V prvním únorovém vydání vám přinášíme pohled na bezpečnostní problémy čínského LLM modelu DeepSeek R1, který vzal svět útokem koncem ledna. Druhý případ se týká zero-click exploitu, který proti platformě WhatsApp vyvinula a nasadila izraelská společnost Paragon. Třetí článek představuje globální kampaň severokorejské skupiny Lazarus, která kompromitovala softwarový dodavatelský řetězec vývoje kryptoměn a dalších technologií.
Příjemné čtení!
Tým Cybule
Obsah:
- Vada v zabezpečení DeepSeek umožňovala přístup k historii dotazů
- WhatsApp obvinil Paragon ze špehování uživatelů
- Globální kampaň KLDR míří na vývoj technologií a kryptoměn
Vada v zabezpečení DeepSeek umožňovala přístup k historii dotazů
(29.01.2025, Wiz)
Analytici společnosti Wiz objevili databázi ClickHouse patřící čínskému AI startupu DeepSeek, která byla veřejně přístupná bez jakékoli autentizace, což umožňovalo plnou kontrolu nad databází, operacemi a přístup k citlivým interním datům. Odhalená data zahrnovala přes milion řádků logů obsahujících historii chatu, tajné klíče a další citlivé informace.
Příklad přístupu k historii dotazů (Wiz)
Co potřebujete vědět:
- Odhalení umožňovalo přímé spouštění libovolných SQL dotazů přes webový prohlížeč. Tabulka log_stream obsahovala přes 1 milion záznamů v protokolu sahajících až do 6. ledna 2025, odhalující interní koncové body DeepSeek API, protokoly v prostém textu (včetně historie chatu), API klíče, podrobnosti o backendu a provozní metadata.
- Společnost Wiz uvedla, že problém byl okamžitě nahlášen společnosti DeepSeek, která následně zabezpečila přístup.
- Bezpečnostní výzkumníci společnosti Cisco se zaměřili na širší bezpečnostní rizika spojená s DeepSeek. Použitím algoritmických technik prolomení (jailbreaking) a automatizované metodologie útoku, s použitím 50 náhodných dotazů z datasetu HarmBench, na DeepSeek R1 dosáhli výzkumníci 100% úspěšnosti útoku, což znamená, že model nedokázal zablokovat žádný z testovaných škodlivých podnětů (prompts). To kontrastuje s jinými LLM modely, které prokázaly alespoň částečný odpor.
- Čínský původ znamená, že DeepSeek je povinen spolupracovat s tajnými službami ČLR, pokud ty o to požádají. Pokud není DeepSeek hostován lokálně s patřičným zabezpečením, tak vždy platí, že veškerá data na platformě jsou dostupná čínským úřadům. Bezpečnostní obavy již vedly k řadě varování ze strany kyberbezpečnostních úřadů a zákazu používání DeepSeek na vládních sítích a zařízeních v Austrálii a Tchaj-wanu.
Komentář Cybule: Výzkumníci zdůrazňují, že základní bezpečnostní rizika, jako je náhodné externí odhalení databází, zůstávají hlavní prioritou pro bezpečnostní týmy, zejména s rychlým přijímáním služeb AI. Také doporučují, aby organizace zavádějící nástroje AI zajistily, že jsou zavedeny bezpečnostní postupy k ochraně zákaznických dat. Náhlá popularita DeepSeek by neměla odvádět pozornost od potřeby pracovat se všemi LLM nástroji s obezřetností a nikdy nevkládat potenciálně citlivé informace.
WhatsApp obvinil Paragon ze špehování uživatelů
(31.01.2025, TheRecord)
WhatsApp uvedl, že izraelská firma Paragon Solution cílila pomocí spywaru na desítky jeho uživatelů, včetně novinářů a členů občanské společnosti. Útok měl probíhat skrze škodlivý PDF soubor, který byl rozeslán v rámci jednotlivých WhatsApp skupin. Meta útok zastavila v prosinci minulého roku, informovala oběti a zaslala Paragonu výzvu k ukončení činnosti. Případ připomíná soudní spor s NSO Group a znovu otevírá otázku odpovědnosti firem vyvíjejících sledovací software.
Co potřebujete vědět:
- WhatsApp odhalil útok na celkem 90 uživatelů ve 20 zemích včetně Evropy. Mezi nimi byli i novináři a členové občanské společnosti. Útok byl proveden prostřednictvím škodlivého souboru PDF, který ke kompromitaci svého cíle nevyžadoval žádnou interakci uživatele (útok typu zero click).
- Stopy vedou ke společnosti Paragon, která byla založena bývalými izraelskými zpravodajci. Firma stejně jako NSO group nabízí špionážní software vládním agenturám a jiným technologickým společnostem.
