Cybuloviny 5/24

Tento týden nás čeká jedna velká česká premiéra a dvě zahraniční odhalení. První se týká Lockbitu a jejich “frontmana” Dmitrije Choroševa a druhé nového malwaru Cuttlefish. A ta velká premiéra? Česko připisuje kybernetický útok Rusku: Co to znamená? Dočtete se níže!

Obsah:

  • Česká republika poprvé přisoudila kybernetický útok konkrétnímu státu: ruská APT28 útočila na klíčové české státní instituce
  • Nový modulární malware Cuttlefish napadá SOHO routery
  • Odhalení administrátora LockBitu Dmitrije Choroševa

Česká republika poprvé přisoudila kybernetický útok konkrétnímu státu: ruská APT28 útočila na klíčové české státní instituce

(3.5.2024, MZV)

Atribuci kybernetického útoku APT28 na přední české státní instituce oznámilo v pátek české ministerstvo zahraničích věcí, které se tak postavilo po bok německé vlády, která kybernetický útok na německou SPD rovněž připsala ruské zpravodajské službě GRU/GU, pod kterou skupina spadá. Útoky odsoudili Severoatlantická aliance (NATO), mezinárodní partneři i Evropská unie. Dalšími kroky, Německa i České republiky, bylo předvolání ruských velvyslanců a výzva Ruské federaci, aby od tohoto jednání, které je v rozporu s normami OSN a jejími vlastními závazky, upustila.

Co potřebujete vědět:

  • Je to úplně poprvé, co Česká republika provedla atribuci na národní úrovni.
  • APT28, známá také jako Fancy Bear, Strontium a Forest Blizzard, zneužila při své kampani, která byla započata v roce 2023, zranitelnost MS Outlook CVE-2023-23397.
  • Cílem útoku se v České republice staly přední české státní instituce a instituce v oblasti energetiky.
  • V Německu byly cílem útoku firmy ze zbrojního a obranného průmyslu, logistiky, letectví, IT nebo vládní strana SPD.
  • Reálný dopad útoku nelze v současné době posoudit, protože k jeho úspěšnosti nebyla nutná žádná interakce uživatele.
  • Kampaň kromě České republiky a Německa cílila také  na Litvu, Polsko, Slovensko a Švédsko.
  • Na atribuci se podíleli Bezpečnostní informační služba i Vojenské zpravodajství.

Komentář Cybule: Rozhodnutí o provedení atribuce je vždy založeno na posouzení řady státních orgánů, které se atribucí zabývají v rámci své činnosti a jsou schopny určit závažnost kybernetických útoků. Identifikace útočníka je od roku 2020 jedním z hlavních témat bezpečnostní komunity v České republice, což je zdůrazněno ve Strategii kybernetické bezpečnosti České republiky – v části nazvané “Sebevědomě v kyberprostoru”. Atribuce může být provedena v rámci zainteresovaných stran bezpečnostní komunity daného státu nebo může být součástí návrhu společné atribuce. V rámci společné atribuce mohou členské státy EU využít nástroj SZBP EU Cyber Diplomacy ToolBox, který byl pravděpodobně využit i v rámci české a německé atribuce.

Nový modulární malware Cuttlefish napadá SOHO routery

(1.5.2024, Black Lotus Labs)

Výzkumníci týmu Black Lotus Labs společnosti Lumen objevili nový malware nazvaný “Cuttlefish”, který cílí na SOHO (Small Office, Home Office) routery. Cuttlefish je modulární malware, který útočníkovi nabízí celou řadu funkcí. Primárně je navržený k odcizení autentifikačních údajů nalezených ve webových požadavcích, které procházejí routerem z přilehlé lokální sítě (LAN). Sekundární funkce mu umožňuje provádět únos DNS a HTTP spojení z internetu do soukromého IP prostoru, který je spojen s komunikací v interní síti. Cuttlefish má také schopnost komunikovat s dalšími zařízeními v lokální síti a přenášet informace nebo spouštět programy (agenty) na těchto zařízeních. Cuttlefish je tak vhodný pro několik fází kybernetického útoku (kill chain): počáteční kompromitace, eskalace oprávnění či umístění malwaru na cílových zařízeních. Útočník je například schopen získat trvalý přístup a spouštět libovolný kód na kompromitovaných zařízeních. Schopnost unést DNS a HTTP spojení činí z Cuttlefish obzvlášť zákeřný malware. Analytici Black Lotus Labs uvádějí, že Cuttlefish obvykle pasivně vyčkává, kontroluje pakety a aktivuje se jen když ho spustí některé z předdefinovaných pravidel. Detekce na této úrovni je velmi složitá a nad možnosti běžných uživatelů SOHO zařízení.

Schéma funkce Cuttlefish pro odposlech provozu a únos relací (Black Lotus Labs)

Co potřebujete vědět:
  • Cuttlefish zachycuje data bez nutnosti interakce (zero click) ze strany uživatelů nebo cílových zařízení. Jakákoli data, odeslaná přes kompromitované síťové zařízení, mohou být zachycena útočníkem.
  • Za účelem vyvedení dat mimo systém, Cuttlefish nejprve vytvoří buď proxy nebo VPN tunel přes kompromitovaný router a poté využije ukradené přihlašovací údaje k přístupu k cílovým zařízením. Směrování žádosti přes router se pravděpodobně děje za účelem obcházení detekce založené na podezřelých přihlášeních.
  • Analýza Black Lotus Labs určila, že současná verze Cuttlefish je aktivní minimálně od 27. července 2023. Velmi pravděpodobně však existují starší iterace. Pozorovaná kampaň probíhala od října 2023 do dubna 2024. Kampaň je unikátní tím, že 99 % infekcí se vyskytlo v Turecku, převážně u dvou telekomunikačních poskytovatelů. Oba operátoři představovali zhruba 93 % infekcí na 600 unikátních IP adresách. Infekce mimo Turecko zahrnovaly IP adresy pravděpodobných klientů spojených s globálními poskytovateli satelitních telefonů a potenciálním datovým centrem sídlícím ve Spojených státech.
  • Počáteční vektor kompromitace je neznámý. Black Lotus Labs pracují s dvěmi hypotezámi: útočníci mohli využít známé zranitelnosti nebo prolomit zabezpečení routeru metodou brute force. Co je známo je, že po získání přístupu k routerům útočníci nasadí bash skript, který odešle údaje o hostovacím zařízení na C2 infrastrukturu pod kontrolou útočníka. Bash skript také stahuje a spouští Cuttlefish na napadeném zařízení.
  • Podobnosti v kódu ukazují na překryv se dříve zmapovanou kampaní malwaru HiatusRat, jejíž aktivita se shoduje se zájmy Číny. Přes podobnosti mezi těmito dvěma rodinami malwaru jsou oběti v případě obou kampaní rozdílné. Velmi pravděpodobně se tak jedná o činnost dvou rozdílných aktérů.

Komentář Cybule: SOHO routery jsou pro pokročilé aktéry kybernetických hrozeb lákavým cílem. Jedním z důvodů je, že tato zařízení často zůstávají v síti bez bezpečnostních aktualizací. Čínská skupina Volt Typhoon používala k zakrytí svých aktivit botnet KV-Botnet složený z kompromitovaných SOHO routerů (např. od výrobců Cisco a Netgear). Ruská APT28 využila Mirai botnet Moobot složený z routerů Ubiquiti jako proxy servery pro získávání přihlašovacích údajů, shromažďování NTLMv2 hashů a také jako místo pro umístění spear-phishingových landing pages. Z charakteristik malwaru Cuttlefish je zřejmé, že se jedna o vysoce schopný nástroj, který bude složité detekovat pro naprostou většinu uživatelů SOHO zařízení. Podobnost s malwarem HiatusRat ukazuje na pravděpodobný čínský původ Cuttlefish. Čínské APT skupiny (kromě výše uvedené Volt Typhoon, lze zmínit např. APT31) často využívají nezabezpečené SOHO routery a IoT zařízení (např. bezpečnostní kamery) k tvorbě botnetů, které využívají k maskování špionážních aktivit. Schopnosti Cuttlefish jsou zase bližší využítí Moobotu skupinou APT28. Cuttlefish je pravděpodobně výsledkem posilování schopností čínských státních aktérů kompromitovat edge zařízení, které tvoří vstupní body do vnitřních sítí zamýšlených obětí.

Odhalení administrátora LockBitu Dmitrije Choroševa

(7.5.2024, DOJ)

Britská Národní kriminální agentura (NCA) odhalila ruského občana Dmitrije Jurjeviče Choroševa (Дмитрий Юрьевич Хорошев) jako správce a vývojáře ransomwarového gangu LockBit. Na Choroševa se vztahuje několik zahraničních sankcí ze strany Spojeného království, USA a Austrálie. Operace pod krycím názvem Cronos, v únoru letošního roku, významně narušila fungování jedné z nejnebezpečnějších ransomwarových skupin. Odhaduje se, že tato skupina napadla přes 2500 obětí po celém světě a vybrala výkupné za více než 500 milionů dolarů. Po zásahu úřadů se Lockbit snažil o návrat, ale zatím bez potvrzeného úspěchu.

Foto Dmitrije Choroševa (NCA)

Co potřebujete vědět:
  • Chorošev vystupoval pod přezdívkou LockBitSupp a putinkrab.
  • Vytvořil a hostoval infrastrukturu LOCKBIT, včetně LockBit DLS (Data Leak Sites).
  • Upravil ransomware LockBit a vytvořil nejméně tři verze ransomwaru.
  • Dělal nábor affiliates LockBitu (pozn.: affiliates jsou partněři ransomwarových skupin, kteří pro ně šíří škodlivý malware a pak si mezi sebou rozdělují výnosy za výkupné).
  • Poskytoval novým affiliates jejich vlastní ovládací panely.
  • Udržoval databázi s jednotlivými affiliates LOCKBITU a jejich oběťmi.
  • Monitoroval a příležitostně se účastnil jednání o výkupném s oběťmi programu LockBit RaaS.
  • Vyvinul a provozoval nástroj pro krádež informací StealBit.
  • Vyplatil několika jednotlivcům po 1 000 USD poté, co si nechali vytetovat logo LockBit.
  • Kontaktoval orgány činné v trestním řízení a nabídl jim své služby výměnou za získání skutečných identit o ransomware konkurenci LockBitu.
  • Počet aktivních affiliates LockBitu od února klesl na 69 (z 194).
  • Europol v tiskovém prohlášení uvedl, že úřady vlastní více než 2500 dešifrovacích klíčů a nadále kontaktují oběti LockBit s žádostí o podporu.

Komentář Cybule: I když je identifikace Choroševa vítězstvím, boj proti Lockbitu není ještě u konce. Skupina způsobila nevýslovné škody školám, nemocnicím a velkým společnostem, včetně těch ruských. Zároveň s tímto odhalením lze předpokládat dopad i na samotný LockBit v rámci kybekriminální komunity, který bude pravděpodobně souviset se spoluprací Choroševa s orgány činnými v trestním řízení a porušením několika vlastních zásad Lockbitu. Mezi ně patří například to, že se společnost LockBit zaměřila na nemocnice a oběti se sídlem v Rusku či nepravdivá tvrzení o poskytování bezplatných dešifrovacích nástrojů, zatímco byly poskytnuty vadné dešifrovací nástroje nebo nebyly poskytnuty vůbec. V neposlední řadě LockBitu uškodí skutečnost, že po obdržení výkupného neodstranila data obětí (což by oběť měla vždy předpokládat a nikdy výkupné neplatit).

Přejít nahoru