jan 5, 2024 | Adatbiztonsági cikkek, hírek
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
jan 4, 2024 | Adatbiztonsági cikkek, hírek
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
Ezt a CloudSEK kutatása támasztja alá, amely felfedezett egyfajta „Aranylázat” ezeknek a fiókoknak az előbukkanását az underground piacokon.
Az X-en a Gold jelvény azt jelenti, hogy a szolgáltatás függetlenül igazolta, hogy a fiók ténylegesen egy magas profilú szervezethez vagy hírességhez tartozik. Ezt egy éve vezették be fizetős opcióként, miután az X a kék pipát – korábban az igazságosság jelölése – egy olyan jelvényre cserélte, amelyet bárki felvehetett a profiljára, érvényesítés nélkül.
A cyberbűnözők most brute-force támadásokat hajtanak végre jelszavakon, és malware segítségével lopják el az azonosítókat a meglévő Gold fiókokhoz való hozzáférés érdekében – állapították meg a CloudSEK kutatói. Gyakran át is veszik azokat a nem-Gold fiókokat, amelyek hónapok óta nem voltak használatban, és felminősítik azokat ellenőrzött státuszba. Összességében százakat kínálnak fel ezekből a fiókokból underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használhatják, hogy phishing linkeket helyezzenek el, elindítsanak dezinformációs kampányokat és pénzügyi csalásokat, vagy márkaimázsra gyakoroljanak negatív hatást káros tartalmak közzététele révén.
„A Dark Web piacokat elárasztották azok a hirdetések, melyek Twitter Gold fiókokat kínálnak,” – áll a cég ezen a héten közzétett kutatásában. „Az árak 35 dollártól kezdődnek egy alap fiókért, és akár 2 000 dollárig is terjednek azokért, amelyeknek nagy a követőtáboruk.”
A kutatók a veszélyt az szervezetekre nézve egy szeptemberi példával szemléltették: Kiber-támadók képesek voltak átvenni egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy állítólag ingyenes nonfungibilis tokenek (NFT-k) kínálatával, egy beágyazott rosszindulatú linkkel, amely átirányította a felhasználókat egy hamis weboldalra, hogy kiürítse a kriptovalutákat a pénztárcájukból.
„A hackerek a hamis bejegyzés eltávolítása előtt körülbelül 20 percig aktívak voltak, és hihetetlen 691 000 dollárt szippantottak el digitális eszközeikből” – áll az elemzésben.
Hogyan védekezhetünk az X fiókok átvétele ellen?
A bűnözők számára az ilyen nagy fiókokba való beszivárgás értéke legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkori Twitter belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelmében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és erős jelszópolitikákat alkalmazni a fiókok átvételének megelőzése érdekében – ajánlotta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
dec 20, 2023 | Adatbiztonsági cikkek, hírek
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A 2023. júliustól decemberig tartó gyakorlat különböző pénzügyi bűncselekmények ellen irányult, mint például a hangos csalás, románcos átverések, online szextorzió, befektetési csalások, a törvénytelen online szerencsejátékhoz kapcsolódó pénzmosás, vállalati e-mail átverés és az e-kereskedelemi csalások.
Ezen kívül a hatóságok lefagyasztották az érintett banki és virtuális eszközszolgáltató (VASP) számlákat annak érdekében, hogy megakadályozzák a bűnügyi eredményekhez való hozzáférést. Összesen 82 112 gyanús banki számlát blokkoltak, 199 millió dollárt készpénzben és 101 millió dollárt virtuális eszközökben elkoboztak.
„A Fülöp-szigeteki és a koreai hatóságok közötti együttműködés eredményeként egy magas rangú online szerencsejáték-bűnözőt tartóztattak le Manilában, miután a Koreai Nemzeti Rendőrügynökség két éves hajszája után sikerrel járt” – közölte az Interpol, egy nemzetközi rendőrségi szervezet.
A befektetési csalások, vállalati e-mail átverések és e-kereskedelmi csalások az esetek 75%-át tették ki, az ügynökség hozzátéve, hogy Dél-Koreában észlelt egy új csalást, amely nem fungibilis tokenek (NFT-k) eladásával járt, óriási hozamokat ígérve, csak az üzemeltetőknek, hogy váratlanul megszűntessék a projektet.
Egy másik új trend az volt, hogy mesterséges intelligencia (MI) és deepfake technológiát alkalmaztak a csalások hitelességének növelésére, lehetővé téve a bűnözőknek, hogy az áldozatok által ismert személyeket színleljenek meg, és álarcos csalások, online szexuális zsarolás és befektetési csalások által átverjenek, zaklassanak és zsaroljanak áldozatokat.
A HAECHI-IV több mint egy évvel a HAECHI-III után jött, amely 130 millió dollár értékű virtuális eszköz elkobzásához vezetett egy globális fellépés részeként a kibereszközökkel támogatott pénzügyi bűncselekmények és pénzmosás ellen.
„Az 300 millió dollár elkobzása egy hihetetlen összeg, és egyértelműen mutatja a mai transznacionális szervezett bűn robbanásszerű növekedése mögötti ösztönzőt” – mondta az Interpol Stephen Kavanagh. „Ez az illegális vagyon hatalmas felhalmozása komoly fenyegetést jelent a globális biztonságra, és gyengíti a világszerte lévő nemzetek gazdasági stabilitását.”
Forrás: www.thehackernews.com
nov 29, 2023 | Adatbiztonsági cikkek, hírek
A közelmúltban számos Google Drive felhasználó számolt be súlyos adatvesztési eseményekről, ami a Google felhőalapú tároló rendszerének megbízhatóságát kérdőjelezi meg. Több esetben felhasználók ezrei tapasztalták dokumentumaik váratlan eltűnését. Az első ilyen esetről Yeonjoong nevű felhasználó számolt be, aki fél évnyi adatainak eltűnését észlelte. További felhasználók is hasonlóan drámai adatvesztésről tettek jelentést, többek között értékes dokumentumok és munkaanyagok elvesztéséről.
Jelentések alapján a Google Drive asztali kliensében is problémák adódtak, ami az adatok szinkronizációjában okozott zavart a felhőszolgáltatás és a felhasználók személyes számítógépei között. Ez a hiba különösen aggasztó, mivel a felhasználók napi munkavégzéséhez elengedhetetlen a megbízható adatkapcsolat. Egyelőre nem áll rendelkezésre konkrét információ a hiba forrásáról és arról, hogy a elveszett adatok visszaállíthatók-e.
Ez a váratlan incidens kiemeli a rendszeres és sokrétű biztonsági mentés fontosságát, különösen azok számára, akik munkájuk során nélkülözhetetlen adatokat tárolnak a felhőben. Sokan nem rendelkeznek elegendő biztonsági mentéssel, amely kritikus lehet ilyen esetekben. A biztonsági mentési módszerek közé tartoznak a külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 konfigurációban, optikai lemezek, memóriakártyák, pendrive-ok, valamint a különböző felhőszolgáltatások kombinált használata.
A Google műszaki csapata elismerte a problémát és jelenleg azon dolgoznak, hogy feltárják az okokat és megoldást találjanak. A felhasználók sürgős beavatkozást várnak, hiszen a Google Drive kulcsfontosságú része a mindennapi munkafolyamataiknak. A széles felhasználói bázis miatt a hiba globális hatásokkal bírhat.
A Google számára létfontosságú a hiba gyors feltárása és megoldása, hogy megakadályozzák a jövőbeni hasonló incidenseket. A felhasználók számára elengedhetetlen, hogy adataik biztonságosan legyenek tárolva és mindig elérhetőek maradjanak. A vállalatnak kidolgozott stratégiát kell alkalmaznia az ilyen típusú események elkerülésére és a felhasználói adatok biztonságának garantálására.
A fejleményeket folyamatosan figyelemmel kísérjük, és amint újabb információk érkeznek a probléma megoldásával vagy lehetséges következményeivel kapcsolatban, friss híreket közlünk. Bár reménykedünk a Google gyors és hatékony válaszában, és abban, hogy a lehető legtöbb elveszett adat helyreállítható lesz, sajnálatos módon fennáll az a veszély is, hogy egyes adatvesztések véglegessé válhatnak.
nov 22, 2023 | Adatbiztonsági cikkek, hírek
A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok
A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.
A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.
A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.
2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.
A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.
A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.
Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.
„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”
