Jak zhakować branżę taksówkarską w USA?

 

Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 28 grudnia 2022 roku

Włamanie do systemu obsługi taksówek na międzynarodowym lotnisku JFK w Nowym Jorku. Taksówkarze mogli za 10 dolarów uniknąć stania w kilkugodzinnej kolejce

Newsy zostały podzielone na następujące kategorie:

Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.

Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.

Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.

Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.

Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.

Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Mandatowy phishing

Nowy motyw przewodni kampanii phishingowej specjalnie na okres świąteczny: nieopłacony mandat. Haczyk na zapominalskich i tych co lubią płacić w ostatniej chwili. 

Jeśli zdarza Ci się przekroczyć dozwoloną prędkość jadąc samochodem na trasie naszpikowanej radarami albo często zapominasz o opłaceniu postoju w parkomacie to z pewnością należysz do ludzi, dla których powiadomienie o wystawieniu nowego mandatu nie jest zaskoczeniem. W tym przypadku wezwanie do zapłaty zaległej grzywny i straszenie windykacją lub komornikiem może się udać. Tak jak we wcześniejszych odsłonach podobnych kampanii, do uregulowania jest niewielka kwota. 

Jeśli otrzymasz taki podejrzany SMS, nie klikaj w znajdujący się tam link. Po kliknięciu przenosi on użytkownika na stronę z fałszywym panelem logowania do wybranego przez ofiarę banku. Po podaniu danych uwierzytelniających, czyli loginu, hasła i np. kodu SMS, konto bankowe przejmują cyberprzestępcy. 

Źródło:https://cert.orange.pl/ostrzezenia/nie-plac-tego-mandatu

Złośliwe oprogramowanie

Google Ads a złośliwe oprogramowanie

Cyberprzestępcy inwestują w reklamę swoich stron internetowych w Google Ads, aby nieświadomy użytkownik zamiast oryginalnego produktu pobrał zakamuflowane złośliwe oprogramowanie. 

Coraz częściej reklamowane są strony, które do złudzenia przypominają oficjalne witryny takich popularnych produktów jak: Libre Office, Teamviewer, Grammarly, μTorrent, Thunderbird, Malwarebytes, AnyDesk, Slack itd. 

Google Ads może wyświetlać linki sponsorowane, które prowadzą do fałszywych stron i umieszczać je wysoko w wynikach wyszukiwania Google. Z tego względu nie warto klikać bez zastanowienia w pierwszy link jaki się pojawi po wpisaniu oprogramowania/produktu w wyszukiwarce. Trzeba szukać linku, który przenosi bezpośrednio na stronę producenta, a najlepiej zapamiętać adres strony i wpisać ją samodzielnie w pasek adresowy przeglądarki.

Złośliwe oprogramowanie, które można w ten sposób pobrać to m.in. Raccoon Stealer, Vidar Stealer i IcedID.

Źródło:https://cyberdefence24.pl/cyberbezpieczenstwo/wirusy-w-internetowych-reklamach-na-co-uwazac

Wyciek danych

Wyciek zaszyfrowanych haseł w LastPassie

LastPass poinformował ostatnio o poważnym incydencie bezpieczeństwa jakim był wyciek zaszyfrowanych haseł. LastPass jest obok KeePassa jednym z najpopularniejszych menedżerów haseł. Korzystają z niego miliony osób na całym świecie, często przechowując w jednym miejscu wszystkie swoje hasła do kont. Takie jest też zresztą główne założenie każdego menedżera haseł.

Wiadomo, że podczas ataku zostały pobrane dane z infrastruktury menedżera haseł. Hakerzy mogą mieć więc dostęp do takich danych jak: adresy e-mail, nazwiska, nazwy użytkowników, zaszyfrowane hasła oraz niezaszyfrowane pola. Istnieje przypuszczenie, że te dane mogą zostać w przyszłości wykorzystane przez hakerów w kampaniach phishingowych. 

Najbardziej wrażliwe pola, a więc nazwa użytkownika i hasło, są na szczęście zaszyfrowane algorytmem 256-bit AES. 

Warto w tym momencie zauważyć, że LastPass nie odczytuje głównego hasła, a więc nie ma klucza do odszyfrowania zapisanych danych i haseł w sejfie. 

Ponadto od 2018 roku LastPass wymaga co najmniej 12-znakowych haseł. Jeśli więc, większość użytkowników stosowała się do zaleceń LastPassa oraz wykorzystywała w praktyce zasady tworzenia silnego hasła - ta większość nie powinna martwić się na zapas. 

Mimo wszystko polecamy wszystkim zainteresowanym profilaktyczną zmianę głównego hasła do LastPassa oraz zmianę najbardziej newralgicznych haseł jak tych do banku i poczty elektronicznej oraz portali społecznościowych. Zachęcamy też do włączenia uwierzytelniania dwuskładnikowego wszędzie tam, gdzie jest to możliwe.

Źródło:https://niebezpiecznik.pl/post/korzystasz-z-menedzera-hasel-lastpass-mozesz-miec-powod-by-zmieniac-hasla

Podatności

Luka we wtyczce WordPress - zagrożone ponad 50 tys. stron internetowych

Wtyczka WordPress YITH WooCommerce Gift Cards Premium pozwala operatorom witryn internetowych na sprzedaż kart podarunkowych w e-sklepach. Jest to dość popularne narzędzie używane na ponad 50 000 stronach internetowych. 

Krytyczna luka CVE-2022-45359 umożliwia nieuwierzytelnionym użytkownikom przesyłanie plików do podatnych stron internetowych (w tym również do ich powłok), co w konsekwencji pozwala hakerom na uzyskanie pełnego dostępu do danej witryny.

Podatność została ujawniona 22 listopada 2022 r. i dotyczyła wtyczki 3.19.0 oraz jej starszych wersji. Większość ataków hakerskich zostało przeprowadzonych w listopadzie, zanim administratorzy zdążyli załatać lukę. Drugi szczyt cyberaktywności zaobserwowano niedawno, bowiem 14 grudnia 2022 r.

Co ciekawe już w listopadzie dostępna była nowsza wersja wtyczki 3.20.0, która rozwiązywała problem. Jednak przez to, że wiele witryn nie miało zrobionej zalecanej aktualizacji, cały czas były one narażone na cyberatak. Warto też wspomnieć o tym, że producent udostępnił kolejną wersję wtyczki, a mianowicie 3.21.0. Administratorzy stron mają więc do dyspozycji aż dwie wersje wtyczki WordPress, w których podatność CVE-2022-45359 nie występowała. Dlaczego więc nie zrobili aktualizacji?

Źródło:https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-wordpress-gift-card-plugin-with-50k-installs

Ciekawostki

Jak zhakować branżę taksówkarską w USA?

Dwóch obywateli USA - Daniel Abayev i Peter Leyman - współpracowało z rosyjskimi hakerami przy włamaniu do systemu obsługi taksówek na międzynarodowym lotnisku JFK w Nowym Jorku. Za opłatą 10 dolarów mieli przesuwać taksówki na początek kolejki. 

Komputerowy system dyspozytorski taksówek wprowadzono w celu zapewnienia uczciwych warunków dla taksówkarzy w miejscu, gdzie występuje duże zapotrzebowanie na ich usługi. System przydziela taksówkom czekającym w kolejce kolejnych klientów, kierując je na właściwy terminal w celu podjęcia konkretnego pasażera. Należy tu wspomnieć, że zwykle taksówkarze czekają po kilka godzin zanim system zadysponuje dla nich kurs.

Według Departamentu Sprawiedliwości USA, hakerzy wykorzystali nieautoryzowany dostęp do systemu w celu stworzenia płatnej usługi pozwalającej taksówkom, czekającym na pasażerów, znalezienie się od razu na początku kolejki.

Taksówkarze, którzy chcieli oszukać system dyspozytorski musieli zapłacić hakerom 10 USD gotówką lub dokonać płatności mobilnej na określoną kwotę. Cyberprzestępcy stworzyli też specjalny program motywacyjny dla swoich „klientów”. Osoby polecające ich usługę innym taksówkarzom otrzymywały premię w postaci zwolnienia z opłat. 

Do komunikowania się ze swoimi „klientami” hakerzy używali zamkniętych grup w popularnych aplikacjach do czatowania. Dostępność usługi była sygnalizowana statusami: „Sklep otwarty/sklep zamknięty”. Taksówkarze wysyłali swoje identyfikatory na czacie a „operatorzy” wysyłali informację do którego terminala mają się udać po pasażera.

Przejęte dokumenty z rozliczeniami pokazują, że zrealizowano w ten sposób ok. 2500 kursów tygodniowo. Proceder trwał od września 2019 roku. 

Ponadto Abayev i Leyman przekazali rosyjskim hakerom co najmniej 100 000 USD. Transakcję nazwali „płatnością za rozwój oprogramowania”.

Obu mężczyznom grozi do 10 lat więzienia i utrata całego mienia bezpośrednio lub pośrednio powiązanego z popełnionymi przestępstwami.

Nasuwa się pytanie: a co z nieuczciwymi taksówkarzami?

Źródło:https://www.bleepingcomputer.com/news/security/russians-hacked-jfk-airport-s-taxi-dispatch-system-for-profit

Złote rady Scoffera odnośnie bezpieczeństwa w sieci

Kliknąłbyś? Korci, prawda? Pamiętaj, by nowe oprogramowanie oraz późniejsze jego aktualizacje zawsze pobierać z pewnych źródeł.

Grafika: OpenClipart-Vectors z Pixabay.
Grafika z robotem: Scoffer (zezwalam na kopiowanie, ale bez wprowadzania zmian - proszę o wstawienie odnośnika do mojej strony).

Czytaj dalej >>

Wózek do biegania i do jazdy na rolkach

Do mam i tatusiów, którzy chcą biegać lub jeździć na rolkach  z dzieckiem w wózku: polecam wybrać wózek, w którym jest zamontowany przełącznik do blokady przedniego koła. 

Jest to duże ułatwienie zwłaszcza dla rolkarzy - niezastąpiony, gdy trzeba szybko zmienić kierunek jazdy bądź wejść w ostry zakręt. Pyk i jedziemy prosto, bez wstrząsów; pyk i skręcamy jak marzenie, choć troszkę trzęsie. Taki bajer powinien być w każdym biegowym wózku. Dlaczego nie jest to norma? Nie mam pojęcia.  Co najgorsze, jeśli mój wysłużony High Trek Bebe Confort się zbuntuje to pozostanę bez wózka, gdyż ten model już od dawna nie jest produkowany i części zamienne są nie do zdobycia. Chyba, że znów uda mi się wyczaić okazję na olx ;)

A i hamulec ręczny też polecam, przydaje się.

Ale hamulec ręczny w wózku biegowym nie robi absolutnie żadnego wrażenia - to jest, że tak powiem, standard. 

Znacie jakieś wózki biegowe z takim przełącznikiem w rączce?

Zdjęcie: Scoffer

Czytaj dalej >>

Uważaj komu udostępniasz swoje dane

 

No właśnie, jak to jest z tym udostępnianiem danych❓

W każdym tygodniu można bez problemu znaleźć newsa o wycieku danych i bardzo często wyciek dotyczy dużych korporacji. Ale na to zwykły użytkownik nie ma wpływu 😔

Na co mamy wpływ? Ano na to co sami dobrowolnie udostępniamy. Nie mam tu na myśli tylko dzielenia się swoim życiem w serwisach społecznościowych, ale także to gdzie wysyłamy swoje CV. Nie odpowiadajmy więc na podejrzane ogłoszenia o pracę. Nie tylko te, które zapewniają szybki i dobry zarobek 💵💵przy minimum wysiłku, ale także te, w których rekruterzy proszą nas o przesłanie im numeru PESEL i podanie innych danych osobowych, łącznie z nazwiskiem rodowym matki (kiedyś było to nagminne nawet przy prawdziwych ofertach pracy tymczasowej np. przy inwentaryzacji).

Chciałabym poruszyć tu jeszcze jedną ważną kwestię: a mianowicie to jakim zagrożeniem może być tworzenie drzewa genealogicznego🌳w takich serwisach jak np. Geni.com. 

