Cyber Rangers
Blog

Týden, kdy útoky vedly přes cizí důvěru

Uplynulý týden spojuje jeden motiv: útočníci se dovnitř nedostávají přímým útokem na vaši firmu, ale přes něco nebo někoho, komu už důvěřujete. Skupina D1R použila starší únik firmy Synopsys jako mapu k datům Bosche a ARMu, útočníci napojení na ShinyHunters rok těžili Salesforce přes legitimní OAuth propojení a 148 balíčků na npm zneužilo důvěru v balíčkový registr.

K tomu přibyl nový typ útoku na AI asistenty, který jim jediným e-mailem podstrčí trvalou falešnou vzpomínku, a doma tři české firmy pod ransomwarovou skupinou Titan. Za sledované období bylo v podkladu 43 článků, 258 zranitelností, 20 ransomwarových obětí a 11 darkweb položek.

1. Jeden únik jako odrazový můstek k Bosch a ARM

Skupina D1R zveřejnila, že si z dřívějšího úniku dat firmy Synopsys udělala orientační mapu. Podle jejího vlastního popisu křížově porovnala databázi Synopsys se seznamem cílů a s úniky jiných skupin a přes získaný přístup se dostala k interním materiálům dvou technologických gigantů, Bosche v Německu a ARMu ve Velké Británii.

Zajímavý technický detail: u ARMu skupina zmiňuje, že postup výrazně brzdilo dvoufaktorové ověřování vyžadované prakticky na každém kroku, přesto se jí část dat podařilo stáhnout. To pěkně ukazuje dvě věci najednou, jak silně 2FA komplikuje útočníkovi život a jak jeden starší únik dokáže sloužit jako vstupní bod pro řadu dalších cílů i měsíce po incidentu.

Co s tím:

  • Berte úniky u dodavatelů jako svůj problém, ne jen jejich. Data se dají zkombinovat a namířit na vás.
  • Nasazujte 2FA na každý citlivý krok, ne jen na přihlášení. Reálně útočníka zpomaluje.

2. ShinyHunters: rok krádeží ze Salesforce bez jediné zranitelnosti

Microsoft zmapoval, jak útočníci s postupy odpovídajícími skupině ShinyHunters strávili zhruba rok získáváním dat z firemních Salesforce prostředí, aniž by zneužili jedinou chybu v samotné platformě. Vstupní branou byla důvěra, kterou organizace už dřív někomu udělily, typicky přes OAuth propojení, jež spojují Salesforce s okolními aplikacemi a dodavateli.

Microsoft popisuje tři různé cesty, kterými se útočníci dostávali dovnitř. Společné jim je, že nešlo o exploit, ale o zneužití legitimního přístupu. To je nepříjemné hlavně proto, že takový provoz vypadá jako normální integrace a klasické detekce zranitelností ho nechytnou.

Co s tím:

  • Udělejte si inventuru OAuth propojení a odeberte to, co už nikdo nepoužívá.
  • Sledujte, kolik dat která integrace reálně tahá. Náhlý objem je varovný signál.

3. 148 npm balíčků proměnilo prohlížeče v DDoS botnet

Podle výzkumu JFrogu se v květnu objevila kampaň 148 balíčků na npm, které se vydávaly za studentské webové proxy. Zajímavý zvrat je v tom, kdo byl obětí. Nešlo o vývojáře, kteří by si balíček nainstalovali, ale o návštěvníky. Operátoři zneužili npm jako bezplatný hosting pro nastražené proxy stránky a prohlížeče studentů, kteří přes ně chtěli obejít blokace, na zhruba dva týdny zapojili do distribuovaného DDoS botnetu.

Je to připomínka, že balíčkový registr není jen zdroj závislostí pro vývojáře, ale i infrastruktura, kterou útočník zneužije úplně jinak, než čekáte, a k oběti se dostane přes běžné surfování na webu.

Co s tím:

  • Neberte veřejné registry jako bezpečné jen proto, že jsou známé a hojně používané.
  • Poučte lidi, že proxy a obcházení blokací je klasická návnada, přes kterou se do prohlížeče dostane cizí kód.

4. MemGhost: falešná vzpomínka do AI asistenta jedním e-mailem

Nový útok MemGhost cílí na AI asistenty, kteří mají trvalou paměť a přístup k poště. Jediný podvržený e-mail dokáže asistenta přimět, aby si o uživateli uložil nepravdivý fakt, tuto změnu skryl a v dalších konverzacích podle ní nenápadně upravoval odpovědi. Uživatel pak čte běžně vypadající odpověď a vůbec netuší, že s pamětí jeho asistenta někdo manipuloval.

Je to nová třída rizika. Zatímco u klasického phishingu jde o jednorázovou akci, tady si útočník do systému uloží trvalý vliv, který přežije napříč sezeními. Čím víc pravomocí a paměti asistentům dáváme, tím větší dopad takový útok má.

Co s tím:

  • U AI asistentů řešte, kdo a co jim smí zapisovat do trvalé paměti.
  • Berte příchozí obsah, včetně e-mailů, jako potenciální vstup, který může měnit chování agenta.

5. Doma: Titan si připsal tři české firmy

Týden nebyl klidný ani u nás. Na leak situ ransomwarové skupiny Titan se za sledované období objevily hned tři české subjekty, DataOstrov s.r.o., Ozmit s.r.o. a Cooperate consulting CZ s.r.o. K tomu přibyla firma Jakub A.S. pod skupinou Qilin. Konkrétní detaily incidentů podklad neuvádí, ale koncentrace českých obětí v jediném týdnu je připomínka, že tuzemské firmy nejsou pro tyto skupiny okrajovým cílem.

Co s tím:

  • Ověřte si, že máte funkční a otestované zálohy oddělené od produkce.
  • Nespoléhejte na to, že jste pro útočníka moc malí. Leak sity ukazují opak.

Co si z tohoto týdne odnést

  • Mapujte, na koho a na co jste napojení. Dodavatelé, OAuth aplikace i balíčky z registrů jsou součástí vašeho útočného povrchu.
  • Berte staré úniky vážně. Data z nich se recyklují a kombinují ještě roky po incidentu.
  • Nasazujte vícefaktorové ověření na citlivé kroky, ne jen na přihlášení. Prokazatelně útočníka zpomaluje.
  • U AI asistentů řešte, kdo jim smí zapisovat do paměti a jaký obsah může měnit jejich chování.
  • Ověřujte, co se vám do systémů a prohlížečů reálně instaluje, ne jen odkud to formálně přišlo.
  • Mějte otestované zálohy oddělené od produkce a plán, co dělat, když se firma objeví na leak situ.