+36304177429 info@datad.hu

Az útlevélkiadás felfüggesztése Malawiban egy súlyos kiberbiztonsági incidens következményeként

A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.

Lazarus Chakwera, Malawi elnöke, egy sajtóközleményben hozta nyilvánosságra, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány határozottan ellenzi a zsarolási kísérletet. Az elnök egyértelműen kijelentette, hogy az állam nem kívánja „kényeztetni a bűnözőket” és elutasítja a párbeszédet „azon személyekkel vagy csoportokkal, akik fenyegetést jelentenek Malawi szuverenitására és biztonságára”. Ezzel az állásponttal egy erőteljes üzenetet küldenek a kiberbűnözők felé, hangsúlyozva, hogy Malawi állhatatosan szembeszáll a jogellenes tevékenységekkel és minden szükséges lépést megtesz a kiberfenyegetések elleni védekezés érdekében.

A kibertámadással kapcsolatos részletek továbbra is homályban maradnak. A kormány eddig nem hozott nyilvánosságra információkat arról, hogy kik lehetnek a felelősek a támadásért, vagy hogy az érintett adatok közül bármelyik ellopásra került-e. Ez további aggodalmakat kelt az állampolgárok körében, sokan közülük aggódnak amiatt, hogy személyes és érzékeny adataik illetéktelen kezekbe kerülhettek.

Chakwera elnök azonban bizakodóan nyilatkozott a helyzet megoldásával kapcsolatban. Beszédében említést tett arról, hogy a bevándorlási hivatal jelenleg egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadási szolgáltatások hamarosan történő újraindítását, egy konkrétan meghatározott háromhetes határidőn belül. Ezenkívül az elnök aláhúzta, hogy a kormány egy átfogó, hosszú távú stratégiát dolgoz ki a bevándorlási rendszer biztonságának megerősítésére, amely számos új biztonsági intézkedés bevezetését foglalja magában. Ez a lépés nélkülözhetetlen a jövőbeli kiberfenyegetésekkel szembeni hatékony védelem szempontjából, és biztosítja, hogy a bevándorlási és útlevélkiadási szolgáltatások folyamatosan és zavartalanul működjenek.

Ez az incidens nem tekinthető precedens nélkülinek Malawi történetében, mivel korábban is előfordultak hasonló fennakadások az útlevélkiadás terén. Azonban a jelenlegi felfüggesztés különösen kedvezőtlen időpontban történt, amikor az útlevelek iránti igény kiemelkedően magas. Sok állampolgár a jobb életkörülmények és munkalehetőségek felkutatása céljából tervezi, hogy elhagyja az országot, így az útlevélkiadás szünetelése közvetlenül és negatív módon érinti őket.

A következő hetek és hónapok során a Malawi kormány és a Bevándorlási Hivatal tevékenységei középpontba kerülnek, ahogy a nyilvánosság figyelmesen követi, hogy sikerül-e megfelelően kezelniük ezt a válságos helyzetet és visszaállítaniuk az állampolgárok bizalmát az útlevélkiadási rendszer megbízhatóságában. A digitális korban a kiberbiztonság és az adatvédelem egyre fontosabbá válik a globális üzleti és technológiai szektorokban, és Malawi jelenlegi kihívása rávilágít arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan alkalmazkodniuk kell védelmi stratégiáikat, hogy megfeleljenek a gyorsan változó kiberfenyegetéseknek és biztosítsák a digitális infrastruktúra integritását.

Forrás: www.darkreading.com

Albán szervezeteket célzó kibertámadások és a No-Justice törlőprogram

Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.

A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.

Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.

2023. december 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.

A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.

A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.

Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.

A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.

„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.

„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.

„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.

Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.

Forrás: https://thehackernews.com

Kiberbiztonsági veszély: Sandworm és Solntsepyok a Kyivstar rendszerében

Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.

Az eseményt először a Reuters jelentette.

Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.

A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.

Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.

Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.

Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.

„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.

A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.

Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.

Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.

Forrás: https://thehackernews.com

Fülöp-szigeteki Kormány Célkeresztben: A Mustang Panda Kibertámadásai

A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok

A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.

A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.

A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.

2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.

A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.

A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”

Izraeli Intézményeket Célzó Kibertámadások: Agonizing Serpens Akciói

Január 2023-ban egy sor pusztító kibertámadás érte Izrael számos felsőoktatási és technológiai intézményét. Ezeket az Agonizing Serpens néven ismert iráni hackercsoport követte el, mely más néven, például Agrius, BlackShadow, és Pink Sandstorm (korábban Americium) néven is ismert. A támadások célja új, ismeretlen adattörlő vírusok telepítése volt.

A Palo Alto Networks Unit 42 szerint a támadások célja az adatok, beleértve a személyes azonosító információkat (PII) és a szellemi tulajdonok ellopása volt. A támadók ezután adattörlő szoftvereket telepítettek a nyomok eltüntetésére és a fertőzött rendszerek tönkretételére. Három különleges adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t, és a BFG Agonizer-t, valamint egy speciális eszközt, a Sqlextractort adatbázis-szerverekből történő adatkinyerésre.

Az Agonizing Serpens csoportot 2020-ban Izrael elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point szerint a csoport a Moneybird zsarolóprogramot is használta támadásaikban.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki, webhéjakat telepítve, a célhálózatot felderítve, és rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait megszerezve. Ezek után különféle eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták az adatokat, majd telepítették a törlő vírusokat.

A MultiLayer egy .NET alapú vírus, a PartialWasher egy C++ alapú vírus, a BFG Agonizer pedig egy CRYLINE-v5.0 nyílt forráskódú projekten alapul. Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban más kártevőket is használt.

A kutatók szerint az Agonizing Serpens csoport fokozta képességeit az EDR és más biztonsági megoldások kijátszására, különféle PoC és pentesting eszközöket, valamint saját fejlesztésű szoftvereket alkalmazva.

Ez a támadássorozat nem csak Izraelre, hanem az egész nemzetközi közösségre is figyelmeztetést jelent a kiberbiztonsági fenyegetések növekedésére. Az izraeli hatóságok és nemzetközi szakértők együttműködése kulcsfontosságú a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat a kiberbiztonság fontosságára nem csak a technológiai, hanem az oktatási szektor számára is, és arra, hogy mindkét területen szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek a védelem és azonosítás érdekében.

Forrás: www.thehackernews.com