márc 1, 2024 | Adatbiztonsági cikkek, hírek
A kiberbiztonsági elemzők a neves ESET csapatából egy rendkívül bonyolult és innovatív kibertámadási hálózatra bukkantak, amit „Operáció Texonto” néven azonosítottak. Ez a kifinomult támadási módszertan kettős veszélyt jelent: egyrészről dezinformációs kampányokon keresztül pszichológiai hadviselést folytat az ukrán lakosság és vállalkozások ellen, a konfliktus kapcsán félrevezető információkkal manipulálva a közvéleményt. Másrészről, adathalászati technikákat is alkalmaz, ezzel tovább növelve a biztonsági kihívásokat. Az Operáció Texonto által kiváltott pszichológiai és dezinformációs tevékenységek jelentős próbatételt jelentenek a kiberbiztonsági szakemberek számára, mivel a védekezés nem csak technikai lépéseket, hanem a közösség tájékoztatását és tudatosságának növelését is követeli meg.
A dezinformációs és adathalászati kampányok kettőssége
Az ESET szakemberei által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két fázisban küldött pszichoaktív üzeneteket. Ezek az üzenetek tipikus orosz propagandisták narratíváit követik, olyan kérdésekre összpontosítva, mint a gyógyszerhiányok, az élelmezési problémák és az ukrán fűtésellátás zavarai. A dezinformáció elsődleges célja nyilvánvalóan az volt, hogy megkérdőjelezze Oroszország háborús előnyeit az ukrán lakosság szemében.
Ezen kívül, a kampány egy másik része spam e-mailek segítségével terjesztett háborús téves információkat, és egy adathalász kampány is megfigyelhető volt, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket vette célba, a Microsoft Office 365 fiókok belépési adatainak ellopására irányulva.
Az Operáció Texonto és Orosz kapcsolatai
Az ESET által végzett kutatás során az Operáció Texonto tevékenységét „magas szintű biztonsággal” köthető egy Oroszországgal kapcsolatos csoport tevékenységéhez, ami összhangban van korábban hasonló módszereket alkalmazó csoportokkal. A technikai egyezések hiánya ellenére az ESET nem tudja egyértelműen meghatározni a Texonto tevékenységét egy konkrét fenyegető szereplőhöz.
A Callisto csoport és a dezinformációs műveletek közötti kapcsolat
Matthieu Faou, az ESET kutatója szerint a kiberkémkedési műveletekben az utóbbi időben bekövetkezett növekedés figyelemre méltó. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, hasonló típusú tevékenységeket végzett, és korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt.
A dezinformációs üzenetek és a spam hadjáratok közötti összefüggés
A kezdeti üzenetsorok nem tartalmaztak kártékony szoftvereket vagy rosszindulatú linkeket, viszont egy e-mail a hiányzó gyógyszerek gyógynövényekkel való pótlását javasolta, míg egy másik a galamb risotto elfogyasztását ajánlotta. A második üzenetsor már komolyabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése érdekében.
A Meta jelentése az Orosz befolyásolási műveletekről
A Meta legújabb jelentése szerint az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos médiumok által megosztott tartalmak mennyiségét és az elköteleződési szinteket. A jelentés kiemeli, hogy a nyilvánvalóan hamis profilok elleni küzdelem folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratokra.
Az Operáció Texonto esete rávilágít a kiberháború és pszichooperatív hadjáratok összetett és sokszínű világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakemberek számára.
Forrás: www.forbes.com
febr 26, 2024 | Adatbiztonsági cikkek, hírek
A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.
Lazarus Chakwera, Malawi elnöke, egy sajtóközleményben hozta nyilvánosságra, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány határozottan ellenzi a zsarolási kísérletet. Az elnök egyértelműen kijelentette, hogy az állam nem kívánja „kényeztetni a bűnözőket” és elutasítja a párbeszédet „azon személyekkel vagy csoportokkal, akik fenyegetést jelentenek Malawi szuverenitására és biztonságára”. Ezzel az állásponttal egy erőteljes üzenetet küldenek a kiberbűnözők felé, hangsúlyozva, hogy Malawi állhatatosan szembeszáll a jogellenes tevékenységekkel és minden szükséges lépést megtesz a kiberfenyegetések elleni védekezés érdekében.
A kibertámadással kapcsolatos részletek továbbra is homályban maradnak. A kormány eddig nem hozott nyilvánosságra információkat arról, hogy kik lehetnek a felelősek a támadásért, vagy hogy az érintett adatok közül bármelyik ellopásra került-e. Ez további aggodalmakat kelt az állampolgárok körében, sokan közülük aggódnak amiatt, hogy személyes és érzékeny adataik illetéktelen kezekbe kerülhettek.
Chakwera elnök azonban bizakodóan nyilatkozott a helyzet megoldásával kapcsolatban. Beszédében említést tett arról, hogy a bevándorlási hivatal jelenleg egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadási szolgáltatások hamarosan történő újraindítását, egy konkrétan meghatározott háromhetes határidőn belül. Ezenkívül az elnök aláhúzta, hogy a kormány egy átfogó, hosszú távú stratégiát dolgoz ki a bevándorlási rendszer biztonságának megerősítésére, amely számos új biztonsági intézkedés bevezetését foglalja magában. Ez a lépés nélkülözhetetlen a jövőbeli kiberfenyegetésekkel szembeni hatékony védelem szempontjából, és biztosítja, hogy a bevándorlási és útlevélkiadási szolgáltatások folyamatosan és zavartalanul működjenek.
Ez az incidens nem tekinthető precedens nélkülinek Malawi történetében, mivel korábban is előfordultak hasonló fennakadások az útlevélkiadás terén. Azonban a jelenlegi felfüggesztés különösen kedvezőtlen időpontban történt, amikor az útlevelek iránti igény kiemelkedően magas. Sok állampolgár a jobb életkörülmények és munkalehetőségek felkutatása céljából tervezi, hogy elhagyja az országot, így az útlevélkiadás szünetelése közvetlenül és negatív módon érinti őket.
A következő hetek és hónapok során a Malawi kormány és a Bevándorlási Hivatal tevékenységei középpontba kerülnek, ahogy a nyilvánosság figyelmesen követi, hogy sikerül-e megfelelően kezelniük ezt a válságos helyzetet és visszaállítaniuk az állampolgárok bizalmát az útlevélkiadási rendszer megbízhatóságában. A digitális korban a kiberbiztonság és az adatvédelem egyre fontosabbá válik a globális üzleti és technológiai szektorokban, és Malawi jelenlegi kihívása rávilágít arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan alkalmazkodniuk kell védelmi stratégiáikat, hogy megfeleljenek a gyorsan változó kiberfenyegetéseknek és biztosítsák a digitális infrastruktúra integritását.
Forrás: www.darkreading.com
febr 21, 2024 | Adatbiztonsági cikkek, hírek
Kiberbiztonság új kihívása: Az MMS ujjlenyomat módszer
A digitális kor hajnalán, ahol az adatbányászat a modern aranyláz, a kiberbiztonsági fenyegetések és a kémkedési módszerek dinamikusan fejlődnek. Az NSO Csoport, egy elismert kiberbiztonsági vállalat, az „MMS Ujjlenyomat” technológiával rukkolt elő, amely új távlatokat nyit a digitális megfigyelés területén. Ez a technológia egy ghánai telekommunikációs szervezettel kötött szerződés keretében került bemutatásra, ami a használatának kiterjedt lehetőségeire utal.
Az „MMS ujjlenyomat” technológia magyarázata
A technológia lényege, hogy képes felismerni a célzott eszközök és operációs rendszerek típusát minden felhasználói interakció nélkül. Ez a bináris SMS-eken, azaz a WSP Push technológián alapul, amely előzetesen értesíti a felhasználókat az érkező MMS üzenetekről. A felhasználó eszközének a szerverrel való kapcsolatba lépésekor, az MMS letöltése során, bizonyos eszközinformációkat osztanak meg, amelyek később támadások során felhasználhatók.
Rizikók és védekezési módszerek
Az NSO Csoport által fejlesztett és az Enea által tesztelt „MMS Ujjlenyomat” módszer titokban gyűjti a felhasználói információkat, ami aggodalmakat vet fel az adatvédelem és a magánélet védelme kapcsán. Jelenleg nincs bizonyíték arra, hogy ezt a technológiát széles körben alkalmaznák, de a lehetséges következmények és a visszaélések jelentette kockázatok komoly kihívást jelentenek a kiberbiztonsági szakma számára.
A telekommunikációs szolgáltatók képesek lehetnek arra, hogy megakadályozzák ezeket a típusú támadásokat, míg a felhasználók is tehetnek lépéseket azáltal, hogy letiltják az MMS üzenetek automatikus letöltését készülékeiken. Ez az esemény rávilágít a proaktív magatartás és az információk folyamatos követésének jelentőségére a digitális védekezésben.
Az „MMS Ujjlenyomat” technológia bemutatása és annak kockázatai felhívják a figyelmet a kiberbiztonsági veszélyek folyamatos változására, kiemelve, hogy a felhasználóknak, vállalatoknak és kormányzati intézményeknek mindig ébernek és előrelátónak kell lenniük. Az NSO Csoport és más hasonló szervezetek által fejlesztett technológiák új kihívásokat jelentenek a védelmi rendszerek számára, hangsúlyozva a technológiai fejlődés nyomon követésének és a digitális védelmi stratégiák erősítésének fontosságát.
Forrás: www.securityweek.com
febr 19, 2024 | Adatbiztonsági cikkek, hírek
Intel biztonsági frissítés: Kritikus jelentőségű információk nyilvánosságra hozatala
Az Intel nemrégiben hozott nyilvánosságra egy kritikus jelentőségű információt, amely kiemeli a digitális térben való mozgás közbeni proaktív biztonsági intézkedések fontosságát. A vállalat szakértői által azonosított 34 biztonsági rés egyértelmű figyelmeztetésül szolgál arra, hogy a felhasználóknak fokozottan ébernek és előrelátónak kell lenniük. Ennek érdekében időben kell frissíteniük alkalmazásaikat és firmware-jeiket, hogy elkerüljék az adatvesztés vagy a kiber támadások kockázatát. E sebezhetőségek rávilágítanak arra is, hogy a technológiai óriások mennyire elszántak abban, hogy felhasználóik számára egy biztonságos digitális teret biztosítsanak.
A biztonsági rések hatókörének bemutatása
Ezek a biztonsági rések az Intel által kínált széles termékskálát érintik, azaz a firmware-től kezdve a szoftveralkalmazásokig terjednek. A felfedezett sebezhetőségek között 32 a különböző szoftvertermékeket érinti, míg a fennmaradó kettő a firmware komponensekben található meg. Az érintett szoftverek között olyan kulcsfontosságú eszközök találhatók, mint a oneAPI Toolkit, az Intel Extreme Tuning Utility (XTU) és az Intel Unison alkalmazás, valamint számos chipset- és Wi-Fi driver. Továbbá néhány kevésbé ismert, esetleg már nem támogatott szoftver, mint például a Battery Life Diagnostic Tool és a System Usage Report szoftver, szintén biztonsági fenyegetést jelenthet, melyek esetében az Intel azt tanácsolja, hogy a felhasználók távolítsák el ezeket az alkalmazásokat.
Thunderbolt technológia és biztonsági megfontolások
Különösen érdekesek a Thunderbolt technológiával kapcsolatos megállapítások, ahol a szakemberek több mint húsz lehetséges biztonsági problémát azonosítottak. Habár ezek többsége csak helyi hozzáférés esetén jelent veszélyt, egy bizonyos sebezhetőség távolról is kiaknázható, ezzel jelentősen bővítve a lehetséges kibertámadások körét. Ezek a sebezhetőségek különböző veszélyességi szintekkel bírnak, amelyek közül három különösen nagy kockázatúnak van besorolva, míg a távolról kihasználható sebezhetőség közepes kockázatú kategóriába tartozik.