Na takich stronach trzeba zachować wyjątkową ostrożność, bo złe ustawienia prywatności mogą sprawić, że dane Waszych przodków będą ogólnie dostępne dla wszystkich. Innym, równie poważnym zagrożeniem, jest zaproszenie do współtworzenia drzewa swoich dalekich krewnych, o których tak naprawdę nic nie wiemy. Tym sposobem możemy przyczynić się do wycieku nie tylko naszych danych, bowiem taka osoba ma dostęp do absolutnie wszystkich informacji zamieszczonych w drzewie. 

A czarna owca 👤 jest w każdej rodzinie.

A tak poza tym Wesołych i Cyberbezpiecznych Świąt Wielkanocnych! ❤️🐣🐏🐇❤️

Grafika: Scoffer

Czytaj dalej >>

Czy za brak aktualizacji oprogramowania można trafić do więzienia?

Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 21 grudnia 2022 roku

Luka CVE-2022-37958 umożliwia zdalne zhakowanie systemu Windows. Wiele firm jeszcze nie załatało tej podatności ze względu na wcześniejszą klasyfikację Low

Newsy zostały podzielone na następujące kategorie:

Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.

Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.

Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.

Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.

Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.

Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Fałszywe bramki BLIK

Cyberprzestępcy są bardzo aktywni, jeśli chodzi o wyłudzanie kodów BLIK. Utworzenie fałszywej bramki do szybkich płatności w aplikacjach mobilnych było więc tylko kwestią czasu. 

Oszuści działający w Polsce kupują bramki w sieci TOR, na polskim forum "Cebulka". Najbardziej poszukiwanymi ofertami są te z opcją BLIK sajty.

Wspomniane bramki BLIK były doskonale widoczne na fałszywych stronach ze zbiórkami na rzecz Ukrainy. Po wybuchu wojny na Ukrainie oszuści natychmiast zaczęli rejestrować domeny podszywające się pod takie serwisy jak Siepomaga.pl, Pomagam.pl, Zrzutka.pl, Pah.org.pl i inne. Często strony oszustów były idealną kopią oryginalnej zbiórki - różniły się tylko jednym szczegółem, a mianowicie dostępnymi metodami płatności.

Fałszywe bramki BLIK były doskonale widoczne na podrabianych stronach ze zbiórkami na rzecz Ukrainy. Po wybuchu wojny na Ukrainie oszuści natychmiast zaczęli rejestrować domeny podszywające się pod takie serwisy jak Siepomaga.pl, Pomagam.pl, Zrzutka.pl, Pah.org.pl i inne. Często strony oszustów były idealną kopią oryginalnej zbiórki - różniły się tylko jednym szczegółem, a mianowicie dostępnymi metodami płatności.

Fałszywe bramki BLIK znajdziemy też w masowo rozsyłanych SMSach o rzekomym odłączeniu prądu w przypadku nieuregulowania drobnej należności.

Warto pamiętać, by przed dokonaniem płatności sprawdzić czy domena nie zawiera literówek lub dodatkowych znaków oraz czy opis transakcji jest prawidłowy.

Źródło:https://zaufanatrzeciastrona.pl/post/uwaga-na-falszywe-bramki-blik-uzywane-przez-polskich-zlodziei

Złośliwe oprogramowanie

Trojan CHAOS RAT i kopanie kryptowalut

Cyberprzestępcy przeprowadzili atak, w którym użyli trojana zdalnego dostępu (RAT - Remote Access Trojan) o nazwie CHAOS RAT do kopania kryptowalut. Cyberatak polegał na zdalnym zainstalowaniu złośliwej koparki na serwerze lub komputerze ofiary z systemem operacyjnym Linuxa i ukrytym wykorzystaniem jego mocy obliczeniowej do celów zarobkowych.

Hakerzy w pierwszej fazie ataku starali się wyłączyć oprogramowanie antywirusowe i pośredniczące, a także wcześniej zainstalowane konkurencyjne malware. Co ciekawe, najczęściej wykorzystywanym narzędziem do kopania kryptowalut była koparka Monero (XMR), ponieważ najbardziej wydajnie eksploatuje CPU.

Źródło:https://kapitanhack.pl/2022/12/14/nieskategoryzowane/trojan-chaos-rat-wykorzystywany-w-zlosliwych-koparkach-kryptowalut

Wyciek danych

Wyciek danych w InfraGuard

Pracownicy InfraGuard zauważyli, że 10 grudnia na niedawno powstałym forum dla cyberprzestępców - Breached - pojawił się temat sprzedaży bazy danych zawierającej nazwiska i dane kontaktowe ponad 80 000 członków InfraGard. 

W biuletynie informacyjnym firmy można przeczytać, że: „InfraGard łączy właścicieli infrastruktury krytycznej, operatorów i interesariuszy z FBI, w celu zapewnienia edukacji, tworzenia sieci i wymiany informacji na temat zagrożeń bezpieczeństwa i ryzyka”.

Cyberprzestępcy nawiązali bezpośredni kontakt z członkami tej organizacji non-profit na specjalnym portalu InfoGuard. Użyli w tym celu nowego konta, założonego na prawdziwe dane dyrektora generalnego dużej amerykańskiej korporacji finansowej. Wniosek został pozytywnie rozpatrzony przez FBI. Sam dyrektor natomiast stanowczo zaprzeczył informacjom, jakoby FBI miało się z nim skontaktować w celu weryfikacji konta.

Po uzyskaniu dostępu do konta, dane użytkowników portalu zostały pobrane za pomocą skryptu zrobionego w Pythonie, wykorzystującego interfejs API.

Ofertę sprzedaży danych zaproponował członek forum Breached o pseudonimie USDoD. Potwierdził on, że uzyskał dostęp do InfraGard składając wniosek o nowe konto. Podał nazwisko, numer ubezpieczenia społecznego, datę urodzenia oraz inne dane osobowe dyrektora generalnego firmy, która była uprawniona do uzyskania członkostwa w InfraGard.

Źródło: https://krebsonsecurity.com/2022/12/fbis-vetted-info-sharing-network-infragard-hacked

Podatności

Czy za brak aktualizacji oprogramowania można trafić do więzienia?

Odpowiedź może wprawić w osłupienie, gdyż w tej chwili w Albanii pięciu administratorom grozi kara do 7 lat pozbawienia wolności za m.in. niezaktualizowanie antywirusa. Tak, dobrze przeczytaliście: siedem lat więzienia. 

Pięciu albańskich administratorów sektora publicznego oskarżono o rażące niedopełnienie swoich obowiązków w pracy (dokładny zarzut to: "abuse of post"). Nie tylko nie sprawdzili oni bezpieczeństwa systemu za który byli odpowiedzialni, ale także nie zaktualizowali oprogramowania antywirusowego. Według prokuratury te zaniedbania mogły przyczynić się do braku ochrony kraju przed irańskimi cyberatakami, z których najpoważniejszy wydarzył się 15 lipca 2022 r.

Źródło:https://sekurak.pl/albania-pieciu-rzadowym-adminom-grozi-kara-do-7-lat-wiezienia-nie-aktualizowali-oprogramowania-czym-ulatwili-cyberatak-na-kraj

Z Low na Critical - krytyczna podatność, której nikt nie łata

Luka w zabezpieczeniach Windows o numerze CVE-2022-37958 umożliwia cyberprzestępcom zdalne wykonanie kodu bez konieczności uwierzytelnienia. W tym celu używa takich protokołów jak RDP, SMB, HTTP, SMTP. W przypadku cyberataku, system operacyjny Windows może zostać zdalnie zhakowany. 

Podatność została załatana już we wrześniu, jednak przez to, że najpierw otrzymała klasyfikację Low, a dopiero niedawno Critical - wiele firm może nie zdawać sobie sprawy z zagrożenia.

Źródło:https://kapitanhack.pl/2022/12/16/nieskategoryzowane/uwaga-na-te-krytyczna-podatnosc-umozliwia-zdalne-uruchomienie-kodu-i-przejecie-kontroli-nad-windows

Ciekawostki

Cyberbezpieczne prezenty pod choinką? 

Coraz częściej pod choinką znajdujemy prezenty z kategorii "smart". Nie powinno to nikogo dziwić ani tym bardziej przerażać, ponieważ inteligentne urządzenia towarzyszą nam dosłownie na każdym kroku i trzeba przyznać, że w znacznej części ułatwiają nam życie.

Powinniśmy się starać, by wraz z rozwojem technologii wzrastała też nasza samoświadomość odnośnie bezpieczeństwa w sieci i ochrony prywatności.

Jak zabezpieczyć swoje dane przed nadużyciami i wyciekiem?

1. Należy pamiętać, by zawsze stosować silne i unikalne hasło do każdego konta użytkownika. W tym celu opłaca się zainstalować menedżera haseł, który będzie generował odpowiedni szyfr.
2. Warto kierować się zasadą: im mniej o mnie wiedzą tym lepiej. Podczas rejestracji nie musisz podawać swoich prawdziwych danych (robot sprzątający będzie działał zarówno dla Ani urodzonej 12.03 jak i dla Hani urodzonej 13.03). Nie powinno się też uczyć urządzenia swojej porannej czy wieczornej rutyny ani informować go o przyjmowanych lekach czy problemach zdrowotnych.
3. Nie traktuj aktualizacji oprogramowania jak zła koniecznego. Dzięki łataniu podatności zabezpieczasz siebie i swoich bliskich przed cyberatakiem (w przeciwnym razie zostawiasz przestępcy uchylone drzwi do swojego życia - traktuj to dosłownie jeśli korzystasz z inteligentnego zamka).
4. Warto założyć osobne konto pocztowe, które będzie służyło tylko do rejestracji gadżetów i usług cyfrowych.
5. Należy też pamiętać o jak najszybszej zmianie loginu i hasła domyślnie ustawionego przez producenta. Niby oczywista oczywistość, a jednak ustawianie tych parametrów po miesiącu użytkowania nie należy do odosobnionych przypadków. Hasła administratorów bardzo często nie są zbyt wymyślne i łatwo je odgadnąć jak np. słynne już „admin123”.

Źródło:https://cyberdefence24.pl/technologie/cybermagazyn-inteligentne-prezenty-jak-zmniejszyc-ryzyko-stosujac-madre-zabezpieczenia

Złote rady Scoffera odnośnie bezpieczeństwa w sieci

Grafika: Paul Diaconu z Pixabay.
Grafika z robotem: Scoffer (zezwalam na kopiowanie, ale bez wprowadzania zmian - proszę o wstawienie odnośnika do mojej strony).

Czytaj dalej >>

Czy PING może mieć podatność?

Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 14 grudnia 2022 roku

Błędy w aplikacjach MyHyundai i MyGenesis pozwoliły hakerom na zdalne przejęcie kontroli nad samochodami takich marek jak: BMW, Honda, Hyundai, Genesis, Land Rover, Lexus, Nissan, Subaru i Toyota. Potrzebowali do tego jedynie adresu e-mail.

Newsy zostały podzielone na następujące kategorie:

Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.

Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.

Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.

Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.

Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.

Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Trojan Schoolyard Bully kradnie dane do logowania do Facebooka

Kolejna odsłona kampanii złośliwego oprogramowania Schoolyard Bully Trojan, która od 2018 r. zebrała na swoim koncie ponad 300 000 ofiar.
Według analityków z Zimperium zLabs malware podszywają się pod legalnie działające aplikacje edukacyjne. Złośliwe oprogramowanie wysyła do użytkownika prośbę o zalogowanie się przez konto Facebooka podstawiając w tym celu fałszywą stronę do złudzenia przypominającą prawdziwe okno logowania FB. Strona wyświetlana za pomocą WebView zawiera złośliwy kod w JavaScript. Po kradzieży danych uwierzytelniających tj. adres e-mail, hasło i numer telefonu wprowadzonych przez nieświadomego użytkownika - dane przesyłane są na skonfigurowany serwer Firebase C2. 
Trojan jest w stanie wykraść z konta ofiary dane uwierzytelniające, identyfikator konta, nazwę użytkownika, nazwę urządzenia, pamięć RAM urządzenia i interfejs API. Oprogramowanie antywirusowe na Androidzie nie jest w stanie wykryć zagrożenia, gdyż malware wykorzystuje biblioteki natywne do ukrywania złośliwego kodu. Co ciekawe, kampania atakuje przede wszystkim wietnamskich czytelników.

