Polyfill[.]io – útok na dodavatelský řetězec
Útok začal v únoru 2024 kdy čínská firma Funnull koupila doménu a účet na GitHub. Následně začala přesměrovávat uživatele na škodlivé stránky a nasazovat malware s pokročilými technikami vyhýbání se detekcím. Společnost Censys identifikovala další čtyři domény propojené s účtem, který vlastnil doménu Polyfill[.]io a zjistila více než 1.6M hostitelů odkazujících na jeden, nebo více těchto koncových bodů. Společnost Namecheap jako registrátor domény polyfill[.]io 27. června tuto doménu stáhnul.
Zdroj: Censys.com
Firemní síť společnosti TeamViewer byla narušena v rámci údajného hackerského útoku APT
Společnost detekovala podezřelou aktivitu ve své interní síti. Po vyšetřování ve spolupráci s dalšími subjekty ukázali prstem na ruskou skupinu APT29 (Cozy Bear, NOBELIUM, Midnight Blizzard). Útok byl veden pouze na interní IT prostředí (nedotkl se produktového prostředí, ani platformy TeamViewer nebo dat zákazníků). Útočník využil kompromitovaný účet zaměstnance a ukradl data zaměstnanců (jména, firemní kontaktní informace, šifrovaná hesla)
Zdroj: bleepingcomputer.com
Routery MikroTik – mocný nástroj DDoS útočníků
Od začátku roku evidovala společnost OVHcloud množící se počet DDoS útoků přesahujících 100 miliónů paketů za sekundu. V dubnu byl pak zaznamenán útok o síle 840Mpps. Zdroje byly globálně rozložené, ale významnou část z nich tvoří zařízení MikroTik. Zejména pak kompromitované modely CCR1036–8G-2S+ a CCR1072–1G-8S+. OVHcloud spekuluje, že k útokům může být používána funkce „Bandwidth test”, která od verze RouterOS 6.44 umožňuje využít výkon všech jader a tím generovat vyšší zátěž.
Zdroj: ovhcloud.com
Globální výpadek IT služeb – CrowdStrike
Masivní výpadek počítačů a serverů s operačním systémem Windows byl způsobený chybnou aktualizací bezpečnostního softwaru od společnosti CrowdStrike. Podle společnosti Microsoft se problém s BSOD, způsobený EDR Falcon od CrowdStrike, dotknul 8,5 milionu zařízení s operačním systémem Windows. V České republice výpadek způsobil problémy v odbavování na letišti Václava Havla v Praze, zasáhl pobočky lékáren Benu, Rokycanskou nemocnici, Generali Českou pojišťovnu, Allianz a několik dalších pojišťoven.
Zdroj: tyden.cz
Pkfail – Secure Boot problém
Analytici z Binarly publikovali výzkum, v němž upozorňují na možnost obcházení funkcionality Secure Boot. Jde o používání stejných platformních kryptografických klíčů, které byly společností AMI zřejmě zahrnuty do referenční implementace UEFI. Ještě větším problémem, než používání testovacích klíčů v produkčním prostředí je, že privátní klíč z použitého páru unikl v roce 2022 na GitHub a lze ho tak považovat za kompromitovaný. Hypotetický záškodník s přístupem ke klíči může potenciálně „obejít” Secure Boot a spouštět v rámci boot procesu vlastní kód, např. modifikovat zavaděč operačního systému v rámci instalace bootkitu.
Zdroj: arstechnica.com