- Společnost Meta na zjištění okamžitě reagovala a zaslala společnosti oznámení o zastavení její činnosti. Současně informovala konkrétní postižené uživatele a poskytla jim informace o tom, jak se mají chránit. Společnost Meta aktivně bojuje proti spywaru – v roce 2019 zažalovala společnost NSO Group za infikování 1 400 uživatelů spywarem Pegaseus. V prosinci 2023 soud potvrdil odpovědnost společnosti NSO Group za tuto kompromitaci.
- Paragon má 35 vládních zákazníků a všechny lze považovat za demokratické. Zároveň Paragon uvádí, že neobchoduje se zeměmi, včetně některých demokratických, které byly dříve obviněny ze zneužívání spywaru. Tyto země zahrnují např. Řecko, Polsko, Maďarsko, Mexiko a Indii. Mezi uživateli technologií společnosti Paragon jsou i americké úřady – ICE (Immigration and Customs Enforcement) podepsala smlouvu na 2 miliony dolarů a DEA (Drug Enforcement Administration) údajně pro změnu nasadila její software Graphite (spyware srovnatelný s Pegaseusem). Jakmile je telefon infikován Grafitem, operátor spywaru má úplný přístup k telefonu, včetně možnosti číst zprávy odeslané prostřednictvím šifrovaných aplikací, jako je WhatsApp a Signal.
- Odborníci varují před normalizací spywaru – organizace Access Now apeluje na vlády, aby takovým firmám neudělovaly zakázky ani financování.
Komentář Cybule: WhatsApp odhalil další případ zneužívání spywaru, což ukazuje, jak problematické je působení soukromých sledovacích firem. Stejně jako NSO Group, i Paragon čelí obviněním z nelegálního špehování. Klíčovou otázkou zůstává, zda státní instituce budou i nadále využívat služby firem, jejichž nástroje mohou být nasazeny proti novinářům a občanské společnosti. To, že Paragon dodává software americkým úřadům, přidává na kontroverzi a ukazuje, že boj proti spywaru bude i do budoucna komplikovaný.
Globální kampaň KLDR míří na vývoj technologií a kryptoměn
(29.1.2025, SecurityScorecard)
V prosinci 2024 zahájila severokorejská skupina Lazarus kampaň s názvem zaměřenou na vývojáře kryptoměn a technologií po celém světě. Útočníci vložili malware přímo do důvěryhodných nástrojů pro vývoj softwaru, čímž kompromitovali přes 1 500 systémů po celém světě. Analytici společnosti SecurityScorecard sledují kampaň pod názvem Operation Phantom Circuit. Kampaň se odehrála ve třech vlnách a zaměřila se na vývojáře především v evropských technologických sektorech, dále v Indii a Brazílii.
Co potřebujete vědět:
- Kampaň skupiny Lazarus cílila na aplikace používané v kryptoměnách a autentizačních systémech, přičemž vkládala malware do důvěryhodných softwarových balíčků. Vývojáři nevědomky integrovali tyto kompromitované balíčky do svých projektů, čímž umožnili infiltraci škodlivého kódu do produkčního prostředí.
- Skupina Lazarus se do značné míry spoléhala na službu Oculus Proxy hostovanou v Rusku. Útočníci směrovali provoz přes IP adresy 83.234.227.49, 83.234.227.50, 83.234.227.51 a 83.234.227.53, které jsou registrovány na společnost Sky Freight Limited v ruském Chasanu, města u hranic s KLDR. Tyto proxy servery poskytovaly další úroveň anonymity a maskovaly původ škodlivé aktivity.
- Analytici SecurityScorecard zjistili, že útočníci odcizovali přihlašovací údaje, autentizační tokeny a detaily systémové konfigurace. Exfiltrovaná data byla nejprve shromážděna na C2 serverech a následně přenesena na Dropbox, kde byla ukládána a organizována.
- OSINT analýza použité infrastruktury odhalila, že některé koncové body ve stejném rozsahu sítě (83.234.227.49 až 83.234.227.53) byly spojeny s předchozím zdokumentovaným případem, který se týkal severokorejských aktérů vydávajících se za náboráře.
Komentář Cybule: Operace Phantom Circuit odpovídá zavedené strategii Severní Koreje využívání kybernetických útoků k financování státních aktivit, včetně vývoje jaderných zbraní a balistických střel. Monitorovací orgány OSN odhadují, že v letech 2017-2023 Severní Korea získala až 3 miliardy dolarů prostřednictvím krádeží kryptoměn. Skupina Lazarus je s největší pravděpodobností součástí vojenské rozvědky KLDR a stojí za známými útoky na Sony (2014) a Bangladéšskou centrální banku (2016).
