Postřehy z bezpečnosti: FBI rozbila botnet 911 S5

FBI rozbila botnet 911 S5

Ministerstvo spravedlnosti USA spolu se zahraničními partnery rozložilo botnet 911 S5 a v Singapuru zatklo jeho administrátora YunHe Wanga, občana Čínské lidové republiky. Botnet 911 S5 začal operovat v květnu 2014 a prvotně byl deaktivován administrátorem v červenci 2022, než byl v říjnu 2023 obnoven pod názvem CloudRouter. 911 S5 byl pravděpodobně největší rezidenční proxy službou, která zahrnovala více než 19 milionů kompromitovaných IP adres ve více než 190 zemích. Finanční ztráty obětí dosahovaly do řádu miliard dolarů.

V letech 2014 až 2022 botnet infikoval přes 19 milionů IP adres a jeho administrátor generoval miliony dolarů tím, že poskytoval přístup ke kompromitovaným IP adresám pro kyberkriminální činnosti. Operace FBI se uskutečnila ve spolupráci s partnery po celém světě a mimo jiné vedla k zabavení majetku v hodnotě přibližně 30 milionů dolarů.

Botnet se šířil prostřednictvím nelegitimních free VPN služeb MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN a ShineVPN. Po stažení těchto VPN aplikací se uživatelé nevědomky stali oběťmi botnetu 911 S5, aniž by si byli vědomi přítomnosti backdooru. FBI publikovala návod, jak zjistit, zdali zařízení bylo zapojeno do 911 S5.

Zájem policie o 911 S5 začal během vyšetřování praní peněz a pašování, při kterém zločinci v Ghaně a ve Spojených státech využívali IP adresy pronajaté na 911 S5 k provádění podvodných nákupů na online platformě ShopMyExchange.

Souběžně s akcí orgánů činných v trestním řízení došlo k uvalení sankcí Ministerstvem financí USA na YunHe Wanga a jeho spolupracovníky Jinping Liu a Yanni Zhenga. Sankce byly uvaleny i na tři firmy (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited a Lily Suites Company Limited), které byly buď vlastněny nebo kontrolovány Wangem. Wang čelí obviněním ze spiknutí za účelem spáchání počítačových a telekomunikačních podvodů a hrozí mu až 65 let vězení.

Zero-day v Check Point VPN Gateway

Společnost Check Point publikovala závažnou zranitelnost nultého dne (CVE-2024–24919; skóre CVSS: 7,5) ve svých produktech Network Security Gateway. Zranitelnost se týká zařízení CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways a Quantum Spark. Její zneužití může umožnit přístup k citlivým informacím na gateway připojených k internetu s povoleným vzdáleným přístupem.

Několik dní předtím varovala izraelská kyberbezpečnostní společnost před útoky zaměřenými na její zařízení VPN s cílem proniknout do podnikových sítí. Ta do 24. května 2024 identifikovala malý počet pokusů o přihlášení pomocí starých místních účtů VPN, které se spoléhaly na nedoporučenou metodu ověřování pouze heslem.

Nyní se podařilo vysledovat, že se jedná o nový vysoce závažný zero-day objevený v bezpečnostních branách s IPSec VPN, Remote Access VPN a softwarovém blade Mobile Access.

Společnost Check Point neupřesnila povahu útoků, ale v často kladených dotazech uvedla, že dosud pozorované pokusy o zneužití se zaměřují na vzdálený přístup na staré místní účty s nedoporučeným ověřováním pouze heslem proti malému počtu zákazníků.

Útok na zařízení VPN představuje nejnovější sérii útoků zaměřených na aplikace v perimetru sítě. V posledních letech byla podobnými útoky napadena zařízení společností Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks a VMware. Útočníci jsou motivováni získat přístup do organizací prostřednictvím nastavení vzdáleného přístupu, aby se mohli pokusit odhalit příslušná podniková aktiva a uživatele a hledat zranitelnosti s cílem získat trvalý přístup ke klíčovým podnikovým aktivům.

APT28 cílí na Evropu s malwarem HeadLace

Skupina APT28, známá také pod názvy BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy a TA422, stála za sérií kampaní zaměřených na evropské cíle s malwarem HeadLace.

Od dubna do prosince 2023 skupina nasadila malware HeadLace ve třech různých fázích s využitím technik geofencingu, aby se zaměřila na sítě v celé Evropě s velkým důrazem na Ukrajinu, uvedla společnost Recorded Future. Špionážní aktivity skupiny odrážejí širší strategii zaměřenou na shromažďování zpravodajských informací o subjektech, které mají pro Rusko vojenský význam v souvislosti s probíhající agresí proti Ukrajině. HeadLace, jak již dříve zdokumentovaly ukrajinský CERT-UA, společnosti Zscaler, Proofpoint a IBM X-Force, se šíří prostřednictvím spear-phishingových e-mailů obsahujících škodlivé odkazy, které po kliknutí spustí vícestupňovou infekční sekvenci, v níž dojde ke spuštění malwaru.

Skupina údajně v první fázi použila sedmistupňový řetězec infrastruktury, aby doručila škodlivý skript BAT systému Windows (tj. HeadLace), který je schopen stáhnout a spustit následné příkazy shellu, podléhající kontrolám sandboxu a geofencingu. Druhá fáze, která začala 28. září 2023, je pozoruhodná tím, že jako výchozí bod infrastruktury pro přesměrování používá GitHub, zatímco třetí fáze přešla od 17. října 2023 na používání skriptů PHP hostovaných na InfinityFree. Poslední zjištěná aktivita ve třetí fázi byla v prosinci 2023. Od té doby skupina pravděpodobně přestala používat hosting InfinityFree a upřednostnila hostingovou infrastrukturu na webhook[.]site a mocky[.]io přímo.

Bylo také zjištěno, že APT28 provádí operace pro sběr údajů vůči službám jako je Yahoo! a UKR[.]net tím, že zobrazuje podobné stránky, a nakonec oběti podvede, aby zadaly svá pověření. Další technika spočívala ve vytvoření speciálních webových stránek na serveru Mocky, které komunikovaly se skriptem Python spuštěným na kompromitovaných směrovačích Ubiquiti a exfiltrovaly zadané přihlašovací údaje. Počátkem letošního února byl při operaci vedené americkými orgány činnými v trestním řízení narušen botnet složený z routerů Ubiquiti EdgeRouters, který APT28 využila.

Mezi cíle této aktivity sběru pověření patřilo ukrajinské ministerstvo obrany, ukrajinské společnosti zabývající se dovozem a vývozem zbraní, evropská železniční infrastruktura a think-tank se sídlem v Ázerbájdžánu.

Malware Chalubo: Přes 600 000 routerů mimo provoz

Odhaduje se, že více než 600 000 routerů pro malé a domácí kanceláře (SOHO) bylo zablokováno a vyřazeno z provozu v důsledku destruktivního kybernetického útoku, který zinscenovali neznámí aktéři a který narušil přístup uživatelů k internetu.

Záhadná událost, která se odehrála mezi 25. a 27. říjnem 2023 a zasáhla jediného poskytovatele internetových služeb (ISP) v USA, dostala od týmu Lumen Technologies Black Lotus Labs kódové označení Pumpkin Eclipse. Konkrétně se týkala tří modelů routerů vydaných tímto poskytovatelem internetových služeb: ActionTec T3200, ActionTec T3260 a Sagemcom.

„K incidentu došlo v průběhu 72 hodin mezi 25. a 27. říjnem, infikovaná zařízení byla trvale nefunkční a vyžadovala výměnu hardwaru,“ uvedla společnost v technické zprávě. Výpadek je významný mimo jiné proto, že vedl k náhlému odstranění 49 % všech modemů z autonomního systémového čísla (ASN) zasaženého poskytovatele internetových služeb v daném časovém rozmezí. Ačkoliv jméno poskytovatele internetu nebylo zveřejněno, důkazy ukazují na to, že se jedná o společnost Windstream, která utrpěla výpadek přibližně ve stejnou dobu, což způsobilo, že uživatelé hlásili „červené světlo“, které se zobrazovalo na postižených modemech.

Nyní, o několik měsíců později, odhalila analýza společnosti Lumen, že za sabotáž je zodpovědný trojský kůň pro vzdálený přístup (RAT) Chalubo – skrytý malware, který společnost Sophos poprvé zdokumentovala v říjnu 2018. Útočník se pro něj rozhodl pravděpodobně ve snaze zkomplikovat snahu o určení autorství, místo aby použil vlastní sadu nástrojů.

„Chalubo má payloady určené pro všechna hlavní jádra SOHO/IoT, předpřipravené funkce k provádění útoků DDoS a dokáže spustit jakýkoliv skript Lua zaslaný botovi,“ uvedla společnost. „Máme podezření, že funkce Lua byla pravděpodobně použita škodlivým aktérem k získání destruktivního payloadu.“ To znamená, že přesná počáteční metoda přístupu použitá k prolomení routerů je v současné době stále nejasná, ačkoliv se předpokládá, že mohlo jít o zneužití slabých přihlašovacích údajů nebo o zneužití odkrytého administrátorského rozhraní.

Moonstone Sleet: kombinace špionážních a ransomwarových TTPs

Společnost Microsoft zveřejnila zprávu o nové severokorejské skupině, která se zaměřuje na oblast vzdělávání, obrany a softwarových a IT společností za účelem špionáže a generování zisku pro severokorejský režim. Tato státem sponzorovaná skupina, sledovaná jako Moonstone Sleet (dříve Storm-1789), kombinuje taktiky, techniky a postupy (TTPs) používané jinými severokorejskými útočníky se svými jedinečnými metodami.

Moonstone Sleet vytvářela falešné společnosti a pracovní místa pro kontaktování potenciálních cílů, využívala trojanizované verze legitimních nástrojů jako je např. PuTTy, vyvinula škodlivou hru DeTankWar a dodávala vlastní nový ransomware FakePenny.

Skupina se do značné míry překrývá se skupinou Diamond Sleet (známá také jako Zinc), která je považována za podskupinu skupiny Lazarus, ale od dubna si začala budovat vlastní infrastrukturu a je aktivní v rozsáhlých operacích. V letošním roce byla APT Moonstone Sleet pozorována při zakládání falešných společností, např. StarGlow Ventures a C.C. Waterfal, údajně zabývající se vývojem softwaru a umělé inteligence.

Ve svých útocích se severokorejci se zaměřili na osoby hledající zaměstnání na pozicích vývojářů softwaru. Skupina poslala kandidátům nejprve e-mailovou zprávu, která obsahovala trackovací pixel 1×1 pro sledování, které oběti e-mailovou zprávu otevřely. Následně jednotlivcům zaslala „test dovedností“, který na zařízeních obětí nainstaloval malware prostřednictvím škodlivého balíčku NPM.

Začátkem prosince 2023 skupina kompromitovala společnosti zabývající se obrannými technologiemi s cílem získat přihlašovací údaje a informace týkající se duševního vlastnictví. Následně byly v dubnu 2024 tyto společnosti cílem vlastní varianty ransomwaru skupiny FakePenny.

Ve zkratce

• Marocká skupina kyberzločinců denně odcizí až 100 tisíc dolarů prostřednictvím podvodů s dárkovými kartami
• Spojené státy odsoudily 31letého muže na 10 let za praní 4,5 milionu dolarů v e-mailových podvodech
• Občan Indie se přiznal ke krádeži kryptoměn za 37 milionů dolarů
• Zranitelnost herního routeru TP-Link vystavuje uživatele útokům vzdáleného kódu

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…