Velká (severo)korejská (krypto)loupež
Hackeři ze skupiny Lazarus, nechvalně proslulé skupiny s vazbami na Severní Koreu a její vládu, provedli v únoru 2025 útok na kryptoměnovou burzu Bybit. Při něm se jim podařilo zachytit převod přes 400 tisíc jednotek měn Ethereum (ETH, mETH, stETH, cmETH), v dnešní hodnotě cca 1,5 miliardy dolarů, které poté přesměrovali na další peněženky v síti.
Tento útok je výjimečný tím, že se podařilo přesměrovat zdroje z tzv. „multisig“ studené peněženky. Studená peněženka se od té „horké“ liší tím, že privátní klíč je uložen offline, mimo počítač, na kterém se odesílají transakce. Za tímto účelem se běžně používají hardwarové krypto klíče (peněženky), které také umožňují (alespoň částečnou) kontrolu a potvrzení transakce přímo na klíči. „Multisig“ peněženky pak k provedení transakce vyžadují podpisy více oprávněných držitelů; jedním z používaných schémat je systém „3 z 5 podpisů“, kde pět lidí drží podpisový klíč, a k potvrzení transakce stačí podpis libovolných tří. Výrazně se tím limituje potenciální zneužití, jenže zde to nestačilo.
Z dosavadního průběhu vyšetřování zatím nebyla zjištěna kompromitace infrastruktury Bybitu. Kde ale k prolomení mělo dojít, tak je u firmy Safe, jejichž služby Bybit využíval pro uložení svojí studené peněženky. Zřejmě právě jejich klíč byl použit k úpravě souborů v AWS S3 bucketu, na kterém byl hostován javascriptový kód služby app.safe.global.
Útočníci nejprve vytvořili dva škodlivé kontrakty v síti Ethereum; na síti se objevily 18. února. Poté 19. února (dle hlaviček Last-Modified a web.archive.org) doplnili JavaScriptový kód aplikace app.safe.global tak, aby přesměroval transakci z peněženky Bybitu na útočníkem vytvořený kontrakt (resp. dle VeriChains byl původní kontrakt upgradován), a aby tuto výměnu navenek zamaskoval v uživatelském rozhraní – v okamžiku, kdy mělo dojít k verifikaci a potvrzení pokynu. Tato část kódu se aktivovala ve chvíli, kdy byla detekována adresa peněženky oběti (či útočníka). K transakci došlo 21. února, načež útočník použil backdoor funkce „sweepETH“ a „sweepERC20“ ve škodlivém kontraktu, které peněženku vyluxovaly. Dvě minuty po provedení transakce po sobě útočníci uklidili – použitý skript na S3 bucketu byl nahrazen za původní. Toto vyplynulo z předběžných reportů vyšetřování firem Sygnia a Verichains, které na síti X zveřejnil CEO Bybitu Ben Zhou, která obsahuje také přesné časy jednotlivých akcí.
K dokreslení kontextu celé situace ještě uveďme, že tyto krádeže jsou nyní významným způsobem, jakým jinak izolovaná Severní Korea získává finanční prostředky. Dle Spojených států tyto prostředky používá také pro rozvoj svých programů jaderných zbraní a balistických střel. Jen v roce 2024 útočníci spojení s KLDR provedli 47 úspěšných krádeží v celkové hodnotě zhruba 1,37 miliardy dolarů , což má představovat 61 % z objemu celkově ukradených kryptoměn za tento rok (i když „pouze“ 20 % z celkového počtu incidentů). Útočníci spojení s KLDR jsou zjevně vysoce motivovaní.
Hledal (na wiki), až našel (RCE)
XWiki nedávno opravila kritickou zranitelnost umožňující vzdálené spuštění kódu, zneužitelnou skrze požadavek na SolrSearch (CVE-2025–24893 – CVSS:3.1 Base score 9.8).
Neautentizovanému vzdálenému útočníkovi je z důvodu nedostatečné kontroly vstupu vyhledávání umožněno spustit kód Groovy či Velocity, což umožní vykonání libovolných akcí v operačním systému instance s právy uživatele, pod kterým běží instance XWiki. Na stránce s reportem chyby je kromě podrobného popisu také dostupný Proof-of-Concept exploitu.
Zjištění, zda je Vaše instance zranitelná, je triviální a zahrnuje odeslání jednoho dotazu na URL popsanou v oznámení na GitHubu.
Zranitelnost se nachází v produktu XWiki ve verzích (>=5.3-milestone-2 AND <15.10.11) OR (>=16.0.0-rc-1 AND <16.4.1). Opravena je ve verzích 16.5.0-rc-1, 15.10.11 a 16.4.1. Pokud nemůžete okamžitě aktualizovat na nejnovější verzi, pak lze zranitelnost mitigovat úpravou popsanou v oznámení na Githubu.
Vaše tajné zprávy? Naše tajné zprávy
V Mattermostu, respektive jeho vestavěné komponentě Boards, bylo nalezeno několik závažných zranitelností. Jsou jednak typu čtení libovolných souborů (path traversal) s právy uživatele, pod kterým Mattermost běží, a dále pak SQL injection. Vykonávat je může uživatel s platnými přihlašovacími údaji k instanci. Tyto tři nejzávažnějí zranitelnosti se nachází ve verzích 10.4.x <= 10.4.1, 9.11.x <= 9.11.7, 10.3.x <= 10.3.2, 10.2.x <= 10.2.2 a jsou opraveny verzemi 10.5.0, 10.4.2, 9.11.8, 10.3.3 a 10.2.3.
- CVE-2025–25279 – CVSS:3.1 Base score 9.9 Critical
- CVE-2025–20051 – CVSS:3.1 Base score 9.9 Critical
- CVE-2025–24490 – CVSS:3.1 Base score 9.6 Critical
Těžko na cvičišti
Zranitelnosti se nevyhýbají ani pomůckám pro bezpečnostní specialisty; MITRE Caldera nedávno získala CVE-2025–27364 (CVSS:3.1 Base Score 10.0 Critical), když v kódu umožňujícím kompilaci dynamického agenta bylo nalezeno neautentizované vzdálené spuštění kódu na serveru. Provozovatelům se doporučuje urgentně aktualizovat na commit 35bc06e či nejnovější v branchi master (verze 5.1.0 či novější).
Víte, co dělá vaše chytrá televize?
Ať už je Vaše odpověď na tuto otázku jakákoliv, není radno schopnosti těchto (dle skromného názoru autora nadměrně přechytřelých) přístrojů podceňovat. Androidí botnet Vo1d dle reportu společnosti Doctor Web již napadl přes 1,3 milionu televizí s tímto systémem. Zmiňována jsou napadení starých verzí systému Android (v reportu se hovoří o verzích 7.1, 10 a 12), případně systémů, které mají již z výroby či jinak pokoutně povolen root přístup. Report také mluví o možném použití malwaru, který zneužije zranitelnost daného systému k elevaci oprávnění. Přesný způsob, jak se Vo1d do zařízení dostane, však zatím nebyl s jistotou určen.
Po napadení Vo1d vytvoří několik souborů v adresáři /system/bin a /system/xbin , kde se pokouší maskovat za běžnou binárku s názvem void – malware se jmenuje vo1d (jednička místo měkkého i). Odtud název „Android.Vo1d“. Dále využívá několik různých metod k získání persistence, a to v závislosti na verzi malwaru. Dle analýzy je Vo1d nejvíce aktivní v Brazílii, Maroku, Pákistánu, Saúdské Arábii, Rusku a několika dalších zemích.
Google v reakci na tyto útoky dodal, že napadená zařízení (nezapomněli dodat, že neznačková) nemají certifikaci Play Protect, kterážto technologie by zařízení skenovala a mohla pomoci nákazu detekovat. Spousta uživatelů ovšem podobné „neznačkové“ přístroje kupuje také kvůli nízké ceně, a jailbreakuje je k doplnění dodatečných funkcí či kvůli příjmu pirátského vysílání. Je rozumnější se těmto úpravám raději vyhnout, je-li to možné, a přístroje důsledně aktualizovat.
Srbská policie si nedá pokoj
Již dříve jste si mohli přečíst v Postřezích o tom, jak se srbská policie dostává do mobilních telefonů srbských novinářů a aktivistů, kde analýza Amnesty International Security Lab vedla k závěru, že k prolomení mobilních zařízení byly použity nástroje společnosti Cellebrite, přesněji Cellebrite UFED. Amnesty k tomuto tématu také vydala report mapující aktivity srbských bezpečnostních složek.
Celebrite UFED (jako sada hardwarových a softwarových nástrojů) je obecně používán mnoha policejními složkami různých států, jelikož umožňuje odemykání mobilních přístrojů a sběr dat pro účely forenzní analýzy. (Zde je nutno dodat, že Cellebrite tvrdí, že prodává své nástroje pouze pro legitimní účely v rámci vyšetřování, a že na nepatřičné použití adekvátně reagují, mj. také ukončením spolupráce s danými složkami.)
Ne vždy mají policejní orgány k dispozici PIN či odemčený telefon, takže nezřídka jsou k dekryptování využity slabiny použitých secure elementů či jejich firmwaru, které se však výrobci po objevení snaží opravit a s novějšími verzemi firmwaru či hardwaru tudíž často zmizí. Využívají se také exploity v ovladačích USB, kde je zejména v linuxových ovladačích velké množství starého a pravděpodobně nepříliš udržovaného kódu pro různá zařízení. Nezřídka je pro specifická zařízení nutné implementovat speciální postup inicializace či fungování, kterým se také říká quirks. Také v nich se mohou skrývat těžko postřehnutelné chyby práce s pamětí, nebo nedostatečné kontroly vstupů, které odhalí až nestandardní použití.
Minulý týden Amnesty reportovala o dalším případu několika zranitelností v systému Android, které byly policií použity proti telefonu srbského studentského aktivisty. Dle popisu v článku, studenta zadrželo 7 policistů v civilu na protestu a odvezlo na stanici. Tam odevzdal (vypnutý) telefon, načež byl poté 6 hodin vyslýchán. Telefon mu byl později, vypnutý, vrácen.
Po propuštění student, podezřívajíc nekalé skutky, požádal Amnesty o pomoc s analýzou telefonu. Forenzní analýzou bylo zjištěno, že jeho telefon, Samsung Galaxy A32, skutečně vykazuje známky nabourání nástroji Cellebrite, ale také byla určena konkrétní emulovaná USB zařízení, která k tomu byla využita, a následně se také s vysokou pravděpodobností podařilo určit konkrétní zranitelnosti, jejichž zneužití vedlo k získání práv superuživatele root.
Celkově byly zneužity nejméně tři zranitelnosti:
- CVE-2024–53104, přetečení na haldě v ovladači USB Video Class (webkamery),
- CVE-2024–53197, přetečení na haldě v ovladači usb-audio (zvukové karty) pro zařízení Extigy a Mbox,
- CVE-2024–50302, možný únik dat z paměti kernelu skrze upravený report buffer v ovladači USB HID (Human-Interface Devices – v tomto případě touchpad Anton a myš MS Comfort Mouse 4500).
První z nich (CVE-2024–53104) byla záplatována v únorovém Android Security Bulletinu; ostatní byly sice záplatovány upstreamem, tj. oprava je již zahrnuta v linuxovém kernelu, ale v době psaní článku ještě nebyly přítomny v bezpečnostních bulletinech Androidu. BleepingComputer ve svém článku doplnil vyjádření od Googlu, podle kterého byly OEM partnerům patche zaslány 18. ledna a budou zahrnuty v některém z následujících bulletinů a budou vyžadovány v konkrétních Service Patch Levelech (SPL). Dle vyjádření Amnesty v článku BleepingComputeru je ovšem možné, že již oprava první zranitelnosti výrazně ztížila exploitaci těch ostatních, ale nelze mít v tuto chvíli jistotu.
Obrana proti těmto útokům obecně není triviální a často vyžaduje zásadní změnu návyků, např. omezení komunikace přes telefon či dodatečné šifrování jeho obsahu. Je nutno ale zdůraznit potřebu včas reagovat na bezpečnostní aktualizace operačního systém telefonu, a pokud jste z okruhu osob, kterým hrozí sledování či pronásledování, pak nemusí být vyloučeno ani použití alternativní distribuce typu GrapheneOS, které kladou důraz na hardening zařízení. Tyto zapracovávají opravy zranitelností s předstihem před výrobcem a implementují další bezpečnostní opatření, týkající se např. deaktivace USB před odemčením. Jsou však obvykle dostupné pouze pro konkrétní modely zařízení (v tomto případě Google Pixely).
Důležité je také šifrovat veškerý obsah přenášený do cloudových úložišť, ideálně koncovým šifrováním (E2EE). Třeba na zařízeních s macOS a iOS/iPadOS se dá přenosy do cloudu dodatečně šifrovat pomocí Advanced Data Protection (ADP); data lze poté dešifrovat pouze na důvěryhodných zařízeních. Nicméně, jednak to nemusí vždy pomoci v uvedeném případě, kdy policie telefon úspěšně nabourá, a dále – vláda Velké Británie přikázala Applu (utajeným opatřením) umožnit přístup ke všem datům uživatelů umístěným v jejich cloudu, i k těm šifrovaným, a tak Apple oznámil, že raději funkci ADP v celém království úplně vypne. Kdy, to zatím nesdělil. Hraje se zde vysoká hra, kde na jedné straně stojí zájmy bezpečnostních složek, na druhé právo na soukromí.
Stručně:
- V LLM tréninkových datasetech pro DeepSeek bylo objeveno 12 tisíc živých API klíčů a hesel
- Balíček automslc v repozitáři PyPI obsahoval hardcoded API token pro Deezer; sloužil k masivnímu stahování plných skladeb
- CISA – aktivně zneužívané zranitelnosti v Zimbře a MS Partner Centru
- GitVenom, malware ve stovkách podvodných repozitářů na Githubu, posloužil ke krádeži 5 BTC
- Americká vláda údajně polevuje v boji proti ruským kyberhrozbám
K zasmání
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU