Byly zabaveny účty ruských botů vytvořené AI
Ministerstvo spravedlnosti USA (DoJ) zabavilo dvě internetové domény a prohledalo téměř 1 000 účtů na sociálních sítích, které ruští aktéři využívali ke skrytému šíření prokremelských dezinformací v USA i v zahraničí ve velkém měřítku.
Farma botů využívala prvky umělé inteligence k vytváření fiktivních profilů na sociálních médiích, často údajně patřících osobám ve Spojených státech, které jejich provozovatelé využívali k propagaci zpráv podporujících ruské vládní cíle.
Síť botů, čítající 968 účtů na X, je údajně součástí propracovaného plánu, který vymyslel zaměstnanec ruské státní televize RT (dříve Russia Today). Vývojové práce na této farmě začaly v dubnu 2022.
Falešné účty na sociálních sítích byly registrovány pomocí soukromých e-mailových serverů, které se opíraly o dvě domény – mlrtr[.]com a otanmail[.]com – zakoupené u registrátora domén Namecheap. Společnost X od té doby účty botů pozastavila pro porušení svých obchodních podmínek.
Informační operace zaměřená na USA, Polsko, Německo, Nizozemsko, Španělsko, Ukrajinu a Izrael byla provedena pomocí softwarového balíčku s umělou inteligencí nazvaného Meliorator, který usnadnil masové vytváření a provozování zmíněné farmy botů na sociálních sítích.
Pomocí tohoto nástroje šířily pobočky RT dezinformace do řady zemí a o řadě zemí, včetně Spojených států, Polska, Německa, Nizozemska, Španělska, Ukrajiny a Izraele,
uvedly bezpečnostní složky Kanady, Nizozemska a USA.
Meliorator obsahuje administrátorský panel s názvem Brigadir a backendový nástroj Taras, který slouží k ovládání autenticky se tvářících účtů, jejichž profilové obrázky a biografické informace byly generovány pomocí open-source programu Faker. Každý z těchto účtů měl odlišnou identitu založenou na jednom ze tří archetypů botů:
- ty, které propagují politickou ideologii příznivou ruské vládě,
- mají rády již sdílené zprávy jiných botů
- a šíří dezinformace sdílené jak botovými, tak nebotovými účty.
Ačkoliv byl softwarový balíček identifikován pouze na platformě X, další analýza odhalila záměry ruských aktérů rozšířit jeho funkčnost i na další sociální platformy. Systém navíc proklouzl ochrannými opatřeními X pro ověřování pravosti uživatelů automatickým kopírováním jednorázových přístupových kódů zasílaných na registrované e-mailové adresy a přiřazováním proxy IP adres osobám generovaným umělou inteligencí na základě jejich předpokládané polohy.
Tento vývoj je prvním případem, kdy USA veřejně ukázaly prstem na zahraniční vládu za využívání AI v zahraniční vlivové operaci. V případu nebylo zveřejněno žádné trestní obvinění, ale vyšetřování této činnosti nadále probíhá.
Čínská APT41 vylepšila svůj malwarový arzenál
Na Čínskou lidovou republiku napojená skupina APT41 je podezřelá z používání pokročilé a vylepšené verze známého malwaru StealthVector, jenž obsahuje dosud nezdokumentovaný backdoor nazvaný MoonWalk. Novou variantu StealthVectoru (známý také jako DUSTPAN) označila společnost Zscaler ThreatLabz názvem DodgeBox.
DodgeBox je loader, který pokračuje v nahrávání nového backdooru s názvem MoonWalk,
uvedli bezpečnostní výzkumníci Yin Hong Chang a Sudeep Singh. MoonWalk sdílí mnoho technik vyhýbání se detekce implementovaných v DodgeBoxu a využívá Google Drive pro C2 komunikaci.
APT41 je název přidělený velmi aktivním, státem sponzorovaným aktérům spojeným s Čínou, kteří operují nejméně od roku 2007. Širší kyberbezpečnostní komunita je sleduje také pod názvy Axiom, Blackfly, Brass Typhoon (dříve Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda a Winnti. V září 2020 oznámilo americké ministerstvo spravedlnosti (DoJ) obvinění několika aktérů spojených s touto hackerskou skupinou z organizování kampaní, jejichž cílem bylo více než 100 společností po celém světě. Tyto průniky umožnily krádež zdrojových kódů, certifikátů pro podepisování softwarového kódu, údajů o zákaznických účtech a cenných obchodních informací.
Využití StealthVectoru skupinou APT41 poprvé zdokumentovala společnost Trend Micro v srpnu 2021 a popsala jej jako loader shellkódu napsaný v C/C++, který se používá k doručení Cobalt Strike Beacon a ScrambleCross (alias SideWalk).
DodgeBox je hodnocen jako vylepšená verze StealthVectoru, která obsahuje různé techniky, jako je stack spoofing, side-loading DLL a DLL hollowing, aby se vyhnul detekci. Přesný způsob distribuce malwaru není v současné době znám. Aktéři využívají legitimní spustitelný soubor ( taskhost.exe), podepsaný Sandboxie, k bočnímu nahrání škodlivé knihovny DLL ( sbiedll.dll). DodgeBox slouží jako kanál pro dešifrování a spuštění druhého stupně payloadu, backdooru MoonWalk.
Přisouzení DodgeBoxu skupině APT41 vychází z podobnosti DodgeBoxu a StealthVectoru, z použití techniky DLL side-loading, kterou čínské skupiny hojně využívají k šíření malwaru (jako je PlugX), a ze skutečnosti, že vzorky DodgeBoxu byly na VirusTotal odeslány z Thajska a Tchaj-wanu, tedy z oblastí, které jsou pro Čínu strategicky zajímavé.
Zneužití zranitelnosti v PHP k šíření malwaru a DDoS
V uplynulých týdnech bylo pozorováno několik aktérů, kteří zneužívají nedávno odhalenou bezpečnostní chybu v PHP k šíření malwaru pro vzdálený přístup, minerů kryptoměn a vytváření DDoS botnetů.
Jedná se o zranitelnost CVE-2024–4577 (skóre CVSS: 9,8), která útočníkům umožňuje vzdáleně spouštět škodlivé příkazy v systémech Windows s využitím čínských a japonských jazykových lokalizací. Veřejně byla odhalena na začátku června 2024. CVE-2024–4577 útočníkům umožňuje dostat se mimo příkazový řádek a předat argumenty, které má PHP přímo interpretovat. Samotná chyba spočívá ve způsobu převodu znaků Unicode na ASCII.
Společnost zabývající se webovou infrastrukturou uvedla, že začala pozorovat pokusy o zneužití svých honeypot serverů zaměřené na chybu PHP do 24 hodin od jejího zveřejnění. Jednalo se o exploity určené k doručení malwaru pro vzdálený přístup s názvem Gh0st RAT, miner kryptoměn jako RedTail a XMRig a DDoS botnet s názvem Muhstik. Útočník poslal požadavek podobný ostatním, které byly zaznamenány v předchozích operacích RedTail, a zneužil chybu měkké pomlčky s '%ADd' ke spuštění požadavku wget na shell skript. Tento skript provede další síťový požadavek na stejnou IP adresu se sídlem v Rusku, aby načetl x86 verzi malwaru RedTail pro kryptografické dolování.
Minulý měsíc společnost Imperva také odhalila, že CVE-2024–4577 využívají operátoři ransomwaru TellYouThePass k distribuci varianty .NET malwaru šifrujícího soubory.
Odhalení přichází v době, kdy společnost Cloudflare uvedla, že ve druhém čtvrtletí 2024 zaznamenala 20% meziroční nárůst útoků DDoS a že během prvních šesti měsíců zmírnila 8,5 milionu DDoS útoků. Pro srovnání, za celý rok 2023 společnost zablokovala 14 milionů DDoS útoků.
Nová skupina zneužívá zranitelnost Veeam
Nyní opravenou bezpečnostní chybu v softwaru Veeam Backup & Replication zneužívá nově vznikající ransomwarová skupina známá jako EstateRansomware.
Společnost Group-IB se sídlem v Singapuru, která skupinu objevila na začátku dubna 2024, uvedla, že modus operandi zahrnuje zneužití chyby CVE-2023–27532 (skóre CVSS: 7,5) k provádění škodlivých aktivit. Počáteční přístup do cílového prostředí byl údajně umožněn prostřednictvím zařízení Fortinet FortiGate firewall SSL VPN s využitím neaktivního účtu. Aktér takto získal přístup k serveru pro převzetí služeb při selhání (failover). Před samotným útokem byly v dubnu 2024 zaznamenány pokusy o prolomení VPN pomocí neaktivního účtu identifikovaného jako ‚Acc1‘. O několik dní později bylo úspěšné přihlášení do sítě VPN pomocí účtu ‚Acc1‘ vysledováno na vzdálenou IP adresu 149.28.106[.]252.
Dále aktéři pokračovali v navazování vzdáleného připojení z firewallu na failover server, následovalo nasazení trvalého backdooru s názvem svchost.exe, který se denně spouští prostřednictvím naplánované úlohy. Následný přístup do sítě byl proveden pomocí backdooru, aby se vyhnul detekci. Hlavním úkolem backdooru je připojit se k C2 serveru přes HTTP a provést libovolné příkazy vydané útočníky.
Společnost Group-IB uvedla, že zaznamenala zneužití chyby CVE-2023–27532 společnosti Veeam s cílem povolit xp_cmdshell na zálohovacím serveru a vytvořit podvodný uživatelský účet s názvem „VeeamBkp“ a vedle toho provádět činnosti zjišťování sítě, enumerace a získávání přístupových údajů pomocí nástrojů jako NetScan, AdFind a NitSoft prostřednictvím nově vytvořeného účtu. Podle hypotézy výzkumníka Zi Wei „toto zneužití potenciálně zahrnovalo útok pocházející ze složky VeeamHax na souborovém serveru proti zranitelné verzi softwaru Veeam Backup & Replication nainstalované na zálohovacím serveru. Tato činnost usnadnila aktivaci uloženého procesu xp_cmdshell
a následné vytvoření účtu ‚VeeamBkp‘."
Útok vyvrcholil nasazením ransomwaru, ale ne dříve, než byly podniknuty kroky ke zhoršení obrany a bočnímu přesunu ze serveru AD na všechny ostatní servery a pracovní stanice využívající kompromitované doménové účty. „Program Windows Defender byl trvale deaktivován pomocí DC.exe [Defender Control] a následovalo nasazení a spuštění ransomwaru pomocí PsExec.exe," uvedla společnost Group-IB.
Signal opravuje chybu v šifrovacím klíči
Společnost Signal zpřísňuje zabezpečení svého desktopového klienta změnou způsobu ukládání šifrovacích klíčů pro datové úložiště v prostém textu. Se změnou přichází poté, co tento problém od roku 2018 bagatelizovala.
Jak informoval server BleepingComputer v roce 2018, při instalaci aplikace Signal Desktop pro Windows nebo Mac se vytvoří šifrovaná databáze SQLite, do které se ukládají zprávy uživatele. Tato databáze je šifrována pomocí klíče vygenerovaného programem a bez vstupu uživatele. Aby program mohl dešifrovat zašifrovanou databázi a použít ji k ukládání dat, musí mít přístup k šifrovacímu klíči. V případě programu Signal je klíč uložen jako prostý text v místním souboru s názvem %AppData%\Signal\config.json v systému Windows a ~/Library/Application
Support/Signal/config.json na počítači Mac. Nicméně, pokud má Signal k tomuto klíči přístup, může k němu přistupovat i jakýkoliv jiný uživatel nebo program spuštěný v počítači, takže šifrovaná databáze je bezcenná a neposkytuje žádné další zabezpečení.
Jedním z řešení, které nabídl výzkumník Nathaniel Suchy, jenž tuto chybu objevil, bylo zašifrovat lokální databázi pomocí hesla zadaného uživatelem, které se nikdy nikam neukládá, jako to je u cloudového zálohovacího softwaru, webových prohlížečů, správců hesel a peněženek s kryptoměnami.
Když platforma BleepingComputer v roce 2018 ohledně této chyby kontaktovala společnost Signal, nedostala odpověď. Místo toho manažer podpory společnosti odpověděl na obavy uživatele na fóru Signalu, že „klíč k databázi nikdy neměl být tajný. Šifrování za provozu není něco, co by se společnost Signal Desktop v současné době snažila poskytovat nebo co by kdy tvrdila, že poskytuje,“ odpověděl zaměstnanec společnosti Signal.
O téměř šest let později Elon Musk na Twitteru napsal, že v systému Signal jsou známé zranitelnosti, které se neřeší. Musk nesdělil, jaké zranitelnosti má na mysli, a někteří považovali Muskův tweet za pokus pomoci Telegramu v kampani, v níž tvrdil, že je bezpečnější než Signal. Prezidentka společnosti Signal Meredith Whittaker odpověděla, že žádné známé zranitelnosti není třeba řešit, a pokud existují, měla by je organizace zodpovědně zveřejnit.
Minulý týden však výzkumníci mobilní bezpečnosti Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. varovali na webu X před používáním aplikace Signal Desktop kvůli stejné bezpečnostní slabině, o které BleepingComputer informoval v roce 2018. Společnost Mysk Inc v sérii tweetů ukázala, že fotografie a aplikace odeslané prostřednictvím aplikace pro zasílání zpráv nejsou uloženy na bezpečném nebo šifrovaném místě a že šifrovací klíč pro úložiště zpráv je v systému stále uložen v prostém textu.
V dubnu tohoto roku vytvořil nezávislý vývojář Tom Plant požadavek na sloučení kódu, který využívá rozhraní API SafeStorage společnosti Electron k dalšímu zabezpečení datového úložiště Signal před offline útoky. „Jako jednoduchou mitigaci jsem implementoval rozhraní API SafeStorage od společnosti Electron k šifrování klíče pomocí rozhraní API platforem, jako je DPAPI v systému Windows a Keychain v systému MacOS,“ vysvětlil Plant v žádosti o sloučení. Rozhraní API safeStorage od společnosti Electron poskytuje další metody pro zabezpečení šifrovacího klíče používaného k šifrování dat uložených lokálně v zařízení.
Při použití jsou šifrovací klíče generovány a ukládány pomocí kryptografického systému operačního systému a zabezpečených úložišť klíčů. Například v počítačích Mac by byl šifrovací klíč uložen v klíčence Keychain a v systému Linux by se použilo tajné úložiště správce oken, například kwallet, kwallet5, kwallet6 a gnome-libsecret. Rozhraní API safeStorage je pro systém Windows nedostatečné, protože používá rozhraní DPAPI, které šifrovací klíč zabezpečuje pouze proti ostatním uživatelům na stejném zařízení. To znamená, že jakýkoli program nebo malware spuštěný pod stejným uživatelským kontextem jako ten, kdo používá Signal, by teoreticky mohl mít přístup k datům.
Ačkoliv by toto řešení poskytlo dodatečné zabezpečení všem uživatelům stolních počítačů Signal, žádost ležela ladem až do dramatu na sociální síti X z minulého týdne. Před dvěma dny vývojář služby Signal konečně odpověděl, že implementoval podporu pro safeStorage společnosti Electron, která bude brzy k dispozici v nadcházející beta verzi. A zatímco se testuje nová implementace safeStorage, Signal zahrnul také záložní mechanismus, který umožňuje programu dešifrovat databázi pomocí staršího dešifrovacího klíče.
Kromě přechodu na šifrované/keystore podporované lokální databázové šifrovací klíče na podporovaných platformách bude implementace zahrnovat také některé další kroky pro řešení problémů a dočasnou záložní možnost, jež uživatelům umožní obnovit databázi zpráv pomocí jejich staršího databázového šifrovacího klíče, pokud se něco pokazí. To by mělo pomoci minimalizovat ztrátu dat, pokud se během procesu migrace a zavádění do produkčního provozu objeví nějaké okrajové případy nebo jiné chyby související s úložištěm klíčů. Společnost Signal také uvedla, že starší klíč bude odstraněn, jakmile bude nová funkce otestována.
Ve zkratce
- Nový RAT Poco se v rámci phishingové kampaně zaměřuje na španělsky mluvící oběti
- Zranitelnost protokolu RADIUS vystavuje sítě útokům MitM
- Hackeři zneužívají konzoli skriptů Jenkins k útokům na těžbu kryptoměn
- Škodlivý software GuardZoo útočí na více než 450 vojáků z Blízkého východu
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU