USA zavedly přísné sankce vůči čínské firmě

V pátek 3. listopadu 2023 americké ministerstvo financí prostřednictvím Úřadu pro kontrolu zahraničních aktiv (OFAC) uvalilo sankce na pekingskou kyberbezpečnostní společnost Integrity Technology Group, Incorporated. Tato firma byla obviněna z organizace několika kybercentických útoků na americké cíle, které byly spojovány s čínským státem sponzorovaným hackerem známým jako Flax Typhoon.

Flax Typhoon, často označovaný také jako Ethereal Panda nebo RedJuliett, byl identifikován jako operátor botnetu IoT s názvem Raptor Train. Djíky svým útokům se tato hackerská skupina cíleně zaměřila na subjekty ve Spojených státech, Evropě, Africe a Asii od poloviny roku 2021.

Ministerstvo financí USA označilo čínské cyberaktéry za jednu z „nejaktivnějších a nejvytrvalejších hrozeb pro národní bezpečnost USA“, které se opakovaně zaměřují na vládní systémy. „Spojené státy využijí všechny dostupné prostředky k potrestání těchto kybernetických útoků,“ prohlásil náměstek ministra financí pro terorismus a finanční zpravodajství, Bradley T. Smith.

Integrity Technology Group, známá také jako Yongxin Zhicheng, byla podezřelá z poskytování podpory skupině Flax Typhoon mezi lety 2022–2023 a byla označena jako dodavatel s vazbami na Ministerstvo státní bezpečnosti Číny. Její úkol zahrnoval pomoc při kybernetických operacích proti americkým a mezinárodním cílem.

Nová zranitelnost LDAPNightmare

V uplynulém týdnu byl vydán proof-of-concept (PoC) pro výrazně závažnou zranitelnost v protokolu LDAP (Lightweight Directory Access Protocol) Windows, která může způsobit stav odepření služby (DoS). Tato zranitelnost, klasifikovaná jako CVE-2024-49113 s hodnocením CVSS 7,5, byla opravena během aktualizace Patch Tuesday v prosinci 2024.

Bezpečnostní experti uvádějí, že seznam zranitelností zahrnuje kritickou chybu CVE-2024-49112, která může vést k vzdálenému spuštění kódu s hodnocením CVSS 9,8. Tuto zranitelnost identifikoval bezpečnostní výzkumník Yuki Chen.

Exploity spojené s LDAPNightmare mohou být použity k pádům neopravených serverů Windows, což by vedlo ke restartu služby LSASS. Útočníci mohou tento exploit použít ke vzdálenému spuštění kódu tím, že odešlou speciálně vytvořený paket na server domény.

Je důležité, aby organizace co nejdříve aplikovaly záplaty poskytnuté Microsoftem, aby se ochránily před zneužitím těchto zranitelností.

Skandál rozšíření pro Chrome

Na konci prosince 2023 se objevila řada nesourodých kybernetických útoků, které mířily na populární rozšíření pro prohlížeč Chrome. Tato kampaň vedla ke kompromitaci minimálně 35 rozšíření a vystavila 2,6 milionu uživatelů riziku zneužití jejich informací, včetně přihlašovacích údajů.

Útočníci využili phishingové techniky k vniknutí do účtů vydavatelů rozšíření a vložili do aplikací škodlivý kód. Společnost Cyberhaven, která zveřejnila první varování o incidentu, se stala cílem tohoto phishingu, když jeden z jejích zaměstnanců kliknul na podvodný odkaz.

Kampaň měla za cíl vyvolat pocit naléhavosti a donutit příjemce, aby kliknuli na odkazy, které je přesměrovaly na falešné stránky. Mezi postižené aplikace patřila řada známých rozšíření, jejichž uživatelé nyní čelí vážným rizikům.

Kyberbezpečnostní experti varují, že rozšíření prohlížečů mohou zůstat i po odstranění z obchodu stále nebezpečné na koncových zařízeních, dokud nebudou důkladně vyčištěna. Otázka kdo stojí za těmito útoky a zda mají souvislost, zatím zůstává nejasná.

Závěr

Situace kolem těchto kyberútočných kampaní jasně ukazuje na rostoucí hrozby, kterým čelí nejen americké instituce, ale i běžní uživatelé. Je důležité, aby uživatelé byli obezřetní a pravidelně kontrolovali svá zařízení na známky nebezpečných aktivit.