Cybuloviny 30/24

V dnešních Cybulovinách se nevyhneme tématu amerických voleb a to v souvislosti s průzkumem provedeným mezi čtenáři kyberbezpečnostního portálu Dark Reading. A jaký je výsledek? Největší hrozbu představují deepfakes a dezinformace. Transparent Tribe je pákistánská skupina, která si na indických organizacích vyzkoušela, jak jí jde adaptovat nástroje podle použité infrastruktury. Na závěr přinášíme pětileté přetahování se bezpečnostní společnosti Sophos s čínskými APT skupinami a poučením, že obránci umí přechytračit útočníky.

Příjemné čtení.

Tým Cybule

Obsah:

  • Kybernetické hrozby kolem amerických voleb v roce 2024: Největším strašákem jsou deepfakes a dezinformace
  • Pakistánský aktér APT36 cílí na indické organizace s pomocí nového malwaru ElizaRAT
  • Společnost Sophos analyzuje zájem čínských kyberšpionážních skupin o zařízení na perimetru sítě

Kybernetické hrozby kolem amerických voleb v roce 2024: Největším strašákem jsou deepfakes a dezinformace

(05.11.2024, DarkReading)

Prezidentské volby v USA v roce 2024 se nesly ve znamení silné vlny dezinformací a kybernetických hrozeb, zejména deepfake videí. Výsledky průzkumu ukazují, že největší obavy vyvolalo šíření manipulativního obsahu, jehož cílem bylo narušit důvěru veřejnosti v integritu volebního procesu.

Co potřebujete vědět:
  • Průzkum portálu Dark Reading, kterého se zúčastnilo téměř 1 000 čtenářů, odhalil, že největší obavy v souvislosti s volbami vzbuzují deepfake technologie a dezinformace, což uvedlo 41 % respondentů. Další vážné hrozby zahrnují manipulaci s volebními daty (23 %) a hackerské útoky ze zahraničí, konkrétně z Ruska, Číny a Íránu (20 %). Na závěr se respondenti zmínili také o phishingových kampaních, využívající umělou inteligenci a útočné přílohy s voličskou tématikou (16 %).
  • Výsledky přicházejí v době, kdy americké federální agentury odmítly dvě podnětná videa, která měla ukazovat manipulaci s hlasy; podle nich jsou videa pouze dílem ruských protivníků, kteří využívají deepfake technologie, aby zasévali nedůvěru ve volební proces a zpochybňovali výsledky.
  • Jedno z videí, která byla označena ODNI, FBI i CISA za podvrh, zobrazuje demonstranty, kteří údajně ničili hlasovací lístky v okrese Bucks County v Pensylvánii. Druhé video ukazuje údajného nelegálního přistěhovalce z Haiti, který má opakovaně hlasovat v různých volebních okrscích v Georgii. FBI a CISA označily oba klipy za falešné.
  • Bývalý ředitel CISA Chris Krebs varoval, že šíření dezinformací bude pokračovat až do ukončení sčítání hlasů a oficiálního potvrzení výsledků. Zdůraznil také potřebu rychlého vyvracení těchto falešných zpráv a identifikaci zahraničních vlivů a apeloval na psychickou odolnost veřejnosti, která by měla být připravena na to, že se stane terčem manipulativních kampaní.
  • Tato videa jsou posledními výtvory aktéra známého jako Storm-1516, který již v září oslovil miliony diváků videem, kde údajní příznivci Kamaly Harrisové napadají účastníky shromáždění republikánského kandidáta Donalda Trumpa, a dalším videem, kde Harrisovou obviňuje ze zavinění dopravní nehody a útěku z místa činu.

Komentář Cybule: Taktika zahraničních aktérů, včetně těch z Ruska, Číny a Íránu, zahrnuje pečlivě navržené dezinformační kampaně, zaměřené na konkrétní skupiny obyvatel, zejména na menšiny a zranitelné komunity. Tyto kampaně jsou využívány nejen v kontextu amerických voleb, ale i v širším globálním měřítku. Kampaně jsou navíc stále častěji podpořeny generativními technologiemi, jako jsou deepfakes a umělá inteligence, což jim dodává na přesvědčivosti a schopnosti šířit se virálním způsobem.
Cílem těchto snah je nejen ovlivnit aktuální výsledky voleb, ale především posílit dlouhodobé rozdělení ve společnosti. Dezinformační obsah často využívá historických sociálních a politických rozdílů a cílí na otázky citlivé pro veřejnost, čímž prohlubuje polarizaci a rozdělení společnosti.
Pro obranu proti těmto hrozbám je klíčová včasná detekce a rychlé vyvrácení falešných zpráv. Je nezbytné, aby volební instituce a platformy pro sdílení informací důsledně označovaly dezinformace a aktivně spolupracovaly na odstranění zahraničně generovaného obsahu. Zároveň je nutné, aby veřejnost zůstala obezřetná a vybavená dostatečnými znalostmi, jak dezinformace rozpoznat.

