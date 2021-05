Aké kybernetické operácie podnikli štáty? Aké zraniteľnosti objavili výskumníci? A s akými novými technikami vyrukovali hekeri? Odpovede nájdete v prehľade týždňa.

Politika a právo

Mimovládne organizácie na čele s Access Now, Human Rights Watch a Výborom na ochranu novinárov zverejnili otvorený list, ktorým chcú poukázať na porušovanie zásad ochrany ľudských práv izraelskou technologickou spoločnosťou NSO Group. Podľa nich spoločnosť vo väčšine prípadov nebola schopná splniť svoje predchádzajúce záväzky a sľuby a jej tvrdenia o opaku sú len prázdne slová, nakoľko ich nevie podložiť dôkazmi. List priamo reaguje na prípad z leta minulého roka, kedy mal byť jej špionážny nástroj Pegasus použitý vládami Saudskej Arábie a Spojených arabských emirátov na nabúranie sa do telefónov novinárov, producentov a riadiacich pracovníkov televízií Al Jazeera a Al Araby. (Access Now)

Marocký raper Mehdi Black Wind vydal song s názvom „Pegasus“, v ktorom opisuje NSO Group a sledovanie ľudí v Maroku. (Twitter, YouTube)

Riaditeľ odboru medzinárodnej informačnej bezpečnosti ruského ministerstva zahraničných vecí Andrej Kruckich vyhlásil, že Rusko dokáže detegovať akýkoľvek pokus o zasahovanie do jeho interných záležitosti skrze kybernetický priestor. Reagoval tak na nedávne slová poradcu prezidenta USA pre národnú bezpečnosť Jacka Sullivana, ktorý tvrdil, že Washington zvažuje odpovedať „viditeľnými aj nepozorovateľnými“ prostriedkami na útok súvisiaci so spoločnosťou SolarWinds. Zástupca riaditeľa ruského Národného koordinačného centra pre počítačové incidenty Nikolaj Murašov vzápätí oznámil, že počas nedávnych protestov na podporu Alexeja Navaľného zasiahli vládne agentúry rozsiahle DDoS útoky pochádzajúce práve z USA. Podľa Murašova možno očakávať, že na samite medzi prezidentmi Joeom Bidenom a Vladimírom Putinom sa bude rokovať aj o téme kybernetickej bezpečnosti. (TASS 1,2,3)

Rusko zaznamenalo počas Majstrovstiev sveta vo futbale 2018 viac ako 25 miliónov hekerských útokov. (TASS)

V Spojených štátoch sa schyľuje k veľkým zmenám. Po rozsiahlych útokoch súvisiacich so spoločnosťami SolarWinds a Microsoft by súkromné a verejné inštitúcie mali prejsť na tzv. model s nulovou dôverou. Ten je postavený na predpoklade, že v sieti nemožno veriť žiadnemu zariadeniu, procesu ani používateľovi a preto k nim treba pristupovať ako k potenciálne kompromitovaným. Takýto prístup bude vyžadovať nepretržitú kontrolu ich činností a práv. Zmena by mala nastať aj v boji proti ransomvéru. Vláda chce predchádzať veľkým škodám tým, že deanonymizuje kryptomeny. Konkrétne opatrenia by sa mali dotknúť zmenární a bankomatov s kryptomenami a potenciálne aj povinnej registrácie peňaženiek. Do tretice, skupina zákonodarcov prišla s návrhom vytvoriť ekvivalent Národnej gardy zameraný na kybernetickú bezpečnosť. Pozostávať by mal z bývalých príslušníkov armády a zamestnancov vlády, ktorí by v prípade potreby pomáhali ministerstvám pre vnútornú bezpečnosť a obrany. (WSJ, Reuters, The Hill)

Agentúra pre kybernetickú bezpečnosť a infraštruktúru zverejnila správu o súčasných aktivitách ruských hekerov zo spravodajskej služby SVR. (CISA)

Výskumná agentúra ministerstva obrany skúma riešenia postavené na metóde tzv. dôkazov s nulovou znalosťou, ktoré by uľahčili nahlasovanie zraniteľností. (DARPA)

Čínske ministerstvo štátnej bezpečnosti chce bojovať proti špionáži. V pláne má zostaviť zoznam subjektov, ktoré budú musieť prijať opatrenia na zamedzenie exfiltrácie informácií a tajomstiev. Ich súčasťou by mala byť povinnosť uzavrieť so zamestnancami zmluvu o mlčanlivosti či vyspovedať ich po návrate zo zahraničia, ale aj inštalácia špeciálnych monitorovacích zariadení a infraštruktúry či zákaz používania vybraného hardvéru. Predpokladá sa, že na zozname sa objavia predovšetkým organizácie z obranného priemyslu a vedy a výskumu. Nové pravidlá reflektujú bezpečnostné obavy Pekingu vyvolané mimo iným aj zvyšujúcim sa napätím medzi Čínou a Západom v oblasti technológií a geopolitiky. (SCMP)

Mediálny tím sociálnej siete Facebook omylom zazdieľal belgickému technologickému portálu DataNews internú komunikačnú stratégiu k téme únikov údajov. Podľa nej majú zamestnanci hovoriť o únikoch ako o „sektorovom probléme“, ktorý je treba normalizovať, pretože ide o „bežnú záležitosť“. E-maily s inštrukciami pochádzajú zo začiatku apríla tohto roku a reagujú na kontroverzný balík dát o používateľoch Facebooku, ktoré neznámy útočník zozbieral z verejne prístupných profilov ešte pred dvoma rokmi. Portál pripomína, že na možnosť zneužitia funkcie, cez ktorú útočník dáta automatizovane kopíroval, upozornil ešte v januári 2017 etický heker Inti De Ceukelaire. Spoločnosť ho ale vtedy odmietla so slovami, že nešlo o vážny problém. (DataNews)

Technológie a kybernetická kriminalita

Ransomvér Babuk po pár mesiacoch na scéne končí. Skupina hekerov ohlásila svoj blížiaci sa koniec po útoku na Washingtonskú metropolitnú políciu, pri ktorom ukradla a následne zverejnila časť z vyše 250 GB dát o súčasných a bývalých príslušníkoch. Babuk však nemá v pláne zverejniť dešifrovacie kľúče. Pre zvyšné a novovznikajúce skupiny ale sprístupní zdrojový kód svojho malvéru, aby na ňom mohli stavať. V rozhovore pre poľský portál Sekurak hekeri ďalej uviedli, že dôvodom ich konca je politika. Nechcú byť totiž spájaní s Kremľom a svojou činnosťou nechcú vyvolať konflikt medzi Ruskom a Spojenými štátmi. Začiatkom leta ale chystajú masívny útok proti veľkým IT spoločnostiam, po ktorom by už mali definitívne skončiť. (BleepingComputer, StateScoop, Sekurak)

Ransomvérová skupina LockBit napadla britskú železničnú spoločnosť Merseyrail, ktorá prevádzkuje vlaky v okolí Liverpoolu. (BleepingComputer)

Mestečko Villafranca na severe Talianska sa stalo obeťou ransomvérovej skupiny Avaddon, ktorá teraz zverejňuje ukradnuté dáta, medzi nimi zmluvy, občianske preukazy či lekárske záznamy. (TechNadu)

Austrálskeho prevádzkovateľa sietí nemocníc a opatrovateľských domov UnitingCare zasiahol kybernetický útok. Spoločnosť nechcela bližšie špecifikovať, o aký typ útoku sa jednalo. Podľa výpovedí pacientov z nemocnice v Brisbane ale malo ísť o ransomvér, ktorý v nemocnici spôsobil menší chaos. Nefungovala Wi-Fi sieť, elektronické vedenie lekárskych záznamov, e-mailový systém či komunikácia medzi pacientmi a personálom, ktorý mal údajne problém vykonať aj bežné zákroky ako zavedenie kanyly. Spoločnosť v spolupráci s Austrálskym centrom kybernetickej bezpečnosti v súčasnosti manuálne obnovuje systémy zo zálohy. Nie je však známe, kedy sa situácia vyrieši. (ABC News 1,2)

Po útoku na dodávateľa softvéru pre systémy pre radiačnú liečbu rakoviny musel americký poskytovateľ starostlivosti na týždeň pozastaviť onkologickým pacientom ich liečbu. (AJC)

Výskumníci zo spoločnosti Kaspersky zrejme odhalili nový nástroj vyvinutý americkou tajnou službou CIA. Ide o trójsky kôň, ktorý na napadnutých systémoch vytvára zadné dvierka. Jeho špecifikom je ale spôsob aktivácie. Malvér potajme odpočúva prenos na sieti dovtedy, kým nezachytí špeciálny paket, ktorý ho spustí. Experti z Kaspersky o ňom informovali v najnovšom reporte „APT trends report Q1 2021“. Podľa nich sa štýl, vzorce a techniky, akými je backdoor napísaný podobajú na rodinu malvérov Lambert z balíka nástrojov CIA známeho ako Vault7. (The Record, Kaspersky)

Spoločnosť Bitdefender odhalila nový backdoor čínskej skupiny Naikon, ktorý bol použitý pri operácii vedenej proti vojenským cieľom v juhovýchodnej Ázii. (Bitdefender)

Výskumníci z 360 Netlab objavili malvér, ktorý už niekoľko rokov napáda zariadenia s operačným systémom Linux a vytvára v nich zadné dvierka. (360 Netlab)

Na známom hekerskom fóre sa objavila databáza obsahujúca údaje o viac ako 250 miliónoch občanov a rezidentov USA. Jej vlastník zatiaľ nie je známy. Dáta označované aj ako „250807711“ údajne pochádzajú zo servera, ktorý prevádzkuje Amazon a obsahujú mená, telefónne čísla, e-mailové adresy, dátumy narodenia, lokalitu, politické preferencie, výšku mzdy či počet detí v domácnosti. Bezpečnostný výskumník Troy Hunt ale upozornil, že nie všetky údaje prináležia zmieneným osobám. Ľudia, ktorí ho kontaktovali totiž tvrdia, že údaje pri ich menách sú buď staré, vymyslené, alebo patria ich príbuzným a nie im osobne. (HackRead, Twitter)

FBI poskytla portálu Have I Been Pwned zoznam štyroch miliónov e-mailových adries, ktoré používali hekeri stojaci za nechválne známym malvérom Emotet. (Troy Hunt)

Výskumníci z tímu Mandiant aktualizovali svoju správu o prebiehajúcej vplyvovej operácii Ghostwriter, ktorá mieri na občanov Poľska, Litvy a Lotyšska. Podľa zistení ide o prácu štátom sponzorovanej skupiny UNC1151. Hekeri spočiatku napádali webstránky alebo podvrhovali e-maily, kde šírili kritiku NATO. Po novom ale napádajú účty poľských pravicových politikov na sociálnych sieťach s cieľom podsunúť také naratívy, ktoré by zdiskreditovali vládu a vyvolali politické nepokoje. Zaznamenané boli aj prípady namierené proti Nemecku. (FireEye)

Krátke správy

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred phishingovou kampaňou, ktorá zneužíva meno e-shopu tercio.sk. (SK-CERT)

Český Národný úrad pre kybernetickú a informačnú bezpečnosť posilní spoluprácu s Masarykovou univerzitou v Brne. (NÚKIB)

Český Národný CSIRT tím varoval pred podvodnými volaniami, ktoré ponúkali pomoc po údajnom útoku hekerov. (CSIRT.CZ)

Poľská polícia dolapila muža, ktorý na internete okradol ľudí v prepočte o približne 12-tisíc eur pod zámienkou finančnej zbierky pre rodinu, ktorú pred časom zasiahol požiar. (KSP)

Portugalskému hekerovi Ruiovi Pintovi, ktorý je známy z kauzy Football Leaks a odhalenia plánov na vznik európskej Superligy hrozí až 25 rokov za mrežami. (Daily Mail)

Zomrel známy bezpečnostný výskumník Dan Kaminsky, ktorý v roku 2008 odhalil kritickú zraniteľnosť v DNS systémoch. (The New York Times)

Zoskupenie expertov z popredných technologických a bezpečnostných firiem známe ako Ransomware Task Force vydalo odporúčania a strategický rámec pre boj s ransomvérom. (IST)

Výrobca grafických kariet nVidia upozornil na celkovo 13 zraniteľností vo svojom softvéri, ktoré potenciálnym útočníkom umožňovali eskalovať práva, spustiť kód alebo vykonať DoS útoky. (ThreatPost)