Cybuloviny 32/24

/ Cybuloviny, Týdenní přehled

Tento týden vám přinášíme několik novinek, konkrétně novou čínskou APT skupinu LIMINAL PANDA, která se zaměřuje na telekomunikační společnosti a zvyšuje riziko pro kritické informační infrastruktury. Ruská skupina APT28 představila novou techniku nearest neighbor attack, která umožňuje útočit na Wi-Fi sítě i na velké vzdálenosti. A jako poslední v našem seznamu Google odhalil masivní čínskou vlivovou operaci GlassBridge, která šíří propagandu prostřednictvím falešných zpravodajských webů po celém světě.

Příjemné čtení!

Tým Cybule

Obsah:

  • Nová Panda se zaměřuje na telekomunikační sektor
  • Ruská skupina APT28 prolomila organizaci přes sousední Wi-Fi síť na vzdálenost tisíce kilometrů
  • GlassBridge: Skrytá síť podporující čínské vlivové operace

Nová Panda se zaměřuje na telekomunikační sektor

(19.11.2024, CrowdStrike)

Společnost CrowdStrike odhalila nového aktéra spojeného s Čínskou lidovou republika (ČLR) pod názvem LIMINAL PANDA, který nejméně od roku 2020 cíleně útočí na organizace v telekomunikačním sektoru. Liminal Panda využívá skupinou vyvinuté nástroje pro skrytý přístup, řízení a kontrolu (C2) a exfiltraci dat. Aktivita skupiny se vyznačuje důvěrnou znalostí telekomunikačních sítí. Jejich operace často zahrnují kompromitaci serverů telekomunikačních společností za účelem získání dalšího přístupu k jejich zákazníkům.

Malware používaný Liminal Panda a LightBasin (CrowdStrike)

Co potřebujete vědět:
  • Výzkumníci CrowdStrike vysledovali začátky aktivity do roku 2021. V té době sledovali aktéra známého jako LightBasin. Podrobnější analýza a nová zjištění však vedly k závěru, že některé z aktivit LightBasin jsou dílem odlišné skupiny, kterou CrowdStrike pojmenoval Liminal Panda.
  • Skupina LightBasin (známá také jako UNC1945) působí nejméně od roku 2016 a dlouhodobě se zaměřuje na telekomunikační organizace (mobilní operátory, poskytovatele internetového připojení a přidružené poskytovatelé služeb) po celém světě.
  • Liminal Panda má historii cílení na poskytovatele telekomunikačních služeb v jižní Asii a Africe, což naznačuje, že jejich primární cíle se pravděpodobně nacházejí v těchto regionech. Nicméně, v závislosti na konfiguraci kompromitované sítě a úrovni přístupu, mohou být cílem i osoby cestující těmito oblastmi. Geografické zaměření a postupy skupiny se samozřejmě mohou změnit na základě aktuálních potřeb sběru informací ze strany řídící organizace (civilní nebo vojenské zpravodajské služby ČLR).
  • Liminal Panda i LightBasin se vyznačují využitím vlastních nástrojů, což znamená, že mají dostatek kapacit a prostředků k vlastnímu výzkumu a vývoji.
  • Panda je ve jmenném systému CrowdStrike označení pro aktéry spojené s Čínou. Atribuce Číně je založená na souběhu důkazů mezi které patří použití pinyin (systém pro transkripci čínských znaků do latinky) v malwaru a C2 infrastruktuře nebo cílení na země, které odpovídá zapojení do iniciativy Pásu a stezky (BRI).

Komentář Cybule: Atribuce aktivity Liminal Panda Číně je učiněna s nízkou mírou jistoty (low confidence). V praxi to znamená, že analytici shromáždili dostatek informací, aby byli schopní dát skupině Panda pojmenování, ale původ a kvalita jednotlivých důkazů je nejistá nebo není dostatečně silně podpořena z nezávislých zdrojů. Celkově je pozoruhodné, že aktivita LightBasin zůstává bez atribuce, přestože působí minimálně od roku 2016. Informace o nové čínské skupině specializující se na telekomunikační sektor přichází v době, kdy vyšla najevo rozsáhlá kompromitace telekomunikačních společností v USA jinou čínskou skupinou známou jako Salt Typhoon.

Ruská skupina APT28 kompromitovala organizaci přes sousední Wi-Fi síť na vzdálenost tisíce kilometrů

(22.11.2024, Volexity)

Ruská skupina GruesomeLarch (známá také jako APT28, Fancy Bear, Forest Blizzard nebo Sofacy) použila novou techniku nazvanou nearest neighbor attack k prolomení zabezpečené podnikové Wi-Fi sítě nejmenované americké společnosti. Tento sofistikovaný útok, který útočníkům umožnil operovat na dálku ze vzdálenosti tisíců kilometrů, opět ukazuje, jak inovativní útočníci mohou být. Incident upozornil na důležitost zabezpečení podnikových sítí, zejména pokud jde o jejich fyzický přístup a ochranu před sofistikovanými taktikami útočníků.

Co potřebujete vědět:
  • Útočníci nejprve získali přihlašovací údaje k podnikové Wi-Fi síti prostřednictvím útoků password spraying zaměřených na veřejně dostupnou službu oběti. Ačkoli připojení přes podnikovou WiFi nevyžadovalo MFA, vzdálenost tisíce kilometrů od oběti představovalo problém, vzhledem k tomu, že dosah signálu Wi-Fi sítí je pouze lokální.
  • Útočníci se proto zaměřili na společnosti v sousedních budovách organizace, které by mohly sloužit jako spojovací bod k cílové bezdrátové síti. Cílem bylo kompromitovat jinou organizaci a hledat v její síti zařízení s duálním připojením, která mají jak kabelové, tak bezdrátové připojení. Takové zařízení (např. notebook, router) by útočníkům umožňovalo použít jeho bezdrátový adaptér a připojit se k podnikové WiFi síti cíle, ke které měli útočníci přihlašovací údaje.
  • Společnost Volexity zjistila, že APT28 při tomto útoku kompromitovala více organizací a jejich připojení řetězila pomocí platných přihlašovacích údajů. Nakonec se jim podařilo najít zařízení ve vhodném dosahu, které se dokázalo připojit ke třem bezdrátovým přístupovým bodům v blízkosti oken konferenční místnosti oběti.
  • Pomocí připojení ke vzdálené ploše (RDP) z neprivilegovaného účtu se útočník mohl pohybovat v cílové síti a vyhledávat zajímavé systémy a exfiltrovat data. Útočníci spustili soubor servtaska.bat, aby získali obsah registrů systému Windows (SAM, Security a System) a následně je zkompromitovali do ZIP souboru pro exfiltraci.
  • Identifikátory kompromitace (IoC) ze zaznamenaného útoku Volexity se shodovaly s identifikátory společnosti Microsoft a poukazovaly na ruskou skupinu APT28. Podle podrobností ve zprávě společnosti Microsoft je velmi pravděpodobné, že skupina APT28 byla schopna zvýšit si svá oprávnění zneužitím CVE-2022-38028 v komponentě Windows Print Spoiler v síti oběti.

Nearest Neighbot Attack (Volexity)

Komentář Cybule: Útok APT28 ukazuje, že útočníci mohou provádět „close access“ operace i na vzdálenost tisíců kilometrů. Technika útoku nearest neighbor znamená, že ke kompromitaci podnikové Wi-Fi sítě není nutná fyzická přítomnost v blízkosti cíle, což výrazně snižuje riziko odhalení. Společnosti by měly na své Wi-Fi sítě pohlížet stejně odpovědně jako na jiné vzdálené přístupy a i zde zavést vícefaktorové ověřování. Tento případ je varováním, že kybernetická bezpečnost není jen o zabezpečení perimetru vnitřní sítě, ale o komplexní ochraně na všech úrovních.

GlassBridge: Skrytá síť podporující čínské vlivové operace

(22.11.2024, GoogleCloud)

GlassBridge je síť vzájemně propojených PR agentur, které šíří obsah podporující zájmy Čínské lidové republiky (ČLR) prostřednictvím neautentických zpravodajských webových stránek a služeb.  Uvedené společnosti vytvářejí a provozují stovky domén, které se tváří jako nezávislé zpravodajské weby z desítek zemí, přičemž ve skutečnosti publikují tematicky podobný, neautentický obsah, který klade důraz na témata odpovídající politickým zájmům ČLR.

Ekosystém GLASSBRIDGE (GoogleCloud)

Co potřebujete vědět:
  • GlassBridge zahrnuje čtyři významné PR společnosti: Haixun Technology, Haimai Yunxiang Media, Shenzhen Bowen Media a firmu, kterou Mandiant označuje jako DURINBRIDGE. Ačkoli jsou tyto firmy od sebe oddělené, fungují podobným způsobem a vytvářejí dohromady stovky domén napodobujících nezávislá zpravodajská média. Domény se zaměřují na publikum v Evropě, Asii a Americe, včetně českých uživatelů, a pokrývají politická, ekonomická a kulturní témata, s cílem oslovit co nejširší publikum.          
  • Weby se tváří jako legitimní zpravodajské portály, které zveřejňují lokální obsah kombinovaný s články ze státních médií ČLR. Obsah podporuje narativy čínské vlády, například o Tchaj-wanu, Jihočínském moři nebo COVID-19.
  • Od roku 2022 společnost Google zablokovala více než 1 000 domén spojených s těmito kampaněmi. Důvodem bylo porušení zásad transparentnosti a publikování zavádějícího obsahu. Stejně tak byly odstraněny některé YouTube kanály spojené s těmito PR sítěmi. Obsah šířený GlassBridge se často překrývá s kampaněmi DRAGONBRIDGE, které se zaměřují na útoky proti disidentům nebo ovlivňování voleb.
  • Tyto firmy využívají sociální sítě k šíření propagandy. Například Haixun používal sociální síť pro freelancery Fiverr k pronájmu účtů na sociálních sítích, které následně propagovaly propekingské narativy.
  • Některé PR firmy, jako Haixun, využívají platformy typu Times Newswire k publikování propagandistického obsahu na subdoménách legitimních zpravodajských serverů. Tím se zvyšuje důvěryhodnost sdělení. Weby šíří obsah z čínských státních médií, tiskové zprávy a „výplňové“ články o nepolitických tématech. Tato strategie ztěžuje odhalení pravého původu informací a umožňuje ČLR skrytě ovlivňovat veřejné mínění v zahraničí. Firmy působí mimo Čínu, což poskytuje vládě ČLR možnost popřít přímé zapojení

Komentář Cybule: Tyto kampaně jsou dalším případem zapojení soukromých firem do koordinovaných vlivových kampaní – v tomto případě šíří obsah, který je v souladu s názory a politickou agendou ČLR, mezi publikum rozptýlené po celém světě. Využitím soukromých PR firem získávají aktéři stojící za informačními operacemi (IO) věrohodné popření, čímž zastírají svou roli v šíření koordinovaného neautentického obsahu.

Přejít nahoru