Falešní novináři jako špióni i zloději kryptoměn
Bezpečnostní výzkumníci varovali, že hackeři podporovaní severokorejskou vládou se vydávají za novináře, aby shromáždili strategické informace, které pomohou ovlivnit rozhodování země. Na odborníky zabývající se děním v Severní Koreji je cíleně vedena kampaň využívající sociálního inženýrství a výzkumníci ze SentinelLabs tvrdí, že existuje propojení mezi touto kampaní a skupinou APT43, která je známá od roku 2012 a údajně shromažďuje citlivé informace pro tamní vládu.
Vydávat se za novináře zjevně získává na popularitě – bezpečnostní výzkumníci objevili také novou phishingovou kampaň zaměřenou na ovládnutí účtů na Twitteru a Discordu s cílem krádeže kryptoměn. V této kampani využívají útočníci neobvyklé techniky sociálního inženýrství. Vydávají se za novináře z důvěryhodných médií jako je Decrypt.co nebo Cointelegraph, čímž získávají důvěru obětí. V průběhu jednoho až tří dnů si vyžádají ověření například tím, že požádají o otevření nějakého nakaženého souboru. Škodlivý kód který tento soubor obsahuje je navržen tak, aby odcizil token z Discordu a hackerům umožnil přístup k účtu. Tato kampaň má již na kontě více než 2000 obětí.
Školy oběťmi ransomwaru
Studentům University of Manchester ve Spojeném království přišel minulý týden email od vyděračů, kteří tvrdí, že ze školních systémů ukradli 7 TB osobních, výzkumných, zdravotních a dalších dat a kterým se zřejmě nedaří dohodnout se s vedením školy na zaplacení výkupného. Zkouší tak zvýšit tlak a vyjmenovávají přímo konkrétní osoby údajně zodpovědné za případné zveřejnění nakradeného materiálu. Před dvěma týdny (jak bylo zmíněno i na konci minulého dílu Postřehů) se obětí ransomware stala Hochschule Kaiserslautern a jen pár měsíců předtím i několik dalších univerzit z Německa a Švýcarska.
Školský okres amerického státu Iowa Des Moines Public Schools, čítající přibližně 5000 zaměstnanců a 31 000 studentů ve více než 60 školách, minulý týden potvrdil, že v lednu museli odpojit všechny systémy od sítě kvůli ransomwaru a kontaktují teď téměř 6700 osob dotčených útokem. Zmiňuje také další útoky na školské okresy v Iowě, které se za poslední rok udály.
O útoku v Iowě (a dalším v Arizoně) se píše i v textu kyberbezpečnostního úřadu CISA, který se při příležitosti jejich národního měsíce bezpečnosti Internetu snaží povzbuzovat směrem ke zvýšení úrovně zabezpečení infrastruktury základního a středního školství (K-12).
U nás čerstvě na zvýšené riziko ransomwarových útoků upozorňuje NÚKIB.
Návrh nového zákona o kybernetické bezpečnosti vstupuje do další fáze
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) odeslal v pondělí 19. června 2023 návrh nového zákona o kybernetické bezpečnosti do meziresortního připomínkového řízení. Jedná se o další krok, který je potřeba k přijetí připravované legislativy. Připomínková místa nyní mají 20 pracovních dní na zaslání svých připomínek, tj. do 19. července 2023 včetně. Zákon, který obsahuje mimo jiné změny vyplývající z evropské bezpečnostní směrnice, tzv. NIS2, by měl vstoupit v účinnost v říjnu 2024, kdy končí transpoziční lhůta pro přijetí zmíněného unijního právního aktu.
Návrh zákona NÚKIB předkládá i se zapracovanými podněty, které obdržel v období od 26. ledna do 12. března 2023 v rámci veřejných konzultací. Široká veřejnost tak měla unikátní příležitost podílet se na tvorbě zákona, který povede ke zvýšení kybernetické bezpečnosti České republiky. Podněty byly nyní zveřejněny v anonymizované podobě na webových stránkách nis2.nukib.cz. Spolu s nimi byl zveřejněn aktuální návrh zákona v podobě, v jaké byl odeslán do meziresortního připomínkového řízení. Na zmíněných stránkách jsou také 2 nová témata, ve kterých se subjekty dozví, co mají dělat před tím, než bude nový zákon účinný, a jaké jsou předpokládané finanční náklady spojené se splněním bezpečnostních požadavků vyplývajících z NIS2. Jedná se o rozšíření dosavadních 10 témat, která jsou na stránkách k dispozici od jejich vzniku v srpnu 2022 a průběžně dochází k jejich aktualizaci. V nejbližších dnech bude rovněž spuštěna i anglická mutace tohoto webu.
Facebook jako platforma umožňující obchodování s nástroji pro phishing
Že Facebook obsahuje mnoho skupin na různá témata je známé. Že však obsahuje i takové, které jsou přínosné pro hackery a podvodníky už tak dobře známá informace není. Tyto veřejné skupiny mají tisíce členů, kteří nakupují, prodávají a vyměňují phishingové stránky, údaje z kreditních karet, hackingové nástroje a mnoho dalšího.
Výzkumníci ze skupiny Check Point nejen na základě této informace vydali pět základních doporučení pro ochranu organizace před phishingovými útoky.
Dark web se hemží účty k ChatGPT
Na internetu se krade. Někteří útočníci vsadí na přímou konfrontaci a nasadí ransomware, s kterou oběť vydírají. Jiní volí skrytější taktiku – použijí takový malware, který exfiltruje data, jež se pak snaží prodat dalším. Jedná se o skrytější hrozbu, neboť takový nenápadný špion může vydržet v podnikové síti dlouhé měsíce nepovšimnut. Když na darknetu narazíte na uniklá data, nemůžete si být jisti, nejedná-li se o léta staré, a tedy dávno záplatované účty.
Fenomén ChatGPT však otřásl světem teprve v prosinci loňského roku, takže ukradená data jsou nutně aktuální – výzkumníci tedy mohou snadněji pozorovat jejich vzestup. Hned v prosinci se vědělo o 2 500 přihlašovacích údajích do této služby. Hned v lednu se číslo vyhouplo na 11 000, strmě stoupá… a nyní ke konci června údaje pocházejí ze sta tisíc nakažených přístrojů. Může za to především nechvalně proslulý malware Racoon; dále Vidar a Redline.
Apple vydal aktualizace opravující několik zranitelností
Společnost Apple ve středu vydala řadu aktualizací pro prohlížeče iOS, iPadOS, macOS, watchOS a Safari, kde opravuje několik zranitelností, které by mohly být aktivně využívány. To zahrnuje zranitelnosti s označením CVE-2023–32434 a CVE-2023–32435, první zranitelnost mohla díky chybě v jádře umožnit spuštění libovolného kódu s právy jádra. Druhá chyba mohla umožnit v prohlížeči WebKit provést změny, které mohly vést ke spuštění libovolného kódu.
Výrobce iPhonů uvedl, že si je vědom toho, že tyto dvě zranitelnosti mohou být aktivně využívány na verzích iOS starších než je iOS 15.7. Společnost Apple také opravila zero-day zranitelnost s označením CVE-2023–32439, která byla nahlášena anonymně a mohla by vést ke spuštění libovolného kódu při zpracování škodlivého webového obsahu.
Ve zkratce
- Hackeři využili 17 let starou zranitelnost v MS Office proti vládním úředníkům, kteří se účastnili summitu G7
- Byl zveřejněn exploit pro chybu v aplikaci Cisco AnyConnect, která umožňuje získání privilegií na úrovni SYSTEM
- Kritická zranitelnost na webových stránkách WordPress umožňuje útočníkovi získat přístup k libovolnému účtu na webu pouze se znalostí e-mailové adresy
- Kyberzločinci se z TORu ve velkém přesouvají na Telegram
- Až 50 % stránek obsahujících malware tvoří kompromitované domény
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU