získat přihlašovací údaje

(Citizenlab, 14.8.2024 )

Zpráva společnosti Citizen Lab odhalila rozsáhlou phishingovou kampaň nazvanou „Rivers of Phish,“ zaměřenou na osoby a organizace považované za nepřátele Ruska. Kampaň vedená skupinou COLDRIVER (známou také jako SEABORGIUM nebo Callisto Group) se zaměřuje na krádeže přihlašovacích údajů a obcházení dvoufaktorového ověřování. Útoky jsou přesně cílené a zaměřené na neziskové organizace, think-tanky, akademiky a další zájmové osoby. Nejčastější taktikou útočníků je e-mailová konverzace s obětí, kdy se útočník vydává za někoho, koho oběť zná. Tato taktika zahrnuje vydávání se za kolegy, sponzory nebo zaměstnance americké vlády. Zprávy obvykle obsahují text, v němž útočník příjemce žádá, aby si prohlédl dokument související s jeho prací, například návrh grantu nebo návrh článku. V některých případech dokonce následovaly další zprávy od útočníka, které předcházely nebo následovaly po cílové zprávě. Komunikace, která je často vysoce a účinně personalizována, dokládá míru znalosti cílů. Několik obětí se domnívalo, že si vyměňují e-maily se skutečnou osobou. V mnoha případech útočník vynechal přiložení PDF souboru v úvodní zprávě s žádostí o jeho kontrolu, které bylo s největší pravděpodobností záměrné a mělo zvýšit důvěryhodnost sdělení, snížit riziko odhalení a vybrat cíle, které na počáteční oslovení odpověděly.

Co potřebujete vědět:
  • E-mailová zpráva obvykle obsahovala přiložený PDF soubor, který byl údajně zašifrovaný nebo „chráněný“ pomocí online služby zaměřené na ochranu soukromí, jako je například ProtonDrive. Ve skutečnosti se však jednalo o návnadu. Po otevření souboru PDF došlo k zobrazení něčeho, co vypadá jako rozmazaný text, spolu s odkazem na „dešifrování“ nebo přístup k souboru. Skutečné šifrování ProtonDrive vypadá podstatně jinak než v případě „návnady“ typu River of Phish, což nasvědčuje tomu, že útočníci spoléhají na obecné, nedostatečné povědomí o tom, jak vypadá bezpečné a šifrované sdílení dokumentů. V jiných případech návnada obsahovala rozmazaný soubor PDF text, případně sdělení, že náhled není k dispozici, které opět vybízí ke kliknutí.
  • Přestože se typické útoky vztahovaly pouze na soubor PDF, bylo zaznamenáno i několik případů, kdy útočníci odeslali sdílený dokument s podvodným odkazem vloženým přímo do e-mailové zprávy. Když se v jednom takovém případě zdánlivě nepodařilo vygenerovat úspěšnou kompromitaci, útočníci následně odeslali soubor PDF. V některých případech útočníci následně kontaktovali oběti, které své přihlašovací údaje nezadaly, opakovanými zprávami s dotazem, zda materiál viděly nebo si ho „prohlédly“. Tento přístup opět naznačuje vysokou míru zaměření na konkrétní cíle.
  • Pokud cíl klikne na odkaz, jeho prohlížeč načte ze serveru útočníka JavaScript, který zpracuje fingerprint systému cílového uživatele a odešle jej serveru (viz Target Fingerprinting). Pokud se server rozhodne pokračovat v útoku, vrátí URL a kód JavaScriptu spuštěný v prohlížeči cíle ho tam přesměruje. Pokud se server rozhodne, může se uživateli před jakýmkoli přesměrováním zobrazit CAPTCHA (z hCaptcha). Adresa URL, na kterou je cíl přesměrován, je obvykle webová stránka vytvořená útočníkem tak, aby vypadala jako skutečná přihlašovací stránka k e-mailové službě (např. Gmail nebo ProtonMail). Přihlašovací stránka může být předem vyplněna e-mailovou adresou oběti, aby napodobovala legitimní přihlašovací stránku. Pokud oběť zadá do formuláře své heslo a dvoufaktorový kód, budou tyto položky odeslány útočníkovi, který je použije k dokončení přihlášení a získání souboru cookie relace pro cílový účet. Tento soubor cookie umožňuje útočníkovi přistupovat k e-mailovému účtu oběti, jako by jím byl on sám. Útočník může tento token po určitou dobu dále používat, aniž by se musel znovu ověřovat.
  • Útočníci obvykle registrují domény a hostují webové stránky pomocí služby Hostinger. Domény registrované u Hostingeru jsou hostovány na sdílených serverech, které přibližně každých 24 hodin střídají IP adresy, což znesnadňuje sledování kampaně. Nebyl identifikován žádný případ, kdy by doména byla provozně využívána po dobu 30 dnů od její registrace. Jedná se o možnou snahu vyhnout se zablokování detekčními pravidly zaměřenými na označování e-mailů nebo příloh s hypertextovými odkazy obsahujícími nedávno registrovanou doménu.
  • Použití důvěryhodného e-mailu a souboru PDF obsahujícího phishingový odkaz je oblíbenou technikou různých aktérů. Pozoruhodné je, že PDF prohlížeče implementované do webmailových služeb, jako je Gmail, umožňují příjemci klikat na hypertextové odkazy v PDF, a tak tomuto útoku nebrání.

