Novodobí hackeři mají velké vize
AlphaLock, skupina nováčků v hackerském světě, se prezentuje jako „výcviková instituce pro penetrační testování“ a své služby prodává pomocí partnerských programů. Jejich byznys model stojí na dvou pilířích. Prvním je školení hackerů online, a to skrze kurz Bazooka Code za 185 dolarů, který se tváří jako výcvik pro penetrační testery. Druhým pilířem je ALPentest Hacking Marketplace, jenž využívá svých vyškolených testerů, resp. hackerů, pro vytvoření internetového tržiště. Tam mohou zákazníci zakoupit „penetrační testy“ zaměřené na konkrétní organizace.
Podařilo se nám za dva měsíce postavit vyškolený tým. Ale přijde čas, kdy ti nejlepší zmizí. Usadí se v anonymitě a budou tiše vydělávat pro své potomky,
sdělil jeden z příspěvků ve skupině na Telegramu. Všem našim kolegům doporučujeme trpělivost a úsilí věnovat se studiu penetračního testování. Pentesting je budoucnost.
Skupina ve svých business aktivitách nezahálí a dokonce oznámila, že plánuje vytvořit platformu, kde klienti budou moci sledovat pokrok testera při jednotlivých útocích. Škodliví aktéři mohou navrhovat cíle útoků – z těch si studenti „penetračního testování“ mohou vybrat, zveřejnit důkaz provedeného útoku a obdržet uvedené odměny. Mimo jiné zmíněná organizace oznámila tvorbu i kanálu na YouTube.
Jako hlavní komunikační kanál s veřejností byla doposud využívána skupina na Telegramu. Ta byla ovšem v posledních dnech znepřístupněna veřejnosti, ač má údajně stále sloužit ke sdílení novinek a předávání informací potenciálním zájemcům. Se samotnými studenty je nyní komunikováno přes chatovací aplikaci Matrix.
Přes veškeré výše popsané marketingové pozlátko si připomeňme, že se stále jedná o škodlivou hackerskou skupinu, která se svým chytrým sebeprezentováním snaží vytvářet jakousi iluzi instituce pomáhající ostatním. Opak je však pravdou.
Do třetice všeho… špatného?
Den 13. listopad nebyl sice pátek, ale společnost Samsung Electronics to tak možná mohla vnímat. Ten den totiž odhalila únik zákaznických dat, ke kterému došlo kvůli zranitelnosti v aplikaci třetí strany, jíž společnost Samsung používá. Uniklé informace obsahují údaje o jménech zákazníků, jejich telefonních číslech, emailových adresách a adresách bydliště. Samsung ovšem zdůraznil, že informace týkající se hesel, případně finančních údajů klientů odcizeny nebyly. Únik dat postihl pouze zákazníky ve Velké Británii, kteří byli o daném incidentu informování skrze SMS notifikaci. V současnosti nejsou ovšem známy žádné další detaily týkající se průběhu samotného útoku.
Bohužel to není poprvé, kdy firma Samsung podlehla podobnému útoku. Za poslední dva roky je to třetí únik dat, jemuž tato společnost musela čelit. Předchozí byl objeven na začátku srpna roku 2022 a zmíněný první únik ze tří sahá do března téhož roku, kdy hackerská skupina Lapsus$ odcizila 190 GB citlivých dat Samsungu.
Botnet IPStorm odstaven
Americké ministerstvo spravedlnosti ve středu oznámilo, že se FBI podařilo vypnout botnet IPStorm. Akce následovala po lednovém zatčení ruského a moldavského občana Sergeje Makinina. Ten se přiznal, že IPStorm v roce 2019 vytvořil, a do prosince 2022 provozoval a rozšiřoval. Infikovaná zařízení se stávala součástí sítě, která fungovala jako anonymizační infrastruktura pro skrývání identity a zdroje aktivit „zákazniků“, kterým ji její tvůrce pronajímal za řádově stovky dolarů měsíčně. Celkem síť zahrnovala více než 23 tisíc zařízení, původně pouze na platformě Windows, později ale rozšířených o macOS, Linux a Android. Makinin si tímto způsobem přišel na více než půl milionu dolarů.
Z technického pohledu je zajímavé použití jinak legitimní peer-to-peer síťové technologie IPFS (InterPlanetary File System pro komunikaci infikovaných systémů s řídícími centry botnetu. Podle zprávy výzkumného týmu Cisco se IPFS pro podobné nelegitimí účely používá stále více. Detaily o fungování botnetu přináší obsáhlá analýza teamu Intezer, který s FBI na vyšetřování spolupracoval.
Zyxel otevřenou branou do sítě
Dánský energetický sektor se letos stal lákavým cílem kybernetických útoků. Tým SektorCERT, který poskytuje své služby subjektům kritické infrastruktury, nyní zveřejnil detailní zprávu o průběhu květnového koordinovaného útoku, kdy se útočníkům podařilo získat neoprávněný přístup do 22 společností. Ovládli některé průmyslové řídící systémy a několik zasažených subjektů bylo nuceno přejít do „ostrovního“ režimu a zcela odpojit své IT od internetu. K průniku byly primárně zneužity tři zranitelnosti ve firewallech Zyxel s CVSS skóre 9.8. Následně, ve druhé vlně útoků koncem května, byla úspěšně napadená zařízení použita jako součást botnetu Mirai pro útok na cíle ve Spojených státech a Hong Kongu.
Není zatím jasné, kdo konkrétně za útoky stojí, a patrně byly provedeny více subjekty. Nicméně autoři zprávy se domnívají, že minimálně jeden z nich může být známá skupina Sandworm, která má vazby na ruskou GRU, a nechvalně se proslavila např. útoky na ukrajinskou energetickou infrastrukturu.
Ve zkratce
- Izrael varuje před wiperem BiBi
- 600 tisíc WordPress webů v ohrožení
- Stovky kontejnerů v přístavech zablokovány kuberútokem
- Falešní kryptoanalytici vydělávají velké peníze na síti X
- Data o sexuálním životě tisíců lidí zcizena Britské vládě
Pro zasmání
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU