Az elmúlt hónapokban a Check Point Research (CPR) figyelemmel kísérte a kínai kiberfenyegetők tevékenységét, akik Európa külügyminisztériumait és nagykövetségeit célozták meg. A CPR korábban is beszámolt hasonló kínai tevékenységekről, ami arra utal, hogy a kínai fenyegetések egyre inkább Európára összpontosítanak, különösen a külpolitika területén.

A jelentésben bemutatott tevékenység az HTML-csempészeti technikát alkalmazza, hogy célba vegye a kelet-európai kormányzati szervezeteket. Ez a kampány legalább 2022 decemberétől aktív, és valószínűleg folytatása egy korábban jelentett kampánynak, amelyet a RedDelta (és részben a Mustang Panda) csoportokhoz kötöttek.

A kampány új eljárásokat alkalmaz a PlugX implantátum terjesztésére (különösen az HTML-csempészetre). A PlugX általánosan használt implantátum, amelyet számos kínai kiberfenyegető csoporthoz kapcsolnak. Bár maga a terhelés hasonló az előző PlugX változatokban találhatóhoz, a terjesztési módszerek alacsony észlelési arányt eredményeznek, amelyek segítették a kampányt, hogy rejtve maradjon.

Kulcsfontosságú megállapítások: A Check Point Research felfedezett egy célzott kampányt, amelyet kínai kiberfenyegető csoport hajt végre Európa kormányzati szervezetei ellen, különös tekintettel a kül- és belügyi szervezetekre. A kampány az HTML-csempészeti technikát használja, amelyben a támadók kártékony terheléseket rejtenek el HTML dokumentumokban. A fertőzés bonyolult láncolata archívumok vagy MSI fájlok használatával PlugX implantátum telepítéséhez vezet. A SmugX kampány azonosítottan kapcsolódik a korábban jelentett kínai APT csoportok, a RedDelta és a Mustang Panda tevékenységeihez. Ugyanakkor nincs elegendő bizonyíték arra, hogy a SmugX kampányt közvetlenül a Camaro Dragon csoport tevékenységéhez kapcsoljuk.

HTML-csempészeti technika 101 Kezdjük egy rövid áttekintéssel az HTML-csempészeti technikáról, ami jól dokumentált módszer, amelyet kiberbűnözők és állami támogatású szereplők is alkalmaznak. Rosszindulatú fájlok be vannak ágyazva HTML dokumentumokba, lehetővé téve számukra, hogy elkerüljék a hálózatalapú észlelési módszereket.

Az HTML-csempészeti technika alkalmazása a SmugX kampányban a következő eseménysorozathoz vezet:

A beágyazott terhelés a kódban dekódolódik és egy JavaScript blob formájában kerül mentésre, megadva a megfelelő fájltípust, például application/zip. A JavaScript kód dinamikusan hozza létre az <a> elemet HTML helyett. URL objektumot hoznak létre a blobból a createObjectURL függvénnyel. A letöltés attribútum beállítása a kívánt fájlnévvel. Végül a kód kattintás eseményt hív meg, amely a felhasználó kattintását szimulálja, és elindítja a fájl letöltését. Az idősebb böngészők esetén a kód az msSaveOrOpenBlob-ot használja a blob mentéséhez a kívánt fájlnévvel.

Csalétek és célpontok A csalék témái erősen összpontosulnak az európai bel- és külpolitikára, és főként kelet-európai kormányzati minisztériumokat céloznak meg. A dokumentumok többsége diplomáciai tartalmat tartalmazott. Több esetben a tartalom közvetlenül Kínához kapcsolódott.

Érintett országok között lehet:

• Magyarország
• Svédország
• Ukrajna
• Egyesült Királyság
• Franciaország
• Csehország
• Szlovákia

Kutatásunk során rábukkantunk egy olyan dokumentumra, amely a „China Tries to Block Prominent Uyghur Speaker at UN.docx” címet viseli, és feltöltötték a VirusTotal-ra. Ez a dokumentum távoli kép technikát alkalmaz az https://www.jcswcd[.]com/?wd=cqyahznz URL eléréséhez, amely egy felhasználó számára nem látható egyetlen pixelképet tartalmaz. Ez a technika, amit pixelkövetésnek nevezünk, gyakran használatos felderítő eszközként. Amikor a távoli kép lekérésre kerül, a támadók szervere naplózza a kérést, és rögzíti az IP-címet, a felhasználói ügynököt és néha az elérés időpontját. Az összegyűjtött adatok elemzésével a támadók információkat gyűjthetnek a címzett viselkedéséről, például arról, hogy mikor és hol lett hozzáférve a dokumentumhoz.

