Postřehy z bezpečnosti: spyware Snake přišel o hlavu při operaci MEDUSA

15. 5. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V pravidelných pondělních bezpečnostních postřezích se podíváme na úspěch operace MEDUSA, ransomwarový dekryptor White Phoenix, Phishing-as-a-Service službu a kritickou zranitelnost v tiskových serverech.

Operace MEDUSA: ruský spyware Snake zneškodněn

Díky spojenému úsilí národních bezpečnostních a zpravodajských agentur, známých jako Five Eyes, došlo k úspěšnému zneškodnění infrastruktury malwaru Snake. Snake je spymalware provozovaný ruskou Federální bezpečnostní službou (FSB). Konkrétně je spojen s ruskou hackerskou skupinou Turla, která spadá pod FSB a je známá také pod názvy Waterbug a Venomous Bear. K provádění škodlivých aktivit pomocí tohoto nástroje vytvořila FSB tajnou síť P2P (peer-to-peer) síť s mnoha počítači infikovanými Snakem po celém světě.

Operace na likvidaci infrastruktury tohoto malwaru byla pojmenována MEDUSA a během vyšetřování bylo například zjištěno, že některá infikovaná zařízení patřila vládám členských států NATO. Dle dostupných informací byla infrastruktura malwaru rozšířena ve více než 50 zemích po celém světě. Mnoho zařízení v této síti sloužilo jako uzly pro směrování maskovaného commnad-and-control provozu na konečné cíle.

Podle informací Snake umožňoval jeho operátorům vzdáleně instalovat další malware na kompromitovaná zařízení, krást citlivé informace, využívat různé mechanismy perzistence a skrývat své škodlivé aktivity. Pro samotné zneškodnění byl v rámci operace využit nástroj s názvem PERSEUS, který umožnil navázat komunikaci s infikovanými zařízeními a poslat příkazy k deaktivaci.

Po zneškodnění vydaly zpravodajské agentury společné prohlášení obsahující informace, které mají obráncům pomoci při odhalování a odstraňování malwaru Snake z jejich sítí.

White Phoenix, naděje pro oběti ransomwaru

Společnost CyberArk, specializující se mimo jiné na výzkum v oblasti kybernetické bezpečnosti, přišla s inovativním nástrojem, který dokáže pomoci obětem ransomwarových útoků při obnově jejich ztracených dat. Nástroj dokáže pomoci s obnovením souborů znehodnocených pomocí přerušované enkrypce – tedy kdy se v těchto souborech střídají šifrované a nešifrované části a soubor se tak stává nepoužitelným. Výzkum společnosti CyberArk však odhalil, že technika přerušovaného šifrování má určité slabiny, které lze využít k obnovení souborů.

Nástroj dokáže automatizovaným způsobem určité typy souborů obnovit. Účinnost tohoto nástroje nicméně závisí na rozsahu šifrovaných částí a jejich významnosti v rámci struktury souboru. Na počátku vývoje se výzkum soustředil na obnovování souborů PDF. Odborníci CyberArku zjistili, že některé objekty v PDF souborech zůstávají přerušovaným šifrováním nedotčeny, což umožňuje v kombinaci s dalšími metodami extrakci a obnovení dat. Dalším zkoumáním bylo zjištěno, že podobným způsobem je možné nástroj použít také u dalších formátů souborů, například těch založených na ZIP archivech, jako jsou dokumenty aplikací Word, Excel a PowerPoint.

Společnost CyberArk tento nástroj zdarma zpřístupnila na svém GitHubu a vyzvala odbornou bezpečnostní komunitu k zhodnocení jeho možností. Vzhledem k tomu, že mnoho důležitých dat společností může být uloženo právě v PDF a Office dokumentech, představuje nástroj významný krok vpřed v boji proti ničivému dopadu ransomwarových úroků.

Greatness, aneb Phishing-as-a-Service

Cisco Talos upozornilo na službu Greatness, která nabízí kompletní workflow pro phishingové kampaně (Phishing-as-a-Service / PaaS) a to včetně vytvoření webových stránek pro password harvesting. Podle výzkumníků byla služba spuštěna již od poloviny minulého roku a je schopna vytvořit falešné stránky na vysoké úrovni, s personifikovaným obsahem a předvyplněnými formuláři. Služba je oproti konkurenci poměrně sofistikovaná, kdy například její výtvory dokáží pracovat s vícefaktorovým ověřováním, díky kterému získá přihlašovací token, nebo dokáže filtrovat IP adresy tak, aby se ke stránce dostala pouze jedna oběť.

Greatness je v tuto chvíli zaměřen pouze na Microsoft 365 a jeho uživatele, kdy dokáže napodobit přihlašovací formulář s logem firmy. Obětem jsou zasílány emaily obsahující HTML přílohu s rozmazaným dokumentem, která přesměruje na zmiňovanou stránku. V případě, že se oběť „chytí“, veškeré její aktivity, přihlašovací údaje a tokeny jsou odeslány na útočníkův Telegramový kanál.

Útočníci zatím nejvíce cílili na anglicky mluvící země a zejména na USA. Nejvíce útoků bylo zaznamenáno v březnu a květnu.

Školský sektor v USA pod ransomware útoky 

Americké agentury FBI a CISA ve čtvrtek oznámily řadu ransomware útoků na zranitelné PaperCut servery ve školském sektoru. PaperCut servery slouží pro správu tisku a je používaný ve více jak 70 000 organizacích po celém světě. Útoky se týkají nedávno objevené kritické zranitelnosti v této aplikaci s označením CVE-2023–27350 (CVSS skóre 9.8), díky které jsou útočníci schopni provádět vzdálené spouštění kódu na serverech s nainstalovanou starší a tedy zranitelnou verzí PaperCut MF a NG. Právě servery spravované na školách bývají s uplatněním aktualizací často pomalejší a v kombinaci s vystavením serveru do internetu je vytvořen rizikový vstup do infrastruktury pro útočníky, kteří zneužívající tuto zranitelnost, což dokládají i tyto incidenty.

Za útoky stojí Bl00dy ransomware gang, kterému se podařilo získat administrátorský přístup na některých serverech, odkud se rozšířili do celé sítě a zašifrovaly všechny soubory. Na cílových stanicích útočníci zanechali vzkaz, ve kterém vybízejí k zaplacení za dešifraci. Jejich software je založen na zdrojovém kódu LockBit, Babuk a Conti.

bitcoin_skoleni

Podle agentur je necelých 70% veškerých z venku přístupných PaperCut serverů právě ze školského sektoru, ale celkový počet neopatchovaných a tedy zranitelných serverů agenturami zatím uveden nebyl. Je doporučeno co nejrychleji aktualizovat PaperCut servery na nejnovější verzi, a to i v případě, kdy tento server není vystaven do internetu.

Ve zkratce

Pro pobavení

Autor: Internet meme

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.