USA uvalily sankce na čínskou firmu

Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí oznámil sankce proti pekingské kyberbezpečnostní společnosti Integrity Technology Group, Incorporated. Tato firma byla obviněna z organizování několika kybernetických útoků proti americkým cílům.

Tyto útoky byly připisovány čínské skupině sponzorované státem, známé jako Flax Typhoon, která již od roku 2021 cíleně útočí na různé subjekty v Severní Americe, Evropě, Africe a Asii. Flax Typhoon využívá známé zranitelnosti k získání přístupu k počítačům obětí a poté využívá legitimní software pro vzdálený přístup, aby si udržela trvalé spojení.

Ministerstvo financí označilo čínské kybernetické aktéry za jednu z nejaktivnějších hrozeb pro národní bezpečnost USA, které opakovaně útočí na vládní systémy včetně těch federálních. Bradley T. Smith, náměstek ministra financí pro terorismus a finanční zpravodajství, zdůraznil, že vláda bude i nadále podnikat kroky proti těmto hrozbám a spolupracovat na posílení kybernetické obrany.

Integrity Group, známá také jako Yongxin Zhicheng, byla obviněna z poskytování infrastruktury potřebné k podpoře kybernetických kampaní skupiny Flax Typhoon od poloviny roku 2022 do konce 2023. Ministerstvo zahraničí ji označilo za vládního dodavatele spojeného s Ministerstvem státní bezpečnosti ČLR.

Exploity a zranitelnosti spojené s LDAPNightmare

V minulém týdnu byl zveřejněn proof-of-concept (PoC) pro nedávno opravenou bezpečnostní chybu v protokolu LDAP (Lightweight Directory Access Protocol), která může způsobit stav odepření služby (DoS). Zranitelnost, kterou Microsoft označil jako CVE-2024-49113, byla dostatečně závažná, aby si získala hodnocení 7,5 v CVSS.

Společnost SafeBreach Labs vydala PoC nazvaný LDAPNightmare, který je navržen tak, aby vyvolal pád LSASS (Local Security Authority Subsystem Service) na neopravených Windows serverech. Tento PoC spoléhá na zranitelnost serveru, což může potenciálně umožnit vedlejší přístup k citlivým datům.

Pro ochran nebezpeční přístupu je nezbytné, aby organizace nainstalovaly opravy vydané Microsoftem. V případě, že aplikace opravy okamžitě není možná, odborníci doporučují implementaci detekčních systémů pro sledování podezřelých aktivit souvisejících s LDAP.

Kompromitace rozšíření pro Google Chrome

Nová kampaň kybernetických útoků cílí na rozšíření pro Google Chrome a kompromitovala nejméně 35 rozšíření, čímž ohrozila více než 2,6 milionu uživatelů. Útočníci zneužili oprávnění vytvářením škodlivého kódu, který byl vložen do legitimních rozšíření, aby ukradli přihlašovací údaje a soubory cookie uživatelů.

První varování přišlo od společnosti Cyberhaven, která zjistila, že jejich vlastní rozšíření bylo napadeno a infikované skrytým kódem, jenž komunikoval s externím serverem. E-mailové phishingové útoky s falešnou naléhavostí zároveň motivovaly uživatele k udílení povolení škodlivému softwaru.

Existují obavy, že toto zneužití rozšíření prohlížeče bylo součástí rozsáhlé kampaně, která sleduje citlivá uživatelská data. Kyberbezpečnostní odborníci varují, že tyto verze rozšíření mohou být stále vystaveny útokům, dokud nebudou plně odstraněny z koncových zařízení.

Tato situace podtrhuje důležitost pravidelné kontroly nainstalovaných rozšíření a vyhodnocení jejich zdrojů s cílem minimalizovat riziko kybernetických útoků. Uživatelé by měli být velmi obezřetní při udělování oprávnění a instalaci rozšíření, aby se vyhnuli ztrátě dat a identit.