Cybuloviny 26/24

Tento týden Vám přinášíme kyberšpionážní kampaň zaměřenou na mezinárodní diplomatické mise a vládní instituce v EU a varování CISA a FBI před phishingovou aktivitou íránských Islámských revolučních gard proti jednotlivcům a organizacím zapojených do probíhající volební kampaně v USA. Nejvýznamnějším z trojice témat jsou nové informace o kampani Salt Typhoon proti poskytovatelům internetového připojení v USA. Podle reportáže deníku Wall Street Journal patří mezi oběti Salt Typhoon společnosti Verizon, AT&T a Lumen a s nimi i vysoce citlivé informace spojené se soudně nařízeným sledováním, kam spadají i případy spojené s národní bezpečností USA.

Příjemné čtení!

Tým Cybule

Obsah:

  • GoldenJackal: Kyberšpionážní hrozba pro diplomacii a instituce EU
  • Čínská hackerská skupina Salt Typhoon pronikla do sítí amerických poskytovatelů širokopásmového připojení Verizon Communications, AT&T a Lumen Technologies
  • Americká CISA vydala varování pro politické strany před phishingovou aktivitou skupin napojených na Írán

GoldenJackal: Kyberšpionážní hrozba pro diplomacii a instituce EU

(7.10.2024, ESET)

Skupina známá jako GoldenJackal je spojována s řadou pokročilých kybernetických útoků zaměřených na velvyslanectví a vládní organizace. Na scénu vstoupila v květnu 2023, kdy ruská bezpečnostní firma Kaspersky zveřejnila podrobnosti o jejích útocích na vládní a diplomatické instituce na Blízkém východě a v jižní Asii. Nicméně počátky aktivity této skupiny lze vysledovat minimálně do roku 2019. GoldenJackal používá dvě sady specializovaných malwarových nástrojů, které jsou navrženy k útokům na air-gapped systémy, tedy sítě izolované od internetu, s cílem získat citlivé informace.

Schéma infikování air-gapped systému přes USB (ESET)

Co potřebujete vědět:
  • Zvláštností těchto útoků je, že často míří na systémy odpojené od internetu (air-gapped), což vyžaduje vysokou úroveň sofistikovanosti.
  • Při útoku na jihoasijské velvyslanectví v Bělorusku byly údajně použity tři různé rodiny malwaru – kromě JackalControl, JackalSteal a JackalWorm také nástroje GoldenDealer, který doručuje spustitelné soubory do air-gapped systémů prostřednictvím infikovaných USB disků a GoldenHowl, modulární backdoor, jenž umožňuje krádež souborů, vytváření pravidelných úloh, přenos dat na vzdálený server a vytváření SSH tunelů. Dalším nástrojem je GoldenRobo, který slouží ke shromažďování a exfiltraci dat. Tento malware, napsaný v jazyce Go, dostal své jméno podle toho, že využívá legitimní systémový nástroj Windows, robocopy, pro kopírování souborů.
  • Při útocích na evropskou vládní organizaci byla identifikována zcela nová sada malwarových nástrojů, napsaná převážně v jazyce Go. Tyto nástroje jsou určeny ke shromažďování a šíření dat přes USB disky, exfiltraci informací a využívání staging serverů k distribuci payloadů na další systémy. Patří sem například nástroje GoldenUsbCopy a jeho vylepšená verze GoldenUsbGo, které monitorují USB disky a kopírují z nich soubory. GoldenAce slouží k šíření malwaru mezi systémy, zatímco GoldenBlacklist a jeho Python verze GoldenPyBlacklist zpracovávají e-maily pro následnou krádež dat. Další nástroje, jako GoldenMailer a GoldenDrive, odesílají ukradené informace útočníkům buď prostřednictvím e-mailu, nebo je ukládají na Disk Google.
  • V současné době není známo, jak se GoldenJackalu podařilo získat počáteční přístup k cílovým prostředím. Společnost Kaspersky však již dříve naznačila, že vstupními body mohou být trojanizované instalace Skypu a škodlivých dokumentů Microsoft Word.

