Postřehy z bezpečnosti: klonování hardwarových tokenů YubiKey

Nově objevená zranitelnost umožňuje klonovat tokeny YubiKey

V úterý publikoval bezpečnostní výzkumník Thomas Roche z uskupení NinjaLabs článek, v němž popisuje nový side-channel útok na hardwarové FIDO tokeny firmy Yubico [PDF], který umožňuje z těchto tokenů extrahovat privátní klíče, a tedy principiálně tokeny klonovat.

Útok, který byl nazván EUCLEAK, vyžaduje (vedle specifického hardware), aby měl útočník nad klonovaným tokenem/modulem po nějakou dobu fyzickou kontrolu, a dle zvoleného postupu může vyžadovat rovněž znalost vybraných autentizačních údajů.

Zranitelnost, která útok umožňuje, je způsobena chybou v kryptografické knihovně firmy Infineon, jíž produkty společnosti Yubico využívají. Zranitelností jsou postiženy všechny klíče ze série YubiKey 5 s verzí firmwaru nižší než 5.7, resp. 5.7.2, a rovněž moduly YubiHSM 2 s firmwarem nižším než 2.4.0.

CISA spolu s českými zpravodajskými službami upozornila na aktivity ruské APT skupiny

CISA spolu s řadou dalších bezpečnostních organizací, mezi nimiž byly i české zpravodajské služby BIS a Vojenské zpravodajství, publikovala v uplynulém týdnu zprávu popisující aktivity skupiny Unit 29155, známou rovněž jako Ember Bear nebo Cadet Blizzard, fungující v rámci ruské vojenské rozvědky GRU.

Jmenovaná skupina je spojována s globálními kybernetickými útoky na systémy kritické infrastruktury. Historicky mj. využívala malware WhisperGate při útocích na ukrajinské cíle, provádí však rovněž operace cílené na země NATO a další státy (nejen) Evropy.

Součástí zprávy je mj. detailní seznam taktik, technik a procedur (TTP) spojovaných se skupinou Unit 29155, který lze v případě potřeby využít v rámci budování či validace defenzivních opatření. Obsah zmíněného dokumentu tak může být vysoce hodnotný i pro technické bezpečnostní týmy působící v prostředí České republiky.

V souvislosti s aktivitami jmenované skupiny poskytla CISA rovněž několik obecnějších doporučení pro zvýšení úrovně kybernetické bezpečnosti organizací, která je vhodné plošně aplikovat – jmenovitě prioritizaci updatů systémů a eliminaci známých zranitelností, vhodnou segmentaci interních sítí a využívání MFA pro externě dostupné a kritické služby.

Pět členů výše zmíněné skupiny bylo v souvislosti s jejími aktivitami v uplynulém týdnu rovněž v USA formálně obviněno z řady zločinů, byly na ně vydány mezinárodní zatykače a Spojené státy nabídly odměnu až ve výši 10 milionů dolarů za informace vedoucí k jejich dopadení.

USA zabavilo 32 domén šířících proruskou propagandu před prezidentskými volbami

Ministerstvo spravedlnosti Spojených států ve středu oznámilo, že v rámci akce zaměřené na zmaření ruské vlivové operace nazvané „Doppelgänger“ mj. zabavilo 32 domén a uvalilo sankce na deset osob a dvě organizace v souvislosti s pokusy o ovlivňování nadcházejících prezidentských voleb.

Akce navazuje podobnou červencovou aktivitu stejného ministerstva, při níž byla převzata kontrola nad dvěma dalšími doménami a téměř tisícem účtů na sociálních sítích, využívaných ruskou bot farmou.

Sextortion útoky nově i s obrázky bydliště oběti

Sextortion útoky – tedy e-mailové zprávy vydírající oběti s pomocí hrozby publikace neexistujících fotografií nebo videí zachycujících je v intimních situacích, zpravidla při návštěvě stránek s pornografickou tématikou – jsou s námi již velmi dlouho. A přestože většina těchto zpráv si je velmi podobná, neb jejich autoři zpravidla tvrdí, že obrázky či video oběti získali po kompromitaci jejího počítače s pomocí malwaru, některé z těchto zpráv vykazují zajímavé odchylky.