Szoftverfrissítések és javítások: A biztonság fenntartása
Az Intel arra ösztönzi a felhasználókat, hogy legyenek proaktívak a szoftverfrissítések alkalmazásában és a javítások telepítésében. Az érintett sebezhetőségekről szóló részletes tájékoztatás az Intel dedikált biztonsági weboldalán található, ahol a felhasználók megismerhetik a potenciális veszélyeket és azok elhárításának módjait. A legfrissebb szoftverek és driverek beszerzéséhez és a digitális eszközök biztonságának fenntartásához az Intel hivatalos weboldala kínál segítséget. A frissítési folyamat egyszerűsítése érdekében a Driver & Support Assistant (DSA) szolgáltatás is a felhasználók rendelkezésére áll, amely segítséget nyújt az eszközök naprakész állapotának fenntartásában.
A bejelentés nem csak a biztonsági rések feltárásáról szól, hanem egyúttal felhívja a figyelmet arra is, hogy a digitális korban a technológiai előrelépések mellett a biztonsági tudatosság és az elővigyázatos magatartás mennyire fontos. Az Intel által biztosított eszközök és információk felhasználásával a felhasználók lépést tarthatnak a kiberbiztonsági trendekkel, és védelmet nyújthatnak digitális identitásuk számára a különféle fenyegetésekkel szemben.
febr 15, 2024 | Adatbiztonsági cikkek, hírek
Az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség, röviden CISA, nemrégiben hozta nyilvánosságra a Közös Kiber Védelmi Kezdeményezés, vagyis a JCDC 2024-re szóló kiberbiztonsági stratégiáját és célkitűzéseit. Ez a kezdeményezés, amely 2021-ben került alapításra, azzal a céllal jött létre, hogy az ipar és a kormányzat összehangolt erőfeszítéseivel hatékonyabban szálljon szembe a kiberbiztonsági fenyegetésekkel.
A JCDC az elmúlt évek során számos kiemelkedően sikeres projektet valósított meg, amelyek között szerepelt az open source szoftverek biztonságának fokozása és a kritikus infrastruktúrák védelmének javítása, különös tekintettel a gyors és hatékony incidenskezelésre.
Clayton Romans, a CISA társvezetője szerint a 2024-es év kiemelt céljai közé tartozik az együttműködési erőfeszítések szélesítése és a kiberbiztonsági fenyegetések elleni küzdelem innovatív megközelítése. A tervezett intézkedések három fő pilléren alapulnak: az előrehaladott tartós fenyegetésekkel (APT) szembeni védelem kiépítése, a kritikus infrastruktúrák védelmi képességeinek növelése, valamint az új technológiák és ezekkel összefüggő kockázatok előrejelzése és kezelése.
Az irányvonalak hat specifikus célpontot azonosítanak, amelyekre prioritást helyeznek, többek között az APT szereplőkkel szembeni védekezés, a jelentős kiberincidensekre való előzetes felkészülés, a választási rendszerek biztonságának továbbfejlesztése, a zsarolóprogramok okozta veszélyek csökkentése, a Secure by Design elvek alkalmazása a technológiák fejlesztésében, valamint az mesterséges intelligencia (AI) területén felmerülő kihívások kezelése.
Romans külön kiemelte, hogy a 2024-es évben kiemelt figyelmet kap a Kínai Népköztársasághoz köthető APT csoportok elleni védekezés, mivel ezek a csoportok különösen nagy veszélyt jelentenek az amerikai infrastruktúrára. Ezen felül hangsúlyozta a kormányzati és a magánszektor közötti szoros együttműködés jelentőségét a kiberbiztonsági kihívásokkal szembeni hatékony fellépés érdekében.
„Rendkívüli büszkeséggel tölt el bennünket a JCDC keretében kialakított együttműködés, és az általunk elért eredmények. Számos kihívás állt előttünk, amelyeket sikeresen leküzdöttünk, hogy megfeleljünk a gyorsan változó kiberfenyegetési környezet követelményeinek,” mondta Romans.
„A JCDC keretein belül a CISA lelkesedéssel tekint a jövő felé, hogy bővítse együttműködéseit mind a kormányzati, mind a magánszektori partnerekkel, közös erővel formálva meg a jövő kiberbiztonsági stratégiáját, különösen figyelemmel az Egyesült Államokat 2024-ben érintő legnagyobb kiberkockázatokra.”
Forrás: www.infosecurity-magazine.com
febr 12, 2024 | Adatbiztonsági cikkek, hírek
Ahogy a digitális világ rohamos fejlődésen megy keresztül, úgy válnak a kiberbűnözők módszerei is egyre rafináltabbá, különösen a zsarolóvírusok felhasználásával, amelyekkel váltságdíj fejében szereznek hozzáférést az áldozataik adatához. Az utóbbi évek trendjei egyértelműen jelzik, hogy ezek a támadók nem csak megőrzik, hanem fokozzák is műveleteik agresszivitását, ami komoly kihívást jelent a kiberbiztonsági védekezési taktikáknak.
Az elmúlt időszakban gyűjtött adatok konzisztensen azt mutatják, hogy a zsarolóvírus támadások gyakorisága és ezáltal generált illegális bevételük meredeken emelkedett. Ez aggodalomra ad okot, mivel a kiberbiztonsági közösség által bevezetett ellenintézkedések kezdetben úgy tűnt, hogy lassítják ezt a növekedést. Viszont a Chainanalysis legújabb elemzése szerint a 2022-es évben a támadások intenzitása újra növekedésnek indult, és a zsarolóvírusok által erőltetett váltságdíjak összege is jelentősen megugrott, az előző évi 567 millió dollárról 1,1 milliárd dollárra emelkedve, ezzel új mérföldkövet állítva fel.
A zsarolóvírusokat alkalmazó bűnözők nem különböztetnek meg a potenciális célpontokat, így nagyvállalatok, egészségügyi intézmények és oktatási intézmények egyaránt az áldozatok között lehetnek. A Recorded Future és más elemző cégek jelentései alapján az új zsarolóvírus variánsok száma és ezek alkalmazásának gyakorisága folyamatosan nő, ami arra utal, hogy a jelenleg alkalmazott kiberbiztonsági védekezési módszerek nem nyújtanak kielégítő védelmet.
A 2022-es ideiglenes visszaesés után, különösen az orosz és ukrán csoportok esetében, a zsarolóvírus műveletek ismét intenzívebbé váltak. A geopolitikai helyzetek átmeneti változásai nem akadályozták meg, hogy a kiberbűnözők fokozzák támadásaikat mind szám, mind erősség tekintetében.