Źródło:https://cyware.com/news/schoolyard-bully-trojan-steals-facebook-credentials-a1d20a7c

Złośliwe oprogramowanie

Cyberprzestępcy podpisali malware certyfikatem Microsoftu

Ostatnio Sophos poinformował, że wykrył w złośliwym oprogramowaniu typu ransomware sterownik jądra Windows, który był podpisany prawidłowym certyfikatem Microsoft WHDP. Windows wymaga, aby sterowniki miały wspomniane podpisy, by zapobiec nadużyciom i wyłączaniu zaawansowanych programów chroniących przed malware.

Sophos to firma specjalizująca się w produkcji oprogramowania zabezpieczającego. Warto śledzić odkrycia analityków tej firmy, nawet jak ich spostrzeżenia nie napawają optymizmem. Ich najnowsza analiza potwierdza obawy ekspertów, że hakerzy weszli na zupełnie nowy poziom i ich ataki będą od tej pory jeszcze bardziej skuteczne.

Źródło:https://news.sophos.com/en-us/2022/12/13/signed-driver-malware-moves-up-the-software-trust-chain

Wyciek danych

Kolejny atak ransomware Play?

Na początku grudnia Urząd Marszałkowski Województwa Mazowieckiego poinformował o cyberataku na infrastrukturę Węzła Regionalnego. 
Incydent cyberbezpieczeństwa polegał na zaszyfrowaniu systemu EZD (czyli Elektronicznego Zarządzania Dokumentami) i przesłaniu żądania okupu w zamian za odzyskanie dostępu do plików.  Mamy tu więc do czynienia z klasycznym przykładem działania złośliwego oprogramowania typu ransomware. 
Grupa cyberprzestępców ransomware Play sprawiła, że przez zaszyfrowanie zasobów EZD wszystkie systemy pracujące w ramach Węzła Regionalnego stały się niedostępne. 
Na chwilę obecną Urząd Marszałkowski nie potwierdził wycieku danych, jednakże czas na zapłacenie okupu upływa 14 grudnia. Czy dziś dojdzie do ujawnienia danych?
W niedzielę 11 grudnia 2022 roku, w darknecie pojawiła się informacja, że grupa ransomware Play jest w posiadaniu ponad 557 GB danych z Antwerpii - drugiego największego miasta Belgii. Atak, który spowodował paraliż infrastruktury miasta został potwierdzony przez rzecznika urzędu miejskiego w Antwerpii. Od kilku dni mieszkańcy nie mogą ubiegać się o wydanie dokumentu tożsamości, a nawet o pozwolenie na parkowanie. Pracownicy w urzędach nie mogą korzystać z systemów informatycznych i są zmuszeni do wypełniania wniosków ręcznie. 
Wyciek danych ma nastąpić 19 grudnia 2022 roku - do publicznej wiadomości mogą przedostać się dane osobowe, paszporty, dowody osobiste oraz dokumenty finansowe mieszkańców Antwerpii. Nie wiadomo czy zostało wysłane żądanie okupu.

Źródło:https://www.telepolis.pl/wiadomosci/bezpieczenstwo/play-ransomware-atak-mazowsze-antwerpia

Podatności

Czy PING może mieć podatność?

Ping, lagi to słowa, która zna każdy z graczy. Grasz w World of Tanks i masz lagi grając artylerią? Już wiesz, że równie dobrze możesz strzelać na ślepo, a Twoja drużyna może liczyć co najwyżej na friendly fire.

PING to podstawowe polecenie służące do diagnostyki połączenia sieciowego. Umożliwia pomiar liczby zgubionych pakietów oraz opóźnień w ich transmisji. PING to narzędzie diagnostyczne protokołu TCP/IP używane w wielu systemach operacyjnych. Co ciekawe, w jednym z tych systemów, PING doczekał się swojej podatności. 

Informacja o krytycznej podatności w implementacji tak fundamentalnego polecenia jakim jest ping szybko stała się sensacją wśród specjalistów od cyberbezpieczeństwa na całym świecie. Zespół odpowiadający za system FreeBSD z pewnością nie chciał tego typu sławy.

Luka sklasyfikowana jako CVE-2022-23093 wykorzystuje sposób w jaki polecenie ping przetwarza nagłówki IP i ICMP odpowiadając na zapytania Echo Reply. Takie działanie prowadzi do przekroczenia bufora stosu, czego konsekwencją może być zawieszenie procesu ping, a nawet możliwość zdalnego wykonania kodu (RCE).

Podatność została załatana w najnowszych wersjach systemu FreeBSD.

Źródło:https://exatel.pl/wiedza/materialy/artykuly/krytyczna-podatnosc-w-implementacji-polecenia-ping-we-freebsd-moze-umozliwiac-rce

Ciekawostki

Jak zdalnie przejąć kontrolę nad samochodami różnych marek? Wystarczy jedna luka w aplikacji

Analitycy ds. cyberbezpieczeństwa z Yuga Labs odkryli podatność w aplikacji dla samochodów i przeprowadzili atak na potencjalnego użytkownika. Aplikacja ta należy do kategorii „smart vehicle” SiriusXM i co najciekawsze korzysta z niej wielu znanych producentów samochodów. Tak więc jedna luka w aplikacji pozwoliła na dostęp do samochodów takich marek jak m.in. BMW, Honda, Hyundai, Toyota, Nissan, Land Rover, Subaru, Lexus. Rozpoznałeś markę swojego samochodu? Nie martw się ta historia ma szczęśliwe zakończenie.
Aplikacje, które wykazały podatność to MyHyundai i MyGenesis. Oprogramowanie pozwala swoim użytkownikom na zlokalizowanie, uruchomienie, odblokowanie, wyłączenie, a nawet na użycie klaksonu czy włączenie świateł w swoich samochodach. Jak widać są to podstawowe funkcje, do których osoby niepowołane nie powinny mieć dostępu.
Analitycy zauważyli, że uwierzytelnianie użytkownika odbywa się za pomocą adresu e-mail, który jest dołączany do żądania. W celu dokładniejszego zbadania funkcjonowania aplikacji, założyli nowe konto na prawdziwy adres e-mail użytkownika, ale z dodatkowym znakiem specjalnym na końcu. Finalnie wysłali zapytanie HTTP do punktu końcowego Hyundai’a ze spreparowanym adresem e-mail w nagłówku JSON i prawdziwym adresem w środku pliku JSON. Sprawdzili, że mogą wykorzystać ten sposób do odblokowania testowego samochodu.
Ze względu na prostotę i niezwykłą skuteczność ataku bardzo szybko powstał skrypt napisany w języku Pythona. Aby program spełnił swoje zadanie potrzebny był jedynie adres e-mail ofiary.
Analitycy poinformowali firmy Hyundai i SiriusXM o wykrytych podatnościach problemach bezpieczeństwa. Obie firmy natychmiast załatały podatności. 
Podatnością zagrożone były samochody marki Hyundai i Genesis wyprodukowane po 2012 roku oraz samochody następujących marek wyprodukowane po 2015 roku: Acura, BMW, FCA, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.

Źródło:https://www.instalki.pl/aktualnosci/bezpieczenstwo/57127-bug-w-aplikacji-hyundai-genesis-auta-dalo-sie-otworzyc-znajac-mail-wlasciciela.html

Złote rady Scoffera odnośnie bezpieczeństwa w sieci

Grafika: OpenClipart-Vectors z Pixabay.

Grafika z robotem: Scoffer (zezwalam na kopiowanie, ale bez wprowadzania zmian - proszę o wstawienie odnośnika do mojej strony)

Czytaj dalej >>

Kamery Hikvision i ich ciemna strona mocy

Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 27 listopada 2022 roku

Niekompetencja administratorów uratowała linie lotnicze AirAsia przed ponownym atakiem grupy Daixin Team.

Newsy zostały podzielone na następujące kategorie:

Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.

Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.

Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.

Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.

Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.

Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Spoofing na stadionie - złośliwe oprogramowanie w mailach

Snoonu 

Cyberprzestępcy podszyli się pod Snoonu - oficjalnego dostawcę jedzenia na Mistrzostwach Świata w Katarze. Wykorzystali spoofing, aby oferować fałszywe, darmowe bilety niczego nie podejrzewającym ofiarom. Wystarczy, że się zarejestrują na ich stronie i będą mogły oglądać mecz na żywo. Niestety w załączniku xlsm znajduje się złośliwe oprogramowanie.

FIFA TMS

W tym przypadku oszuści udają dział pomocy technicznej FIFA TMS i przesyłają powiadomienie o tym, że uwierzytelnianie dwuskładnikowe uległo dezaktywacji. Znajdujące się w mailu hiperłącze przekierowuję ofiarę na stronę phishingową.

FIFA Ticketing Office

Kolejnym przykładem kampanii spoofing'owej jest podszywanie się pod oficjalny organ FIFA upoważniony do dystrybucji biletów. Na skrzynkę ofiary wysyłany jest mail z informacją o problemach z płatnością. Użytkownik sądząc, że otrzymuje wiadomość z zaufanego źródła klika w odnośnik, który przekierowuje ją do spreparowanej strony.

Źródło:https://www.trellix.com/en-us/about/newsroom/stories/research/email-cyberattacks-on-arab-countries-rise.html

Złośliwe oprogramowanie

Malware SMS Factory jest już w Polsce

Ciekawego odkrycia dokonał ostatnio zespół ds. cyberbezpieczeństwa CERT Orange. Do dogłębnej analizy skłoniła ich duża liczba reklamacji związana z wysokimi rachunkami jakie musieli zapłacić ich klienci. Gdy zablokowali podejrzane domeny zauważyli pewną regularność w podejmowaniu prób łączenia się z serwerem C&C (próby powtarzały się równo co 15 minut). 

Analiza wysłanych zagranicznych SMSów (nawet ponad 2000 dziennie!) utwierdziła ich w przekonaniu, że na telefonach ofiar został zainstalowany malware. Skąd dowiedzieli się, że to SMS Factory? 

Z pomocą przyszedł im VirusTotal, gdyż na AbuseIPDB numer IP 45.76.34.131 był czysty jak łza. W zakładce "Relations" - szukając wprost po domenie - udało im się znaleźć aż 100 podejrzanych plików, odwołujących się do domeny. Patrząc zaś po hashach można było zauważyć powtarzającą się nazwę "SMS Factory".

Co ciekawe, ofiarami tego złośliwego oprogramowania były dotychczas głównie osoby z Rosji, Brazylii, USA, Turcji, Francji, Ukrainy i Hiszpanii.

Źródło:https://cert.orange.pl/aktualnosci/grozny-mobilny-malware-sms-factory-trafia-do-polski

Wyciek danych

Wyciek 5 milionów danych pracowników i pasażerów linii lotniczych AirAsia

W dniach 11 - 12 listopada malezyjskie linie lotnicze AirAsia padły ofiarą ataku ransomware, który przeprowadziła grupa Daixin Team. Cyberprzestępcy poinformowali, że mają dostęp do danych osobowych wszystkich pracowników AirAsia oraz posiadają szczegółowe informacje dotyczące ich pasażerów. Łącznie wyciekło ponad 5 milionów danych. 

Linie szybko odpowiedziały na atak prosząc hakerów o próbkę skradzionych danych. Nie próbowali wynegocjować niższej kwoty do zapłaty, co może oznaczać, że AirAsia nigdy nie zamierzała zapłacić okupu. 

Rzecznik Daixin poinformował, że jego zespół nie szyfrował ani nie niszczył danych, które mogłyby spowodować bezpośrednie lub pośrednie zagrożenie życia.

Najciekawsze jest jednak to, że zła administracja sieci AirAsia, brak jakichkolwiek standardów i reguł, a także niekompetencja administratorów, paradoksalnie uratowała linie przed kolejnymi atakami. Rzecznik Daixin Team potwierdził, że chaos w sieci wewnętrznej AirAsia sprawił, że grupa poczuła się wyjątkowo zirytowana i pomimo bardzo słabej ochrony sieci zaniechali dalszych działań. 

Źródło:https://www.databreaches.net/airasia-victim-of-ransomware-attack-passenger-and-employee-data-acquired

Podatności

Zdalne wykonanie kodu po mandaryńsku

Krytyczna podatność CVE-2022-34721 została wykryta w Microsoft Windows Internet Key Exchange (IKE) Protocol Extensions. Dotyczyła kodu obsługującego przestarzały protokół IKEv1, który zapewniał zgodność ze starszymi systemami. 