Két fő fertőzési láncot azonosítottunk, mindkettő egy HTML fájlból ered, amely a második szakaszt a letöltések mappájába menti a célpont böngésző beállításaitól függően. A második szakasz változhat, egyik lánc egy ZIP fájlt használ, amely tartalmaz egy rosszindulatú LNK fájlt, míg a másik lánc JavaScriptet használ, hogy letöltse az MSI fájlt egy távoli szerverről.

SmugX Archívum Lánc Az első forgatókönyvben az HTML egy ZIP archívumot csempész, amely egy rosszindulatú LNK fájlt tartalmaz, ami futtatja a PowerShellt. A PowerShell kibont egy a lnk fájlba ágyazott tömörített archívumot, és a %temp% könyvtárba menti. Az archívum, amelynek neve tmp.zip vagy tmp<véletlenszerű_szám>.zip, három fájlt tartalmaz:

Egy jogosultsággal rendelkező végrehajtható fájl, amelyet a terhelés betöltésére használnak (vagy robotaskbaricon.exe, vagy passwordgenerator.exe). A rosszindulatú betöltött DLL fájl, a RoboForm.dll. A PlugX terhelés data.dat néven. SmugX JavaScript Lánc. A második forgatókönyvben HTML-csempészeti technikát alkalmaznak a JavaScript fájl letöltésére. Amikor a fájl futtatásra kerül, letölti és végrehajtja az MSI fájlt a támadók szerveréről. Az MSI létrehoz egy új mappát a %appdata%\Local könyvtárban, amelyben három fájl található, amelyeket kibontanak az MSI csomagból. A letöltött fájlok közé tartozik egy jogosultsággal rendelkező végrehajtható fájl, a betöltő DLL és az titkosított terhelés, ahogy korábban leírtuk.

Ahogy korábbi esetekben is megfigyeltük, a PlugX kártevő DLL mellékelt technikákat alkalmaz. Az lnk vagy MSI fájl után a szükséges fájlok letöltése után a DLL végrehajtja a legitim program indítását, ami a rosszindulatú DLL-t betölti. A DLL felelős a végső terhelés dekódolásáért, amely gyakran a data.dat fájlban van tárolva, RC4 titkosítást használva.

A dekódolási folyamat a kártevő különböző verzióiban változó, beágyazott kulcsot használva. Miután a terhelést dekódolták, a célba vett rendszeren betöltik a terhelést a memóriába további végrehajtáshoz. PlugX Kártevő A végső terhelés a PlugX kártevő, amelyet több kínai kiberfenyegető csoport használt 2008 óta. Ez egy távoli hozzáférési eszköz (RAT), amely moduláris szerkezetet használ, amely lehetővé teszi a különféle funkciókkal rendelkező bővítmények beillesztését. Ez lehetővé teszi a támadók számára, hogy különböző rosszindulatú tevékenységeket végezzenek a fertőzött rendszereken, beleértve a fájloklopást, képernyőképek készítését, billentyűleütés rögzítést és parancsok végrehajtását.

A PlugX terhelés biztosítja a folyamatosságot azzal, hogy másolja a legitim programot és a DLL-t, és ezeket egy rejtett könyvtárba helyezi. Az titkosított terhelés külön rejtett mappában található. A kártevő a Run registry kulcshoz adja hozzá a legitim programot a folyamatosság biztosítása érdekében. Néhány PlugX terhelés PDF fájl formájában érkezik, amelyet a támadók a társadalomra vonzó témákkal és szórakoztató címekkel próbálnak elhitetni. A PDF fájl tartalmaz egy makrót, amely letölti és futtatja a PlugX terhelést a háttérben.

A SmugX kampány rámutat arra, hogy a kínai kiberfenyegetők továbbra is komoly veszélyt jelentenek Európa számára. Az európai döntéshozóknak és kiberbiztonsági szakembereknek fel kell ismerniük ezt a fenyegetést, és szükséges lépéseket kell tenniük a kiberbiztonsági védelem megerősítése érdekében.

Az Egyesült Királyság kormányának digitális megfigyelési programja gyors ütemben fejlődik

A kormány törekvése, amelynek célja a személyek online adatok gyűjtése, a próbaidőszakot követően terjeszkedik, bár sok részlet továbbra is rejtve marad a nyilvánosság előtt. Az Egyesült Királyság kormánya diszkréten növeli és finomítja azt a vitatott megfigyelési technológiát, amely potenciálisan képes lehet a milliók webes tevékenységének naplózására és tárolására.

Hivatalos jelentések és kiadott dokumentumok szerint az elmúlt évben az Egyesült Királyság rendőrsége sikeresnek minősítette azt a rendszert, amely képes az emberek „online tevékenységének adatait” gyűjteni, és munkába kezdtek a rendszer országos bevezetésének megfontolásában. Ha ez megvalósulna, hatalmas megfigyelési eszközt adhatna a rendőrség kezébe. A kritikusok szerint a rendszer túlzottan tolakodó, és a hatóságoknak hírnevük van abban, hogy nem védik megfelelően az emberek adatait. A technológia és működése nagyrészt titokban marad, a szervezetek pedig megtagadják a rendszerekkel kapcsolatos kérdések megválaszolását.

2016 végén az Egyesült Királyság kormánya elfogadta az Új Nyomozói Jogosítványokról szóló törvényt, amely alapvető reformokat hozott az ország megfigyelési és hackelési jogosítványaihoz. A törvény új szabályokat vezetett be arról, hogy mit tehetnek és hozzáférhetnek a bűnüldöző és hírszerző szervek, de széles körben bírálták az emberek magánéletére gyakorolt hatása miatt, ezért kapta a „Kémkedő Kartával” elnevezést.

Különösen vitatott volt az úgynevezett internethasználati adatok (ICRs) létrehozása. A törvény értelmében az internetszolgáltatókat és telefoncégeket – egy magas rangú bíró jóváhagyásával – arra lehet kényszeríteni, hogy 12 hónapig tárolják az emberek böngészési történeteit.

Egy ICR nem tartalmazza az összes meglátogatott weboldalt, de mégis jelentős mennyiségű információt fedhet fel online tevékenységeidről.  Az ICR lehet az IP-címed, egy ügyfélszám, az információhoz való hozzáférés dátuma és ideje, és az átvitt adatok mennyisége. Az Egyesült Királyság kormánya szerint egy internethasználati adat azt jelezheti, hogy például mikor nyitotta meg valaki a easyJet utazási alkalmazást a telefonján, de nem azt, hogy hogyan használta az alkalmazást.

„Az ICR-k rendkívül tolakodóak és védelmet kell biztosítani ellenük a túlzott tárolás miatt a telekommunikációs szolgáltatók és hírszerzési ügynökségek részéről” – mondja Nour Haidar, a Privacy International brit polgári jogvédő csoport jogásza és jogi tisztviselője, amely a bíróságon vitatja az Új Nyomozói Jogosítványokról szóló törvény alapján gyűjtött és kezelt adatokat.

Az ICR-k fejlesztéséről és használatáról keveset lehet tudni. Amikor az Új Nyomozói Jogosítványokról szóló törvényt elfogadták, az internetes vállalatok azt mondták, hogy évekig tart majd a szükséges rendszerek kiépítése az ICR-k gyűjtésére és tárolására. Azonban néhány darab most már a helyére kerülhet. Februárban a Belügyminisztérium, az Egyesült Királyság biztonsági és rendőrségi felügyeletét ellátó kormányzati osztály, közzétett egy kötelező értékelést az Új Nyomozói Jogosítványokról szóló törvény eddigi működéséről.

Az értékelés szerint az Egyesült Királyság Nemzeti Bűnügyi Ügynöksége (NCA) tesztelte az ICR-k „műveleti, funkcionális és technikai aspektusait”, és „jelentős műveleti előnyt” talált az adatok gyűjtésében. Egy kis kísérlet, amely a gyermekek illegális képeit szolgáltató weboldalakra „összpontosított”, 120 olyan embert talált, akik hozzáfértek ezekhez a weboldalakhoz. Azt találták, hogy ezek közül „csak négy” ember volt ismert a bűnüldözés számára az „intelligencia ellenőrzés” alapján.

A WIRED először számolt be az ICR próba létezéséről 2021 márciusában, amikor még kevesebb részlet volt ismert a tesztről. Még mindig nem világos, hogy mely telekommunikációs vállalatok vettek részt. A Belügyminisztérium februári jelentése az első hivatalos jelzés arra, hogy a próba hasznos volt a bűnüldözés számára, és segíthet felkészíteni a terepet a rendszer bővítéséhez az Egyesült Királyságban. A Belügyminisztérium áttekintése szerint a próbájuk azt is megállapította, hogy „az ICR-k jelenleg elérhetetlenek lehetnek néhány potenciálisan kulcsfontosságú vizsgálat számára„, ami felveti annak lehetőségét, hogy a törvényt a jövőben módosíthatják.

2022 májusában a Belügyminisztérium beszerzési értesítést adott ki, amelyből kiderült, hogy jövőbeni próbák „munkája most kezdődik el” egy „nemzeti ICR szolgáltatás” létrehozására. Az értesítés létezéséről először a közszféra technológiai kiadványa, a PublicTechnology számolt be. Az értesítés szerint a kormánynak legfeljebb 2 millió fontos költségvetése volt egy technikai rendszer létrehozására, amely lehetővé teszi a bűnüldözési tisztviselők számára az ICR adatokhoz való hozzáférést a vizsgálatok során.

A technikai rendszer szerződését a Bae Systems védelmi vállalat kapta meg 2022 júliusában. A WIRED Információszabadság törvénye alapján benyújtott kérelmére a Belügyminisztérium néhány oldalt nyújtott be a Bae-vel kötött szerződésből, de nem adott meg technikai részleteket a kereskedelmi érdekekre hivatkozva. (A Bae szóvivője szerint nem vitathatnak meg konkrét szerződéseket bizalmas és biztonsági okokból.)

A Belügyminisztérium FOIA válasza szintén megtagadta az ICR-kkel kapcsolatos belső áttekintés részleteinek közzétételét, a nemzeti biztonságra és a bűnüldözésre hivatkozva. A Belügyminisztérium szóvivője azt mondta, hogy az áttekintési anyagok közszemlére tételét a „nemzeti biztonság és a bűnüldözés érdekeinek védelme” indokolta. A Privacy International most a Brit Információs Biztossággal vitatja az ügyet.

Tehát továbbra is homály fedi az ICR-k konkrét használatát és gyűjtését, a Bae Systems által épített rendszer működését és a kormány jövőbeli terveit. Ha a Bae által kifejlesztett rendszer jól működik, a bűnüldöző szervek széles körben hozzáférhetnek az emberek online tevékenységének adataihoz, ami fontos kérdéseket vet fel az adatvédelemről és az alkotmányos jogokról.

Forrás:www.wired.co.uk

Hiányzik a CISO-k Fontos Tulajdonságai a Russell 1000 Indexből

Egy friss jelentés szerint a Russell 1000 Index CISO-i közül csupán 14%-uk rendelkezik azzal az öt kulcsfontosságú

tulajdonsággal, amelyek az információbiztonsági vezetői pozíciókban elengedhetetlenek. A jelentést az Artico Search, az IANS Kutatóintézet és a The CAP Group közösen állította össze.

Az öt kulcsfontosságú tulajdonság a következő:

• Hosszú távú információbiztonsági tapasztalat.
• Széles körű tapasztalat.
• Részesedés nagyméretű műveletekben.
• Fejlett képzés.
• Diverzitás.

Nick Kakolowski, az IANS Kutatóintézet kutatási igazgatója rámutatott, hogy a kiberkockázatok egyre fontosabb témává válnak az igazgatói megbeszélések során, és ezért aggasztó a CISO-k közötti szakértelem hiánya. A kiberbiztonsági kockázatokat üzleti kockázatokként kell értelmezniük és kezelniük.

A kutatás módszertana

A kutatók nyilvános forrásokból gyűjtötték az adatokat, mint például a LinkedIn, vezetői életrajzok, beszédek, sajtóközlemények és interjúk, majd kiberbiztonsági szakértők és adattudósok elemezték ezeket.

SEC szabálymódosítások és a kiberbiztonság

A tanulmány kiemeli a vállalati igazgatótanácsokban tapasztalható kiberbiztonsági szakértelem hiányát, különösen a Securities and Exchange Commission (SEC) előtt álló szabálymódosítások fényében, amelyek előírják a biztonsági képességekkel kapcsolatos további információk nyilvánosságra hozatalát.

A kiberbiztonsági szakértelem fontossága a vállalatok számára

A vállalatok egyre jobban felismerik a kiberbiztonsági szakértelem fontosságát, és az, hogy egy szervezet mennyire képes alkalmazkodni a kibervilághoz, egyre inkább befolyásolja annak versenyképességét. A vállalatoknak jobban meg kell érteniük és kezelniük kell a kiberbiztonsági kockázatokat.

Igény a kiberbiztonsági képzésre

A tanulmány rámutat a kiberbiztonsági képzés iránti igény növekedésére, ahol a szakembereknek fejleszteniük kell kiberbiztonsági ismereteiket. Fontos, hogy a szakemberek friss tudással rendelkezzenek a kiberbiztonsági területen az egyre összetettebb kiberfenyegetésekkel szemben.

Jövőkép a kiberbiztonsági szakértői pozíciókról

A növekvő kiberbiztonsági fenyegetések miatt a képzett kiberbiztonsági szakemberek iránti igény folyamatosan nő. A jelentkezőknek fejlett technikai és analitikus képességekkel, problémamegoldó készséggel és kiváló kommunikációs képességekkel kell rendelkezniük.

Szervezetek reakciója

A jelentés eredményei arra ösztönzik a vállalatokat, hogy nagyobb figyelmet fordítsanak a kiberbiztonsági szakemberek felkutatására, alkalmazására és fejlesztésére. A kiberbiztonság területén jártas, tapasztalt szakemberek nélkül a vállalatok növekvő kockázatnak vannak kitéve.

A kiberbiztonsági szakemberek felértékelődése

A növekvő kiberfenyegetések és a gyakori adatvédelmi incidensek arra ösztönzik a szervezeteket, hogy felértékeljék a kiberbiztonsági szakemberek szerepét. A megfelelően képzett és tapasztalt szakemberek bevonása kulcsfontosságú a vállalatok digitális eszközeinek és érzékeny információinak védelmében.

Az innováció és a kiberbiztonság összekapcsolása

Az innováció és a kiberbiztonság szorosan összefonódik. A szervezeteknek folyamatosan fejleszteniük kell kiberbiztonsági intézkedéseiket és technológiáikat, hogy lépést tudjanak tartani az új kihívásokkal és fenyegetésekkel.

Az igazgatótanács felelőssége

Az igazgatótanácsnak fontos szerepe van a kiberbiztonság terén. Az igazgatóknak szorosan együtt kell működniük a kiberbiztonsági vezetőkkel és szakértőkkel, hogy megértsék a vállalat kiberkockázatait és hatékony stratégiákat dolgozzanak ki a védekezésre. Az igazgatóknak aktívan részt kell venniük a kiberbiztonsági kérdésekben, és biztosítaniuk kell a megfelelő források és támogatás rendelkezésre állását a kiberbiztonsági kezdeményezések számára.

Adatvédelem prioritása

Az adatvédelemnek minden szervezetben kiemelt prioritást kell kapnia. A kiberbiztonsági szakembereknek aktívan részt kell venniük a vállalatok adatvédelmi politikáinak kialakításában és végrehajtásában. Az adatvédelemre vonatkozó szabályozások betartása és a felhasználói adatok biztonságának garantálása elengedhetetlen a vállalat hitelességének és ügyfél bizalmának megőrzéséhez.

Forrás: www.investopedia.com

Russell 1000 Index CISO-k: Hiányzó Tulajdonságok

Az Artico Search, az IANS Kutatóintézet és a The CAP Group közös jelentése szerint a Russell 1000 Index CISO-i közül csak 14% rendelkezik az információbiztonsági vezetői szerepekhez szükséges öt kulcsfontosságú tulajdonsággal.

Az öt kulcsfontosságú tulajdonság:

• Hosszú információbiztonsági munkaviszony.
• Széleskörű tapasztalat.
• Nagy méretű műveletekben való részvétel.
• Fejlett képzés.
• Diverzitás.

A CISO-k szerepe a vállalatokban egyre fontosabbá válik. Nick Kakolowski, az IANS Kutatóintézet kutatási igazgatója rámutatott, hogy a kiberkockázatok egyre inkább középpontba kerülnek az igazgatói megbeszéléseken, és aggasztó lehet a kiberbiztonsági szakértelem hiánya. A CISO-knak rendelkezniük kell ezzel a szakértelemmel, és képese

knek kell lenniük arra, hogy a kiberbiztonsági kockázatokat üzleti kockázatokként értelmezzék és kezeljék.

A kutatás módszertana:

A kutatók adatokat gyűjtöttek olyan nyilvánosan hozzáférhető forrásokból, mint a LinkedIn, vezetői életrajzok, beszédek, sajtóközlemények és interjúk, majd ezt kiberbiztonsági szakértők és adattudósok elemezték.

SEC szabálymódosítások és a kiberbiztonság:

A tanulmány rávilágított a kiberbiztonsági szakértelem hiányára a vállalati igazgatótanácsokban, különösen a Securities and Exchange Commission (SEC) előtt álló szabálymódosítások tükrében. Ezek a változások előírják, hogy a vállalatok tegyenek közzé további információkat a biztonsági képességeikről, ideértve a kiberbiztonsági szakértelem és a biztonsági kockátatkezelés képességét is.

A vállalatok számára fontosabb a kiberbiztonsági szakértelem:

Egyre több vállalat ismeri fel a kiberbiztonsági szakértelem fontosságát, és az, hogy egy szervezetnek milyen jól sikerül alkalmazkodnia a kibervilághoz, egyre inkább a versenyképességét is meghatározza. A kiberb

iztonsági szakértők hiánya az igazgatótanácsokban azt jelenti, hogy a vállalatoknak jobban meg kell érteniük a kiberbiztonsági kockázatokat és kezelniük kell ezeket az üzleti kockázatokat.

Az igény a kiberbiztonsági képzésre:

A tanulmány rámutat az igényre a kiberbiztonsági képzés terén, hogy a szakemberek fejlesszék és bővítsék kiberbiztonsági ismereteiket. Az egyre összetettebb kiberfenyegetésekkel szembeni védekezés érdekében fontos, hogy a szakemberek rendelkezzenek a legfrissebb ismeretekkel és képességekkel a kiberbiztonsági területen.

Az előrejelzés a kiberbiztonsági szakértői pozíciókra:

Az iparágban tapasztalható növekvő kiberbiztonsági fenyegetések miatt az igény a képzett kiberbiztonsági szakemberek iránt folyamatosan nő. A kiberbiztonsági szakértői pozíciókra jelentkezőknek fejlett technikai és analitikus képességekkel, problémamegoldó készséggel és magas szintű kommunikációs képességgel kell rendelkezniük.

A szervezetek válasza:

Az eredmények alapján a vállalatoknak fokozott figyelmet kell fordítaniuk a kiberbiztonsági szakemberek felkutatására, alkalmazására és fejlesztésére. A kiberbiztonság terén kiválóan képzett és tapasztalt szakemberek bevonása nélkül a vállalatok növekvő kockázatot vállalnak és ki vannak téve a potenciális kiberfenyegetéseknek.

A kiberbiztonsági szakemberek felértékelődése:

Az egyre növekvő kiberfenyegetések és a gyakori adatvédelmi incidensek arra ösztönzik a szervezeteket, hogy felértékeljék a kiberbiztonsági szakemberek szer

epét és jelentőségét. A megfelelően képzett és tapasztalt szakemberek bevonása kulcsfontosságú a vállalatok digitális eszközeinek és érzékeny információinak védelmében.

Az innováció és a kiberbiztonság összekapcsolása:

Az előrelépés és az innováció szorosan összekapcsolódik a kiberbiztonsággal. A szervezeteknek folyamatosan fejleszteniük kell a kiberbiztonsági intézkedéseiket és technológiáikat, hogy lépést tudjanak tartani az új kihívásokkal és fenyegetésekkel. Az innováció hajtóereje lehet a kiberbiztonság terén, és segíthet a vállalatoknak védekezni a változó támadási módszerek ellen.

Az igazgatótanács felelőssége:

Az igazgatótanácsnak a kiberbiztonság terén is kulcsfontosságú szerepe van. Az igazgatóknak szorosan együtt kell működniük a kiberbiztonsági vezetőkkel és szakértőkkel, hogy megértsék a vállalat kiberkockázatait és hatékony stratégiákat dolgozzanak ki a védekezésre. Az igazgatóknak aktívan részt kell venniük a kiberbiztonsági kérdésekben, és biztosítaniuk kell a megfelelő források és támogatás rendelkezésre állását a kiberbiztonsági kezdeményezések számára.

Az adatvédelem prioritása:

Az adatvédelem kiemelt prioritást kell élvezzen minden szervezetben. A kiberbiztonsági szakembereknek a vállalatok adatvédelmi politikáinak kidolgozásában és végrehajtásában kell részt venniük. Az adatvédelemre vonatkozó szabályozások betartása és a felhasználói adatok biztonságának garantálása elengedhetetlen a vállalat hitelességének és ügyfél bizalmának megőrzéséhez.

Az üzleti notebookok újabb életciklusa

Tisztában vannak vele, hogy a vállalati notebookok egy jelentős szegmensét olyan vállalkozások felújítva hozzák újra piacra, mint a miénk. Azonban érdekelheti, hogy miként használhatók újra a használt üzleti notebookok más területeken? Cikkünkben ezeket a lehetőségeket vesszük szemügyre.

A vállalkozások 3-5 évenként újragondolják, hogy milyen notebookokat használjanak irodai tevékenységeikhez. Habár a technológiai újítások önmagukban nem teszik szükségessé a frissítést, az alkalmazottak cserélődése új eszközöket igényel a szervezetektől. Tekintve, hogy évente 40 millió tonna elektronikai hulladék keletkezik, ami komoly terhet ró a környezetre, érdemes megvizsgálni, hogy milyen alternatív újrahasznosítási lehetőségek állnak rendelkezésre a használt vállalati notebookok számára.

1. Újrahasznosítás

A hulladéktermelés 2050-re várhatóan 70%-kal, 3,4 milliárd tonnára nő, így az újrahasznosítás kulcsfontosságúvá válik. A vállalatoknak is törekedniük kell a hulladéklerakókba kerülő elektronikai hulladék csökkentésére, amire számos lehetőség nyílik.

Ennek érdekében sok cég hasonló szervezetekhez, mint a miénk, fordul, hogy segítségükkel újrahasznosítsák korábbi eszközeiket. Mivel a régi eszközökön tárolt adatokat hitelesen törölni kell, olyan szolgáltatókhoz fordulnak, akik ezt is szakértő módon végzik. Ezért a használt notebookoktól való megszabadulás általában nem kerül pénzbe a szervezeteknek.

Ez a lehetőség a leghatékonyabb környezetbarát megoldás is, hiszen nem keletkezik elektronikai hulladék. Becslések szerint 1 millió notebook újrahasznosítása évente 3600 amerikai otthon energiaellátásának megfelelő energiát takarít meg.

2. Újrafelhasználás

A vállalatoknál gyakran előfordul, hogy a szervezeten belül hasznosítják újra a használt notebookot. A régi gépet egyszerűen az új munkatársnak adják át. Természetesen itt is oda kell figyelni az adatok védelmére: biztosítani kell, hogy a marketinges munkatárs ne férhessen hozzá a HR adatokhoz, és fordítva, a HR-nek ne legyen hozzáférése az ügyfelek adataihoz. A GDPR szempontjából a használt notebookok szakszerű értékesítése a legbiztonságosabb opció.

3. Alkatrészforrás

A régebbi notebookokat alkatrészforrásként is megőrizhetik a vállalatok, így nem kell új képernyőt vásárolniuk, ha az meghibásodik – a processzorral vagy alaplappal rendelkező hibás notebook képernyője tökéletesen felhasználható erre a célra. Ebben az esetben is fontos a GDPR szabályok betartása.

4. Bérlemény visszaadása

Főként startupok esetében népszerű az eszközbérleti modell, amelyben a vállalatok havi díjért használhatják az adott eszközt egy meghatározott ideig. A bérleti időszak végén a notebook visszakerül a bérletet biztosító céghez, ahol az adatokat szakszerűen törlik, majd újra felkerül a bérbe adható eszközök listájára.

5. Adományozás

Sok esetben a vállalati célokra már nem megfelelő notebook tökéletesen megfelelhet egy iskola vagy civil szervezet számára tanulási vagy munkaeszközként. Az adományozást szintén gondosan, a GDPR szabályainak betartásával kell végrehajtani.

Android alkalmazások, melyeket kémprogrammal 421 milliószor telepítettek a Google Playből

Egy új Androidos „kártevőt” fedeztek fel, amit hirdetési SDK-ként terjesztenek, és több alkalmazásban is megtalálható, sokan korábban a Google Playen voltak, és összesen több mint 400 milliószor töltötték le őket. A Dr. Web biztonsági kutatói fedezték fel a kémprogram modult, és ‘SpinOk’-ként azonosították, figyelmeztetve, hogy képes ellopni a felhasználók eszközén tárolt privát adatokat, és elküldeni egy távoli szerverre.

A SpinkOk működése

Az antivírus cég szerint a SpinkOk látszólag törvényes viselkedést mutat, mini játékokat használ, amelyek „napi jutalmakhoz” vezetnek, hogy felkeltsék a felhasználók érdeklődését. „A felszínen a SpinOk modul úgy van kialakítva, hogy fenntartsa a felhasználók érdeklődését az alkalmazások iránt mini játékok, feladatok rendszere, valamint állítólagos nyeremények és jutalmak segítségével,” magyarázza a Doctor Web jelentése.

A trójai SDK működése

A háttérben azonban a trójai SDK ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megerősítse, hogy nem fut „homokozott környezetben” (=egy biztonsági technika, ami korlátozza egy alkalmazás hozzáférését a rendszer erőforrásaihoz. Ha a szövegben szereplő kártékony szoftver észleli, hogy ilyen környezetben fut, akkor megpróbálja megkerülni ezeket a korlátozásokat, hogy elkerülje a detektálást), amit gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzésekor.

Káros funkciók

Az alkalmazás ezután kapcsolódik egy távoli szerverhez, hogy letöltsön egy URL-listát, amit a várt mini játékok megjelenítésére használnak. Míg a mini játékokat a felhasználóknak a várt módon jelenítik meg, a Dr. Web szerint a háttérben az SDK képes további káros funkciókra is, beleértve a könyvtárakban található fájlok listázását, különleges fájlok keresését, fájlok feltöltését az eszközről, vagy a vágólap tartalmának másolását és cseréjét.

A fájl exfiltrációs funkcionalitás különösen aggasztó, mivel kiexponálhatja a privát képeket, videókat és dokumentumokat.

Ezenkívül a vágólap módosítási funkció kódja lehetővé teszi az SDK operátorainak, hogy ellophassák a fiókjelszavakat és hitelkártya adatokat, vagy eltereljék a kriptovaluta fizetéseket saját kriptovaluta pénztárcacímükre.

Az érintett alkalmazások

A Dr. Web állítása szerint ezt az SDK-t 101 alkalmazásban találták meg, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Playből, a legtöbbet letöltött alkalmazások a következők:

• Noizz: videószerkesztő zenével (100,000,000 letöltés)
• Zapya: fájlátvitel, megosztás (100,000,000 letöltés; a Dr. Web szerint a trójai modul a 6.3.3-as verziótól a 6.4-es verzióig volt jelen, és már nincs jelen a jelenlegi 6.4.1-es verzióban)
• VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
• MVBit: MV videószerkesztő (50,000,000 letöltés)
• Biugo: videó készítő & videószerkesztő (50,000,000 letöltés)
• Crazy Drop: (10,000,000 letöltés)
• Cashzine: pénzt lehet keresni az alkalmazással (10,000,000 letöltés)
• Fizzo Novel: offline olvasás (10,000,000 letöltés)
• CashEM: (5,000,000 letöltés)
• Tick: pénzt lehet keresni az alkalmazással (5,000,000 letöltés)

A fenti alkalmazások közül csak egy maradt a Google Playen, ami arra utal, hogy a Google jelentéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtottak be egy tiszta verziót. A jelentések szerint az SDK-t használó alkalmazások teljes listáját megtalálhatja a Dr. Web oldalán.

Mit tehetünk?

Ha Ön az itt felsorolt alkalmazások valamelyikét használja, frissítenie kell a legújabb verzióra, amely a Google Playen keresztül érhető el, és amelynek tisztának kell lennie. Ha az alkalmazás nem érhető el az Android hivatalos alkalmazásboltjában, azt ajánlott azonnal eltávolítani és a készüléket egy mobil antivírus eszközzel átvizsgálni, hogy biztosan eltávolítsák a kémprogram maradványait.

A BleepingComputer megkereste a Google-t, hogy nyilatkozatot adjon erről a hatalmas fertőzési bázisról, de a kiadás idején nem volt rendelkezésre álló megjegyzés.

Forrás: www.noteshop.hu