Přehled událostí v kybernetické bezpečnosti z týdne 3.–9. července

Uplynulý týden se nesl především v duchu dozvuků epidemie malwaru NotPetya, který bezpečnostní odborníci překlasifikovali z ransomware na útočný kybernástroj. Ukrajinské orgány se nadto střetly s druhou vlnou infekce uvedeného viru, kterou se jim podařilo zastavit. Souběžně došlo také ke zveřejnění informací o nově nalezeném malwaru a několika incidentům, jež zasáhly komunitu příznivců kryptoměn.

S pomocí sociálního inženýrství získal neznámý útočník 30. června kontrolu nad doménou Classic Ether Wallet, jež slouží k transakcím s kryptoměnou Ethereum Classic (ETC). Poté, co se pachateli podařilo přesvědčit hostingovou firmu, že je majitelem dané domény, přesměroval datový provoz na svůj server, což mu umožnilo převádět probíhající transakce na vlastní účet. Celkově si takto přišel na circa 300 tisíc dolarů.

Téhož dne ohlásila přední světová burza kryptoměn Bithumb, že se stala terčem kyberútoku. Neznámým pachatelům se pravděpodobně podařilo získat uživatelská jména, e-mailové adresy a telefonní čísla části jejích klientů (zhruba 30 tisíc uživatelů). Hackeři se k uvedeným údajům dostali průnikem do počítačů jednoho z pracovníků Bithumbu. Třebaže nedošlo ke ztrátě přihlašovacích hesel, krátce po incidentu někteří uživatelé hlásili krádeže finančních prostředků ze svých elektronických peněženek. To je uváděno do souvislosti s následnými telefonickými podvody, při nichž bylo z obětí vylákáno jednorázové heslo, jež jejich konta zpřístupnilo.

Dne 4. července zastavila ukrajinská policie spolu s pracovníky tamní zpravodajské služby SBU další kampaň malwaru známého jako NotPetya. Podle ukrajinského ministra vnitra Arsena Avakova útoky vedené prostřednictvím aktualizačního serveru účetního softwaru М.Е. Doc započaly okolo druhé hodiny odpolední. Zmíněný program obsahoval podle analýz řady společností, včetně Kaspersky Lab a ESET, vektor, jenž do něj byl začleněn poté, co neznámí útočníci (ukrajinské orgány čin přisuzují Ruské federaci) pronikli do počítače jednoho z vývojářů. Pomocí tého úpravy byla šířena také původní infekce NotPetya, jež zasáhla tamní sektory financí, energetiky a dopravy, i dříve zaznamenaný virus XData. Vedení společnosti „Intelekt servis“, jež zmíněný software vyvíjí, původně popřelo jakýkoliv podíl na útocích, nicméně posléze existenci backdooru ve svých produktech přiznalo.

Generální tajemník NATO Jens Stoltenberg v návaznosti na vývoj situace 10. července na tiskové konferenci při setkání komise NATO-Ukrajina za účasti ukrajinského prezidenta Petra Porošenka, uvedl, že Aliance doufá ve vzájemně výhodnou spolupráci s Ukrajinou na poli kybernetické bezpečnosti. Dle jeho oznámení NATO již zahájilo poskytování technických prostředků, jež napomohou s vyšetřováním, kdo za v poslední době zaznamenanými útoky stál, a navýší bezpečnost důležitých sektorů před hrozbami z kyberprostoru.

Navzdory názorům odborníků, již se domnívají, že autorům viru NotPetya na inkasování výkupného nezáleží, se původci infekce nebo někdo, kdo se za ně vydává, 4. července o platbu přihlásili. Hackeři vyjádřili svou připravenost k uvolnění klíče na obnovu všech malwarem zašifrovaných souborů pod podmínkou obdržení 100 bitcoinů (asi 260 tisíc dolarů). Učinili tak prostřednictvím oznámení na uložištích DeepPaste a Pastebin odkazujících na fórum na darkwebu. Za zmínku stojí, že byla tato aktivita těsně následována vyprázdněním bitcoinové peněženky s vklady od původních obětí vyděračů. Bezpečnostní firma Cylance podrobila nové istrukce analýze, jejímž závěrem je potvrzení předešlého předpokladu, že NotPetya nebyl určen k užití formou ransomware, což staví novou finančně motivovanou žádost do pozice manévru, který má tuto skutečnost zastírat.

O další významnou událost se zasloužily WikiLeaks publikací nových materiálů popisujících kybernetické prostředky užívané údajně americkou CIA. Tentokrát byla v rámci takzvaného projektu Vault 7 vydána dokumentace popisující dvojici hackerských nástrojů zaměřených na Secure Shell (SSH) protokol – BothanSpy a Gyrfalcon. První z nich umožňuje prostřednictvím klientského programu Xshell zachycovat přihlašovací údaje z otevřeného SSH spojení. Druhý nástroj slouží ke kompresi, šifrování a skladování dat získaných na platformách linux z datového provozu v rámci produktu OpenSSH.

Specialisté z bezpečnostní firmy Check Point varovali před virem CopyCat, jenž od roku 2016 infikoval 14 milionů zařízení po celém světě. Malware, distribuovaný formou neautorizované aplikace, pozměňuje kód služby Zygote, která se stará o spouštění veškerého aplikačního softwaru, což viru dává značné možnosti. Krom přístupu k aktivitě běžících aplikací dokáže CopyCat také krást kredit tvůrců reklam, pakliže kliknutí na jejich banner vede ke stažení inzerovaného softwaru.

Odborníci z Palo Alto Networks 6. července informovali o novém multifunkčním trojském koni pro chytré telefony a další android zařízení SpyDealer. Zmíněný virus, šířený původně pomocí nechráněných Wi-Fi sítí, je schopen exfiltrovat data z více než 40 aplikací a krást zprávy z komunikačních programů jako Skype a Viber. Rovněž podporuje široké spektrum možností ve sledování uživatelů daných přístrojů včetně monitoringu jejich pozice, nahrávání probíhajících hovorů a pořizování fotografií, videí a screenshotů.

Americký prezident Donald Trump 9. července prostřednictvím zprávy na Twitteru oznámil, že zvažuje partnerství se svým ruským protějškem Vladimirem Putinem za účelem obrany vůči hackerským útokům na prezidentské volby a dalším závažným zásahům z kyberprostoru. Trump na konto případné spolupráce uvedl, že je v kontextu současné dohody o příměří v jihozápadní Sýrii na konstruktivní jednání s Kremlem vhodná doba. Rovněž zdůraznil, že Putin v reakci na přímé dotazy, zda Rusko prostřednictvím kyberprostoru zasahovalo do průběhu amerických voleb, tuto eventualitu (stejně jako v minulosti) vehementně popřel.

Dne 10. července (patrně vlivem vlny ostré kritiky, která oznámení následovala) Trump svůj názor na kyberalianci s Putinem přehodnotil a označil projednávanou formu spojenectví za nerealizovatelnou.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace