júl 1, 2024 | Blog
A Microsoft elleni kibertámadás, amely tavaly év végén indult és az idei év elejéig húzódott, először úgy tűnt, mintha a támadók csupán limitált sikerrel jártak volna. Azonban a Microsoft későbbi kommunikációi feltárták, hogy orosz hackerek, az APT29, ismertebb nevén Cozy Bear, Nobelium vagy Midnight Blizzard, jelentősen több adathoz fértek hozzá, mint amit eredetileg gondoltak.
A támadók, akik korábban a SolarWinds incidensével is összefüggésbe hozhatóak, elsősorban az e-mailekre összpontosítottak, de a Microsoft belső üzenetei és bizalmas dokumentumai is a kezükbe kerülhettek. Ez jelentős aggodalmat keltett, mivel az ilyen típusú adatok felhasználhatóak további támadásokra, manipulációra vagy akár kémtevékenységre.
A támadás felfedezése óta a Microsoft többször is frissítette nyilatkozatait a helyzet súlyosságáról. Kezdetben azt állították, hogy a hackerek nem fértek hozzá kritikus ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez. Ezt követően azonban a cég elismerte, hogy a támadók valóban hozzáfértek bizonyos ügyfelek levelezéséhez és egyéb érzékeny adatokhoz.
Az ügy komolyságát jelzi, hogy a Microsoft elnöke, Brad Smith, a kongresszus előtt is meg kellett jelennie, hogy válaszoljon a kibertámadás és annak kezelése kapcsán felmerülő kérdésekre. Az eset rávilágított a kiberbiztonsági stratégiák fontosságára és arra, hogy még a nagy technológiai vállalatok is sebezhetőek lehetnek ilyen jellegű támadásokkal szemben.
A cég továbbra is folyamatosan értesíti az érintett ügyfeleket a helyzet fejleményeiről és arról, hogyan védekezhetnek a jövőbeni hasonló fenyegetésekkel szemben. A Microsoft emellett erőfeszítéseket tesz annak érdekében, hogy megerősítse biztonsági rendszereit és megelőzze a hasonló esetek ismétlődését.
Forrás: www.hwsw.hu
jún 25, 2024 | Blog
A FIN9-hez köthető vietnámi hackerek vád alá kerültek az Egyesült Államokban
Négy vietnámi állampolgárt, akik kapcsolatban állnak a hírhedt FIN9 kibercsoporttal, vádoltak meg az Egyesült Államokban, miután részt vettek egy olyan sorozatos számítógépes behatolásban, amely több mint 71 millió dolláros veszteséget okozott különböző vállalatoknak. A vádlottak — Ta Van Tai (más néven Quynh Hoa és Bich Thuy), Nguyen Viet Quoc (más néven Tien Nguyen), Nguyen Trang Xuyen és Nguyen Van Truong (más néven Chung Nguyen) — adathalász kampányokat és ellátási láncok elleni támadásokat hajtottak végre, hogy milliókat lopjanak el.
A kiberbűnözők módszerei
Az amerikai Igazságügyi Minisztérium által nemrég nyilvánosságra hozott vádirat szerint a vádlottak 2018 májusától 2021 októberéig aktívan törtek be amerikai cégek számítógépes hálózataiba, ahol nem publikus információkat, alkalmazotti juttatásokat és pénzeszközöket próbáltak meg ellopni vagy megkíséreltek ellopni. A támadók kezdeti sikeres behatolás után többek között ajándékkártya-adatokat, személyazonosító információkat és a dolgozókhoz, valamint ügyfelekhez kapcsolódó hitelkártya-adatokat szereztek meg.
Ezt követően az ellopott információkat használták fel bűnözői tevékenységeik további elrejtésére, beleértve online számlák nyitását kriptovaluta tőzsdéken és hosting szerverek beállítását.
A lopott ajándékkártyák sorsa
„Tai, Xuyen és Truong eladta a lopott ajándékkártyákat harmadik feleknek, beleértve egy hamis néven regisztrált fiókon keresztül egy peer-to-peer kriptovaluta piactéren, hogy elrejtsék és álcázzák a lopott pénz eredetét,” mondta az Igazságügyi Minisztérium.
A négy vádlottat összesen egy-egy számítógépes csalásra, zsarolásra és kapcsolódó tevékenységek elkövetésére való összeesküvés, valamint számítógépes adatok szándékos rongálásának két vádpontjával vádolták meg. Ha minden vádpontban bűnösnek találják őket, akár 45 év börtönbüntetés is kiszabható rájuk.
Ezen túlmenően, Tai, Xuyen és Truong pénzmosásra való összeesküvés vádjával is szembenéznek, ami akár 20 évig terjedő börtönbüntetést vonhat maga után. Tai és Quoc továbbá súlyos személyazonosság-lopás és személyazonosság-hamisításra való összeesküvés vádjával is szembesülnek, amelyek maximálisan 17 évig terjedő büntetést jelenthetnek.
Forrás: www.thehackernews.com
febr 26, 2024 | Blog
A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.
Lazarus Chakwera, Malawi elnöke, egy sajtóközleményben hozta nyilvánosságra, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány határozottan ellenzi a zsarolási kísérletet. Az elnök egyértelműen kijelentette, hogy az állam nem kívánja „kényeztetni a bűnözőket” és elutasítja a párbeszédet „azon személyekkel vagy csoportokkal, akik fenyegetést jelentenek Malawi szuverenitására és biztonságára”. Ezzel az állásponttal egy erőteljes üzenetet küldenek a kiberbűnözők felé, hangsúlyozva, hogy Malawi állhatatosan szembeszáll a jogellenes tevékenységekkel és minden szükséges lépést megtesz a kiberfenyegetések elleni védekezés érdekében.
A kibertámadással kapcsolatos részletek továbbra is homályban maradnak. A kormány eddig nem hozott nyilvánosságra információkat arról, hogy kik lehetnek a felelősek a támadásért, vagy hogy az érintett adatok közül bármelyik ellopásra került-e. Ez további aggodalmakat kelt az állampolgárok körében, sokan közülük aggódnak amiatt, hogy személyes és érzékeny adataik illetéktelen kezekbe kerülhettek.
Chakwera elnök azonban bizakodóan nyilatkozott a helyzet megoldásával kapcsolatban. Beszédében említést tett arról, hogy a bevándorlási hivatal jelenleg egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadási szolgáltatások hamarosan történő újraindítását, egy konkrétan meghatározott háromhetes határidőn belül. Ezenkívül az elnök aláhúzta, hogy a kormány egy átfogó, hosszú távú stratégiát dolgoz ki a bevándorlási rendszer biztonságának megerősítésére, amely számos új biztonsági intézkedés bevezetését foglalja magában. Ez a lépés nélkülözhetetlen a jövőbeli kiberfenyegetésekkel szembeni hatékony védelem szempontjából, és biztosítja, hogy a bevándorlási és útlevélkiadási szolgáltatások folyamatosan és zavartalanul működjenek.
Ez az incidens nem tekinthető precedens nélkülinek Malawi történetében, mivel korábban is előfordultak hasonló fennakadások az útlevélkiadás terén. Azonban a jelenlegi felfüggesztés különösen kedvezőtlen időpontban történt, amikor az útlevelek iránti igény kiemelkedően magas. Sok állampolgár a jobb életkörülmények és munkalehetőségek felkutatása céljából tervezi, hogy elhagyja az országot, így az útlevélkiadás szünetelése közvetlenül és negatív módon érinti őket.
A következő hetek és hónapok során a Malawi kormány és a Bevándorlási Hivatal tevékenységei középpontba kerülnek, ahogy a nyilvánosság figyelmesen követi, hogy sikerül-e megfelelően kezelniük ezt a válságos helyzetet és visszaállítaniuk az állampolgárok bizalmát az útlevélkiadási rendszer megbízhatóságában. A digitális korban a kiberbiztonság és az adatvédelem egyre fontosabbá válik a globális üzleti és technológiai szektorokban, és Malawi jelenlegi kihívása rávilágít arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan alkalmazkodniuk kell védelmi stratégiáikat, hogy megfeleljenek a gyorsan változó kiberfenyegetéseknek és biztosítsák a digitális infrastruktúra integritását.
Forrás: www.darkreading.com
jan 10, 2024 | Blog
Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.
A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.
Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.
2023. decem
ber 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.
A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.
A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.
Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.
A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.
„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.
„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.
„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”
A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.
Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.
Forrás: https://thehackernews.com
jan 5, 2024 | Blog
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
