USA uvalily sankce na čínskou firmu

Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí vydal minulý pátek sankce proti pekingské kyberbezpečnostní společnosti Integrity Technology Group, Incorporated za organizování několika kybernetických útoků proti americkým cílům.

Tyto útoky byly veřejně připsány čínskému státu sponzorovanému aktérovi sledovanému jako Flax Typhoon (také Ethereal Panda nebo RedJuliett), který byl loni odhalen jako provozovatel botnetu internetu věcí (IoT) s názvem Raptor Train. Tato hackerská skupina je aktivní nejméně od poloviny roku 2021 a zaměřuje se na různé subjekty v Severní Americe, Evropě, Africe a napříč Asií. Útoky organizované Flax Typhoon obvykle využívaly známé zranitelnosti k získávání počátečního přístupu k počítačům obětí a poté využívaly legitimní software pro vzdálený přístup k udržení trvalého přístupu.

Ministerstvo financí označilo čínské kybernetické aktéry za jednu z „nejaktivnějších a nejvytrvalějších hrozeb pro národní bezpečnost USA“, která se opakovaně zaměřuje na americké vládní systémy, včetně systémů spojených s federálními agenturami. "Ministerstvo financí nebude váhat pohnat tyto kybernetické aktéry k odpovědnosti za jejich činy," uvedl úřadující náměstek ministra financí pro terorismus a finanční zpravodajství Bradley T. Smith. "Spojené státy využijí všechny dostupné nástroje k narušení těchto hrozeb a budou i nadále spolupracovat na posílení kybernetické obrany veřejného i soukromého sektoru."

Společnost Integrity Group, známá také jako Yongxin Zhicheng, byla obviněna z poskytování infrastrukturní podpory kybernetickým kampaním skupiny Flax Typhoon v období od poloviny roku 2022 do konce roku 2023 a americké ministerstvo zahraničí ji klasifikovalo jako vládního dodavatele s vazbami na Ministerstvo státní bezpečnosti Čínské lidové republiky (ČLR). Byla založena v září 2010 a „poskytuje služby státním a městským úřadům státní a veřejné bezpečnosti, jakož i dalším vládním dodavatelům ČLR v oblasti kybernetické bezpečnosti," uvedlo ministerstvo zahraničí.

Exploit LDAPNightmare způsobuje pád LSASS a restart řadičů domény Windows

V minulém týdnu byl vydán proof-of-concept (PoC) pro nyní opravenou bezpečnostní chybu ovlivňující protokol LDAP (Lightweight Directory Access Protocol) systému Windows, která může vyvolat stav odepření služby (DoS). Zranitelnost, sledována jako CVE-2024-49113 (skóre CVSS: 7,5), byla vyřešena společností Microsoft v rámci aktualizací Patch Tuesday v prosinci 2024. Kromě této chyby byla také opravená kritická chyba integer overflow pod označením CVE-2024-49112 (skóre CVSS: 9,8), která může vést k vzdálenému spuštění kódu. Za obě zranitelnosti je zodpovědný bezpečnostní výzkumník Yuki Chen.

CVE-2024-49113 PoC od společnosti SafeBreach Labs s kódovým označením LDAPNightmare je navržen tak, aby způsobil pád jakéhokoliv neopravného serveru Windows "bez jakýchkoliv předpokladů kromě toho, že DNS server napadeného DC má připojení k internetu." Konkrétně se jedná o odeslání požadavku DCE/RPC na server oběti, což způsobí pád služby LSASS (Local Security Authority Subsystem Service) a vynutí si restart, pokud je odeslán speciálně vytvořený paket s odpovědí na doporučení CLDAP s nenulovou hodnotou pro lm_referral.

Pro zmírnění rizik, která tyto zranitelnosti představují, je nezbytné, aby organizace aplikovaly záplaty vydané společností Microsoft v prosinci 2024. V situacích, kdy okamžité záplatování není možné, se doporučuje implementovat detekce sledující podezřelé odpovědi CLDAP referral, podezřelá volání DsrGetDcNameEx2 a podezřelé dotazy DNS SRV.

Aktualizace starých domén .NET před 7. lednem 2025

Společnost Microsoft oznámila, že provádí "neočekávanou změnu" ve způsobu distribuce instalačních souborů a archivů .NET, což vyžaduje, aby vývojáři aktualizovali svou produkční a DevOps infrastrukturu.

Je třeba také zmínit, že nedávno se ukázalo, že kyberzločinci osobně infiltrují uživatele a ukrást jejich důdatové soubory. Bylo prokázáno, že probíhající kampaně jsou častěji zaměřeny na konkrétní oblasti a segmenty trhu, což se ukazuje jako vysoce účinné.

Tyto události podtrhují důležitost pravidelných aktualizací a povědomí o kybernetických hrozbách. Například, v případě zranitelnosti LDAPNightmare je nezbytné, aby organizace podnikly adekvátní kroky k ochraně svých IT systémů. Nadále platí, že bezpečnostní pozornost by měla být zaměřena na jakékoli podezřelé aktivity v rámci uspořádání webových rozšíření a aplikací, které mohou představovat hrozbu všem uživatelům.

Toto je důležitý krok v boji proti kybernetickému zločinu a zdůrazňuje potřebu vícezdrojového přístupu k identifikaci a odhalení bezpečnostních hrozeb.