Postřehy z bezpečnosti: kvantové šifrování, rekordní DDoS útoky a nové zranitelnosti

19. 8. 2024
Doba čtení: 6 minut

Sdílet

Supravodivý kvantový počítač s 64 qubity Autor: RIKEN
Supravodivý kvantový počítač s 64 qubity
Dnes se podíváme na nově vydané šifrovací standardy NIST, statistiky DDoS útoků za první pololetí roku 2024, potenciální kyberšpionáž v Rusku a zranitelnosti v produktech od Microsoftu.

NIST vydává šifrovací standardy FIPS připravené pro svět kvantových počítačů

Po více než osmi letech koordinovaného úsilí výzkumných týmů státních organizací, univerzit, ale i komerčních subjektů vydává americký Národní úřad pro standardy a technologie (NIST) novou trojici nástrojů určených pro ochranu a přenos digitálních informací, splňujících podmínky odolnosti proti výpočetnímu výkonu kvantového počítače.

Historie této aktivity se počítá od roku 2016, kdy NIST zahájil vůbec první debaty o tom, jaké parametry by měly definovat takzvané kvantově odolné šifrování. Přijaté návrhy a připomínky byly zapracovány do výzkumu, který v roce 2023 vyústil ve zveřejnění návrhu výše zmíněných tří šifrovacích standardů.

Doba pokročila, a na portálu FIPS tak ke dni 13. 8. 2024 vznikly tři nové digitálně bezpečnostní standardy: FIPS 203 pro ML-KEM, FIPS 204 pro ML-DSA a FIPS 205 pro SLH-DSA. Tyto tři standardy neobsahují pouze technickou dokumentaci, ale i instrukce k tomu, jak tyto nové standardy správně implementovat v reálných prostředích a produktech.

Celý proces vývoje byl velmi důkladně víceúrovňově sledován a řízen z důvodu maximální akceptace požadavků bezpečnostních i zpravodajských specialistů na ochranu citlivých informací v kybernetickém prostoru. Specialisté na ochranu citlivých informací po několik let upozorňují na blížící se okamžik, kdy se zařízení známé pod zkratkou CRQC (Cryptographically Relevant Quantum Computer), tedy kryptograficky relevantní kvantový počítač, stane komerčně dostupným a použitelným. Což v podstatě znamená i zneužitelným k neetickým, nelegálním či přímo kriminálním aktivitám v digitálním světě.

Komerční dostupnost CRQC by podle různých specialistů na tuto problematiku neměla nastat dříve než v roce 2030, přičemž se stává více zřetelným, že chvíle nástupu této technologie, a tedy i kybernetické hrozby nebude jednoduše utajitelná ani neočekávatelná. 

Zcela jinou výzvou, než je pouhý vývoj “kvantově odolných” šifrovacích standardů, pak bude následná migrace stávajících nezodolněných systémů na nové technologie odolné proti CRQC. Na tento fakt poukazují materiály britského Národního centra pro kybernetickou bezpečnost (NCSC), ať již pro migraci nezodolněných systémů bude použit jeden z námi probíraných standardů FIPS, nebo budoucnost přinese standard jakýkoli jiný. 

Problém je totiž mnohem hlubší, než aby jej vyřešila jen instalace nových nástrojů a knihoven. Výraznou změnou bude muset projít celá světová digitální infrastruktura, a to od poměrně výrazně navýšeného vyžadovaného výpočetního výkonu přes architekturu čipů, síťových karet a routerů až po vlastní reálnou implementaci na koncových zařízeních a v uživatelských aplikacích.

Zajímavou výzvou se může situace stát v případě, kdy bude nalezen prvek již z minulosti starších FIPS certifikovaných digitálních systémů (typicky využívaných v architekturách sítí a prvků se statusem národní kritické infrastruktury), které jsou ale z pohledu hardwaru v podstatě výkonově neškálovatelné.  V tomto případě budou muset být celá systémová řešení kompletně hardwarově nahrazena, aby bylo vůbec možné dosáhnout požadovaných systémových prostředků výkonu a v příslušném prostředí z důvodu zachování „řetězu důvěry” FIPS standardu.

Objem útoků DDoS roste, intenzita dosahuje přenosových rychlostí až 1,7 Tb/s

Podle společnosti Gcore dosáhl celkový počet útoků DDoS během prvního pololetí 2024 počtu přibližně 830 000, což představuje nárůst o 46 % ve srovnání s prvním pololetím 2023. Maximální přenosová rychlost síťového provozu DDoS útoků se zvýšila z hodnoty 1,6 terabitu za sekundu (Tb/s) v 2. pololetí 2023 na hodnotu až 1,7 Tb/s v prvním pololetí 2024. Tyto hodnoty poukazují na fakt, že DDoS útoky představují stále aktuální a rostoucí hrozbu.

Procentuální zastoupení nejvýznamnějších typů DDoS útoků provedených v první polovině roku 2024 je následující: 

  • 61 % – UDP flood,
  • 18 % – TCP flood,
  • 11 % – SYN flood.

Nejčastějšími sektory, které čelily útokům v 2. polovině roku 2023, byly: 

  • 49 % – herní průmysl,
  • 5 % – technologický sektor,
  • 12 % – finanční služby,
  • 10 % – telekomunikace.

V roce 2024 se procentuální poměr nejčastěji cílených sektorů změnil na hodnoty:

  • 47 % – herní průmysl,
  • 31 % – technologický sektor,
  • 14 % – telekomunikace.

V DDoS komunitě je populární útočit v průběhu herních utkání soutěží v počítačových hrách. Největší změnou v porovnání s předchozími dvěma čtvrtletími roku 2023 byl počet zaznamenaných útoků na technologický průmysl, který se více než zdvojnásobil z původních 15 % na 31 %. Toto odvětví se stává stále častěji cílem DDoS útoků, jež se zaměřují na společnosti, které podporují kritickou infrastrukturu států. 

Podle zdroje helpnetsecurity.com naprostá většina útoků trvala méně než deset minut, zatímco nejdelší DDoS útok, zaznamenaný v první polovině roku 2024, trval přibližně 16 hodin. Zdroj uvádí, že i když byly DDoS útoky často velmi časově limitované, tak disponovaly dostatečnou intenzitou k častému snížení dostupnosti poskytovaných služeb.

Vítr z východu zabloudil do Ruska

Společnost Kaspersky v minulých dnech informovala o podezření z kyberšpionáže směrované vůči Rusku a jeho subjektům. Skupina, jež údajně infikovala od konce července ,,desítky" klientských zařízení patřících ruským vládním agenturám a poskytovatelům IT, je spojována se dvěma čínskými škodlivými aktéry, a to APT27 a APT31. Kampaň, v rámci níž byly infikovány zmíněné počítače, byla pojmenována jako EastWind. 

K získání prvotního přístupu k počítači oběti byly používány phishingové e-maily. Následně využívali útočníci známých cloudových služeb a webů, jako např. GitHub, Dropbox, Quora, LiveJournal a Yandex.Disk, za účelem stažení dalších „užitečných" souborů na kompromitované počítače. Zmíněné veřejné služby byly tedy využívány vcelku efektivně jako C2 (command-and-control) servery.

V rámci kampaně EastWind byl mj. použit malware stahovaný z Dropboxu, který je spojován se skupinou APT31 minimálně od roku 2021, známý jako GrewApacha. Verze GrewApacha použitá v diskutované kampani využívala stejný loader, který byl zaznamenán v roce 2023, s jediným rozdílem v současném využití dvou C2 serverů. Zároveň byl použit profil na GitHubu k obfuskaci adresy C2 serveru, jež byla uložena v zakódovaném Base64 řetězci.

Útočníci dále využili backdoor s názvem The CloudSorcerer. Kaspersky o tomto malwaru informoval již dříve v červenci, nicméně od té doby došlo k modifikaci v C2 serverech, mezi něž nyní nově patřila ruská sociální síť LiveJournal a webová stránka Quora.

Novinkou pak byl trojan pojmenovaný jako PlugY, využívající již zmíněný backdoor CloudSorcerer. PlugY podporuje tři různé protokoly pro komunikaci s C2 serverem a sada příkazů, se kterou dokáže operovat, byla označena jako značně rozsáhlá. Analýza kódu PlugY stále probíhá, nicméně společnost Kaspersky již nyní uvedla, že k vývoji PlugY byl velmi pravděpodobně použit základ z backdoor DRBControl (aka Cambling). Trojský kůň DRBControl (aka Cambling) je spojován se skupinou APT27.

Dle společnosti Kaspersky není náhodou, a naopak je to poměrně častý jev, že se dvě národní skupiny spojí a aktivně sdílí svoje know-how, nástroje a strategie v boji proti společnému nepříteli.

Microsoft vydává bezpečnostní aktualizace opravující zero-day zranitelnosti

První z těchto zranitelností je Scripting Engine Memory Corruption, označená jako CVE-2024–38178, která představuje riziko v případech, kdy webový prohlížeč MS Edge pracuje v režimu Internet Explorer. Tento režim je navržený pro podporu starších webových technologií a ve výchozím stavu není zapnutý. Stále však v dnešní době existuje určité množství firem, které pro interní potřeby provozují na míru vyvinuté starší systémy pracující s webovým obsahem (např. systémy veřejné správy). Zranitelnost umožňuje potenciálnímu útočníkovi v tomto režimu vzdálené spuštění kódu. Tuto zranitelnost nahlásilo jihokorejské Národní centrum pro kybernetickou bezpečnost (NCSC). CVSS scóre je 7.5 a závažnost stanovena na Important(Důležitá).

CVE-2024–38213: tato zranitelnost umožňuje útočníkům obejít Mark of the Web, které známe jako vyskakovací okno z Windows SmartScreen s obsahem „Systém Windows ochránil váš počítač“. Tato funkce označuje soubory stažené z internetu jako nedůvěryhodné. Účinkem zneužití zranitelnosti je obejití bezpečnostního prvku. CVSS scóre je 6.5 se závažností stanovenou na Moderate (Střední).

ict ve školství 24

Poslední zranitelnost se týká produktu MS Projekt a její závažnost je stanovena na Important (Důležitá). Její označení je CVE-2024–38189 a podle CVSS dosahuje hodnoty scóre 8.8. Chyba v MS Projekt umožňuje útočníkovi provést vzdálené spuštění kódu, pokud oběť přesvědčí, aby „klikla“ na odkaz nebo otevřela škodlivý soubor. Příkladem může být klasická phishingová kampaň rozesílající falešné faktury, mzdové dokumenty a podobné. Společnost Microsoft doporučuje, aby správci zablokovali spouštění maker v produktech MS Office a povolili oznámení varující spouštění makra.

Ve zkratce

Security engineers

Security engineers

Autor: CB security, podle licence: CC BY-NC 2.5

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Články tvoří společně jednotliví členové týmu CERT společnosti ČD - Telematika a.s.