Cryptojacking na účet GitHubu
Threat Research tým společnosti Sysdig tento týden zveřejnil analýzu rozsáhlé kryptominingové kampaně, při které aktéři hrozby využívali zdarma dostupných cloudových služeb a služeb kontinuální integrace a nasazení (CI/CD). Tým techniku nazval Purpleurchin a obecně je v bezpečnostní komunitě známá jako freejacking.
Útočníci pomocí velkého množství bezplatných účtů u velkých poskytovatelů cloudových a CI/CD služeb vytvořili automatizovanou a škálovatelnou infrastrukturu, která dokázala provádět více než milion funkčních volání denně. Zneužity byly služby Heroku, Buddy.works, GitHubu a dalších. Všechny prováděné akce byly poměrně dobře obfuskovány a kampaň se tak vyhýbala odhalení.
Útoční aktéři pomocí automatizovaného skriptu a VPN registrují účty na stránkách poskytovatele – každý pod jinou IP adresou. Další skript se poté stará o spuštění a nastavení Dockeru, ve kterém se nakonec spustí kontejner s minerem. Miner následně využívá malou část poskytnutého výkonu ke skryté těžbě řady méně významných kryptoměn, jako jsou Tidecoin, Onyx, MintMe a další. Vlastní těžební protokol útočníci upravili tak, aby bránil síťovým skenerům odhalit připojení k těžařským poolům a skryl také adresu kryptopeněženky, na kterou zisk z těžby putuje.
Výzkumníci ze Sysdig předpokládají, že hlavní motivací útočníků jsou peníze a těžbou méně významných kryptoměn se připravují na těžbu těch ziskovějších, jako je například Bitcoin. Je ale také možné, že je PURPLEURCHIN nástrojem pro útok na podkladové blockchainy zmíněných kryptoměn, založené na algoritmu Proof-of-work. Ty jsou zranitelné, pokud útočník ovládá 51 % hashrate sítě, což mu umožňuje validovat libovolné transakce a potenciálně ukrást kryptoměny jiným uživatelům.
Síť velkoobchodů Metro se stala obětí útoku ransomware
Skupina Metro, která v Česku provozuje velkoobchody Makro, minulý týden oznámila, že se stala obětí kybernetického útoku. Při a po něm se řetězec potýkal s výpadky infrastruktury a problémy s platbami a online objednávkami. Výpadky infrastruktury jsou obvykle spojeny s útoky pomocí ransomwaru. Tyto domněnky v oficiálním prohlášení společnost potvrdila včera.
Na základě závěrů z šetření forenzních expertů třetích stran společnost předpokládá, že útočník nejen zašifroval, ale také získal přístup k organizačním údajům zaměstnanců Metro, jako jsou jména nebo služební telefonní čísla. V prohlášení společnost také uvádí, že útočník pravděpodobně neměl přístup k údajům o zákaznících nebo dodavatelích. Aktuálně probíhá spolupráce s orgány pro ochranu osobních údajů a další šetření celého incidentu.
Podle zveřejněných informací se tedy Metro stalo obětí double extortion ransomwarového útoku, při kterém útočníci kromě zašifrování citlivých dat oběti také exfiltrují tato data, čímž získají další páku k získání výkupného. Pokud výkupné není zaplaceno, zločinci často ukradená data prodají nebo je zveřejní. Zda Metro útočníkům zaplatilo, nebo se k tomu chystá, zatím společnost neuvedla.
Termální kamery lze použít pro odhalení hesla
Výzkumníci z univerzity v Glasgow vyvinuli systém, který je schopný rozpoznat zadané klávesy z klávesnice, nebo dotykové obrazovky za pomoci termokamer. Tento systém používající umělou inteligenci dokáže rozpoznat malé teplotní rozdíly na povrchu zadávacího zařízení, které uživatel zanechal po zadání, a díky tomu heslo uhádnout.
Zajímavá je v tomto případě úspěšnost, kdy u šestimístného hesla byl systém schopný uhádnout pokaždé všechny zadané znaky, u dvanáctimístného v 82 % a šestnáctimístném v 67 %. Dále je pak zajímavá hodnota čas, který uplynul od doby zadání, kdy systém byl schopný odhalit heslo s více jak nadpoloviční úspěšností i po šedesáti sekundách.
Vzhledem k tomu, jak se termokamery staly poměrně jednoduše dostupným zbožím, nabízí tato metoda poměrně zajímavý způsob útoku na hesla uživatele. V tomto případě lze doporučit používání silných hesel, více faktorové ověřování, a to nejlépe za použití například biometrických metod.
Cisco AnyConnect pod útoky starých zranitelností
Společnost Cisco varuje před dvěma zranitelnostmi, které jsou i přes své stáří stále používány k rozsáhlým útokům. Cisco vydalo záplaty pro VPN aplikaci AnyConnect na tyto konkrétní zranitelnosti již v roce 2020, ale dle vyjádření stále existuje poměrně velký počet stanic se zranitelnými verzemi.
První z těchto chyb (CVE-2020–3153) umožňuje útočníkovi poslat speciálně vytvořenou IPC zprávu do AnyConnect procesu a tím spouštět kód se systémovým oprávněním.
Druhá chyba (CVE-2020–3433) dovoluje práci se soubory v systémových adresářích, taktéž se systémovým oprávněním.
Společným prvkem nezbytným k jejich provedení je pouze uživatel přihlášený s platnými přihlašovacími údaji. Cisco proto varuje správce, aby aktualizovali VPN klienty, pokud tak doposud neučinili. Cybersecurity and Infrastrcture security agency (CISA) navíc přidala do svého katalogu právě tyto zranitelnosti (společně se čtyřmi dalšími).
Ransomware v Australském Medibank
Ve středu 26. října oznámila Australská zdravotní pojišťovna Medibank, že došlo k neoprávněnému přístupu k datům o skoro 4 milionech zákaznících během nedávného ransomware útoku.
Medibank ujistil své zákazníky, že není žádný důkaz o přístupu k jejich datům. Později se však ukázalo, že to není úplně pravda, když útočníci firmu kontaktovali a ukázali část svého úlovku se stovkou různých souborů. Gang se dále pochlubil, že ukradl okolo 200 GB dat. V návaznosti na tento incident Medibank nabízí dotčeným zákazníkům několik služeb, aby jim pomohli čelit následkům tohoto útoku.
Austrálie reaguje na podobné útoky, které se v minulých pár týdnech odehrály a hodlá upravit svoji legislativu. Nově by měly australské společnosti dostat větší pokuty za bezpečnostní incidenty (až 50 milionů AUD). Návrh by také zvýšil pravomoc australské informační komise podobné případy řešit a přimět společnosti poskytnout detaily ohledně incidentů zahrnující úniky uživatelských dat.
Ve zkratce
- Ukrajinec odsouzen za provozování Raccoon Stealer malware služby
- Nový zero-day na Microsoft Windows využívá JavaScript k překonání Mark-Of-The-Web
- Google Chrome bez podpory na Windows 7/8.1 od února 2023
- Apple spravuje zero-day na starších iPhonech a iPadech
Pro pobavení
Úkol zněl jasně.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU