Dnes vám přinášíme, jako obvykle, tři články. Kde začít? Mandiant ve své studii poukazuje na rostoucí schopnost útočníků využívat dosud neznámé zranitelnosti, což představuje významnou výzvu pro obránce sítí. Ruský aktér, známý pod označením UAC-0050, rozeslal tisíce emailových bombových výhrůžek různým ukrajinským institucím, včetně médií a téměř 60 velvyslanectvím a konzulátům Ukrajiny po celém světě. Naštěstí se však objevila i pozitivní zpráva – odhalení útočníků ze skupiny Anonymous Sudan.
Příjemné čtení!
Tým Cybule
Obsah:
- Studie Mandiantu ukazuje na rostoucí schopnost útočníků zneužívat neznámé zranitelnosti
- Ruský aktér UAC-0050 se zaměřuje na ukrajinské organizace prostřednictvím e-mailových bombových výhružek
- Úder na Anonymous Sudan: Americká justice zasahuje proti DDoS útokům
Studie Mandiantu ukazuje na rostoucí schopnost útočníků zneužívat neznámé zranitelnosti
(15.10.2024, Google/Mandiant)
Společnost Mandiant publikovala studii, ve které analyzovala celkem 128 zranitelností, které byly aktivně zneužívané v roce 2023. Jedním ze závěrů analýzy je významný nárůst zero-day zranitelností. Celkem 70,3 % ze 138 zneužitých zranitelností byly zero-days. To představuje posun z předchozího stabilního poměru 4:6 (n-days vůči zero-days) na 3:7, což naznačuje, že útočníci se stávají stále schopnějšími v útoku na zranitelností dříve, než mohou dodavatelé vydat opravy. Druhým hlavním závěrem je, že průměrná doba exploitace (TTE, Time-to-Exploit) výrazně klesla na pouhých pět dní, dolů z 63 dní v letech 2018-2019. Zároveň vrostl i počet zasažených výrobců softwaru na rekordních 56 z dosavadního maxima 44 z roku 2021.
Shrnutí hlavních závěrů studie (Google) (překlad s pomocí Google Translate)
Co potřebujete vědět:
- Zranitelnost typu zero-day je bezpečnostní chyba v softwaru, hardwaru nebo firmwaru, která je v době svého objevení neznámá dodavateli, což znamená, že není k dispozici žádná oprava. Zero-day znamená, že výrobce má nula dní na to, aby problém vyřešil, než může být zneužit útočníky.
- Zranitelnost typu n-day se vztahuje na známou bezpečnostní chybu v softwaru, hardwaru nebo firmwaru, která byla veřejně zveřejněna. Na rozdíl od zranitelností typu zero-day, které jsou neznámé dodavateli a nemají opravu, jsou zranitelnosti typu n-day rozpoznány dodavatelem a mohou mít k dispozici opravu nebo být ve fázi vývoje. „N“ v n-day označuje počet dní od okamžiku, kdy byl zranitelnosti přiřazen identifikátor CVE (Common Vulnerabilities and Exposures). Studie Mandiantu ukazuje, že téměř třetina (29 %) ze zneužitých n-day zranitelností se stala cílem útoku během prvního týdne od vydání bezpečnostní aktualizace.
- Doba exploitace (TTE) je metrika, která udává průměrnou dobu, kterou útočníci potřebují k tomu, aby byla zranitelnost zneužita, ať už před nebo po vydání opravy. V průběhu let se TTE neustále snižovala. Mezi lety 2018 a 2019 byl průměrný TTE 63 dní, což kleslo na 44 dní od roku 2020 do začátku roku 2021. V letech 2021 a 2022 tento průměr klesl dále na 32 dní, což je polovina počátečního TTE zaznamenaného v roce 2018. Nejdůležitější pokles nastal v roce 2023, kdy průměrný TTE klesl na pouhých pět dní—méně než jednu šestinu dříve pozorovaného TTE.
- Před rokem 2023 zůstal poměr zranitelností typu n-day a zero-day stabilní (39:61 od roku 2020 do začátku roku 2021 a 38:62 během let 2021-2022). Nicméně v roce 2023 se tento poměr změnil na 30:70, což odráží významný nárůst útoků na zero-day zranitelnosti. Příčinou je nárůst úspěšného zneužívání zero-day zranitelností a ne pokles zneužívání n-day zranitelností. Podle analytiků Mandiantu je možné, že útočníci měli v roce 2023 více úspěšných pokusů o exploitaci zero-day. Data v následujících letech ukáží, zda se jedná o trvalý trend, nebo zda byl rok 2023 v tomto směru ojedinělým.
- Počet aktivně zneužívaných zranitelností je malou podmnožinou celkového počtu publikovaných zranitelností. V roce 2023 bylo zranitelnostem přiřazeno 28902 CVE identifikátorů. O rok dříve to bylo o téměř 3000 méně. Americká CISA spravuje databázi aktivně zneužívaných zranitelností, známou jako KEV (Known Exploited Vulnerabilities) katalog.
Komentář Cybule: Závěry studie ukazují na nutnost urgentní prioritizace oprav, ale také na skutečnost, že reaktivní opatření, jakými jsou bezpečnostní aktualizace, nejsou dostatečnou obranou. Obránci mají velmi málo času na reakci i ve chvíli, kdy je aktualizace k dispozici a i v takovém případě je často již pozdě. Navíc je potřeba dbát nejen o nově publikované zranitelnosti. V databázi KEV se pravidelně objevují zranitelnosti, které jsou až 10 let staré. Jednoduché řešení pro dlouhodobě přetížené VM (vulnerability management) týmy neexistuje. Nutností je segmentace sítě tak, aby kompromitace neskončila katastrofálním únikem dat nebo zašifrováním celého systému napadené organizace. Mezi proaktivní přístupy patří i využívání analytiky kybernetických hrozeb (CTI, Cyber Threat Intelligence).
Ruský aktér UAC-0050 se zaměřuje na ukrajinské organizace prostřednictvím e-mailových bombových výhružek
(17.10.2024, The Record, 15.10.2024, CERT-UA)
14. října 2024 rozeslala hackerská skupina známá jako Fire Cells Group, která je napojena na ruskou rozvědku, tisíce e-mailových bombových výhrůžek různým ukrajinským institucím, včetně médií a téměř 60 ukrajinských velvyslanectví v zahraničí. E-maily vedly k evakuacím a prohlídkám na přítomnost výbušnin, přičemž všechna varování byla později potvrzena jako falešná. Tato operace je považována za součást širší psychologické kampaně zaměřené na destabilizaci Ukrajiny a jejích spojenců.
Fire Cells Group je spojována se skupinou, kterou ukrajinský vládní CERT tým (CERT-UA) sleduje jako UAC-0050.
Co potřebujete vědět:
- UAC-0050 je aktivní minimálně od roku 2020 a zabývá se kybernetickou špionáží i finančně motivovanými útoky. Fire Cells Group se jeví být čast UAC-0050, která se specializuje na informační operace. UAC-0050 tak neodpovídá běžnému kategorizování kybernetických hrozeb podle motivace na špionážní aktéry, kyberkriminální gangy či hacktivistické skupiny.
- Mezi adresáty patřila i ukrajinská redakce Radia svobodná Evropa (RFE/RL). Důvodem byla pravděpodobně reportáž o náborových snahách ruských tajných služeb na Ukrajině. E-maily přímo jmenovaly tři novináře, což vyvolalo obavy o jejich bezpečnost. Ukrajinská redakce RFE/RL potvrdila, že bombové hrozby cílily na tři novinářky, které stály za zmíněnou investigativní reportáží: Irynu Sysak, Valerii Jehošina a Julii Chimeryk.
- Kromě bombových hrozeb využila skupina Fire Cells svůj kanál na Telegramu k podněcování násilí proti ukrajinským vojákům, nabízejíc peněžité odměny za účast na žhářství, nájemných vraždách a dalších útocích. Ukrajinské úřady tyto hrozby považují za součást koordinované snahy ruských bezpečnostních služeb vytvářet paniku a podkopávat veřejnou důvěru ve státní instituce.
- Dne 8. října 2024, Rada Evropské unie odsoudila Rusko za rostoucí počet široké škály aktivit proti EU a jejím členským státům, včetně kybernetických útoků, manipulace s informacemi, případů žhářství, vandalismu a sabotáže, včetně útoků na kritickou infrastrukturu, a dalších aktivit, jejichž cílem je šířit nestabilitu a podlamovat důvěru v instituce.
Komentář Cybule: Kampaň popsaná CERT-UA spadá do vzorce široké škály aktivit, včetně kybernetických i fyzických sabotáží, podnikané ruskými tajnými službami proti Ukrajině a státům, které Ukrajinu podporují. Nabídky finančních odměn pro jednotlivce, kteří provedou sabotážní útok jsou pravidelným úkazem na telegramových účtech ruských a proruských skupin.
Úder na Anonymous Sudan: Americká justice zasahuje proti DDoS útokům
(16.10.2024, Wired)
Americké ministerstvo spravedlnosti podniklo významný krok v boji proti kybernetickým útokům, když obvinilo jednotlivce napojené na hacktivistickou skupinu Anonymous Sudan. Mezi jejich cíle patřily významné technologické společnosti a instituce, jako jsou ChatGPT, Microsoft, PayPal, X (dříve Twitter), Yahoo, FBI, Pentagon a několik telekomunikačních firem. Na vyšetřování případu se podílel i Europol a společnosti jako Akamai , AWS a CrowdStrike.
Co potřebujete vědět:
- Mezi lednem 2023 a březnem 2024 provedla skupina Anonymous Sudan řadu DDoS útoků na různé cíle po celém světě. Zpočátku se připojil k proruské hacktivistické kampani, ale poté následovala série útoků motivovaných náboženskými a súdánsko-nacionalistickými zájmy. Cílem těchto útoků byly například subjekty v Austrálii a severní Evropě. Skupina se také zapojovala do každoroční hacktivistické kampaně #OpIsrael. Během své činnosti projevila ochotu spolupracovat s dalšími hacktivistickými skupinami, jako jsou Killnet, SiegedSec a Türk Hack Team. Její pozoruhodná nečinnost od března 2024 se shoduje se zásahy orgánů činných v trestním řízení proti členům této skupiny.
- Obvinění jsou bratři Ahmed Salah Yousif Omer a Alaa Salah Yusuuf Omer.
- Od roku 2023 skupina používala nástroj DCAT (Distributed Cloud Attack Tool) nejen k provádění svých vlastních DDoS útoků, ale také k jeho přeprodeji dalším zločineckým skupinám. Poskytování nástroje jako komerční služby finacovalo hacktivistické aktivity Anonymous Sudan. Hacktivismus naopak fungoval primárně jako reklama pro prodej schopností DCAT. FBI se podařilo tuto útočnou platformu zabavit a tím ji deaktivovat, čímž ukončila činnost. Tento nástroj byl v různých dobách nazýván „Godzilla Botnet“, „Skynet Botnet“ a „InfraShutdown“.
- Pomocí tohoto nástroje bylo během jednoho roku provedeno více než 35 000 DDoS útoků, které jen v USA způsobily obětem škody přesahující 10 milionů dolarů (více než 232 milionů Kč).
- Alaa byl zodpovědný za vývoj nástroje DCAT a údržbu jeho infrastruktury, zatímco Ahmed připravoval a prováděl útoky a spravoval sociální sítě.
- Oba bratři byli zatčeni a od té doby jsou ve vazbě. Pokud bude Ahmed Salah usvědčen ze všech obvinění, hrozí mu podle obžaloby v souvislosti s útokem na nemocnici Cedars-Sinai, který ohrozil životy pacientů, trest odnětí svobody na doživotí. Alaa Salah by v případě odsouzení čelil trestu maximálně pěti let. Americké úřady nezveřejnili jak k zatčení obou bratrů došlo.
Komentář Cybule: Dlouhou dobu panovaly mezi bezpečnostními experty pochybnosti o skutečném původu Anonymous Sudan. Část bezpečnostní komunity se domnívala, že skupina neoperuje z Afriky, ale že jde o operaci pod falešnou vlajkou Ruské federace vzhledem k jejich propojení s aktivitami Killnetu. Odhalení obžaloby proti dvěma súdánským bratrům však potvrzuje, že klíčoví členové skupiny skutečně pocházejí ze Súdánu. Přestože útoky často působily jako ideologicky nebo nábožensky motivované, skutečným cílem byla spíše snaha o zviditelnění a finanční zisk.