Dziennikarstwo na poważnie i z przymrużeniem oka. Strona adresowana do wszystkich zainteresowanych tematyką szeroko pojętego bezpieczeństwa i kreowania właściwych zachowań społecznych. Znajdzie się tu też miejsce dla osób poszukujących ciekawych newsów i porad dotyczących cyberbezpieczeństwa. Skupiam się głównie na phishingu, złośliwym oprogramowaniu, wycieku danych, podatnościach oraz ciekawostkach ze świata cybersecurity.

niedziela, 26 marca 2023


Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 27 listopada 2022 roku

Niekompetencja administratorów uratowała linie lotnicze AirAsia przed ponownym atakiem grupy Daixin Team.
Newsy zostały podzielone na następujące kategorie:
Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.
Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.
Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.
Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.
Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.
Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.

Phishing

Spoofing na stadionie - złośliwe oprogramowanie w mailach

Snoonu 
Cyberprzestępcy podszyli się pod Snoonu - oficjalnego dostawcę jedzenia na Mistrzostwach Świata w Katarze. Wykorzystali spoofing, aby oferować fałszywe, darmowe bilety niczego nie podejrzewającym ofiarom. Wystarczy, że się zarejestrują na ich stronie i będą mogły oglądać mecz na żywo. Niestety w załączniku xlsm znajduje się złośliwe oprogramowanie.

FIFA TMS
W tym przypadku oszuści udają dział pomocy technicznej FIFA TMS i przesyłają powiadomienie o tym, że uwierzytelnianie dwuskładnikowe uległo dezaktywacji. Znajdujące się w mailu hiperłącze przekierowuję ofiarę na stronę phishingową.

FIFA Ticketing Office
Kolejnym przykładem kampanii spoofing'owej jest podszywanie się pod oficjalny organ FIFA upoważniony do dystrybucji biletów. Na skrzynkę ofiary wysyłany jest mail z informacją o problemach z płatnością. Użytkownik sądząc, że otrzymuje wiadomość z zaufanego źródła klika w odnośnik, który przekierowuje ją do spreparowanej strony.

Źródło:https://www.trellix.com/en-us/about/newsroom/stories/research/email-cyberattacks-on-arab-countries-rise.html

Złośliwe oprogramowanie

Malware SMS Factory jest już w Polsce

Ciekawego odkrycia dokonał ostatnio zespół ds. cyberbezpieczeństwa CERT Orange. Do dogłębnej analizy skłoniła ich duża liczba reklamacji związana z wysokimi rachunkami jakie musieli zapłacić ich klienci. Gdy zablokowali podejrzane domeny zauważyli pewną regularność w podejmowaniu prób łączenia się z serwerem C&C (próby powtarzały się równo co 15 minut). 
Analiza wysłanych zagranicznych SMSów (nawet ponad 2000 dziennie!) utwierdziła ich w przekonaniu, że na telefonach ofiar został zainstalowany malware. Skąd dowiedzieli się, że to SMS Factory? 
Z pomocą przyszedł im VirusTotal, gdyż na AbuseIPDB numer IP 45.76.34.131 był czysty jak łza. W zakładce "Relations" - szukając wprost po domenie - udało im się znaleźć aż 100 podejrzanych plików, odwołujących się do domeny. Patrząc zaś po hashach można było zauważyć powtarzającą się nazwę "SMS Factory".
Co ciekawe, ofiarami tego złośliwego oprogramowania były dotychczas głównie osoby z Rosji, Brazylii, USA, Turcji, Francji, Ukrainy i Hiszpanii.

Źródło:https://cert.orange.pl/aktualnosci/grozny-mobilny-malware-sms-factory-trafia-do-polski

Wyciek danych

Wyciek 5 milionów danych pracowników i pasażerów linii lotniczych AirAsia

W dniach 11 - 12 listopada malezyjskie linie lotnicze AirAsia padły ofiarą ataku ransomware, który przeprowadziła grupa Daixin Team. Cyberprzestępcy poinformowali, że mają dostęp do danych osobowych wszystkich pracowników AirAsia oraz posiadają szczegółowe informacje dotyczące ich pasażerów. Łącznie wyciekło ponad 5 milionów danych. 
Linie szybko odpowiedziały na atak prosząc hakerów o próbkę skradzionych danych. Nie próbowali wynegocjować niższej kwoty do zapłaty, co może oznaczać, że AirAsia nigdy nie zamierzała zapłacić okupu. 
Rzecznik Daixin poinformował, że jego zespół nie szyfrował ani nie niszczył danych, które mogłyby spowodować bezpośrednie lub pośrednie zagrożenie życia.
Najciekawsze jest jednak to, że zła administracja sieci AirAsia, brak jakichkolwiek standardów i reguł, a także niekompetencja administratorów, paradoksalnie uratowała linie przed kolejnymi atakami. Rzecznik Daixin Team potwierdził, że chaos w sieci wewnętrznej AirAsia sprawił, że grupa poczuła się wyjątkowo zirytowana i pomimo bardzo słabej ochrony sieci zaniechali dalszych działań. 

Źródło:https://www.databreaches.net/airasia-victim-of-ransomware-attack-passenger-and-employee-data-acquired

Podatności

Zdalne wykonanie kodu po mandaryńsku

Krytyczna podatność CVE-2022-34721 została wykryta w Microsoft Windows Internet Key Exchange (IKE) Protocol Extensions. Dotyczyła kodu obsługującego przestarzały protokół IKEv1, który zapewniał zgodność ze starszymi systemami. 
Wykorzystanie podatności polegało na wysłaniu odpowiednio spreparowanego pakietu IP do podatnego systemu, co dawało możliwość wykonania dowolnego kodu. Pomimo, że IKEv1 nie było używane a IKEv2 nie było podatne - wszystkie Serwery Windows były zagrożone, bo akceptowały obie wersje protokołu czyniąc podatność krytyczną. 
Wiele wskazuje na to, że podatność została wykorzystana przez cyberprzestępców do ataków na ponad 1000 systemów, które nie zostały zaktualizowane.  
Okazało się, że ataki te stanowiły część kampanii o nazwie “流血你” co w tłumaczeniu z języka chińskiego (w dialekcie mandaryńskim) oznacza w wolnym tłumaczeniu „wykrwawić cię”. Udało się ponadto znaleźć przesłanki sugerujące współpracę niezidentyfikowanej chińskiej grupy z rosyjską grupą FIN7. Daje to podstawy do wnioskowania o współpracy Rosji i Chin w zakresie cyberataków na poziomie strategicznym.

Źródło:https://www.cyfirma.com/outofband/windows-internet-key-exchange-ike-remote-code-execution-vulnerability-analysis

Ciekawostki

Kamery Hikvision i ich ciemna strona mocy

Szpiegowanie, nadużycia, wykorzystywanie danych, brak poszanowania prywatności to tylko niektóre z zagrożeń jakie mogą powstać, gdy zaawansowana technologia znajdzie się w nieodpowiednich rękach. 
Kamera Hikvision oprócz funkcji zwykłego monitoringu jest w stanie rozpoznać twarz, płeć i zachowanie konkretnej osoby. Co więcej, posiada opcję wyszukiwania jednostek w tłumie tylko po kolorze ubrania, a także potrafi zidentyfikować osobę na podstawie długości i koloru jej włosów.

Źródło:https://www.thetimes.co.uk/article/dangerous-chinese-cctv-cameras-to-be-phased-out-in-scotland-ntnh29m96

Sposób na ransomware’a, czyli jak ważna jest współpraca i odpowiednia motywacja

Ransomware Zeppelin pojawił się pod koniec 2019 roku i był aktywny do 2022 roku. W tym czasie cyberprzestępcom udało się zainfekować tysiące komputerów, jednak dzięki dyskretnej pomocy ponad dwa tysiące firm odzyskało dostęp do swoich danych nie płacąc przy tym okupu. Jak to możliwe? Otóż szef firmy Unit 221B - Lance James - odkrył podatności w algorytmie szyfrowania, dzięki czemu mógł przeprowadzić atak siłowy na klucze deszyfrujące i je złamać. 
Informacja o sukcesie nie została jednak przekazana do publicznej wiadomości, ponieważ istniało (słuszne!) podejrzenie, że cyberprzestępcy zmienią kod źródłowy i tym samym cyberataki staną się trudniejsze do pokonania. 
Motywacją do podjęcia działania był fakt, że ransomware Zeppelin atakował takie instytucje jak: szpitale, schroniska dla bezdomnych oraz organizacje społeczne typu non-profit. Cyberprzestępcy żądali okupu w kryptowalucie BTC nawet do wysokości kilku milionów dolarów nie patrząc, że ich ofiary to ludzie, którzy nie mogą się bronić. Jak dosadnie ujął to sam Lance James: 
„To pobudzi nasze ADHD i wchodząc w stan hiper skupienia zniszczymy Waszą infekcję, du*ki”

Źródło:https://sekurak.pl/gdy-nie-wszyscy-bohaterowie-nosza-peleryny-jak-zostaly-zlamane-klucze-do-ransomware-zeppelin

Złote rady Scoffera odnośnie bezpieczeństwa w sieci




Grafika: Johnson z Pixabay.
Grafika z robotem: Scoffer (zakaz kopiowania)

0 comments :

Prześlij komentarz

Popularne Posty

Translate

Wszelkie prawa zastrzeżone. Obsługiwane przez usługę Blogger.