Komentář Cybule: GoldenJackal je ukázkou moderního kyberšpionážního aktéra, který se systematicky zaměřuje na vládní a diplomatické instituce s cílem získat citlivé informace. Jeho útoky mají jasně strategický charakter, často cílí na systémy, které by mohly obsahovat citlivé státní nebo diplomatické údaje. Zvláštní zájem o air-gapped systémy, tedy zařízení izolovaná od internetu, svědčí o jejich schopnosti vytvářet vysoce sofistikované nástroje, které dokáží překonat i přísná bezpečnostní opatření. Útočné kampaně GoldenJackalu jsou evidentně důkladně naplánované a prováděné v dlouhodobém horizontu Přestože dosud chybí dostatek důkazů, které by jednoznačně spojovaly aktivity GoldenJackalu s konkrétním státním aktérem, existují určité taktické podobnosti s metodami a nástroji používanými ve škodlivých kampaních jiných známých skupin, jako jsou Turla a MoustachedBouncer. Zvláště MoustachedBouncer se zaměřuje na zahraniční velvyslanectví v Bělorusku, což naznačuje, že i GoldenJackal může být součástí širšího spektra kyberšpionážních operací vedených s podobnými cíli a technikami.

Čínská hackerská skupina Salt Typhoon pronikla do sítí amerických poskytovatelů širokopásmového připojení Verizon Communications, AT&T a Lumen Technologies

(5.10.2024, WSJ)

Podle deníku Wall Street Journal (WSJ), provedla Čínská hackerská skupina Salt Typhoon (vykazující podobnost s aktéry GhostEmperor a FamousSparrow) rozsáhlý kybernetický útok na sítě amerických poskytovatelů širokopásmového připojení Verizon Communications, AT&T a Lumen Technologies, což mohlo umožnit neoprávněný přístup k vysoce citlivým informacím, včetně komunikace spojené se soudem povolenými odposlechy. Tento útok, který představuje značné riziko pro národní bezpečnost USA, je považován za jeden z nejzávažnějších incidentů kybernetické špionáže poslední doby.

Co potřebujete vědět:

  • Čínská hackerská skupina Salt Typhoon, aktivní od roku 2020, pronikla do sítí amerických poskytovatelů širokopásmového připojení, včetně společností Verizon Communications, AT&T a Lumen Technologies. Útok umožnil přístup k síťové infrastruktuře, kterou používá federální vláda pro soudem povolený odposlech komunikačních dat. Hackeři měli po několik měsíců přístup k těmto systémům, což představuje zásadní bezpečnostní riziko.
  • Podle vyšetřovatelů byli útočníci schopni nejen sledovat a shromažďovat data, ale také exfiltrovat citlivé informace související s vyšetřováním trestných činů a případy týkající se národní bezpečností. Kompromitovány tak mohly být i informace spojené s odhalováním špionážní aktivity v USA.
  • Přesný dopad útoku není v současnosti znám, ale informace WSJ naznačují potenciálně katastrofální kompromitaci, která ohrožuje základní mechanismy pro monitoring komunikačního provozu, které jsou pro americkou vládu klíčové.
  • Útok Salt Typhoon navazuje na dlouhodobé varování amerických úředníků ohledně nebezpečí čínské kybernetické špionáže. Čínští útočníci se údajně zaměřují na americké kritické infrastruktury, jako jsou vodárny, elektrárny a letiště, aby v případě konfliktu s USA mohli aktivovat rušivé kybernetické útoky.
  • Většina cílů Salt Typhoon se nachází v Severní Americe nebo jihovýchodní Asii

Komentář Cybule: Salt Typhoon představuje sofistikovaného kyberšpionážního aktéra, jehož útoky se zaměřují na kritické body americké síťové infrastruktury. Čínské kybernetické aktivity jsou stále sofistikovanější a stále více zaměřené na infrastruktury, které jsou pro USA klíčové. V minulosti jsme již viděli podobné útoky, kdy čínští hackeři získali přístup k citlivým informacím z různých vládních a obchodních sítí. Salt Typhoon, podobně jako další čínské hackerské skupiny, Volt Typhoon, Flax Typhoon, ukazuje schopnost a ochotu cílit na nejzabezpečenější části amerických sítí s cílem destabilizovat kritickou infrastrukturu v případě konfliktu.

Americká CISA vydala varování pro politické strany před phishingovou aktivitou skupin napojených na Írán

(8.10.2024, CISA)

Dokument od Agentury pro kybernetickou a infrastrukturní bezpečnost (CISA) a Federálního úřadu pro vyšetřování (FBI) varuje před probíhající phishingovou kampaní, která je přičítána íránské vládě, konkrétně polovojenské organizaci Islámské revoluční gardy (IRGC). Tento dokument poskytuje přehled o hrozbách spojených s aktéry napojenými na IRGC, kteří cílí na osobní a obchodní e-mailové účty Američanů, pravděpodobně s cílem vyvolat rozpor a podkopat důvěru v demokratické instituce USA. Aby se jednotlivci a organizace chránili před těmito hrozbami, CISA a FBI doporučují implementaci několika ochranných opatření. Mezi ně patří používání phishingu odolné multifaktorové autentizace (MFA), která není založena na SMS nebo e-mailu, protože tyto metody nemusí být dostatečné na ochranu proti specifickým taktikám v kampani zapojených aktérů.

Co potřebujete vědět:
  • Kybernetičtí aktéři IRGC se zaměřují na jednotlivce spojené s politickými organizacemi a volebními kampaněmi, stejně jako na ty, kteří se zabývali otázkami týkajícími se íránských a blízkovýchodních záležitostí. To zahrnuje současné i bývalé vysoce postavené vládní úředníky, pracovníky think tanků, novináře, aktivisty a lobbisty.
  • IRGC využívá technik sociálního inženýrství k získání přístupu k americkým účtům, často napodobováním známých kontaktů, aby oběti přiměli k návštěvě podvodných přihlašovacích stránek. Tyto stránky pak vyzývají oběti k zadání přihlašovacích údajů, které kybernetičtí aktéři následně použijí k přístupu k účtům obětí. Mezi pozorované techniky patří napodobování známých osobností, žádosti o rozhovory, pozvánky na významné akce a nabídky od amerických volebních kampaní.
  • Phishingové emaily probíhající kampaně mají často jeden či více z následujících příznaků:
    • Nevyžádané kontakty od jednotlivců, které osobně neznáte, nebo od lidí, které znáte, ale tvrdí, že používají nový účet nebo telefonní číslo.
    • Neobvyklé e-mailové žádosti od veřejně známých osob.
    • Účty, které se pokoušejí sdílet odkazy nebo soubory prostřednictvím sociálních médií, zejména pokud pocházejí od lidí, které neznáte, nebo od jednotlivců, kteří obvykle nesdílejí soubory tímto způsobem.
    • E-mailové zprávy obsahující podezřelé upozornění na online účty. Nikdy se nepřihlašujte k účtům prostřednictvím e-mailových odkazů, ale raději se přihlaste přímo na webových stránkách.
    • Nevyžádané e-mailové zprávy obsahující zkrácené odkazy (např. tinyurl, bit.ly).
  • Doporučení CISA a FBI pro jednotlivce:
    • Implementujte multifaktorovou autentizaci, která není závislá na SMS nebo e-mailu.
    • Používejte správce hesel k vytváření silných, jedinečných hesel.
    • Vyhněte se klikání na odkazy v e-mailech; místo toho se přímo přihlaste na webové stránky.
    • Pravidelně aktualizujte aplikace a operační systémy, abyste se chránili před zranitelnostmi.
    • Zajistěte, aby na vašem počítači byl aktivní antivirový a antimalwarový software.
  • Doporučení CISA a FBI pro organizace:
    • Povinné MFA: Požadujte od všech zaměstnanců používání multifaktorové autentizace, která není založená na SMS nebo e-mailu.
    • Poskytněte zaměstnancům správce hesel.
    • Aktivujte nástroje proti phishingu poskytované e-mailovými službami.
    • Vzdělávejte zaměstnance o používání oficiálních účtů pro pracovní komunikaci a ověřování podezřelých zpráv prostřednictvím oddělených komunikačních kanálů.
    • Důrazně doporučte zaměstnancům, aby si pravidelně aktualizovali osobní zařízení a zavedli MFA na svých osobních účtech.
    • Přidejte upozornění k zprávám přicházejícím zvenčí vaší organizace.
    • Implementujte upozornění na neobvyklé aktivity, jako jsou přihlášení z cizích IP adres.

Komentář Cybule: Doporučení CISA a FBI přichází po srpnovém zjištění, že íránští aktéři kompromitovali kampaň republikánského kandidáta Donalda Trumpa a cílili rovněž na kampaň demokratických kandidátů, prezidenta Joe Bidena a viceprezidentky Kamaly Harris. Doporučení CISA a FBI jsou vhodná nejen pro jednotlivce a organizace v hledáčku IRGC.

Přejít nahoru