Wykorzystanie podatności polegało na wysłaniu odpowiednio spreparowanego pakietu IP do podatnego systemu, co dawało możliwość wykonania dowolnego kodu. Pomimo, że IKEv1 nie było używane a IKEv2 nie było podatne - wszystkie Serwery Windows były zagrożone, bo akceptowały obie wersje protokołu czyniąc podatność krytyczną. 

Wiele wskazuje na to, że podatność została wykorzystana przez cyberprzestępców do ataków na ponad 1000 systemów, które nie zostały zaktualizowane.  

Okazało się, że ataki te stanowiły część kampanii o nazwie “流血你” co w tłumaczeniu z języka chińskiego (w dialekcie mandaryńskim) oznacza w wolnym tłumaczeniu „wykrwawić cię”. Udało się ponadto znaleźć przesłanki sugerujące współpracę niezidentyfikowanej chińskiej grupy z rosyjską grupą FIN7. Daje to podstawy do wnioskowania o współpracy Rosji i Chin w zakresie cyberataków na poziomie strategicznym.

Źródło:https://www.cyfirma.com/outofband/windows-internet-key-exchange-ike-remote-code-execution-vulnerability-analysis

Ciekawostki

Kamery Hikvision i ich ciemna strona mocy

Szpiegowanie, nadużycia, wykorzystywanie danych, brak poszanowania prywatności to tylko niektóre z zagrożeń jakie mogą powstać, gdy zaawansowana technologia znajdzie się w nieodpowiednich rękach. 

Kamera Hikvision oprócz funkcji zwykłego monitoringu jest w stanie rozpoznać twarz, płeć i zachowanie konkretnej osoby. Co więcej, posiada opcję wyszukiwania jednostek w tłumie tylko po kolorze ubrania, a także potrafi zidentyfikować osobę na podstawie długości i koloru jej włosów.

Źródło:https://www.thetimes.co.uk/article/dangerous-chinese-cctv-cameras-to-be-phased-out-in-scotland-ntnh29m96

Sposób na ransomware’a, czyli jak ważna jest współpraca i odpowiednia motywacja

Ransomware Zeppelin pojawił się pod koniec 2019 roku i był aktywny do 2022 roku. W tym czasie cyberprzestępcom udało się zainfekować tysiące komputerów, jednak dzięki dyskretnej pomocy ponad dwa tysiące firm odzyskało dostęp do swoich danych nie płacąc przy tym okupu. Jak to możliwe? Otóż szef firmy Unit 221B - Lance James - odkrył podatności w algorytmie szyfrowania, dzięki czemu mógł przeprowadzić atak siłowy na klucze deszyfrujące i je złamać. 

Informacja o sukcesie nie została jednak przekazana do publicznej wiadomości, ponieważ istniało (słuszne!) podejrzenie, że cyberprzestępcy zmienią kod źródłowy i tym samym cyberataki staną się trudniejsze do pokonania. 

Motywacją do podjęcia działania był fakt, że ransomware Zeppelin atakował takie instytucje jak: szpitale, schroniska dla bezdomnych oraz organizacje społeczne typu non-profit. Cyberprzestępcy żądali okupu w kryptowalucie BTC nawet do wysokości kilku milionów dolarów nie patrząc, że ich ofiary to ludzie, którzy nie mogą się bronić. Jak dosadnie ujął to sam Lance James: 

„To pobudzi nasze ADHD i wchodząc w stan hiper skupienia zniszczymy Waszą infekcję, du*ki”

Źródło:https://sekurak.pl/gdy-nie-wszyscy-bohaterowie-nosza-peleryny-jak-zostaly-zlamane-klucze-do-ransomware-zeppelin

Złote rady Scoffera odnośnie bezpieczeństwa w sieci

Grafika: Johnson z Pixabay.
Grafika z robotem: Scoffer (zakaz kopiowania)

Czytaj dalej >>

Nadużycia ze strony pracowników Meta. Handel kontami użytkowników

Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 20 listopada 2022 roku

Celem kampanii Billbug APT jest najprawdopodobniej szpiegostwo, kradzież danych oraz kradzież legalnych certyfikatów cyfrowych.

Newsy zostały podzielone na następujące kategorie:

Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.

Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.

Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.

Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.

Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.

Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Phishingowy Mundial czyli socjotechnika w grze

Cyberprzestępcy nie śpią, zwłaszcza gdy już za chwilę rozpoczną się Mistrzostwa Świata FIFA 2022 w Katarze. To idealna okazja, by wykorzystać umiejętności socjotechniczne i oszukać naiwnych fanów sportu. Oszuści już zacierają ręce licząc na łatwy "zarobek". Oto kilka przykładów phishingu mundialowego:

Loterie — oszuści internetowi wmawiają swoim ofiarom, że wygrały na loterii bilet, pakiet gościnny na mecz na żywo lub nagrodę pieniężną. Aby odebrać nagrodę wystarczy podać swoje dane osobowe i wypełnić krótki formularz. Następnie ofiara zostaje poinformowana o konieczności zapłaty niewielkiego podatku bądź prowizji. W niektórych wersjach jest widoczny przycisk "Kliknij tutaj", którego aktywacja skutkuje pobraniem złośliwego oprogramowania.

Fałszywe witryny — witryny naśladujące prawdziwe adresy URL Mistrzostw Świata. Na niektórych można dokonać „zakupu biletu”, jednak najpierw trzeba oczywiście podać swoje dane osobowe. 

Scamy dotyczące biletów — wiadomości od osób, które oferują odsprzedaż biletów. Bot czy nie bot, ale nieautoryzowana odsprzedaż biletów jest zabroniona, a kary mogą być wyjątkowo dotkliwe.

Źródło: https://kapitanhack.pl/2022/11/15/nieskategoryzowane/jaki-phishing-stosuja-hakerzy-przy-zblizajacym-sie-mundialu

Złośliwe oprogramowanie

Polimorficzne złośliwe oprogramowanie WASP atakuje programistów Pythona

Setki udanych infekcji przy pomocy niewykrywalnego trojana WASP i jego złośliwych pakietów Pythona! WASP unika wykrycia przez wykorzystanie steganografii i polimorfizmu. Posiada zdolność do zmieniania ładunku w nowych instalacjach oraz zachowuje trwałość nawet po ponownym uruchomieniu systemu. To złośliwe oprogramowanie służy do kradzieży danych osobowych, danych uwierzytelniających oraz kryptowaluty. Głównym celem ataku jest PyPI - repozytorium typu open source, w którym programiści udostępniają pakiety Pythona, wykorzystywane w swoich projektach. 

Programiści Pythona muszą uważać przy pobieraniu pakietów, gdyż nawet te, które wydają się legalne i przydatne mogą być pakietami-pułapkami. 

W celu zwiększenia wiarygodności, złośliwym pakietom nadawane są nazwy przypominające nazwy prawdziwych i popularnych pakietów. Technika ta nazywana jest typosquattingiem.

Źródło: https://qlo.pl/wasp-malware-atakuje-programistow-pythona

Wyciek danych

Nadużycia ze strony pracowników Meta. Handel kontami użytkowników 

Każdy kto stracił konto na Facebooku lub Instagramie wie jak niezwykle trudno jest je odzyskać. Meta w zakresie dbania o dane użytkowników oraz pomoc w przywróceniu konta jest już na tak niskim poziomie, że mogłoby się wydawać, że będzie już tylko lepiej. Niestety, wraz z uzyskaniem przez pracowników Mety dostępu do wewnętrznego systemu odzyskiwania kont, zaczęły się nadużycia. Firma zwolniła lub ukarała kilkudziesięciu pracowników, którzy zajmowali się handlem zablokowanymi kontami użytkowników bądź pobierali opłatę za pomoc w odzyskaniu dostępu od zdesperowanego właściciela konta.

Aby uzyskać dostęp do wybranego konta wystarczyło bowiem tylko zapłacić odpowiedniemu pracownikowi obsługi klienta. Hakerzy nie musieli nawet sięgać po bardziej zaawansowane metody tj. phishing, socjotechnika, nie musieli też wgrywać złośliwego oprogramowania. W tym przypadku, by przejąć czyjąś tożsamość w mediach społecznościowych, wystarczyły zwykłe pieniądze.

Co ciekawe, były przypadki osób, które nawet po odejściu z firmy zachowały dostęp do wewnętrznych narzędzi Meta, dzięki czemu mogły nadal pomagać w odzyskiwaniu utraconych kont.

Źródło: https://www.wsj.com/articles/meta-employees-security-guards-fired-for-hijacking-user-accounts-11668697213

Podatności

Cyberprzestępcy włamali się do sieci agencji federalnej USA

CISA (Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury) poinformowała, że hakerzy opłacani przez irański rząd dokonali włamania do amerykańskiej sieci agencji federalnej, wykorzystując do tego lukę w zabezpieczeniach - Log4Shell. 

Podatność CVE-2021-44228 to krytyczna luka w zdalnym wykonywaniu kodu, która dotyczy biblioteki Apache Log4j. 

W tym konkretnym przypadku cyberprzestępcy włamali się do sieci FCEB (Federal Civilian Executive Branch) przez niezałatany serwer VMware Horizon, używając w tym celu m.in. XMRig - oprogramowania do kopania kryptowalut. 

Ze względu na to, że oparta na Javie biblioteka Apache Log4j jest chętnie i powszechnie wykorzystywana przez twórców aplikacji, podatność CVE-2021-44228 została określona przez CSIRT MON jako "najpoważniejsza luka od dekad".

Informacja o podatności pojawiła się już 10 grudnia 2021 roku i od początku 2022 roku jest wykorzystywana przez irańskie grupy cyberprzestępcze.

Źródło: https://cyberdefence24.pl/cyberbezpieczenstwo/iranscy-hakerzy-i-luka-log4shell-wlam-do-sieci-agencji-federalnej-usa

Ciekawostki

Chińska grupa Billbug włamała się do urzędu certyfikacji w Azji

Billbug APT (znany też pod nazwą Lotus Blossom lub Thrip) to sponsorowana przez państwo chińska grupa szpiegowska, której celem jest przeprowadzanie cyberataków na organizacje wojskowe, rządowe oraz na dostawców usług komunikacyjnych przeważnie na terenie Azji Południowo-Wschodniej. W ramach szeroko zakrojonej kampanii, której celem były liczne organizacje rządowe, hakerom udało się włamać do urzędu certyfikacji (CA). Jest to sytuacja niezwykle niebezpieczna, ponieważ gdyby atakujący byli w stanie złamać zabezpieczenia certyfikatów cyfrowych, mogliby m.in. wykorzystać je do podpisywania złośliwego oprogramowania i w ten sposób sprawić by nie były one wykrywane przez zabezpieczenia na komputerach ofiar. Należy również pamiętać, że certyfikaty cyfrowe są wykorzystywane również do weryfikacji tożsamości urządzenia lub użytkownika - bez tego nie byłoby możliwe bezpieczne szyfrowanie połączeń. 

W przypadku zhakowania certyfikatów możliwe byłoby wówczas przechwytywanie ruchu HTTPS.

Celem tej kampanii najprawdopodobniej jest szpiegostwo, kradzież danych oraz kradzież legalnych certyfikatów cyfrowych. Na szczęście do tej pory cyberprzestępcom nie udało się złamać zabezpieczeń certyfikatów cyfrowych.

Charakterystyczne dla grupy Billbug jest to, że w swoich licznych kampaniach wykorzystuje niestandardowe złośliwe oprogramowanie oraz narzędzia, które mają podwójne zastosowanie tj.: AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil, Port Scanner. Do przeprowadzenia ataku Billbug często korzysta z backdoora Hannotog oraz Sagerunex. 

Na urządzeniach ofiar znaleziono zainstalowany Stowaway Proxy Tool, który jest narzędziem chętnie używanym przez testerów penetracyjnych.

Warto w tym miejscu zauważyć, że narzędzia do przeprowadzania testów penetracyjnych są niestety coraz częściej wykorzystywane przez cyberprzestępców. Nie inaczej było z oprogramowaniem Cobalt Strike, który przez swoje podwójne życie jest w chwili obecnej przez wielu testerów traktowany jak malware.

Źródło: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority

Złote rady Scoffera odnośnie bezpieczeństwa w sieci

Grafika: mohamed_hassan z Pixabay 

Grafika z robotem: Scoffer (zakaz kopiowania)

Czytaj dalej >>