Komentář Cybule: COLDRIVER je ruská skupina, která je podřízena ruské Federální bezpečnostní službě (FSB). Je aktivní minimálně od roku 2019 a její postupy zahrnují především velmi propracované metody sociálního inženýrství a budování identit. Tyto identity se zpravidla používají k oklamání cíle, aby otevřel škodlivý odkaz, který vede k odcizení jeho přihlašovacích údajů, obcházení 2FA a přístupu k jeho informacím. Skupina se široce zaměřuje na cíle, které odpovídají ruským státním zájmům, včetně útoků na akademickou sféru, nevládní organizace, vládní instituce a think-tanky.

Rusko blokuje Signal ve snaze kontrolovat bezpečnou komunikaci

(Reuters, 9.8.2024, )

V srpnu 2024 Rusko zablokovalo šifrovanou komunikační aplikaci Signal kvůli údajným porušením protiteroristických zákonů. Tento krok je součástí širší snahy Moskvy kontrolovat přístup občanů k bezpečné komunikaci. Postup je v souladu se zhoršujícím se stavem svobody projevu a digitální bezpečnosti v zemi.

Co potřebujete vědět:
  • V pátek 9. srpna 2024 oznámil ruský úřad pro dohled nad komunikacemi, Roskomnadzor, blokaci šifrované komunikační aplikace Signal. Důvodem bylo údajné porušení ruské legislativy proti terorismu a extremismu. Podle Roskomnadzoru bylo rozhodnutí učiněno v rámci opatření na prevenci využívání této aplikace k “teroristickým a extremistickým účelům“​.
  • Uživatelé po celém Rusku začali hlásit problémy s připojením k aplikaci už ve čtvrtek. Signal přestal fungovat bez použití VPN nebo aktivace vestavěného režimu obcházení cenzury. V reakci na blokaci Signal doporučil uživatelům aktivovat nastavení obcházení cenzury, což do jisté míry umožňuje aplikaci nadále fungovat​. Bez VPN také nešlo zaregistrovat nový účet
  • Toto opatření však omezuje možnosti ruských občanů využívat jeden z nejbezpečnějších způsobů komunikace, který poskytuje end-to-end šifrování a zajišťuje minimální sběr uživatelských dat. Signal, který je znám svou ochranou soukromí a zabezpečením, je používán pro komunikaci bez obav z odposlechů státních orgánů​.

Komentář Cybule: Blokace Signalu není izolovaná událost, ale součást širšího boje ruské vlády proti digitálním nástrojům, které umožňují soukromou a svobodnou komunikaci. Od blokace Telegramu v roce 2018, po různé zákazy zahraničních aplikací pro státní zaměstnance, se Rusko snaží omezit schopnost občanů komunikovat mimo dosah státního dohledu​. Zákaz Signalu přichází ve chvíli, kdy Rusko také zvyšuje tlak na další technologické platformy, jako je YouTube, a omezuje přístup k VPN službám. Tato opatření zvyšují izolaci země a přispívají k omezování svobody projevu a přístupu k nezávislým informacím​.

Přejít nahoru