Pákistánský aktér APT36 cílí na indické organizace s pomocí nového malwaru ElizaRAT

(4.11.2024, Check Point)

Kybernetická špionážní skupina APT36 (Mythic Leopard, Transparent Tribe), která je spojována s Pákistánem, výrazně vylepšila své nástroje a postupy, což se projevilo v posledních útocích zaměřených na indické organizace. Společnost Check Point identifikovala tři různé kampaně, z nichž každá využívala různé varianty malwaru ElizaRAT. Od svého objevu, v září 2023, zaznamenal ElizaRAT pokroky ve způsobech spouštění, schopnosti vyhýbat se detekci a vylepšené komunikaci s C2 servery. Tento vývoj se projevil ve třech samostatných kampaních probíhajících od konce roku 2023 do začátku roku 2024. Každá varianta malwaru byla navržena tak, aby stáhla sekundární malware zaměřený na automatizovaný sběr dat. Analýza ukazuje na vyvíjející se metody skupiny, které zahrnují sofistikované techniky phishingu a vývoje vlastního malwaru, které je obtížné odhalit.

Časová osa tří kampaní APT36 (Check Point)

Co potřebujete vědět:
  • APT36, také známá jako Mythic Leopard nebo Transparent Tribe, je pákistánská kybernetická špionážní skupina. Skupina je aktivní od roku 2013 a primárně se zaměřuje na indické vládní, obranné a výzkumné organizace. Její útoky se vyznačují taktikami zaměřenými na krádež informací a špionáž.
  • Check Point se ve své analýze zaměřuje primárně na různé modifikace malwaru ElizeRAT, který je výlučně spojený s APT36. ElizeRAT byl poprvé veřejně odhalen v září 2023. Malware se obvykle šíří přes odkazy na CPL (Control Panel) souborů umístěných na cloudovém úložišti Google, pravděpodobně šířených prostřednictvím phishingu.
  • První kampaň začala na konci prosince 2023. ElizaRAT se šířil jako SlackAPI.dll a používal komunikační nástroj Slack, oblíbený v organizacích všech velikostí, jako C2. ElizaRAT zkontroluje jestli lokální čas systému odpovídá indické časové zóně (India Standard Time) a umístí návnadu ve formě mp4 souboru. Součástí kampaně bylo rozmístění infostealeru ApoloStealer (SlackFiles.dll) na systémy vybraných obětí. ApoloStealer sebere dokumenty podle předdefinovaných parametrů ve složkách Desktop, Download a OneDrive a ve finálním kroku je odešle na C2 server pod kontrolou APT36.
  • Druhá kampaň se lišila tím, že místo cloudového prostředí APT36 využila VPS (virtual private server) pro svou C2 infrastrukturu. Útočníci v této kampani využili dropper Circle.cpl, což vedlo ke snížené schopnosti detekce ElizaRAT. ApoloStealer byl použit stejně jako v předchozí kampani.
  • Třetí kampaň využila Google Drive pro C2 komunikaci. Původní vektor útoku je neznámý, ale s největší pravděpodobností se jednalo o spearphishing. APT36 využila Google cloud v kombinaci s VPS servery, přes které se na cílový systém stáhl ElizeRAT (BaseFilterEngine.dll). Kampaň opět využívá ElizeRAT k umístění ApoloStealer, tentokrát pod názvem extensionhelper_64.dll, které na se na systému oběti stáhnou jako SpotifyAB.dll nebo Spotify-news.dll. Zajímavostí třetí kampaně je využití infostealeru ConnectX.dll, který je vytvořený pro sběr informací z externích úložišť, jako jsou USB flash disky.

Komentář Cybule: Schopnost vyvíjet a průběžně vylepšovat své vlastní nástroje je jedním z indikátorů pokročilosti kyberšpionážních skupin. Na základě časových značek (timestamp) Check Point zasadil tři kampaně mezi prosinec 2023 a srpen 2024. Během této relativně krátké doby útočníci prokázali schopnost adaptovat své nástroje pro různý typ infrastruktury a upravovali svůj malware pro větší odolnost proti detekci. APT36 dlouhodobě útočí na indické organizace, což je konzistentní s geopolitickým sporem mezi Indií a Pákistánem.

Společnost Sophos analyzuje zájem čínských kyberšpionážních skupin o zařízení na perimetru sítě

(31.10.2024, Sophos X-Ops)

Analýza společnosti Sophos představuje výsledky pětileté zkušenosti se snahou řady čínských APT skupin kompromitovat firewally Sophosu. Bezpečnostní tým Sophosu X-Ops identifikoval tři separátní fáze. První z prosince 2018 cílila přímo na infrastrukturu společnosti Cyberoam, dceřinou společnost Sophosu se sídlem v Indii. Druhá vlna proběhla v období duben až listopad 2020 a skládala se z několika kampaní útočících na zero-day zranitelnosti v Sophos XG Firewall a Cyberoam OS. Třetí vlna se datuje do období od března 2022 do současnosti. Stejně jako v druhém případě se jedná o sérii kampaní zneužívajících zero-day zranitelností v Sophos Firewall a v pozdějším období pokračující útoky na zařízení, která neměla nainstalované bezpečnostní aktualizace.