Ez az elemzés kiemeli, hogy bár vannak előrelépések a zsarolóvírusok elleni küzdelemben, a kiberbiztonsági szakértők továbbra is jelentős kihívásokkal néznek szembe. A dinamikusan változó kiberfenyegetések elleni védekezéshez szükség van átfogó és folyamatosan fejlődő védelmi stratégiákra, amelyek képesek alkalmazkodni az új kihívásokhoz.
Forrás:
febr 6, 2024 | Adatbiztonsági cikkek, hírek
Nigéria elkötelezettsége a kiberbűnözés ellen: Tények és kezdeményezések
A nigériai elnök, Bola Tinubu határozottan elutasítja azt a nézetet, hogy országuk a kiberbűnözők otthona lenne. Ellentétben az „infámus nigériai herceg” által ismertté vált csalásokkal, Tinubu elnök kiemeli Nigéria aktív szerepvállalását a globális közösség érdekében és a kiberbűnözés elleni harcot.
Ez a kihívás évente mintegy 500 millió dollár gazdasági veszteséget okoz Nigériának, de Tinubu hangsúlyozza, hogy a probléma nem korlátozódik csupán hazájára; ez egy világméretű jelenség, amellyel szemben minden lehetséges eszközzel fel kell lépni. Az elnök szerint a digitális világban valós időben kapcsolódunk össze, így a kiberbűnözők nem csak Nigériára, hanem a globális közösségre is veszélyt jelentenek, amely ellen összefogással és határozott fellépéssel lehet a leghatékonyabban harcolni.
Tinubu elnök azt is kihangsúlyozza, hogy Nigéria számos kezdeményezést indított a kiberbűnözés megelőzése és leküzdése érdekében, többek között oktatási programokat, amelyek a digitális tudatosságot és a biztonságos internetezést népszerűsítik.
Az EFCC vezetője, Ola Olukoyede is felhívja a figyelmet arra, hogy a fiatalok egyre nagyobb mértékben vesznek részt kiberbűnöző tevékenységekben, ami aggodalomra ad okot. Olukoyede azt javasolja, hogy a fiatalokat olyan karrierlehetőségek felé kell terelni, amelyek hasznosítják képességeiket konstruktív módon, az akadémiai közösségek mentorálása révén.
Chidiebere Ihediwa, egy elismert nigériai kiberbiztonsági szakértő, szintén hangsúlyozza az online csalók és bűnözők IT szakemberekké történő átképzésének fontosságát, valamint a kiberbiztonsági oktatás és képzés bővítésének szükségességét.
Végül, bár a nigériai kormány és a kiberbiztonsági közösség jelentős erőfeszítéseket tesz a kiberbűnözés elleni küzdelemben, ez a probléma világméretű és határokat nem ismerő jelenség. A technológiai megoldások mellett a társadalmi változások elősegítése és a fiatal generációk oktatása is kulcsfontosságú a biztonságos digitális jövő megteremtéséhez.
Forrás: www.darkreading.com
febr 2, 2024 | Adatbiztonsági cikkek, hírek
Az állandóan változó digitális környezetben a kiberbiztonság szerepe egyre kritikusabbá válik. Az egyre összetettebb kiberfenyegetések elleni védelemhez már a tervezési folyamat kezdetén komoly figyelmet kell fordítani a biztonsági szempontokra. Ennek révén minimalizálhatók a potenciális sebezhetőségek és támadási felületek.
A CISA kiemelt figyelme, különösen a kisvállalatok és otthoni irodai környezetek eszközgyártóira irányulva, rámutat ezeknek a speciális területeknek a biztonsági kihívásaira. Ezek az eszközök gyakran kimaradnak a nagyvállalati biztonsági intézkedések alól, ami sebezhetővé teszi őket az újabb támadásokkal szemben. A tervezési szakaszban való biztonsági megfontolások beépítése nem csak a felhasználókat védi, hanem az egész kiberbiztonsági ökoszisztémát is erősíti.
A CISA által ajánlott irányelvek, amelyek az automatikus frissítések támogatására és a biztonsági beállítások manuális változtatásának lehetőségére összpontosítanak, kulcsfontosságúak a kisvállalatok és otthoni irodák eszközeinek biztonságának növelésében. Az ilyen típusú beépített funkciók segítségével a gyártók csökkenthetik a felhasználókra nehezedő terheket a biztonsági frissítések kezelése terén, és ezzel javíthatják az eszközök általános védelmi szintjét.
A kritikus infrastruktúrák védelmének érdekében elengedhetetlen a köz- és magánszféra szoros együttműködése és koordinációja. A KV-botnet példája rámutat arra, hogy a kibertámadók milyen mértékben kihasználhatják a meglévő technológiai sebezhetőségeket, és mennyire fontos folyamatosan felkészülni és védekezni a kiberfenyegetésekkel szemben.
Ellentmondva a kínai kormány állításainak, melyek tagadják az ilyen típusú támadásokat, a nemzetközi közösségnek összefognia és együttműködnie kell a globális kiberbiztonsági fenyegetések elleni küzdelemben. A nemzetek közötti párbeszéd erősítése és a kibervédelmi normák megszilárdítása kulcsfontosságú a digitális világ biztonságának fenntartásához.
Végül az FBI és a DoJ által végrehajtott lépések, melyek a KV-botnet felszámolására irányultak, hangsúlyozzák, hogy a kiberfenyegetések kezelése dinamikus és folyamatos erőfeszítéseket igényel. A technológia fejlődésével párhuzamosan a kiberbiztonsági stratégiáknak is alkalmazkodniuk kell az új kihívásokhoz. A biztonságos tervezés, a rendszeres frissítések és a közös kibervédelmi elkötelezettség nélkülözhetetlenek a jövőbeli kiberfenyegetések hatékony kezeléséhez.
Forrás: www.thehackernews.com
febr 1, 2024 | Adatbiztonsági cikkek, hírek
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Példaként említhető egy NASA-témájú e-mail, amely állítólag egy állásajánlatot rejtő ZIP fájlt tartalmaz. Ennek a fájlnak a megnyitásakor egy több platformon működő reverse shell, az HTTP-Shell aktiválódik, amely lehetővé teszi a támadók számára, hogy távolról hozzáférjenek az áldozat rendszeréhez.
Ez a shell, habár nyílt forráskódú, rosszindulatú célokra is felhasználható, így lehetővé téve a fájlok átvitelét, a könyvtárak böngészését és a kapcsolódást egy parancs- és vezérlő (C&C) szerverhez. Ebben az esetben a C&C szerver egy PDF-szerkesztő oldalnak álcázta magát, hogy elkerülje a felderítést.
Túl a NASA-n: Egy szélesebb csalási háló
A Cluster25 nyomozása többet tárt fel, mint csak egyetlen támadást. További hasonló kampányokat is felfedeztek. Ezek a kampányok ugyanazt a módszertant követték, hasonló parancsikonokat használtak, és néhány csalétek témája is megegyezett. Ezek az adatok egy összehangolt támadási kísérletre utalnak, amely különböző egyének és szervezetek ellen irányul.
A kampány a NASA-témájú csaléteken túl terjeszkedett, különféle témákat felölelve a különböző célpontok megtévesztésére. Egyik taktika az USAID-témájú támadás volt, amely az Egyesült Államok Nemzetközi Fejlesztési Ügynökségének jó hírnevét használta ki. Egy másik cél a hollandiai székhelyű nyomozó újságírói csoport, a Bellingcat volt, ami a kampány nemzetközi jellegét hangsúlyozza.
Független orosz médiumok, mint a The Bell és a Verstka, cikkeit használták csalétekként is, bemutatva a támadók törekvését, hogy behatoljanak azokba a közösségekbe, amelyek kritikusak az orosz kormánnyal szemben.
Attribúció: Nyomok, amelyek a Medvére mutatnak
Bár a pontos elkövetők azonosítása még mindig várat magára, a bizonyítékok egy orosz állami támogatású fenyegető szereplő irányába mutatnak.
A célpontok jellege, valamint a korábbi Sliver beacon aktivitásokhoz kapcsolódó infrastruktúra használata arra utal, hogy az orosz kormány nevében tevékenykedő szereplők állhatnak a háttérben.
Ez aggodalmakat kelt a célzott kibertámadásokkal kapcsolatban, amelyek célja az ellenzéki hangok elnyomása és a kritikus vélemények elhallgattatása.
Forrás: cybersecuritynews.com
jan 31, 2024 | Adatbiztonsági cikkek, hírek
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A támadók megbízható platformokat használnak fel átirányítási célokra, ami azt jelenti, hogy legitim weboldalak segítségével irányítják a felhasználókat kártékony URL-címekre.
Az egyre fejlődő kiberfenyegetések világában a phishing kísérletek gyakorisága növekszik, az e-mail pedig az egyik legfőbb célpont. A szakértők jelentős növekedést tapasztaltak azokban a phishing kísérletekben, amelyek kihasználják a nyílt átirányítási sebezhetőségeket.
A fő cél az észlelési mechanizmusok elkerülése és a felhasználók bizalmának kiaknázása, kihasználva a megbízható platformok hírnevét és az ellen-phishing elemzési technikákat, mint például az összetett átirányítási láncok.
Mi az a nyílt URL-átirányítási sebezhetőség?
Egy webalkalmazás olyan felhasználó által irányított adatot kap, amely egy külső oldalra mutató linket tartalmaz, amit aztán átirányításra használnak fel. Ez megkönnyíti a phishing kísérleteket.
A Trustwave SpiderLabs csapata szerint ez a webalkalmazás-sebezhetőség akkor keletkezik, amikor a felhasználók ellenőrizetlen adatok használatával irányíthatók át nem megbízható weboldalakra, ami támadók által üzemeltetett weboldalakra, például phishing oldalakra vezethet.
„A támadók egyre gyakrabban vizsgálják és tesztelik a nyílt átirányításra sebezhető linkeket a megbízható platformokon. Az URL-paramétereket manipulálják, hogy a felhasználókat rosszindulatú oldalakra irányítsák, és ezen linkeket phishing e-mailekbe ágyazzák be. Ez lehetővé teszi számukra a phishing támadások indítását és a felhasználói hitelesítő adatok ellopását”, osztotta meg a SpiderLabs csapat a Cyber Security News-szal.
Email phishing kísérletek
Egy esetben a támadók az IntelliClick tulajdonában lévő alap URL-t használják fel: „hxxps[://]www[.]intelliclicktracking[.]net/”. Az IntelliClick egy megbízható e-mail és weboldal marketing szolgáltató, amelynek domainjét a fenyegető szereplők nyílt átirányításokkal indított phishing támadásokhoz használják fel, noha ez egy legális szolgáltatás.
Van egy URL-paraméter, ami egy rosszindulatú IPFS oldalra mutat, egy e-mail cím részletével. Az InterPlanetary File System, vagy IPFS, egy elosztott, peer-to-peer fájlmegosztó rendszer, amit egyre gyakrabban használnak phishing támadásokhoz.
Az átirányítási lánc bemutatja, hogyan vezet az IPFS URL-re, amely egy hamis bejelentkezési űrlapot tartalmaz, amely a Webmailt utánozza.
A nyílt átirányítási stratégiákat használó phishing kampányok egyre gyakoribbak, az olyan képalapú támadások növekedése miatt, amelyek a Microsoftot és az e-aláírás szolgáltatásokat, mint az Adobe Sign és a DocuSign utánozzák.
A fenyegető szereplők kihasználják a Google szolgáltatásokkal kapcsolatos széles körű bizalmat, a Google domainek rosszindulatú felhasználásával és azok beépítésével a phishing erőfeszítésekbe, hogy elkerüljék az észlelést.
Ez hangsúlyozza a folyamatos éberség szükségességét a kiberfenyegetésekkel szemben, mivel azok továbbra is fejlődnek és új kihívásokat jelentenek.
Forrás: www.cybersecuritynews.com
jan 30, 2024 | Adatbiztonsági cikkek, hírek
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
A Brazil Szövetségi Rendőrség közölte, hogy öt ideiglenes letartóztatási parancsot és tizenhárom házkutatási és lefoglalási parancsot hajtottak végre São Paulo, Santa Catarina, Pará, Goiás és Mato Grosso államokban.
