Izraeli Intézményeket Célzó Kibertámadások: Agonizing Serpens Akciói

nov 13, 2023 | Adatbiztonsági cikkek, hírek

Január 2023-ban egy sor pusztító kibertámadás érte Izrael számos felsőoktatási és technológiai intézményét. Ezeket az Agonizing Serpens néven ismert iráni hackercsoport követte el, mely más néven, például Agrius, BlackShadow, és Pink Sandstorm (korábban Americium) néven is ismert. A támadások célja új, ismeretlen adattörlő vírusok telepítése volt.

A Palo Alto Networks Unit 42 szerint a támadások célja az adatok, beleértve a személyes azonosító információkat (PII) és a szellemi tulajdonok ellopása volt. A támadók ezután adattörlő szoftvereket telepítettek a nyomok eltüntetésére és a fertőzött rendszerek tönkretételére. Három különleges adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t, és a BFG Agonizer-t, valamint egy speciális eszközt, a Sqlextractort adatbázis-szerverekből történő adatkinyerésre.

Az Agonizing Serpens csoportot 2020-ban Izrael elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point szerint a csoport a Moneybird zsarolóprogramot is használta támadásaikban.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki, webhéjakat telepítve, a célhálózatot felderítve, és rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait megszerezve. Ezek után különféle eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták az adatokat, majd telepítették a törlő vírusokat.

A MultiLayer egy .NET alapú vírus, a PartialWasher egy C++ alapú vírus, a BFG Agonizer pedig egy CRYLINE-v5.0 nyílt forráskódú projekten alapul. Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban más kártevőket is használt.

A kutatók szerint az Agonizing Serpens csoport fokozta képességeit az EDR és más biztonsági megoldások kijátszására, különféle PoC és pentesting eszközöket, valamint saját fejlesztésű szoftvereket alkalmazva.

Ez a támadássorozat nem csak Izraelre, hanem az egész nemzetközi közösségre is figyelmeztetést jelent a kiberbiztonsági fenyegetések növekedésére. Az izraeli hatóságok és nemzetközi szakértők együttműködése kulcsfontosságú a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat a kiberbiztonság fontosságára nem csak a technológiai, hanem az oktatási szektor számára is, és arra, hogy mindkét területen szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek a védelem és azonosítás érdekében.

Forrás: www.thehackernews.com

 

Az Új Kihívások a Digitális Biztonságban: Egy Magyar Ügynökség Tapasztalatai

nov 1, 2023 | Adatbiztonsági cikkek, hírek

Digitális csalások elleni harcban gyakran kiemelik a kétlépcsős azonosítás és bonyolult jelszavak fontosságát. Azonban ezek az intézkedések sem nyújtanak teljes körű védelmet az agyafúrt hackerekkel szemben, akik rafinált módszereket alkalmaznak. Egy apró figyelmetlenség is elegendő lehet a bajhoz, amit egy magyar marketingügynökség dolgozója is megtapasztalt. A kiberbiztonsággal foglalkozó G Data vállalattal szoros kapcsolatot ápoló személy esete komoly figyelmeztetést jelent. A probléma felmerülésekor az illető azonnal értesítette a G Data-t, aki részletesen elemezte és publikálta az eseményeket, rámutatva a Facebook biztonsági réseire is.

 

 

A csapda

A közösségi média, különösen a Facebook, fontos szerepet játszik a reklámszakmában. Marketingügynökségek gyakran használják ezeket a platformokat, vállalati bankkártyáikat összekapcsolva a hirdetésekkel. Így nem meglepő, hogy adathalászok gyakran célozzák meg ezeket a cégeket, ügyfeleknek álcázva magukat.

Egy nyári esetben a csalók egy magyar ügynökséget vettek célba, látszólag több létező ruhamárka nevében felkeresve őket. Egy kommunikációs kampányhoz kerestek partnert, információs anyagokat küldve részben emailben, részben az ügynökség online felületén keresztül. Gyanút keltő jel volt, hogy a céges domain nem szerepelt a levelekben. Például az „O My Bag” táskagyártó nevében küldött email nem a cég hivatalos email címéről, hanem egy Gmail-es fiókból érkezett, az anyagok pedig OneDrive-ra lettek feltöltve. A csalók hitelesnek tűnő levelet és jelszóval védett .zip fájlt küldtek, amely 11 ártalmatlan médiafájlt és egy kártékony .scr fájlt tartalmazott. Az ügynökség dolgozója megnyitotta a fájlt, aktiválva ezzel a malware-t.

A betörés

A kártevő első lépése a Windows rendszerben egy indítófájl létrehozása volt, hogy minden indításkor aktív legyen. Ez lehetővé tette a böngészőben tárolt session tokenek és a Facebook-fiókhoz való hozzáférést. Az adathalászok hamarosan hozzájutottak a munkatárs Facebook-fiókjának és hirdetéskezelési felületének adataihoz, így saját hirdetéseiket indítva el a magyar ügynökség fiókjából.

A megoldás

A G Data szakértői szerint a legfontosabb védekezés a gyanakvás és az alapos figyelem. A kétlépcsős azonosítás segíthet, de ha a gép már fertőzött, nem nyújt teljes védelmet. Javasolt a gyanús email-ek és fájlok azonnali törlése, valamint egy megbízható víruskereső használata.

A következmények

A magyar ügynökség esete nem egyedülálló, az internetes csalások világszerte növekvő tendenciát mutatnak. A legjobb védekezés a folyamatos tájékozódás és a kiberbiztonsági megoldások használata. Fontos, hogy minden internetező tudatában legyen a digitális világ veszélyeinek és mindig éber maradjon az új fenyegetésekkel szemben.

Forrás: www.telex.hu

WinRAR Sebezhetőség: Államilag támogatott hackerek célpontjában

okt 27, 2023 | Adatbiztonsági cikkek, hírek

A WinRAR szoftver jelenleg nem rendelkezik automatikus frissítési lehetőséggel, ami előnyt jelenthet az államilag támogatott hackerek számára, mivel ezáltal könnyen kihasználhatják a programban fellelhető ismert hibákat. Sok felhasználó mulasztja el telepíteni az elérhető javításokat, ami a szoftver egy adott gyengeségének további terjedéséhez vezet – állapította meg a Google.

A cég most arra figyelmeztet, hogy „több államilag támogatott hackercsoport” használja ezt a CVE-2023-3883 kóddal jelölt hibát kártékony szoftverek terjesztésére.

„A WinRAR hibájának széleskörű kiaknázása felhívja a figyelmet arra, hogy az ismert sebezhetőségek ellenére is gyakoriak lehetnek a támadások, még ha a javítás elérhető is” – említi a Google blogposztjában.

Bár a WinRAR már javította ezt a hibát a 6.23-as verziójában augusztus 2-án, a hackerek április óta kiaknázzák azt. Mivel nincs beépített frissítési lehetőség, a felhasználóknak saját kezűleg kell letölteniük és telepíteniük a frissítéseket a WinRAR honlapjáról.

„A javítás ugyan elérhető, de számos felhasználó még mindig sebezhető” – hangsúlyozza a Google.

A cég továbbá rámutatott, hogy számos államilag támogatott hackercsoport, beleértve az orosz „Sandworm” csoportot, kihasználja ezt a hibát. A Google egy olyan phishing e-mailt is felfedezett, amely úgy tűnik, egy ukrán drónháborús oktatási intézménytől származik, célja pedig kifejezetten az ukrán felhasználók megcélzása.

Az e-mail egy linket tartalmaz, ami a fex[.]net nevű fájlmegosztóra mutat, benne egy álcázott PDF dokumentummal és egy kártékony ZIP fájllal, amely kihasználja a CVE-2023-3883 hibát – teszi hozzá a Google. Egy dokumentum megnyitása ebben a ZIP fájlban egy „infostealer” nevű kártékony szoftvert aktivál, amely képes ellopni a bejelentkezési adatokat.

Egy másik esetben a „Fancy Bear” néven ismert orosz hackercsoport egy phishing weboldalt hozott létre, hogy ukrán felhasználókat ösztönözzön egy ZIP fájl letöltésére, ami szintén kiaknázza a WinRAR hibáját.

„Az álcázott dokumentum egy meghívásnak tűnik a Razumkov Központ egyik eseményére, ami egy közpolitikai gondolkodó műhely Ukrajnában” – említi a Google.

Kínai hackerek is kihasználták ezt a hibát. Az APT40 névre hallgató csoport egy phishing támadást indított Pápua Új-Guinea felhasználói ellen.

