+36304177429 info@datad.hu

Kiberbiztonsági veszély: Sandworm és Solntsepyok a Kyivstar rendszerében

jan 5, 2024 | Blog

Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.

Az eseményt először a Reuters jelentette.

Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.

A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.

Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.

Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.

Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.

„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.

A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.

Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.

Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.

Forrás: https://thehackernews.com

Fülöp-szigeteki Kormány Célkeresztben: A Mustang Panda Kibertámadásai

nov 22, 2023 | Blog

A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok

A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.

A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.

A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.

2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.

A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.

A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”

Izraeli Intézményeket Célzó Kibertámadások: Agonizing Serpens Akciói

nov 13, 2023 | Blog

Január 2023-ban egy sor pusztító kibertámadás érte Izrael számos felsőoktatási és technológiai intézményét. Ezeket az Agonizing Serpens néven ismert iráni hackercsoport követte el, mely más néven, például Agrius, BlackShadow, és Pink Sandstorm (korábban Americium) néven is ismert. A támadások célja új, ismeretlen adattörlő vírusok telepítése volt.

A Palo Alto Networks Unit 42 szerint a támadások célja az adatok, beleértve a személyes azonosító információkat (PII) és a szellemi tulajdonok ellopása volt. A támadók ezután adattörlő szoftvereket telepítettek a nyomok eltüntetésére és a fertőzött rendszerek tönkretételére. Három különleges adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t, és a BFG Agonizer-t, valamint egy speciális eszközt, a Sqlextractort adatbázis-szerverekből történő adatkinyerésre.

Az Agonizing Serpens csoportot 2020-ban Izrael elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point szerint a csoport a Moneybird zsarolóprogramot is használta támadásaikban.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki, webhéjakat telepítve, a célhálózatot felderítve, és rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait megszerezve. Ezek után különféle eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták az adatokat, majd telepítették a törlő vírusokat.

A MultiLayer egy .NET alapú vírus, a PartialWasher egy C++ alapú vírus, a BFG Agonizer pedig egy CRYLINE-v5.0 nyílt forráskódú projekten alapul. Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban más kártevőket is használt.

A kutatók szerint az Agonizing Serpens csoport fokozta képességeit az EDR és más biztonsági megoldások kijátszására, különféle PoC és pentesting eszközöket, valamint saját fejlesztésű szoftvereket alkalmazva.

Ez a támadássorozat nem csak Izraelre, hanem az egész nemzetközi közösségre is figyelmeztetést jelent a kiberbiztonsági fenyegetések növekedésére. Az izraeli hatóságok és nemzetközi szakértők együttműködése kulcsfontosságú a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat a kiberbiztonság fontosságára nem csak a technológiai, hanem az oktatási szektor számára is, és arra, hogy mindkét területen szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek a védelem és azonosítás érdekében.

Forrás: www.thehackernews.com