K vybraným e-mailům útočníci historicky například přikládali intimní fotografie jiných lidí, ve snaze demonstrovat povahu údajně nasbíraných materiálů, explicitně zmiňovali heslo, které bylo obětí historicky používáno a objevilo se v nějaké volně dostupné databázi zcizených přihlašovacích údajů, nebo se snažili zvýšit důvěryhodnost zpráv tím, že se vydávali za pracovníky IT podpory, kteří získali schopnost nahrávat oběť s pomocí přístupu, který jim jejich práce umožnila.

Nová technika, kterou útočníci začali používat v zájmu zvýšení tlaku na své oběti, je vkládání obrázků jejich bydliště, získaných ze služby Google Street View, nebo podobného veřejně dostupného zdroje, do těla e-mailů. Lze při tom předpokládat, že informace o adrese získávají útočníci (podobně jako výše zmíněná hesla) z uniklých databází ze služeb třetích stran.

Tento postup může nejen snáze přimět oběti k zaplacení „výpalného“, ale dobře ukazuje i zneužitelnost jinak relativně omezeně monetizovatelných osobních údajů.

Další zajímavosti

• Intel publikoval vyjádření k nedávno zveřejněné hrozbě krádeže kořenových kryptografických klíčů SGX z procesorů
• Nový ransomware Cicada3301 má silné vazby na ALPHV/BlackCat
• Projekt Damn Vulnerable UEFI umožňuje simulovat útoky na UEFI firmware
• Tři provozovatelé služby poskytující služby obcházení MFA přiznali před soudem ve Velké Británii vinu
• Publikována analýza aktivit APT skupiny Head Mare, která cílí výhradně na ruské a běloruské organizace
• Novým špionážním malwarem Voldemort bylo zasaženo již přes 70 organizací
• Německé řízení letového provozu zasaženo kybernetickým útokem, údajně bez dopadu na funkci kritických systémů
• Provozovatel londýnské městské dopravy byl zasažen kybernetickým útokem, údajně bez dopadu na provoz
• Proruské a proběloruské skupiny stále častěji cílí na lotyšské webové systémy
• Ruský ministr zahraničí se vyjádřil k zatčení CEO Telegramu ve Francii
• Francii zasáhly v souvislosti se zatčením CEO Telegramu DDoS útoky
• Švédsko upozornilo na zvýšené riziko ruských sabotážních akcí nejen v kyberprostoru
• Americké vojenské námořnictvo testuje Starlink
• Bílý dům publikoval dokument Roadmap to Enhancing Internet Routing Security shrnující doporučení pro zabezpečení BGP
• CISA varovala před skupinou RansomHub a publikovala s ní spojná TTP
• Počet aktivních ransomwarových skupin se v prvním pololetí meziročně zvýšil o více než polovinu
• Počty ransomwarových útoků se v některých státech ve druhém kvartálu roku meziročně až zdvojnásobily
• Cox Media Group údajně cílí reklamu na základě odposlechů z mikrofonů z chytrých zařízení
• Evropské organizace zaměřené na ochranu osobních práv a svobod volají po silnější regulaci komerčního spywaru
• Kolumbijský prezident naznačil, že předchozí vláda pořídila za 11 milionů dolarů spyware Pegasus
• Spyware Predator zažívá comeback
• Odhalena síť falešných účtů šířících na sociálních sítích pro-indickou propagandu
• Společnost Clearview AI dostala v Holandsku pokutu €30,5 milionu za nezákonný sběr osobních údajů
• Z ofenzivního nástroje určeného pro útoky na službu OnlyFans se vyklubal malware kradoucí hesla
• Novým útokem na PyPI repozitáře je potenciálně zranitelných přes 22000 balíčků
• Update pro Chrome záplatuje čtyři významné zranitelnosti
• Zyxel publikoval záplatu pro kritickou zranitelnost postihující vybrané routery a access pointy
• Cisco publikovalo záplaty pro závažné zranitelnosti ve Smart Licensing Utility
• Veeam publikoval záplatu pro kritickou zranitelnost v produktu Backup & Replication
• Nová zranitelnost v pluginu LiteSpeed Cache, která umožňuje převzít kontrolu nad validními účty, postihuje více než 6 milionů webových portálů postavených nad CMS WordPress

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…