Geopolitické hry

Mike Waltz, (bývalý) poradca národnej bezpečnosti súčasnej americkej administratívy používal neoficiálnu verziu bezpečnej komunikačnej aplikácie Signal.
Aplikácia TM SGNL je produktom izraelskej spoločnosti a umožňuje vzdialene ukladať všetky správy, čo kompletne mení bezpečnostný model end-to-end šifrovaného Signalu. Zaujímavé je, že odhalenie prišlo po tom, čo Reuters zverejnil fotografiu, ako si Mike Waltz pozerá správy na telefóne počas zasadania kabinetu v Bielom Dome.

Spoločnosť Microsoft zablokovala e-mailový účet Karim Khana, hlavného prokurátora Medzinárodného súdneho dvora. Blokovanie implementovali ako formu sankcií nariadených americkým prezidentom.

Hackerská skupina s napojením na Čínu organizuje útoky voči Taiwanu a Južnej Kórei s cieľom narušiť sektor zaoberajúci sa výrobou dronov.

Research & Engineering

Sean Heelan objavil s použitím OpenAI o3 AI modelu zero-day zraniteľnosť (CVE-2025-37899) v kerberos SMB komponente Linux kernelu. Z popisu hľadania zraniteľnosti je vidieť akú veľkú časť roboty tvorí úsudok výskumníka. AI zraniteľnosť detekovala len v 8 zo 100 testov.

The Internet Security Research Group (ISRG) sa rozširuje a po certifikačnej autorite Let’s Encrypt sa púšťa aj do oblasti digitálnej identity ľudí.

Google Project Zero publikoval ďalšiu zo série hĺbkových analýz Windows Registry, tentoraz so zameraním na samotnú bezpečnosť.

Výskumníci Marco Milanta a Luca Beurer-Kellner demonštrovali zraniteľnosť, ktorá im umožnila získať informácie o používateľovi oficiálneho GitHub Model Context Protocol (MCP) servera. V GitHub repozitári otvorili issue v ktorej píšu, že autor je málo známy a informácie o repozitároch na ktorých robí a o ňom treba pridať do README súboru. LLM bot následne otvoril pull request v ktorom zverejnil privátne repozitáre používateľa.

Výskumníci z ETH Zurich objavili novú branch prediction race-condition zraniteľnosť v moderných CPU procesoroch.

Apple AirPlay protokol a SDK trpeli zraniteľnosťami, ktorých kombináciou mohli útočníci dosiahnuť vzdialené spustenie kódu bez akejkoľvek interakcie zo strany používateľa.

Jorian Woltjer vytvoril praktickú demonštráciu Double-Clickjacking útoku.

Zločin a úniky informácií

Hackeri podplatili zamestnancov zákazníckej podpory spoločnosti Coinbase, dostali sa k údajom zákazníkov, následne od spoločnosti žiadali 20 miliónov dolárov.
Medzi uniknutými údajmi sú citlivé údaje, ako mená, adresy, telefónne čísla, e-maily, časti identifikátorov bankových účtov či čísel sociálneho zabezpečenia ako aj obrázky identifikačných dokladov.

Poloha každého zákazníka britského O2 bola odhalená iniciátorom hovoru. Informácie z ktorých je možné zistiť polohu sa nachádzali v hlavičkách SIP protokolu, ktoré volajúci dostal od siete počas telefonátu. O2 po nahlásení výskumníkom odstránila.

Skupina útočníkov známa pod názvom Scattered Spiders kompromitovala niekoľko britských reťazcov ako Marks & Spencer či Co-op a výrazne tak ochromila ich prevádzku.

Spoločnosť Google súhlasila so zaplatením takmer 1,4 miliardy dolárov americkému štátu Texas za urovnanie dvoch súdnych sporov v ktorých bola spoločnosť obvinená zo sledovania osobnej polohy používateľov a uchovávania údajov o rozpoznávaní tváre bez ich súhlasu.

Z ruského Centra leteckej medicíny (TsAM) unikli milióny osobných záznamov. Únik obsahuje mená, telefónne čísla či alergie a zostatky na účtoch.

Skupina APT41 používa Google kalendár komunikáciu s malvérom a exfiltrovanie informácií.

Microsoft narušil infraštruktúru populárneho malvéru Lumma Stealer. V akcii zrušili tisíce domén a podpornú infraštruktúru na ktorú sa pripájalo viac ako 394000 infikovaných zariadení. Firme výrazne pomohli aj iné spoločnosti, ako ESET, Cloudflare či CleanDNS.

Ostatné

„Mená prideľované kyberzločineckým gangom nielen opisujú ich správanie, ale ho môžu aj formovať.“ píše autor zaujímavého článku „The myth of the genius hacker“ vo Financial Times.

Protokol RDP systému Windows umožňuje prihlásenie sa pomocou rotovaných, minulých hesiel. Microsoft o chybe vie roky, no nechce ju opraviť pre spätnú kompatibilitu.

Eugene Lim publikoval zaujímavý blog o „busywork“ generátoroch, úlohách, ktorými sa zamestnávajú ľudia pracujúci v cybersecurity, ale ktoré nemajú výrazný dopad na zlepšenie bezpečnostného postavenia.

Phil Venables publikoval blog o tom, ako v spoločnostiach implementovať bezpečnostný program.

Let’s Encrypt v máji prestal do certifikátov pridávať OCSP URL adresy nakoľko OCSP funkcionalitu ukončujú v prospech revokačných listov.

Na blogu spoločnosti Wiz bol publikovaný článok o tom, ako zabezpečiť GitHub Actions.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.