Postřehy z bezpečnosti: studio stojící za hrou Stalker pod útokem hackerů

20. 3. 2023
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na to, jak unikla data z chystané hry Stalker 2, na vishingové útoky na Androidu, zajímavý zero-day v MS Outlooku a také, že Kali Linux se obléká do nového.

Studio stojící za hrou Stalker 2 napadeno

Ukrajinské studio GSC Game World, které pracuje na očekávané hře Stalker 2, bylo napadeno proruskou hackerskou skupinou. Ta studiu hrozí, že pokud nebudou splněny jejich požadavky, vypustí na internet ukradená herní aktiva. Skupina hackerů na svých stránkách zveřejnila snímky obrazovky s některými ukradenými daty. Vývojářské společnosti také udali ultimátum do 15. března, ve kterém požadují, aby byly splněny jejich tři požadavky. Konkrétně se jedná o to, aby změnila svůj postoj k ruským a běloruským fanouškům, zrušila blokaci jednoho konkrétního uživatele na jejich oficiálním kanálu Discord a poskytla oficiální lokalizaci hry do ruštiny. Motivací útočníků tedy tentokrát, jak se zdá, nejsou peníze.

Stalker 2: Heart of Chornobyl se odehrává v postapokalyptické verzi ukrajinské černobylské vyloučené zóny, kde se pohybují různí mutanti a anomálie. Hra bude obsahovat anglický a ukrajinský hlasový doprovod, nikoli však ruštinu. Skupina hackerů tedy obviňuje společnost z protiruského postoje a podpory války na Ukrajině.

Společnost GSC Game World celý incident potvrdila a požádala fanoušky, aby se vyhýbali jakýmkoli uniklým herním datům a spoilerům a nepodíleli se na jejich šíření. Rovněž uvedla, že se nepodvolí žádným pokusům o vydírání nebo zastrašování. Incident nahlásili orgánům činným v trestním řízení a pracují na posílení svých bezpečnostních opatření. Hackeři na ruské sociální síti VKontakte zveřejnili, že mají přístup k desítkám gigabajtů dat, včetně zdrojového kódu, modelů, textur, zvuků, skriptů, animací, dokumentů a e-mailů. Tvrdí také, že mohou sabotovat proces vývoje mazáním nebo úpravou souborů. Vývojáři nicméně poznamenali, že se jedná o zastaralé a rozpracované materiály.

Na internetu se později objevilo 24 screenshotů ze hry a později také 16 GB archiv ukradených dat. Zmíněné screenshoty zřejmě pocházely ze starší verze hry a měly pravděpodobně odradit fanoušky od její koupě. Zdá se však, že tento pokus nevyšel, protože řada fanoušků byla z obrázků přesto nadšená. Na screenshotech jsou vidět různé dojmy z herního světa, včetně továrních areálů a osad, se světelnými efekty, které vypadají velmi realisticky. Podle herní komunity se zdá, že obrázky pocházely z fáze greyboxingu, což je metoda, kterou vývojáři her používají v raných fázích testování při vývoji. Vydání hry je kvůli válce na Ukrajině naplánováno předběžně na prosinec 2023.

Kali Linux obléká fialové barvy

Společnost Offensive Security, která stojí za linuxovou distribucí pro penetrační testování Kali Linux, vydala první novou verzi letošního roku – Kali Linux 2023.1. Tento rok slaví projekt 10. výročí a součástí je také nová distribuce Kali Purple. Jak již název napovídá, zaměřuje se na defenzivní bezpečnost. Přestože je distribuce ve velmi rané fázi vývoje, obsahuje více než 100 defenzivních nástrojů jako jsou Surricata, Zeek, Arkmime a další. Pro seznámení s novou distribucí a její představení uživatelům společnost také vytvořila samostatnou wiki.

Vlastní nová verze Kali Linux 2023.1 představuje osm nových nástrojů. Jedná se o Arkime – open-source nástroj pro zachytávání a prohledávání paketů, CyberChef – nástroj pro analýzu a dekódování dat, DefectDojo – nástroj pro orchestraci zabezpečení a správu zranitelností, Dscan – nástroj pro distribuovaný výčet sítí, Kubernetes-Helm – open-source platforma pro správu balíčků, PACK2 – sada pro analýzu a prolamování hesel, Redeye – nástroj pro organizaci dat během pentestových operací a Unicrypto – jednotné rozhraní pro různé šifrovací algoritmy. Stejně jako u všech prvoročních verzí je součástí i nový vzhled bootovacích a login/lock screenů a nové tapety, včetně té pro Kali Purple.

Pokud chtějí uživatelé začít používat Kali Linux 2023.1, mohou upgradovat svou stávající instalaci nebo si přímo stáhnout ISO soubor s live distribucí. Zvážit by ale prvně měli varování, které tým stojící za Kali Linuxem k oznámení o nové verzi připojil. V souvislosti s nadcházejícím vydáním stabilní verze Debianu dochází k četným změnám v jazyce Python, které mohou způsobit problémy s pip (Pip Installs Packages).

Problémem je, že při instalaci modulů pomocí pip může dojít k rozbití ekosystém správy balíčků celého operačního systému – apt (Advanced Package Tool). Do nové verze byla tedy přidána dočasná záplata, která zamezuje rozbití systému a součástí oznámení nové verze jsou také tři metody aktualizace balíčků, které problémům zabraňují. Druhé varování se týká uživatelů s grafickými kartami NVIDIA. Nová verze může totiž způsobit problémy s grafickými procesory karet, které se na základě oznámení uživatelů u některých modelů poškodily a způsobily, že operační systém přestal reagovat, byl pomalý nebo zamrzl.

V Jižní Koreji se šíří vishing

Ve východoasijské zemi se vyskytla nová malwarová kampaň zvaná FakeCalls, využívá vishing (phishing za pomoci telefonního hovoru) metody pro získání platebních informací na platformách Android. Útočníci distribuují pod více než dvaceti různými jmény škodlivé aplikace zaměřené především na bankovnictví. Samotný malware není úplná novinka a jednou z prvních zmínek o něm lze najít v nálezech publikovaných firmou Kaspersky, které byly zveřejněny již v dubnu 2022. Nicméně, za poslední rok prošel malware několika změnami, které dávají útočníkům lepší šanci na úspěch, protože dokážou nepozorovaně získat platební údaje, bez vědomí oběti.

Strategie použitá v kampani je poměrně zajímavá. Oběti, které aplikaci nainstalují, jsou lákány na falešné bankovní úvěry s nízkými úroky, které vedou k telefonátu s příslušnou bankou. Místo reálného hovoru je spuštěn předtočený audio záznam, během kterého je oběť přesvědčena o vydání informací o platební kartě. Malware přitom zobrazuje telefonní číslo, které by reálně používal skutečný zaměstnanec banky.

Kromě této automatické vishing (voice phishing) aktivity je aplikace samozřejmě schopna zaznamenávat audio a video záznamy, které poté útočníkům pomáhají uskutečnit samotné odcizení peněz z bankovního účtu oběti. 

Největším krokem kupředu oproti verzi z minulého roku jsou nové metody obcházení detekce. FakeCalls si do arsenálu přidal celkem tři a jako příklad lze uvést metodu zvanou „multi-disk“, která obnáší změnu ZIP hlavičky v APK souboru, čímž do jisté míry znemožní použití automatických nástrojů pro analýzu.

Zero-day zranitelnost v MS Outlook umožňuje krádež přihlašovacích údajů

Bezpečnostním výzkumníkům se podařilo najít závažnou zero-day zranitelnost v hojně využívaném emailovém klientu Microsoft Outlook. Zranitelnost dostala označní CVE-2023–23397 a odnesla si CVSS skóre 9.8 se závažností „kritická“. Microsoft minulý týden vydal záplatu, ale uvedl, že zranitelnost byla využívána již od dubna 2022. Útočníkům dovoluje ukrást NTLM údaje pouze odesláním škodlivého emailu. Tyto údaje pak může útočník použít k přístupu k dalším službám.

Speciálně vytvořený email, kterého je zapotřebí, pro využití tohoto exploitu, osahuje UNC path k SMB serveru, čímž se pokusí o NTML autentizaci, s tím, že od koncového uživatele není vyžadována žádná další interakce. Microsoft později vydal script, který dokáže vyhodnotit, zda byla zranitelnost na stanici využita. 

Výzkumník ze společnosti MDSec, Dominic Chell, zjistil, že tento script hledá „PidLidReminderFileParameter“ vlastonst, která se dá využít k přehrání libovolného zvuku, když Outlook připomíná schůzku. Evidentně tedy lze tohoto parametru využít i pro provedení zmíněného útoku.

bitcoin_skoleni

 Útočník tak dokáže přimět Outlook, aby UNC path zpracoval a odeslal údaje na libovolný server, v tomto případě na server, který ovládá on sám. Všem uživatelům je doporučováno aktualizovat Outlook klienty na nejnovější verzi. Dále se doporučuje zablokovat odchozí komunikaci na portu 445 TCP, pokud první možnost není možná.

Další zajímavosti

Pro pobavení

internetový meme

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.