Válka na Ukrajině a související dění
Twitterový účet s vazbou na Anonymous již na konci třetího březnového týdne informoval, že jmenované hnutí se zaměří na útoky na mezinárodní organizace, které budou i nadále působit v Rusku a odvádět tam daně. V uplynulém týdnu se pak k řadě útoků na takové organizace údajně Anonymous skutečně odhodlali, a to zejména ve formě DDoS útoků zaměřených na webové servery.
Hnutí Anonymous se rovněž pochlubilo získáním balíku 10 GB citlivých interních dat ze systémů společnosti Nestlé, která v Rusku stále působí, nicméně obsah následně zveřejněných souborů i vyjádření firmy Nestlé nahrávají spíše tomu, že k průniku do systémů společnosti ve skutečnosti nedošlo a předmětný balík „citlivých dat“ obsahoval jen testovací databázi omylem zpřístupněnou na jednom ze serverů firmy Nestlé v únoru.
Zdá se však, že skupiny hlásící se k Anonymous se citelněji zaměřily nejenom na soukromé společnosti, ale i na vybrané ruské instituce. Ke konci týdne jeden z twitterových účtů s vazbou na Anonymous informoval o údajném úspěšném průniku do systémů ruské centrální banky a odcizení mnoha citlivých dokumentů, a související balík dat byl později volně publikován. Původ a obsah zveřejněných dat nelze v tuto chvíli spolehlivě ověřit, nicméně na základě předběžných analýz se zdá, že by se skutečně mohlo jednat o interní data patřící Centrální bance Ruské federace.
V rámci států podporujících Ukrajinu docházelo v průběhu uplynulých dní k přípravám na potenciální reakci ze strany Ruska v podobě útoků cílených na jejich kritickou infrastrukturu a občany. Této problematice se věnovali lídři zemí G7 na proběhlém summitu, a samostatně pak Spojené státy, Velká Británie, a do jisté míry i Česká republika. NÚKIB totiž počátkem týdne publikoval varování v souvislosti potenciálními dopady aktuálních sankcí na dodavatelský řetězec organizací, do něhož mohou být zapojeny i subjekty z Ruska.
Mezi významné události s určitou vazbou na probíhající válku na Ukrajině patřilo rovněž zveřejnění informací o obvinění čtyř ruských občanů z historických útoků na organizace působící v energetickém sektoru ze strany USA a publikování detailního popisu technik a postupů, které měly být při těchto útocích použity.
Společnosti Okta a Microsoft byly obětmi skupiny Lapsus$
V průběhu minulého víkendu a začátku uplynulého týdne informovala skupina Lapsus$, která se specializuje na průniky do sítí velkých organizací a jejich následné vydírání s pomocí ransomwaru, že se jí podařilo získat přístup do systémů společnosti Microsoft a získat zdrojové kódy jejích vybraných produktů.
Jmenovaná společnost později potvrdila, že účet jednoho z jejích zaměstnanců byl skutečně kompromitován a balík dat, který skupina Lapsus$ v mezičase publikovala, tak skutečně obsahoval zdrojové kódy některých produktů, mj. systémů Bing nebo Cortana. V rámci průniku nicméně dle Microsoftu došlo pouze ke zcizení jeho interních dat a žádná zákaznická data nebyla kompromitována.
Situace byla trochu jiná v případě průniku do systémů společnosti Okta, který byl později skupinou Lapsus$ rovněž oznámen. Vedoucí informační bezpečnosti (CISO) Okty, David Bradbury, nejprve vydal prohlášení ubezpečující zákazníky, že z jejich strany není třeba žádné akce, protože platforma nebyla kompromitována. Uvedl nicméně rovněž, že v lednu se externímu útočníkovi podařilo na několik dní získat vzdálený přístup k laptopu servisního technika subdodavatele společnosti Okta, avšak vzhledem k omezeným právům spojeným s účtem technika by jakékoli dopady zanedbatelné.
Později však CISO Okty doplnil, že celkem 366 tenantů (tedy přibližně 2,5 % zákaznických účtů) mohlo být v době, kdy měly útočníci ke kompromitovanému účtu přístup, potenciálně určitým způsobem negativně ovlivněno.
Skupina Lapsus$ na vyjádření ze strany společnosti Okta reagovala vlastním prohlášením, v němž mj. uvedla, že dopad jejích aktivit na zákazníky může být potenciálně velmi citelný a jeho bagatelizace tak rozhodně není na místě, současně kritizovala interní bezpečnostní standardy a zvyklosti firmy Okta, které údajně rozhodně neodpovídají dobré odborné praxi.
Přestože tvrzení skupiny Lapsus$ není možné ověřit, reakce na přístup firmy Okta k vzniklé situaci byla ze strany zákazníků i odborné veřejnosti převážně negativní. Krom jiného i v důsledku relativně opožděného uvědomění zákazníků o potenciálním incidentu, ale také proto, že specifická doporučení pro reakci na aktuální situaci poskytovaly spíše jiné subjekty než Okta samotná.
Údajné zatčení člena skupiny Lapsus$
Zdá se, že k výše zmíněným útokům se váže také jedna pozitivní zpráva z uplynulého týdne. Po analýze dostupných informací totiž policejní orgány ve Velké Británii zatkly celkem 7 lidí ve věku mezi 16 a 21 lety v souvislosti s kybernetickými útoky, a nejméně jeden ze zatčených měl údajně stát za skupinou Lapsus$.
Zranitelnost v dálkovém ovládání Hondy Civic
Nejen pro majitele vozů Honda Civic vyrobených mezi lety 2016 a 2020 může být zajímavý nový výzkum ukazující možnost použít proti těmto automobilům jednoduchý rádiový replay útok a dosáhnout tak odemčení či zamčení dveří, nebo případně i vzdáleného nastartování vozidla.
Související zranitelnost, které byl přiřazen identifikátor CVE-2022–27254, je způsobena skutečností, že dálkové ovladače pro výše zmíněná vozidla nepoužívají plovoucí, ale statické kódy. Potenciálnímu útočníkovi tak stačí jednou si nahrát validní signál spojený například s odemčením vozidla, a následně jej může kdykoli sám opět vyslat a vozidlo odemknout.
Sama společnost Honda k nahlášené zranitelnosti uvedla, že její existenci sama neověřovala a nemůže tak potvrdit, že její výrobky jsou jí postiženy. Mluvčí Hondy nicméně rovněž uvedl, že principiálně jsou podobné replay útoky známým problémem a Honda aktuálně nemá v plánu starší vozy updatovat.
Regulátor v USA vyhodnotil společnost Kaspersky jako rizikovou pro národní bezpečnost
FCC, americký telekomunikační regulátor, připojil firmu Kaspersky Labs na seznam dodavatelů, jejichž produkty není z bezpečnostních důvodů možné financovat z federálních finančních zdrojů. Uvedení na tomto seznamu, na němž se historicky objevily mj. společnosti ZTE a Huawei, sice neznamená zákaz používání produktů a služeb Kaspersky v organizacích regulovaných ze strany FCC, nicméně v praxi má v podstatě stejný význam. Svůj krok FCC opodstatnilo vazbami jmenované společnosti na Rusko.
Je vhodné připomenout, že úplný zákaz používání produktů firmy Kaspersky platí v USA už od roku 2017 pro všechny federální instituce.
Další zajímavosti
- Identifikovány stovky nových škodlivých npm balíčků cílených na Azure vývojáře
- Nová studie ukazuje, jak rychle různé rodiny ransomware šifrují data
- Google publikoval záplatu pro další aktivně zneužívanou 0-day zranitelnost v prohlížeči Chrome
- EU a USA se dohodly na principech nového transatlantického rámce pro zajištění ochrany osobních dat
- Firma HP publikovala záplaty pro několik zranitelností vybraných tiskáren – jsou mezi nimi i kritické zranitelnosti umožňující vzdáleně spustit na zařízení libovolný kód
- Pražští kriminalisté zadrželi sedm podezřelých z rozsáhlých podvodů na internetových bazarech
Pro pobavení
Pohled do alternativní reality inspirovaný úspěšným útokem skupiny Lapsus$ na Microsoft (viz výše). Zdroj: Reddit
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…