Nově objevená zranitelnost umožňuje klonovat tokeny YubiKey
V úterý publikoval bezpečnostní výzkumník Thomas Roche z uskupení NinjaLabs článek, v němž popisuje nový side-channel útok na hardwarové FIDO tokeny firmy Yubico [PDF], který umožňuje z těchto tokenů extrahovat privátní klíče, a tedy principiálně tokeny klonovat.
Útok, který byl nazván EUCLEAK, vyžaduje (vedle specifického hardware), aby měl útočník nad klonovaným tokenem/modulem po nějakou dobu fyzickou kontrolu, a dle zvoleného postupu může vyžadovat rovněž znalost vybraných autentizačních údajů.
Zranitelnost, která útok umožňuje, je způsobena chybou v kryptografické knihovně firmy Infineon, jíž produkty společnosti Yubico využívají. Zranitelností jsou postiženy všechny klíče ze série YubiKey 5 s verzí firmwaru nižší než 5.7, resp. 5.7.2, a rovněž moduly YubiHSM 2 s firmwarem nižším než 2.4.0.
CISA spolu s českými zpravodajskými službami upozornila na aktivity ruské APT skupiny
CISA spolu s řadou dalších bezpečnostních organizací, mezi nimiž byly i české zpravodajské služby BIS a Vojenské zpravodajství, publikovala v uplynulém týdnu zprávu popisující aktivity skupiny Unit 29155, známou rovněž jako Ember Bear nebo Cadet Blizzard, fungující v rámci ruské vojenské rozvědky GRU.
Jmenovaná skupina je spojována s globálními kybernetickými útoky na systémy kritické infrastruktury. Historicky mj. využívala malware WhisperGate při útocích na ukrajinské cíle, provádí však rovněž operace cílené na země NATO a další státy (nejen) Evropy.
Součástí zprávy je mj. detailní seznam taktik, technik a procedur (TTP) spojovaných se skupinou Unit 29155, který lze v případě potřeby využít v rámci budování či validace defenzivních opatření. Obsah zmíněného dokumentu tak může být vysoce hodnotný i pro technické bezpečnostní týmy působící v prostředí České republiky.
V souvislosti s aktivitami jmenované skupiny poskytla CISA rovněž několik obecnějších doporučení pro zvýšení úrovně kybernetické bezpečnosti organizací, která je vhodné plošně aplikovat – jmenovitě prioritizaci updatů systémů a eliminaci známých zranitelností, vhodnou segmentaci interních sítí a využívání MFA pro externě dostupné a kritické služby.
Pět členů výše zmíněné skupiny bylo v souvislosti s jejími aktivitami v uplynulém týdnu rovněž v USA formálně obviněno z řady zločinů, byly na ně vydány mezinárodní zatykače a Spojené státy nabídly odměnu až ve výši 10 milionů dolarů za informace vedoucí k jejich dopadení.
USA zabavilo 32 domén šířících proruskou propagandu před prezidentskými volbami
Ministerstvo spravedlnosti Spojených států ve středu oznámilo, že v rámci akce zaměřené na zmaření ruské vlivové operace nazvané „Doppelgänger“ mj. zabavilo 32 domén a uvalilo sankce na deset osob a dvě organizace v souvislosti s pokusy o ovlivňování nadcházejících prezidentských voleb.
Akce navazuje podobnou červencovou aktivitu stejného ministerstva, při níž byla převzata kontrola nad dvěma dalšími doménami a téměř tisícem účtů na sociálních sítích, využívaných ruskou bot farmou.
Sextortion útoky nově i s obrázky bydliště oběti
Sextortion útoky – tedy e-mailové zprávy vydírající oběti s pomocí hrozby publikace neexistujících fotografií nebo videí zachycujících je v intimních situacích, zpravidla při návštěvě stránek s pornografickou tématikou – jsou s námi již velmi dlouho. A přestože většina těchto zpráv si je velmi podobná, neb jejich autoři zpravidla tvrdí, že obrázky či video oběti získali po kompromitaci jejího počítače s pomocí malwaru, některé z těchto zpráv vykazují zajímavé odchylky.
K vybraným e-mailům útočníci historicky například přikládali intimní fotografie jiných lidí, ve snaze demonstrovat povahu údajně nasbíraných materiálů, explicitně zmiňovali heslo, které bylo obětí historicky používáno a objevilo se v nějaké volně dostupné databázi zcizených přihlašovacích údajů, nebo se snažili zvýšit důvěryhodnost zpráv tím, že se vydávali za pracovníky IT podpory, kteří získali schopnost nahrávat oběť s pomocí přístupu, který jim jejich práce umožnila.
Nová technika, kterou útočníci začali používat v zájmu zvýšení tlaku na své oběti, je vkládání obrázků jejich bydliště, získaných ze služby Google Street View, nebo podobného veřejně dostupného zdroje, do těla e-mailů. Lze při tom předpokládat, že informace o adrese získávají útočníci (podobně jako výše zmíněná hesla) z uniklých databází ze služeb třetích stran.
Tento postup může nejen snáze přimět oběti k zaplacení „výpalného“, ale dobře ukazuje i zneužitelnost jinak relativně omezeně monetizovatelných osobních údajů.
Další zajímavosti
- Intel publikoval vyjádření k nedávno zveřejněné hrozbě krádeže kořenových kryptografických klíčů SGX z procesorů
- Nový ransomware Cicada3301 má silné vazby na ALPHV/BlackCat
- Projekt Damn Vulnerable UEFI umožňuje simulovat útoky na UEFI firmware
- Tři provozovatelé služby poskytující služby obcházení MFA přiznali před soudem ve Velké Británii vinu
- Publikována analýza aktivit APT skupiny Head Mare, která cílí výhradně na ruské a běloruské organizace
- Novým špionážním malwarem Voldemort bylo zasaženo již přes 70 organizací
- Německé řízení letového provozu zasaženo kybernetickým útokem, údajně bez dopadu na funkci kritických systémů
- Provozovatel londýnské městské dopravy byl zasažen kybernetickým útokem, údajně bez dopadu na provoz
- Proruské a proběloruské skupiny stále častěji cílí na lotyšské webové systémy
- Ruský ministr zahraničí se vyjádřil k zatčení CEO Telegramu ve Francii
- Francii zasáhly v souvislosti se zatčením CEO Telegramu DDoS útoky
- Švédsko upozornilo na zvýšené riziko ruských sabotážních akcí nejen v kyberprostoru
- Americké vojenské námořnictvo testuje Starlink
- Bílý dům publikoval dokument Roadmap to Enhancing Internet Routing Security shrnující doporučení pro zabezpečení BGP
- CISA varovala před skupinou RansomHub a publikovala s ní spojná TTP
- Počet aktivních ransomwarových skupin se v prvním pololetí meziročně zvýšil o více než polovinu
- Počty ransomwarových útoků se v některých státech ve druhém kvartálu roku meziročně až zdvojnásobily
- Cox Media Group údajně cílí reklamu na základě odposlechů z mikrofonů z chytrých zařízení
- Evropské organizace zaměřené na ochranu osobních práv a svobod volají po silnější regulaci komerčního spywaru
- Kolumbijský prezident naznačil, že předchozí vláda pořídila za 11 milionů dolarů spyware Pegasus
- Spyware Predator zažívá comeback
- Odhalena síť falešných účtů šířících na sociálních sítích pro-indickou propagandu
- Společnost Clearview AI dostala v Holandsku pokutu €30,5 milionu za nezákonný sběr osobních údajů
- Z ofenzivního nástroje určeného pro útoky na službu OnlyFans se vyklubal malware kradoucí hesla
- Novým útokem na PyPI repozitáře je potenciálně zranitelných přes 22000 balíčků
- Update pro Chrome záplatuje čtyři významné zranitelnosti
- Zyxel publikoval záplatu pro kritickou zranitelnost postihující vybrané routery a access pointy
- Cisco publikovalo záplaty pro závažné zranitelnosti ve Smart Licensing Utility
- Veeam publikoval záplatu pro kritickou zranitelnost v produktu Backup & Replication
- Nová zranitelnost v pluginu LiteSpeed Cache, která umožňuje převzít kontrolu nad validními účty, postihuje více než 6 milionů webových portálů postavených nad CMS WordPress
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU