Novinky v případu podepisovacího klíče společnosti Microsoft
Společnost Microsoft v uplynulém týdnu publikovala nové informace o úniku podepisovacího klíče, s jehož pomocí získala v průběhu letošního června APT skupina Storm-0558, která má vazby na Čínu, přístup k e-mailovým schránkám přibližně 25 organizací, mezi nimiž byla i vybraná ministerstva Spojených států.
Dle vyjádření Microsoftu získala jmenovaná APT skupina přístup ke klíči, který jí umožnil vytvářet autentizační tokeny, ze snapshotu paměti (crash dump) produkčního podepisovacího procesu, který zhavaroval v dubnu 2021.
Tento snapshot byl v souladu s interními procesy Microsoftu přenesen k analýze z produkčního prostředí do testovacího (debugging) prostředí, přičemž systémy, které skenují takto přenášený obsah s cílem identifikovat případné přístupové údaje, klíč obsažený ve snapshotu neobjevily. Ke snapshotu, umístěnému v testovacím prostředí, následně skupina Storm-0558 pravděpodobně získala přístup s pomocí kompromitovaného účtu jednoho z inženýrů společnosti Microsoft. Firma nemá k dispozici logy, které by tento postup jednoznačně prokázaly, dle dostupných informací se však údajně jeví jako nejpravděpodobnější.
V návaznosti na závěry z provedeného vyšetřování Microsoft vedle jiných nápravných opatření opravil chybu, v důsledku níž se podepisovací klíč ve snapshotu paměti procesu objevil, a rozšířil postup skenování materiálu přenášeného z produkčního do testovacího prostředí tak, aby v podobných situacích byly případné podepisovací klíče korektně identifikovány.
Zmínku však zaslouží, že ukončením vyšetřování a implementací nápravných opatření na straně Microsoftu celá aféra zřejmě nekončí, vzhledem k tomu, že americké federální organizace nedávno ustanovily speciální bezpečnostní výbor, který má přezkoumat úroveň kybernetické bezpečnosti v cloudových prostředích využívaných americkou vládou.
Spyware Pegasus využívá dvě nové 0-day zranitelnosti
Společnost Apple ve čtvrtek publikovala záplaty pro dvě 0-day zranitelnosti v operačním systému iOS (CVE-2023–41064 a CVE-2023–41061), které byly dle analýzy organizace Citizen Lab využívány pro šíření spywaru Pegasus.
Pegasus je komerčním produktem izraelské společnosti NSO Group, která jej prezentuje jako nástroj určený pro policejní orgány a státní bezpečnostní organizace, jimž má pomáhat v boji se zločinem, historicky byl však různými subjekty používán i k cílení na novináře nebo politiky.
Právě v souvislosti s využíváním tohoto nástroje proti politikům zaslouží zmínku minulý týden publikovaná zpráva polské senátní komise, která v průběhu rok a půl dlouhého vyšetřování zkoumala použití Pegasu proti senátoru Krzysztofu Brejzovi v roce 2019, kdy vedl opoziční kampaň v parlamentních volbách.
Komise ve své zprávě uvádí, že Pegasus byl v Polsku prokazatelně využíván k útokům na osoby, které byly nepohodlné režimu, a vedle doporučení na rozšíření dohledu nad prací zpravodajských služeb zmiňuje i možnost vznesení obvinění ze spáchání trestného činu proti bývalým a současným ministrům, kteří jsou s využíváním spywaru spojeni.
Mezinárodní trestní soud se bude nově zabývat i kybernetickými válečnými zločiny
Dle vyjádření Karima Khana, jednoho z prokurátorů Mezinárodního trestního soudu, které bylo publikováno v průběhu srpna, ale které si získalo širší ohlas až v uplynulém týdnu, sice aktuální řídící dokumentace jmenované instituce explicitně nezmiňuje kybernetické zločiny, avšak neznamená to, že by kybernetické útoky potenciálně nemohly dosáhnout úrovně, kdy by mohly být klasifikovány jako mezinárodní zločiny, které spadají do kompetence tohoto soudu (tedy válečné zločiny, zločiny proti lidskosti, genocida či zločiny agrese).
Následné vyjádření mluvčího prokuratury Mezinárodního trestního tribunálu potvrdilo, že stejný přístup ke kybernetickým zločinům oficiálně zaujala celá jmenovaná instituce.
Přestože v žádném z uveřejněných vyjádření není explicitně zmiňováno Rusko a válka na Ukrajině, lze odůvodněně předpokládat, že právě tento válečný konflikt motivoval Mezinárodní trestní soud k přehodnocení jeho dosavadního přístupu a je tak možné, že první obvinění v oblasti kybernetických válečných zločinů by tak mohla být spojena právě s ním.
Další zajímavosti
- Velká Británie prozatím nebude po poskytovatelích komunikačních platforem požadovat dešifrování end-to-end chráněných zpráv
- EU označila 6 technologických společností za „gatekeepers“ v kontextu nařízení o digitálních službách
- NÚKIB publikoval shrnutí nahlášených kybernetických bezpečnostních incidentů za srpen
- Skupina APT28/FancyBear se údajně pokusila o útok na ukrajinskou organizaci působící v energetice
- Tempo růstu počtu trestných činů v kyberprostoru v prvním pololetí 2023 dle dat Policie ČR zpomalilo
- Google integroval nový systém pro cílení reklamy do prohlížeče Chrome
- Ruský bezpečnostní specialista odsouzen k devíti letům odnětí svobody v souvislosti s krádeží dat a obchodování zasvěcených osob
- Velká Británie a Spojené státy uvalily sankce na 11 ruských občanů v souvislosti s jejich participací na vývoji a provozu malwaru TrickBot
- CISA publikovala technická doporučení pro zvýšení odolnosti organizací proti volumetrickým DDoS útokům
- Skupina s vazbou na Severní Koreu údajně cílí na bezpečnostní výzkumníky s pomocí 0-day exploitů
- Tesla v žalobě obviněna z nedostatečného zabezpečení dat
- Řada prodejců automobilů sbírá netransparentním způsobem osobní data
- Čína údajně zakázala využívání iPhonů ve vybraných státních organizacích
- Mitre a CISA publikovaly sadu pluginů pro testování OT systémů pro nástroj Caldera
- Čína dle společnosti Microsoft stojí za sítí falešných profilů na sociálních sítí, která mí za cíl ovlivňovat volby ve Spojených státech
- Skupina GhostSec publikovala údajný odcizený zdrojový kód ke sledovacímu nástroji užívanému Íránem
- Peiter „Mudge“ Zatko bude nově působit jako technický poradce v rámci CISA
- Byly publikovány tři RCE zranitelnosti postihující vybrané řady routerů ASUS
- Za falešnými aplikacemi Signal a Telegram v obchodech Google Play a Samsung Galaxy Store údajně stála čínská APT skupina
- Za úspěšným útokem na online kasino Stake.com, při němž bylo odcizeno přes 40 milionů dolarů, zřejmě stojí severokorejská APT skupina Lazarus Group
- Čínské APT skupiny údajně při cílení na zájmové instituce využívají i SOHO zařízení
Pro pobavení
I hear this is an option in the latest Ubuntu release.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU