Útok na úpravnu vody
Neznámí útočníci se v lednu tohoto roku pokusili kompromitovat úpravnu vody pro část San Francisca. K systémům vodárny získali přístup pomocí hesla bývalého zaměstnance k aplikaci TeamViewer, který umožňuje vzdálené připojení. Následně se útočníci pokoušeli manipulovat se softwarem používaným při úpravě pitné vody. Útok byl objeven den po prvotním průniku a nezpůsobil naštěstí žádnou větší újmu. K útokům na vodní zdroje však dochází stále častěji.
V únoru tohoto roku byl odhalen útok, při němž útočníci znásobili množství hydroxidu sodného používaného při úpravě vody a naštěstí byl odhalen dříve, než mohlo dojít ke katastrofě. V březnu byl zase za přístup a manipulaci s počítačovým systémem veřejného vodovodu v Kansasu obviněn 22letý útočník z USA. Tomuto mladíkovi se podařilo ukončit procesy, které mají vliv na čištění a dezinfekci.
Není tedy divu, že nově zveřejněný průzkum zaměřený na bezpečnost ve vodárenském průmyslu přinesl znepokojující výsledky. Většina z 52 tisíc samostatných vodárenských systémů nemá dosud hotovou ani inventarizaci informačních technologií. Přes 67 % vodárenských systémů pak za poslední rok nehlásilo žádný bezpečnostní incident související s IT provozem, což spíše indikuje, že něco není v pořádku se samotným procesem detekce a reportování incidentů.
Identifikace uživatele napříč prohlížeči
Společnost FingerprintJS definovala nový vektor útoku tzv. scheme flood, to jest zahlcení schématu, té části URL, kde je napsán protokol. Přestože hlavní protokol pro přístup k webovým stránkám je HTTPS, šifrovaný hypertext, webové stránky umožňují přístup i na jiné protokoly: FTP pro přenos souborů, MAILTO k označení e-mailových adres, apod. Jakmile prohlížeč dostane za úkol přejít na URL danou protokolem, může toto URL předat nezávislé aplikaci, aby ho zpracovala po svém. V případě MAILTO to bývá e-mailový klient.
Této funkcionality si všimli ve FingerprintJS a ukázali, jak ji lze využít co zranitelnost. Webová stránka se nedozví příliš informací o tom, jak je s její URL naloženo, ale zvládne identifikovat, že na počítači uživatele existuje aplikace, která daný protokol zpracovává. Pokud útočník oskenuje větší množství aplikací, jejich kombinace uživatele sice nepříliš jednoznačně, přesto dostatečně přesně může identifikovat. A to dokonce napříč prohlížeči! Snažíte se v anonymním režimu Chrome přistoupit ke stránce, kam posléze přistoupíte v Toru? Stránka vás přesto identifikuje jako jediného uživatele. (V Toru tedy už ne, ten záplatoval, ostatní prohlížeče budou zřejmě brzy následovat.)
FingerprintJS jich má v databázi 24 – Skype, Word, WhatsApp, atd. Vyzkoušejte sami, zda vám aplikace přisoudí jednoznačný identifikátor.
Problémový update Androidu
Probudili jste se minulou středu bez svého plně funkčního mobilního telefonu? Pak vězte, že jste v tom nebyli sami. V tuto chvíli ještě neznámá chyba způsobovala vytrvalé padání aplikace Google, které v mnohých případech znemožňovalo běžné používání mobilního telefonu s OS Android.
Nejranější zmínky o této chybě se začaly objevovat na Twitteru 22. června kolem půl osmé ráno. K oficiálnímu vyjádření na twitterovém účtu Android pak došlo 23. června ve dvě hodiny odpoledne, kdy byl potvrzen problém včetně nabídky dočasného řešení.
Název bezdrátové sítě schopný ochromit iOS
U operačního systému iOS byla zjištěna chyba, která může v konečném důsledku váš iPhone kompletně odříznout od možnosti připojení se k Wi-Fi sítím. Bezpečnostní specialista Carl Schou na Twitteru oznámil, že když se připojíte k Wi-Fi síti s SSID „%p%s%s%s%s%n.“, tak nejen, že se iPhone k této síti nedokáže připojit, ale kompletně tím zablokujete i připojení k jiným Wi-Fi sítím. A to i po restartování iPhonu.
NÚKIB spouští nový rozcestník osvětových aktivit
Nový rozcestník je především kolekcí vybraných materiálů, které jsou vhodné pro výuku kybernetické bezpečnosti ve školním prostředí. Rozcestník bude užitečný především učitelům, kteří nemusí sami vyhledávat materiály a inspiraci pro výuku kybernetické bezpečnosti. Stačí navštívit rozcestník, kde vše najdou na jednom místě.
Žáci MŠ, ZŠ i SŠ se mohou díky těmto materiálům seznámit s kybernetickou bezpečností pomocí povídek, komiksů, podcastů, her, videokurzů nebo třeba tematických seriálů a filmů. Materiály, které rozcestník ukazuje, nejsou jen z dílny NÚKIB, ale i řady dalších organizací jako je AVAST Software, O2 Chytrá škola, CZ.NIC nebo Český rozhlas.
Masivní nárůst botnetové sítě DirtyMoe
Avast varuje před masivním nárůstem botnetové sítě s názvem „DirtyMoe“. V první polovině roku 2021 objevili více než 100 000 infikovaných systémů. Přitom v celém minulém roce 2020 objevili pouhých 10 000 infikovaných systémů. Experti popisují DirtyMoe jako komplexní malware. Botnetová síť byla aktivní od roku 2017, kdy byla převážně využívána pro těžení kryptoměny.
V roce 2018 se začal využívat také k DDoS útokům. K šíření docházelo v rámci phishingových kampaní nebo také pomocí zranitelnosti v Internet Exploreru CVE-2020–0674. Koncem roku 2020 došlo k zásadní změně, kdy se malware obohatil o modul, který je údajně skenuje internet a hledá stroje se systém Windows, které mají otevřený port se službou SMB, kde následně zkouší prolomit heslo hrubou silou.
Video streamy v ohrožení
CISA (Cybersecurity & Infrastructure Security Agency) zveřejnila popis chyby v ThroughTek P2P SDK, který je používán v mnoha síťových kamerách, dětských chůvičkách a obecně zařízeních používaných ke snímání obrazu a jeho přenášení po síti. Chybě bylo vyhrazeno CVE-2021–32934 s kritičností 9.1 podle CVSSv3. Umožňuje útočníkovi zobrazovat data přenášená kamerami. Zranitelné jsou následující verze SDK:
- Verze 3.1.5 a starší
- Verze s nossl tagem
- Zařízení s firmwarem, který nepoužívá AuthKey pro IOTC spojení
- Zařízení s firmwarem, který používá AVAPI modul bez DTLS
- Zařízení s firmwarem, který používá P2PTunnel nebo RDT modul
Náprava:
- Pokud se jedná o SDK verze 3.1.10 and vyšší, povolte authkey a DTLS
- Pokud se jedná o SDK libovolné verze před 3.1.10, aktualizujte knihovnu na v3.3.1.0 nebo v3.4.2.0 a povolte authkey/DTLS
Jako vlastníci těchto zařízení, musíme jen doufat, že uvedené aktualizace provede výrobce zařízení co nejdříve.
Nový ransomware DarkRadiation cílí na Linux a Docker
Byl objeven nový typ ransomwaru nazvaný DarkRadiation, který je celý psán v Bashi a s velícím serverem komunikuje skrze Telegram. Data šifruje obvyklým AES-CBC a zašifrovaným souborům připojuje příponu ‚.☢‘. Zatím však není jasné, zda-li je ransomware již reálně použit, tento objev byl učiněn náhodou na útočníkově serveru, kde uživatel Twitteru objevil adresář „attack_api".
Celý bashovský skript je obfuskován open-source nástrojem node-bash-obfuscate. Po spuštění se pokusí nainstalovat wget, curl a openssl knihovny a příkazem ‚who‘ pravidelně sleduje přihlášené uživatele a odesílá skrz Telegram API. Ransomware nakonec vytvoří vlastního uživatele „ferrum" pro účely šifrování dat a ostatní uživatele smaže. Dalšími schopnostmi ransomwaru je schopnost šířit se automaticky skrze SSH nebo zastavovat docker kontejnery.
Ve zkratce
- Phishing žádá příjemce, aby zneužití nereportoval
- Jak na bezpečnost osobních dat a zařízení během dovolené
- Závažné chyby se týkají 128 modelů PC a tabletů Dell
- Společnost Zyxel vydala varování ohledně enterprise firewallů a VPN zařízení
Pro pobavení
Back to the Fiction pic.twitter.com/oei2L2cZFB
— Patch Friday (@PatchFriday) June 4, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