A szlovák kiberbiztonsági cég, az ESET, amely további segítséget nyújtott az akcióban, azt állítja, hogy felfedezett egy tervezési hibát a Grandoreiro hálózati protokolljában, ami segített azonosítani a támadások mintázatait.
A Grandoreiro egyike azon latin-amerikai banki trójai vírusoknak, mint a Javali, Melcoz, Casabeniero, Mekotio és Vadokrist, amelyek elsősorban Spanyolországot, Mexikót, Brazíliát és Argentínát célozzák meg. 2017 óta aktívnak ismert. 2023 októberében a Proofpoint részleteket közölt egy olyan phishing kampányról, amely frissített változatát terjesztette a malware-nek Mexikóban és Spanyolországban.
Ez a banki trójai vírus képes adatokat lopni billentyűzetfigyelők és képernyőmentések segítségével, valamint bankszámla bejelentkezési információkat ellopni, amikor egy fertőzött áldozat a fenyegetők által meghatározott banki webhelyekre látogat. Hamis felugró ablakokat is megjeleníthet, és blokkolhatja az áldozat képernyőjét.
A támadási láncok tipikusan phishing csalikat használnak, amelyek ál-dokumentumokat vagy rosszindulatú URL-eket tartalmaznak, amelyek megnyitásakor vagy kattintásakor a malware telepítéséhez vezetnek, ami ezután kapcsolatot létesít egy parancs- és vezérlő (C&C) szerverrel, hogy távolról manuálisan irányítsa a gépet.
„A Grandoreiro rendszeresen figyeli az előtérben lévő ablakot, hogy megtaláljon egyet, amely egy webböngésző folyamathoz tartozik,” mondta az ESET. „Amikor egy ilyen ablakot talál, és annak neve egyezik bármelyik, a bankkal kapcsolatos szavakból álló, előre meghatározott listán szereplő szóval, akkor és csak akkor kezdi meg a kommunikációt a C&C szerverrel, legalább másodpercenként küldve kéréseket, amíg azok be nem fejeződnek.”
A malware mögött álló fenyegetők egy domain generáló algoritmust (DGA) is alkalmaznak 2020 októbere óta a C&C forgalom cél-domainjének dinamikus azonosítására, ami megnehezíti a hálózat blokkolását, nyomon követését vagy átvételét.
A C&C IP-címek túlnyomó többségét elsősorban az Amazon Web Services (AWS) és a Microsoft Azure szolgáltatja, az IP-címek élettartama 1 naptól 425 napig terjed. Átlagosan naponta 13 aktív és három új C&C IP-cím található.
Az ESET azt is elmondta, hogy a Grandoreiro hibás RealThinClient (RTC) hálózati protokoll implementációja a C&C-n lehetővé tette az információgyűjtést a C&C szerverhez csatlakozó áldozatok számáról, ami átlagosan naponta 551 egyedi áldozatot jelent, főként Brazíliából, Mexikóból és Spanyolországból.
További vizsgálatok szerint naponta átlagosan 114 új egyedi áldozat csatlakozik a C&C szerverekhez.
„A Brazil Szövetségi Rendőrség vezette felszámoló művelet azokra az egyénekre irányult, akiket a Grandoreiro művelet hierarchiájának magas rangú tagjainak tartanak,” tette hozzá az ESET.
Forrás: www.thehackernews.com
jan 29, 2024 | Adatbiztonsági cikkek, hírek
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
Azonban a Fehér Ház által kiadott új szabályok gátolhatják az innovációt, beleértve a kis- és középvállalkozások által hozott újításokat is. Október 30-án a Fehér Ház egy „Végrehajtói Rendelkezést a Mesterséges Intelligencia Biztonságos, Biztonságos és Megbízható Fejlesztéséről és Használatáról” adott ki, amely számos AI-vel kapcsolatos kérdésre kíván politikát kialakítani. Sokan érvelhetnek amellett, hogy valóban szükség van szabályokra az AI biztonságos és biztonságos használatának biztosítására, de az EO, amely a kormányzati ügynökségeket hívja fel az AI politikájával kapcsolatos ajánlások megtételére, valószínűsíti, hogy az AI cégek közül csak a piacvezetők – mint a Microsoft, az IBM, az Amazon, az Alphabet (Google) és néhány másik – fognak beleszólni ezekbe az ajánlásokba. Az AI egy olyan hatalmas technológia, amely rendkívül fontos a jövő szempontjából, így természetes, hogy a kormányok be akarnak szállni – és az USA éppen ezt tette. De az elnök által javasolt út valószínűleg gátolni fogja, sőt, akár meg is állíthatja az AI innovációját.
Fontos célok rossz megközelítéssel
A 110 oldalas, terjedelmes dokumentum, az EO többek között azt kívánja biztosítani, hogy az AI „biztonságos és biztonságos” legyen, „felelős innovációt, versenyt és együttműködést ösztönözzön”, „támogassa az amerikai munkavállalókat”, „védje az amerikaiak magánéletét és polgári szabadságjogait”, és legyen elkötelezve „az egyenlőség és a polgárjogok előmozdítására”. Az EO bizottságokat állít ki és helyzetjelentéseket ad ki a következő hónapokban, amelyek elősegítik az AI politikájának kialakítását – és ami lényeges, korlátozásokat szab arra, hogy mit fejleszthetnek vagy mit kellene fejleszteniük az AI kutatóknak és vállalatoknak.
Ezek kétségtelenül kívánatos célok, és válaszként születtek az AI közösségen belül és kívül megfogalmazott érvényes aggodalmakra. Senki sem akar olyan AI modelleket, amelyek hamis videókat és képeket generálhatnak, amelyeket a valóditól megkülönböztethetetlenek, mert hogyan hihetnél bármit is? A tömeges munkanélküliség, amelyet az új technológiák okozhatnak, nemkívánatos lenne a társadalom számára, és valószínűleg társadalmi zavargásokhoz vezetne – ami rossz lenne a gazdagok és a szegények számára egyaránt. És az a tény, hogy a javaslatokat tucatnyi bürokratának kell jóváhagynia, semmiképpen sem segít.
Ha a Fehér Ház úgy érzi, szükséges ezeket a szabályokat kivetni az AI iparra, akkor felelőssége biztosítani, hogy minden hangot – nemcsak az iparági vezetőkét – meghallgassanak. Ennek elmulasztása olyan politikákhoz vezethet, amelyek figyelmen kívül hagyják, vagy kifejezetten betiltják azokat a fontos területeket, ahol a kutatásoknak zajlania kellene – területeket, amelyeket versenytársaink nem fognak habozni felfedezni és kiaknázni. Ha előttük akarunk maradni, nem engedhetjük meg az innováció gátlását – és biztosítanunk kell, hogy a startupok hangjai, az innováció motorjai, szerepet kapjanak a politikai ajánlásokban.
Forrás: insidebigdata.com (a hivatkozott cikk már nem elérhető)
jan 22, 2024 | Adatbiztonsági cikkek, hírek
jan 18, 2024 | Adatbiztonsági cikkek, hírek
Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.
„Ez az első dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.
A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.
„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.
A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.
A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.
„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.
„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”
Forrás: https://thehackernews.com
jan 16, 2024 | Adatbiztonsági cikkek, hírek
Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.
Az Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.
A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.
Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.
A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”
Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://thehackernews.com
jan 10, 2024 | Adatbiztonsági cikkek, hírek
Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.
A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.
Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.
2023. december 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.
A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.
A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.
Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.
A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.
„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.
„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.
„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”
A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.
Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.
Forrás: https://thehackernews.com
jan 5, 2024 | Adatbiztonsági cikkek, hírek
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
jan 4, 2024 | Adatbiztonsági cikkek, hírek
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
Ezt a CloudSEK kutatása támasztja alá, amely felfedezett egyfajta „Aranylázat” ezeknek a fiókoknak az előbukkanását az underground piacokon.
Az X-en a Gold jelvény azt jelenti, hogy a szolgáltatás függetlenül igazolta, hogy a fiók ténylegesen egy magas profilú szervezethez vagy hírességhez tartozik. Ezt egy éve vezették be fizetős opcióként, miután az X a kék pipát – korábban az igazságosság jelölése – egy olyan jelvényre cserélte, amelyet bárki felvehetett a profiljára, érvényesítés nélkül.
A cyberbűnözők most brute-force támadásokat hajtanak végre jelszavakon, és malware segítségével lopják el az azonosítókat a meglévő Gold fiókokhoz való hozzáférés érdekében – állapították meg a CloudSEK kutatói. Gyakran át is veszik azokat a nem-Gold fiókokat, amelyek hónapok óta nem voltak használatban, és felminősítik azokat ellenőrzött státuszba. Összességében százakat kínálnak fel ezekből a fiókokból underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használhatják, hogy phishing linkeket helyezzenek el, elindítsanak dezinformációs kampányokat és pénzügyi csalásokat, vagy márkaimázsra gyakoroljanak negatív hatást káros tartalmak közzététele révén.
„A Dark Web piacokat elárasztották azok a hirdetések, melyek Twitter Gold fiókokat kínálnak,” – áll a cég ezen a héten közzétett kutatásában. „Az árak 35 dollártól kezdődnek egy alap fiókért, és akár 2 000 dollárig is terjednek azokért, amelyeknek nagy a követőtáboruk.”
A kutatók a veszélyt az szervezetekre nézve egy szeptemberi példával szemléltették: Kiber-támadók képesek voltak átvenni egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy állítólag ingyenes nonfungibilis tokenek (NFT-k) kínálatával, egy beágyazott rosszindulatú linkkel, amely átirányította a felhasználókat egy hamis weboldalra, hogy kiürítse a kriptovalutákat a pénztárcájukból.
„A hackerek a hamis bejegyzés eltávolítása előtt körülbelül 20 percig aktívak voltak, és hihetetlen 691 000 dollárt szippantottak el digitális eszközeikből” – áll az elemzésben.
Hogyan védekezhetünk az X fiókok átvétele ellen?
A bűnözők számára az ilyen nagy fiókokba való beszivárgás értéke legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkori Twitter belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelmében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és erős jelszópolitikákat alkalmazni a fiókok átvételének megelőzése érdekében – ajánlotta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
dec 20, 2023 | Adatbiztonsági cikkek, hírek
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A 2023. júliustól decemberig tartó gyakorlat különböző pénzügyi bűncselekmények ellen irányult, mint például a hangos csalás, románcos átverések, online szextorzió, befektetési csalások, a törvénytelen online szerencsejátékhoz kapcsolódó pénzmosás, vállalati e-mail átverés és az e-kereskedelemi csalások.
Ezen kívül a hatóságok lefagyasztották az érintett banki és virtuális eszközszolgáltató (VASP) számlákat annak érdekében, hogy megakadályozzák a bűnügyi eredményekhez való hozzáférést. Összesen 82 112 gyanús banki számlát blokkoltak, 199 millió dollárt készpénzben és 101 millió dollárt virtuális eszközökben elkoboztak.
„A Fülöp-szigeteki és a koreai hatóságok közötti együttműködés eredményeként egy magas rangú online szerencsejáték-bűnözőt tartóztattak le Manilában, miután a Koreai Nemzeti Rendőrügynökség két éves hajszája után sikerrel járt” – közölte az Interpol, egy nemzetközi rendőrségi szervezet.
A befektetési csalások, vállalati e-mail átverések és e-kereskedelmi csalások az esetek 75%-át tették ki, az ügynökség hozzátéve, hogy Dél-Koreában észlelt egy új csalást, amely nem fungibilis tokenek (NFT-k) eladásával járt, óriási hozamokat ígérve, csak az üzemeltetőknek, hogy váratlanul megszűntessék a projektet.
Egy másik új trend az volt, hogy mesterséges intelligencia (MI) és deepfake technológiát alkalmaztak a csalások hitelességének növelésére, lehetővé téve a bűnözőknek, hogy az áldozatok által ismert személyeket színleljenek meg, és álarcos csalások, online szexuális zsarolás és befektetési csalások által átverjenek, zaklassanak és zsaroljanak áldozatokat.
A HAECHI-IV több mint egy évvel a HAECHI-III után jött, amely 130 millió dollár értékű virtuális eszköz elkobzásához vezetett egy globális fellépés részeként a kibereszközökkel támogatott pénzügyi bűncselekmények és pénzmosás ellen.
„Az 300 millió dollár elkobzása egy hihetetlen összeg, és egyértelműen mutatja a mai transznacionális szervezett bűn robbanásszerű növekedése mögötti ösztönzőt” – mondta az Interpol Stephen Kavanagh. „Ez az illegális vagyon hatalmas felhalmozása komoly fenyegetést jelent a globális biztonságra, és gyengíti a világszerte lévő nemzetek gazdasági stabilitását.”
Forrás: www.thehackernews.com
nov 29, 2023 | Adatbiztonsági cikkek, hírek
A közelmúltban számos Google Drive felhasználó számolt be súlyos adatvesztési eseményekről, ami a Google felhőalapú tároló rendszerének megbízhatóságát kérdőjelezi meg. Több esetben felhasználók ezrei tapasztalták dokumentumaik váratlan eltűnését. Az első ilyen esetről Yeonjoong nevű felhasználó számolt be, aki fél évnyi adatainak eltűnését észlelte. További felhasználók is hasonlóan drámai adatvesztésről tettek jelentést, többek között értékes dokumentumok és munkaanyagok elvesztéséről.
Jelentések alapján a Google Drive asztali kliensében is problémák adódtak, ami az adatok szinkronizációjában okozott zavart a felhőszolgáltatás és a felhasználók személyes számítógépei között. Ez a hiba különösen aggasztó, mivel a felhasználók napi munkavégzéséhez elengedhetetlen a megbízható adatkapcsolat. Egyelőre nem áll rendelkezésre konkrét információ a hiba forrásáról és arról, hogy a elveszett adatok visszaállíthatók-e.
Ez a váratlan incidens kiemeli a rendszeres és sokrétű biztonsági mentés fontosságát, különösen azok számára, akik munkájuk során nélkülözhetetlen adatokat tárolnak a felhőben. Sokan nem rendelkeznek elegendő biztonsági mentéssel, amely kritikus lehet ilyen esetekben. A biztonsági mentési módszerek közé tartoznak a külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 konfigurációban, optikai lemezek, memóriakártyák, pendrive-ok, valamint a különböző felhőszolgáltatások kombinált használata.
A Google műszaki csapata elismerte a problémát és jelenleg azon dolgoznak, hogy feltárják az okokat és megoldást találjanak. A felhasználók sürgős beavatkozást várnak, hiszen a Google Drive kulcsfontosságú része a mindennapi munkafolyamataiknak. A széles felhasználói bázis miatt a hiba globális hatásokkal bírhat.
A Google számára létfontosságú a hiba gyors feltárása és megoldása, hogy megakadályozzák a jövőbeni hasonló incidenseket. A felhasználók számára elengedhetetlen, hogy adataik biztonságosan legyenek tárolva és mindig elérhetőek maradjanak. A vállalatnak kidolgozott stratégiát kell alkalmaznia az ilyen típusú események elkerülésére és a felhasználói adatok biztonságának garantálására.
A fejleményeket folyamatosan figyelemmel kísérjük, és amint újabb információk érkeznek a probléma megoldásával vagy lehetséges következményeivel kapcsolatban, friss híreket közlünk. Bár reménykedünk a Google gyors és hatékony válaszában, és abban, hogy a lehető legtöbb elveszett adat helyreállítható lesz, sajnálatos módon fennáll az a veszély is, hogy egyes adatvesztések véglegessé válhatnak.
A kiberbiztonsági elemzők a neves ESET csapatából egy rendkívül bonyolult és innovatív kibertámadási hálózatra bukkantak, amit „Operáció Texonto” néven azonosítottak. Ez a kifinomult támadási módszertan kettős veszélyt jelent: egyrészről dezinformációs kampányokon keresztül pszichológiai hadviselést folytat az ukrán lakosság és vállalkozások ellen, a konfliktus kapcsán félrevezető információkkal manipulálva a közvéleményt. Másrészről, adathalászati technikákat is alkalmaz, ezzel tovább növelve a biztonsági kihívásokat. Az Operáció Texonto által kiváltott pszichológiai és dezinformációs tevékenységek jelentős próbatételt jelentenek a kiberbiztonsági szakemberek számára, mivel a védekezés nem csak technikai lépéseket, hanem a közösség tájékoztatását és tudatosságának növelését is követeli meg.
A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.
Kiberbiztonság új kihívása: Az MMS ujjlenyomat módszer
Az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség, röviden CISA, nemrégiben hozta nyilvánosságra a Közös Kiber Védelmi Kezdeményezés, vagyis a JCDC 2024-re szóló kiberbiztonsági stratégiáját és célkitűzéseit. Ez a kezdeményezés, amely 2021-ben került alapításra, azzal a céllal jött létre, hogy az ipar és a kormányzat összehangolt erőfeszítéseivel hatékonyabban szálljon szembe a kiberbiztonsági fenyegetésekkel.
Nigéria elkötelezettsége a kiberbűnözés ellen: Tények és kezdeményezések
Az állandóan változó digitális környezetben a kiberbiztonság szerepe egyre kritikusabbá válik. Az egyre összetettebb kiberfenyegetések elleni védelemhez már a tervezési folyamat kezdetén komoly figyelmet kell fordítani a biztonsági szempontokra. Ennek révén minimalizálhatók a potenciális sebezhetőségek és támadási felületek.
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
ső dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
z Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
ber 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A közelmúltban számos Google Drive felhasználó számolt be súlyos adatvesztési eseményekről, ami a Google felhőalapú tároló rendszerének megbízhatóságát kérdőjelezi meg. Több esetben felhasználók ezrei tapasztalták dokumentumaik váratlan eltűnését. Az első ilyen esetről Yeonjoong nevű felhasználó számolt be, aki fél évnyi adatainak eltűnését észlelte. További felhasználók is hasonlóan drámai adatvesztésről tettek jelentést, többek között értékes dokumentumok és munkaanyagok elvesztéséről.