Časová osa útoků na firewally Sophos (Sophos X-Ops)

Co potřebujete vědět:
  • První fáze nebyl zaměřen na síťové zařízení, ale byl jediným zdokumentovaným útokem na zařízení společnosti Sophos: sídlo společnosti Cyberoam, dceřiné společnosti Sophos se sídlem v Indii. Dne 4. prosince 2018 analytici týmu Sophos SecOps zjistili, že toto zařízení provádí síťové skenování. Původní podezření, že se jedná o hrozbu nízké úrovně, bylo vyvráceno po odhalení nástrojů útočníka, které zahrnovaly trojského koně Gh0st RAT a do té doby neznámý komplexní rootkit Cloud Snooper. Druha faze a třetí fáze přinesly útoky přímo na síťová zařízení Sophosu. Zásadně se mezi sebou lišily. Zatímco druhá zahrnovala snadněji zjistitelné útoky na jakákoli zařízení Sophosu vystavené do internetu, třetí fáze se soustředila na snížení schopnosti detekce a byla mnohem více zacílená na konkrétní oběti.
  • V červenci 2020 X-Ops umístili na napadená zařízení vlastní implant, který jim umožnil vysledovat útočníky do jejich infrastruktury ve městě Čchen-tu, hlavním měste provincie Sečuan, které je významným hubem čínských kybernetických operací. Vyšetřování poukázalo na propojení útoků s výzkumníkem čínské University of Electronic Science and Technology of China a společností Sichuan Silence Information Technology, která byla v listopadu 2021 spojena s dezinformačními kampaněmi.
  • X-Ops a další bezpečnostní společnosti přisuzují útoky skupinám APT41 (známou též jako Winnti Group a Wicked Panda), Volt Typhoon a APT31. APT31 je rovněž známá jako kontraktor Xiaoruizhi Science and Technology Company se sídlem ve Wu-chanu, zatímco reálná identita APT41 je další kontraktor Chengdu 404.
  • Sophos ve své analýze upozorňuje na souběh útoků se zavedením nové regulace hlášení zranitelností v Číně. V září 2021 vstoupilo v platnost nařízení, které čínským výzkumníkům zakazuje zveřejňovat zranitelnosti nebo je hlásit výrobcům zranitelných zařízení. Místo toho mají povinnost hlaázranitelnost Ministerstvu průmyslu a informačních technologií (MIIT), které hlášení sdílí s tajnými službami ČLR. Sophos má podezření, že výzkumníci, kteří Sophosu oznámili zranitelnost (a byli následně Sophosem finančně odměněni v rámci bug bounty programu) tyto zranitelnosti nejdříve nahlásili čínským úřadům. které je využily k útokům.
  • Čínské APT skupiny se nezaměřovaly pouze na využití kompromitovaných zařízení u organizací, které jsou cílem kyberšpionážní aktivity. Často, s různou mírou úspěchu, se útočníci pokoušeli zranitelná zařízení začlenit do širších sítí tzv. Operational Relay Boxes (ORB). Tyto ORB sítě slouží čínským skupinám jako infrastruktura k provádění pokročilých útoků a skrytí jejich skutečného původu. Jedním z důsledků využitelnosti kompromitovaných síťových zařízení jako krycí infrastruktury útočníků je, že jejich cílem je potenciálně jakékoli síťové zařízení, včetně routerů bežně využívaných v domácnostech nebo tzv. SOHO (Small Office-Home Office) zařízení.

Komentář Cybule: Zpráva Sophosu doplňuje známé informace kyberbezpečnostní komunity o aktivitých čínských aktérů s napojením na stát (univerzity a kontraktoři, ofenzivní týmy čínských zpravodajských služeb a armády). Síťová (edge) zařízení všech výrobců (kromě Sophos, také Cisco, Ivanti, Citrix, Fortinet, Palo Alto a další) jsou v posledních letech pod neustálým tlakem čínských aktérů. Zkušenost Sophosu zahrnuje více agresivní útoky na zranitelná zařízení při vytváření ORB sítí i nenápadné a cílené útoky na organizace přes jejich edge zařízení. Unikátním prvkem je krok Sophosu „upravit“ napadená zařízení, což jim umožnilo sledovat útočníky a spojit je s infrastrukturou v Číně. Sophos krok konzultoval s právním týmem, aby zajistil, že nebude daným krokem porušovat domácí právní předpisy a mezinárodní normy. Za splnění těchto podmínek lze postup X-Ops replikovat ve snaze dosáhnout aktivnějšího postupu proti sofistikovaným útočníkům.

Přejít nahoru