„Az e-mailek Dropbox linket tartalmaznak egy ZIP archívumhoz, mely a CVE-2023-3883 kiaknázását, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmaz” – tájékoztat a Google.

Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat.

„Ezek a támadások, amelyek a WinRAR hibáját célozzák meg, hangsúlyozzák a frissítések fontosságát, és arra figyelmeztetnek, hogy a felhasználóknak még sok teendője van a szoftvereik naprakészen és biztonságosan tartásához” – jelenti ki.

Felvettük a kapcsolatot a WinRAR-rel, hogy megtudjuk, terveznek-e automatikus frissítési funkciót bevezetni, és frissítjük a cikket, amint választ kapunk. Addig is fontos megjegyezni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.

TIKTOK: Írországban rekord GDPR bírság

szept 20, 2023 | Adatbiztonsági cikkek, hírek

REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT

A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.

A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.

 

A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.

Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.

Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.

A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.

Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.

A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.

2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.

A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.

 

Tízmillió embert érintő adatszivárgás a Pôle Emploi ügynökségnél: Mit kell tudni?

aug 30, 2023 | Adatbiztonsági cikkek, hírek

Francia Adatlopás: Tízmilliót Érint a Pôle Emploi Ügynökség Adatszivárgása

Adatlopás Franciaországban: Tízmillió embert érintő biztonsági incidens

A francia Pôle Emploi ügynökség, amely álláskeresési és pénzügyi segélyezési szolgáltatásokat nyújt, beszámolót adott ki egy adatlopásról. Az incidens során tízmillió ember személyes adatai kerültek illetéktelen kezekbe.

 

„A Pôle Emploi értesült egy biztonsági problémáról, amely egyik szolgáltatójánál keletkezett és az álláskeresők személyes adatainak nyilvánosságra kerülését eredményezte,” olvasható a hivatalos közleményben.

A 2022-ben regisztrált álláskeresők, valamint az ügynökség korábbi felhasználói is érintettek lehetnek az adatlopásban – derült ki a Pôle Emploi hivatalos weboldalán.

Az ügynökség nem közölt részleteket az érintett személyek számáról, de a Le Parisien című lap szerint körülbelül tízmillió embert érinthet a szivárgás. A szám a 2022-es regisztrációk és az elmúlt év adatsorából származik, amelyek még mindig megtalálhatók az ügynökség rendszerében.

A pénzügyi segélyek nem érintettek

A kompromittált információk között teljes nevek és társadalombiztosítási számok találhatók; azonban e-mail címek, telefonszámok, jelszavak és bankszámla-információk nem kerültek illetéktelen kezekbe.

Annak ellenére, hogy az érintett adatok korlátozott mértékben használhatók fel kibertámadások során, a Pôle Emploi azt javasolja az álláskeresőknek, hogy legyenek körültekintőek az érkező kommunikációval kapcsolatban.

Az ügynökség egy külön telefonszámot is létrehozott, ahol az érintett személyek információkat kaphatnak az eseménnyel kapcsolatban.

A Pôle Emploi közleményében megerősítette, hogy minden erőfeszítést megtesz az álláskeresők adatainak védelme érdekében, és további biztonsági intézkedéseket is tervez bevezetni, hogy elkerülje a hasonló események ismétlődését.

Az ügynökség hozzáfűzte, hogy a pénzügyi segélyezési programjai nem érintettek, így az álláskeresők továbbra is bizalommal vehetik igénybe az online szolgáltatásokat.

MOVEit Listázás

Az Emsisoft biztonsági cég MOVEit platformja is a Pôle Emploi-t nevezte meg az adatlopásért felelős szolgáltatóként, és megerősítette, hogy az incidens tízmillió embert érint.

A Clop ransomware csoport, amely az adatlopást elkövette, még nem tette közzé az ügynökséget zsarolási oldalán.

Korábban a támadók azt állították, hogy nem hozzák nyilvánosságra az állami ügynökségektől loppant adatokat, ezért nem világos, hogy a csend az ő taktikájuk-e.

A Pôle Emploi a Maximus után a második a listán az érintett egyének számát tekintve. Míg a Maximus esetében 11 millió ember volt érintett, addig a MOVEit támadási kampány összesen 59,2 millió embert és 988 szervezetet kompromittált.

Forrás: www.pole-emploi.org