Postřehy z bezpečnosti: automobilový gigant pod útokem ransomware

Automobilový gigant Denso cílem ransomwaru skupiny Pandora

Společnost Denso, globální dodavatel automobilových dílů pro autonomní vozidla, se stala obětí kybernetického útoku, který zasáhl zařízení její německé pobočky. Zákazníky společnosti jsou například automobilky Toyota, Honda, Volvo, Fiat, Mercedes-Benz, General Motors nebo Ford. Společnost uvedla, že ransomwarový útok nenarušil kontinuitu výroby ani produkci. K útoku se podle serveru ZDNet přihlásila ransomware skupina Pandora, která požaduje po dodavateli a jeho zákaznících výkupné a již na svých stránkách na dark netu zveřejnila také vzorky ukradených dat.

Skupina uvádí, že kromě jiného se zmocnila 1,4 TB dat, které zahrnují objednávky, technické výkresy, NDA smlouvy nebo e-mailové komunikace. Jedná o typickou strategii útočníků v poslední době, kdy kromě zašifrování dat navíc data exfiltrují na své vzdálené servery a žádají po oběti vyšší nebo opakované výkupné (tzv. „double extortion“).

Jedním ze zasažených zákazníků je japonská automobilka Toyota Motor Group. Pro Toyotu se jedná už o druhý kybernetický útok na dodavatelský řetězec z poslední doby. Obětí útoku se v únoru stala také společnost Kojima Industries, která automobilce dodávala plastové komponenty. Kvůli kritickému selhání systémů dodavatele a nedostatku dílů musela Toyota pozastavit produkci na několika výrobních linkách.

Pandora je na poli ransomware gangů poměrně novým hráčem. Výzkumníci v oblasti malware se ale na základě podobností v kódu payloadu a zaměření na automobilový průmysl domnívají, že se jedná o stejnou skupinu, která provozuje ransomware Rook, popřípadě její odnož.

Antivirus Kaspersky v hledáčku národních bezpečnostních institucí

V době, kdy probíhá invaze ruských vojsk na Ukrajinu, označilo několik státních institucí po celém světě některé ruské výrobce software jako rizikové. Mezi ně patří i známý antivirus Kaspersky. Produkty, i analytici společnosti Kaspersky mají v bezpečnostní komunitě poměrně dobré jméno a napojení na ruskou bezpečnost nebylo zatím oficiálně potvrzeno (jeden z incidentů, který někteří uvádějí jako důkaz, se týká získání vzorků malware americké NSA, kde zřejmě operátor nevypnul antivirus a tyto byly poté odeslány na analýzu). 

Bohužel pro Kaspersky, ruské zákony o spolupráci s informační službou a armádou antivirus staví do pozice rizikového software a to i v případě, kdy Kaspersky ukládá data pro zákazníky v Zurichu a snaží se ukazovat odpovědnost vůči sbíraným datům přes nezávislé audity.

Německá BSI nyní vydala doporučení, které varuje před používáním produktů Kaspersky. Český NÚKIB zatím Kaspersky přímo nejmenoval, ale jejich nové doporučení je poměrně jasné.

Amerika má Kaspersky na seznamu zakázaného software pro vládní agentury a armádu již několik let a Britská NCSC nedoporučuje použití ve státní sféře taktéž delší dobu. 

Nový wiper cílí na ukrajinské organizace

Výzkumníci ze společnosti ESET objevili nový malware typu wiper, který maže data koncových uživatelů a informace o logických oddílech připojených síťových disků. Jedná se po HermeticWiperu a IsaacWiperu v pořadí již o třetí wiper, který se zaměřuje především na důležité organizace na Ukrajině. Malware nazvali CaddyWiper a podle analýzy výzkumníků není jeho kód podobný žádnému jinému známému wiperu. Podobnost pozorovali pouze v tom, že stejně jako u HermeticWiperu je pravděpodobné, že útočníci již měli přístup do interní sítě napadených organizací, jelikož pro jeho nasazení byly použity skupinové politiky (Microsoft Group Policy Objects – GPO) v prostředí Active Directory.

Výzkumníci při inspekci kódu také zjistili, že přístup do vnitřní sítě si útočníci pravděpodobně udržují přes kompromitované Active Directory doménové kontrolery, které CaddyWiper při ničení dat vynechává. Vzhledem ke stále trvajícímu konfliktu mezi Ukrajinou a Ruskem, jehož součástí je jistě také boj v kyberprostoru, je pravděpodobné, že se nejedná o poslední malware, o kterém v této souvislosti uslyšíme.

NÚKIB vydal podpůrný materiál pro penetrační testování

Národní úřad pro kybernetickou a informační bezpečnost vydal 16. března 2022 dokument, který poskytuje základní vhled do problematiky penetračního testování určený především pro manažery kybernetické bezpečnosti, osoby odpovědné za provádění penetračního testování, ale i pro nadšence, které problematika zajímá.

Dokument vysvětluje základní pojmy a stručně popisuje například typy penetračních testerů, fáze testování, doporučení pro jednotlivé fáze zakázky, rozdíl mezi penetračními testy a skeny zranitelností. podobu smlouvy a její vhodné součásti a další podobné informace. Kromě toho obsahuje také užitečné praktické rady, výčtem častých chyb a doporučení, jak jim předejít.

DoS zranitelnost v OpenSSL

Open SSL je populární kryptografická knihovna, která nabízí open-source aplikaci protokolů TLS a SSL. Správci knihovny v úterý vydali aktualizaci, která opravuje zranitelnost typu DoS (denial-of-service) s vysokou závažností, která souvisí s parsováním certifikátů. Zranitelnost objevil bezpečnostní výzkumník projektu Google Project Zero Tavis Ormandy. Zranitelnosti byl přidělen identifikátor CVE-2022–0778 a CVSS skóre 7,5 a souvisí s parsováním chybného certifikátu s neplatnými parametry eliptické křivky. Na opravě se spolupracovali David Benjamin ze společnosti Google a Tomáš Mráz z OpenSSL.

Chyba před opravou spočívala ve funkci BN_mod_sqrt(), která počítá modulární odmocninu při zpracovávání certifikátů s eliptickými křivkami. Konkrétně se tato funkce používá při analýze certifikátů, které obsahují veřejné klíče eliptických křivek v komprimované podobě nebo explicitně zadané parametry eliptických křivek. Nekonečnou smyčku je možné vyvolat pomocí certifikátu s neplatnými parametry, protože při neprvočíselném vstupu se funkce zacyklí. Nebezpečí DoS je vystaven každý proces, který ověřuje externí certifikáty, protože parsování probíhá ještě před ověřením podpisu a platnosti certifikátu. Zranitelnost se týká verzí OpenSSL 1.0.2, 1.1.1 a 3.0 a nezbývá než doporučit její záplatování.

Rusko řeší problém s TLS vytvořením vlastní certifikační autority 

Sankce, které byly uvaleny na Ruskou Federaci, ovlivňují i bankovní transakce spojené s obnovováním existujících TLS certifikátů. Vypršení certifikátu může zapříčinit blokaci HTTPS stránky a oznámení prohlížeče ohledně bezpečnosti certifikátu. Rusko proto vytvořilo svoji vlastní TLS certifikační autoritu (CA), aby tento problém vyřešilo. 

Proces pro uznání důvěryhodnosti nové CA, aby byla akceptována většinou prohlížečů je poměrně zdlouhavý. Jedním z prohlížečů, který již tuto novou CA uznává jako důvěryhodnou je například ruský Yandex browser a ruští uživatelé jsou nabádání k používání toho prohlížeče. Webové prohlížeče, které ruskou CA nepřidaly mezi důvěryhodné jsou například Chrome, Safari, Edge, či Firefox. Uživatelé mohou do těchto prohlížečů přidat novou ruskou CA manuálně k zachování přístupu k ruským stránkám. Mezi první stránky užívající certifikáty vydané touto autoritou patří například některé ruské banky. 

Existuje samozřejmě riziko, že by Rusko mohlo použít svoji vlastní certifikační autoritu k zachytávání a dešifrování TLS komunikace a man-in-the-middle útokům.

Ve zkratce

• Vývojář na protest proti válce upravil open source balíček, ten mazal počítače v Rusku a Bělorusku 
• Hackeři cílí na bankovní sítě s novým rootkitem
• Asus varuje před Cyclops Blink malwarem, který cílí na jejich routery
• Microsoft Defender označuje Office updaty jako ransomware aktivitu
• Zajímavá phishingová metoda Browser In The Browser Attack

Pro pobavení

Autor: neznámý

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…