Poznámka: Níže uvedený text byl tvořen v průběhu pátku a sobotního dopoledne a nezbytně tak nezmiňuje vybrané pozdější významné události, k nimž došlo v souvislosti s kontinuálně se vyvíjející situací na Ukrajině.
Dění spojené s invazí ruských vojsk na Ukrajinu
Ofenzivní kybernetické operace zacílené na ukrajinské systémy a připisované Rusku nejsou ničím novým. Mezi dobře dokumentované patří například útoky na ukrajinskou energetiku s pomocí nástrojů z rodiny BlackEnergy a KillDisk v roce 2015 a s pomocí nástroje Industroyer v roce 2016, nebo masivní útok s pomocí pseudo-ransomwaru/wiperu NotPetya na organizace užívající ukrajinský účetní systém M.E.Doc v roce 2017.
V uplynulém týdnu však došlo k invazi ruských vojsk na Ukrajinu a v souvislosti s ní ofenzivní aktivity ze strany Ruska ještě citelně zesílily. V uplynulých dnech jsme tak byli svědky významného bezpečnostního dění i v pomyslném kybernetickém prostoru obou států.
Řadu ukrajinských systémů zasáhly v průběhu týdne silné DDoS útoky, v důsledku nichž byly nedostupné mj. webové portály řady ministerstev a velkých bankovních institucí. K podobným útokům přitom docházelo přibližně již od poloviny února.
DDoS útoky byly však vedeny i proti ruským systémům. Na stranu Ukrajiny se v reakci na invazi postavily vybrané hacktivistické skupiny v čele s Anonymous, kteří posléze zveřejnili informace o úspěšném DDoS útoku proti systémům ruské televizní stanice RT News.
Pro úplnost je vhodné uvést, že jako nedostupné se průběhu uplynulých dní zdály být také vybrané další ruské webové portály, včetně stránek parlamentu, nebo ministerstva obrany, dle dostupných informací však v jejich případě byla nedostupnost způsobena spíše proaktivními bezpečnostními opatřeními (geofencing a umožnění přístupu k portálům pouze „domácím“ uživatelům) na straně Ruska, spíše než DDoS útoky.
Twitterové účty Anonymous nicméně později informovaly rovněž o údajné úspěšné kompromitaci systémů ruského ministerstva obrany a zveřejnění z nich získaných dat.
Proti ukrajinským cílům byl vedle DDoS útoků použit také malware nazvaný HermeticWiper, identifikovaný společností ESET 23. února na několika stovkách ukrajinských systémů.
Jak jeho název napovídá, zmíněný kód je wiper, tedy malware s destruktivním payloadem, jehož cílem je likvidace dat na nakažených strojích. HermeticWiper data likviduje nepřímo, přepisem MBR a souborových tabulek, což mu nicméně neubírá na efektivitě.
Přestože je tak zmiňovaný malware bezpochyby vysoce nebezpečný, z provedených analýz vyplývá, že nejde o kód, který by byl schopný autonomního šíření a obavy o jeho masivní rozšíření podobného tomu, k němuž došlo například u již zmíněného wiperu NotPetya v roce 2017, se zdají být neopodstatněné.
Vedle již zmíněných ofenzivních aktivit Ruska byly ze strany ukrajinského národního bezpečnostního týmu CERT-UA identifikovány také phishingové sociotechnické útoky cílené na členy ukrajinské armády a osoby jim blízké. Dle zprávy publikované CERT-UA na Facebooku lze usuzovat, že rozesílané phishigové zprávy nebyly přehnaně sofistikované a zaslouží si tak zmínku především kvůli tomu, že za jejich autora byla ukrajinským týmem označena APT skupina s vazbami na Bělorusko.
Vzhledem k tomu, že v souvislosti s aktuálně probíhajícím konfliktem je i na straně českých organizací a jednotlivců na místě zvýšená opatrnost, lze doporučit pozornosti čtenářů také varování vydané v pátek NÚKIB a webinář/prezentaci SANS Institutu, které se zabývají problematikou vhodných proaktivních a reaktivních bezpečnostních opatření v kontextu ruské invaze na Ukrajinu.
Vážení čtenáři, situaci na Ukrajině se věnujeme napříč servery, které spadají pod našeho vydavatele, společnost Internet Info. Nabízíme vám výběr některých textů:
- Měšec: V Česku působí tři banky s vazbou na Rusko. Seznamte se s nimi
- Lupa: Putinův oligarcha i miláčci programátorů. Co jsou zač ruské internetové a IT firmy působící v Česku
- Lupa: Česko v hybridní válce: vláda vyzývá k činu, armáda žádá operátory o blokování proruských dezinformačních webů
- Cnews: Sankce za napadení Ukrajiny se vztahují i na čipy, Rusko odříznuté od západních technologií?
- Podnikatel: Ukrajinci v ČR dostávají povolávací rozkazy, řadu firem to může dostat do potíží
- CFOworld: Ruská invaze nutí Němce k přehodnocení přístupu k uhelným a jaderným elektrárnám
Pravděpodobný konec malwaru Trickbot
Malware Trickbot byl od roku 2016 jednou ze stálic malwarového ekosystému. Původně byl vyvíjen jako banking trojan, postupem času se z něj však stala univerzální platforma užívaná pro v podstatě libovolné škodlivé aktivity, včetně šíření ransomwaru. Zdá se však, že po loňském využití Trickbotu pro instalaci nové varianty malwaru Emotet na nakažené stroje se jeho činnost začala utlumovat a v uplynulém týdnu došlo k dobrovolnému vypnutí jeho řídící infrastruktury ze strany jejích provozovatelů.
Je pravděpodobné, že důvodem pro tento krok byl přechod několika hlavních vývojářů Trickbotu ke skupině za ransomwarem Conti, která v současnosti provozuje mj. právě výše zmíněný botnet Emotet, jehož zmrtvýchvstání Trickbot napomohl.
Přestože je tak konec jedné z nejvýznamnějších rodin malwaru posledních let bezpochyby pozitivní zprávou, lze předpokládat, že (v současnosti již bývalí) autoři Trickbotu se pouze přesunou k vývoji jiného škodlivého kódu.
Škodlivé NPM balíčky, kam se jen člověk podívá
Na konci loňského roku se podařilo identifikovat řadu balíčků v repozitáři npm, které obsahovaly škodlivý kód. V některých případech šlo o legitimní knihovny, které se útočníkům podařilo modifikovat, v dalších pak o využití techniky analogické k typosquattingu (tedy například přesmyčka ve jménu legitimní knihovny) při pojmenovávání škodlivých balíčků.
Zdá se však, že škodlivé balíčky nás s přelomem roku neopustily a budou nás provázet i letos. V uplynulém týdnu se totiž podařilo identifikovat dalších 25 knihoven v repozitáři npm, které obsahovaly škodlivý kód. Většina z nich svým autorům umožňovala zcizit přístupové tokeny ke službě Discord, některé však i spouštět na infikovaných strojích vzdáleně libovolný kód.
Závažné slabiny v šifrování telefonů Samsung
Výzkumníci z univerzity v Tel Avivu publikovali článek, v němž diskutují významné slabiny v implementaci TrustZone ve vybraných telefonech značky Samsung, díky nimž dané telefony nekorektně provádějí vybrané kryptografické operace (za některých okolností například může docházet k opětovnému užívání stejných inicializačních vektorů).
Dopadů zmíněných slabin je více, dle vyjádření autorů by však mohly z nich vyplývající zranitelnosti (pro něž v současnosti již existují záplaty) za určitých okolností umožnit vyčítání kryptografických klíčů z keystoru. Detaily svého výzkumu budou akademici diskutovat na letošní konferenci USENIX Security.
Další zajímavosti
- Podvodníci využívají bojů na Ukrajině pro získání kryptoměn
- Použití VNC při phishingu pro obcházení mechanismů bránících MitM zachycení provozu
- Publikována analýza BVP47 – deset let starého avšak stále téměř nedetekovaného backdooru z dílny NSA
- Systémy globální logistické společnosti Expeditors International zasaženy ransomwarem
- Doména raidforum.com patřící nechvalně známému fóru a tržišti údajně zabavena policejními složkami
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
