Címke: kiberbiztonság

Globális szintű kiberbiztonsági kihívások: Az Egyesült Államok kritikus infrastruktúrájának veszélyeztetettsége

Miért van globális jelentősége az USA kritikus infrastruktúráinak kiberbiztonságának?

Gondolkoztunk már azon, hogy a „kritikus infrastruktúra” kifejezés miket foglal magában? Hidakat, erőműveket és vasúti rendszereket mindannyian ismerjük, de mi a helyzet a parki ivókutakkal, ahol a gyermekeink isznak, vagy az iskolákkal, ahol mesterséges intelligenciát használnak az oktatás során? Esetleg a repülőterekkel, ahol hosszú hétvégén utazunk?

Ezek a mindennapjaink szerves részét képező tevékenységek rendszereken alapulnak, amelyek egyre inkább digitalizálódnak és gyakran olyan hálózatokra támaszkodnak, melyek nem biztonsági szempontból lettek megtervezve.

Szektorok, mint az energia, egészségügy, vízellátás és mezőgazdaság kritikus infrastruktúrái egyre inkább kitéve vannak a rosszindulatú kibertevékenységeknek, miközben a támadók egyre fejlettebb módszereket fejlesztenek.

Idén az amerikai kiberbiztonsági hatóságok figyelmeztettek a Kínai Népköztársasághoz köthető államilag támogatott kártékony kibertámadókra, beleértve a Volt Typhoon nevű ismert hackercsoportot is, amely folyamatos hozzáférést biztosít az USA kritikus infrastruktúráihoz, felkészülve arra, hogy zavaró tevékenységeket hajtson végre egy esetleges konfliktus esetén.

A Környezetvédelmi Hivatal (EPA) nemrég arra figyelmeztette a vízellátó rendszereket, hogy sürgős intézkedéseket kell hozniuk az ivóvíz védelme érdekében. Az EPA szerint a kibertámadások károsíthatják a vízellátó rendszerek működését, például a szelepek és szivattyúk funkcióit, zavarhatják a víz kezelését vagy tárolását, illetve veszélyesen megemelhetik a vízben lévő vegyi anyagok szintjét.

Nem minden amerikai kritikus infrastruktúra rendelkezik azzal a képességgel, hogy ellenálljon és helyreálljon egy kibertámadás után. Egyeseknek több erőforrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt elmondta, hogy „sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken át a szoftverfejlesztőket nem terhelték felelősséggel a hibás technológiákért.”

A vállalatoknak magas színvonalon kell eljárniuk a digitális termékek fejlesztésekor. Az Biden-Harris adminisztráció ezen a téren tett erőfeszítései dicséretre méltóak, azonban a kormányzat folyamatos sürgős figyelmeztetései arra ösztönöznek, hogy sürgős lépéseket tegyünk a kiber-fizikai ellenállóképesség javítása érdekében.

Példaként a Colonial Pipeline esete rávilágított a kiberbiztonság fejlesztésének szükségességére

Fontos, hogy a figyelem a szegmentálásra irányuljon, így a Colonial üzleti rendszereinek kompromittálása ne érintse a szélesebb működését.

Szükség van egy alapvető paradigmaváltásra, amely túlmutat a digitális biztonságon és az igazi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik, olyan rendszerekkel, amelyek támogatják a kritikus infrastruktúrákat abban, hogy a váratlan nyomás alatt is a várt módon működjenek.

Képzeljük el, hogy egy kórház folyamatosan működik az internetkapcsolat megszakadása vagy egy zsarolóvírusos támadás alatt; egy vízmű kézi kezelése folyik, miközben a hatóságok vizsgálják a gyanús tevékenységeket egy tisztítóműnél; vagy egy villamos hálózat moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.

A Tudományos és Technológiai Tanácsadó Testület nemrégiben kiadott egy jelentést

Amely javasolt intézkedéseket tartalmaz minden kritikus infrastruktúra rendszer ellenállóképességének elérésére, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.

A kiberhivatalok folyamatos figyelmeztetése

Arra utal, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások egyre csak növekednek. Készen állnak a rendszereink?

Forrás: www.forbes.com

A kiberbiztonsági expozíciókezelés jelentősége és azonosságai az ASM-mel

A kiberbiztonsági expozíciókezelés és az ASM közötti különbségek bemutatása

A felhőtechnológia iránti vonzalom különösen erős a frissen induló és dinamikusan fejlődő vállalatok körében, mivel ezek a cégek ritkán rendelkeznek nagyméretű, helyszínen üzemeltetett régi informatikai rendszerekkel. Ezzel ellentétben, a közepes nagyságú vállalatok gyakran választják a hibrid megközelítést, részben a felhő előnyeit kihasználva, részben pedig saját helyszíni eszközeiket megtartva, kiemelkedő agilitás és rugalmasság reményében.

Habár a felhőszolgáltatásokhoz kapcsolódó költségek és a beszállítói függőség bizonyos mértékű ellenállást váltott ki, a kis- és középméretű vállalkozások körében mégis ezek a megoldások maradtak az elsődleges választásnak.

Ez a tendencia növeli a külső támadási felületek összetettségét és széttöredezettségét, ami megnehezíti azok monitorozását és megvédését. A kiterjedt támadási lehetőségek sokasága rejtekhelyeket és biztonsági réseket kínál a támadóknak. A biztonsági csapatok gyakorta csupán reagálnak, és nem képesek elég gyorsan adaptálódni ahhoz, hogy lépést tartsanak a fejlesztőcsapatok által az interneten nyilvánosságra hozott új rendszerek, szolgáltatások és adatok áradatával.

Ezt tovább súlyosbítja a kiberfenyegetések állandóan változó természete. Minden hónapban több ezer új sebezhetőség kerül azonosításra, köztük olyanok, amelyek lehetővé teszik a támadó számára, hogy teljes mértékben uralma alá vonja azokat a rendszereket, amelyek az interneten keresztül érhetők el – ilyenek a nemrégiben napvilágot látott Citrix és Ivanti sebezhetőségek. Hogyan reagálhatunk időben egy frissen kihasznált kritikus sebezhetőségre, ha nem is tudjuk biztosan, hogy érintettek vagyunk-e?

A biztonsági csapatok előtt álló kihívás az, hogy a reakciók lassúak, és a támadási felülettel kapcsolatos ismeretek szétszóródnak azok között, akik a felhőalapú rendszereket üzemeltetik. A biztonsági szakemberek egyre több, nehezen áttekinthető és prioritizálható adattal küzdenek, amelyeket számos különböző forrásból gyűjtenek. Ebben a helyzetben válik létfontosságúvá az expozíciókezelés, mint a külső támadási felületek kezelésének egy fontos kiegészítése.

Mit jelent az expozíciókezelés a kiberbiztonság területén?

A technológiai környezet egyre bonyolultabbá válásával párhuzamosan növekszik az igény olyan eszközökre és módszerekre, amelyekkel ezek a rendszerek biztosíthatók és védhetők. Az expozíciókezelés célja, hogy leegyszerűsítse ezt a bonyolultságot, átláthatóbbá téve azokat a területeket a támadási felületen, amelyek potenciális támadási pontként szolgálhatnak, ezzel is kockázatot jelentve az üzleti működésre.

Az expozíciókezelés lényege, hogy prioritások szerinti listát készítsen a lehetséges biztonsági kockázatokról, minden egyeshez kontextuális információt adva, lehetővé téve így, hogy tájékozott döntést hozhassunk arról, melyik fenyegetéssel foglalkozzunk elsőként, és hogyan csökkentsük az üzleti kockázatokat. Az expozíciókezelés emellett elősegíti a teljes támadási felület – beleértve a kódtárakat, mint például a GitHub és GitLab – áttekintését, így pontosabban azonosíthatóvá téve azokat a területeket, amelyek támadási lehetőséget nyújtanak, lehetővé téve a proaktív beavatkozást, mielőtt azok túlzott kockázatot jelentenének a vállalkozás számára.

Ezáltal jobban megérthetjük a fenyegetéseket, amelyekkel szembenézünk, és prioritást adhatunk azoknak a támadásoknak, amelyek nem csak valószínűbbek, hanem komolyabb következményekkel is járnak. Egy olyan időszakban, amikor a biztonsági csapatok adatáradatban fuldokolnak – 2022-ben több mint 25 000 sebezhetőséget jegyeztek fel, és ez a szám 2023-ra tovább emelkedett –, kritikus fontosságú, hogy világos képet kapjunk arról, mire kell koncentrálnunk erőforrásainkat.

Az expozíciókezelés és a támadási felület kezelésének összehasonlítása

Bár a kettő célja hasonló, jelentős eltérések figyelhetők meg közöttük. A külső támadási felület kezelése egy folyamatos folyamat, amelynek során azonosítjuk azokat az eszközöket, amelyeket egy potenciális támadó láthat az interneten. Ez magában foglalja a biztonsági részek feltárását, a lehetséges támadási pontok azonosítását, valamint azokat a területeket, ahol a védelmi intézkedések elegendően erősek a támadások elhárítására. Amennyiben egy sebezhetőség vizsgálattal detektálható, az általában a támadási felület kezelésének hatáskörébe tartozik.

Az expozíciókezelés ennél tovább lép, magában foglalva az adatvagyonokat, felhasználói azonosítókat és a felhőszámlák konfigurációját is, ami segít megérteni és szükség esetén csökkenteni az expozíciónkat.

Ez magában foglalja a SaaS termékeket is, amelyek használata során felmerülhetnek biztonsági kockázatok. Ha egy ilyen szolgáltatás sérülékenyé válik, vagy egy fiókunk kompromittálódik, az információk más támadásokhoz használhatók fel. Így, amikor az üzleti kockázatokat mérlegeljük, ezt a szempontot sem hagyhatjuk figyelmen kívül.

Expozíció minimalizálása az Intruderrel

Fontos megjegyezni, hogy egy bőséges támadási felület nehezebben védhető meg. Az Intruder által nyújtott automatizált sebezhetőségkezelő eszközzel folyamatosan monitorozhatjuk és csökkenthetjük támadási felületünket. Ezáltal teljes körű irányítást szerezhetünk a sebezhetőségkezelési folyamat felett, többek között:

  • Felfedezési képességek: Amikor új felhőalapú szolgáltatások kerülnek bevezetésre és az interneten elérhetővé válnak, az Intruder azonnal elindít egy vizsgálatot a potenciális sebezhetőségek azonosítása érdekében, lehetővé téve a gyors beavatkozást.
  • Tudatosság a kitéve lévő elemekről: Teljes áttekintést nyerhetünk hálózati peremünkről, nyomon követhetjük az aktív és inaktív célpontokat, azonosíthatjuk a változásokat, monitorozhatjuk a lejáró tanúsítványokat, és felmérhetjük azokat a portokat, szolgáltatásokat vagy protokollokat, amelyek nem kellene, hogy nyilvánosan elérhetők legyenek.
  • Széleskörű detektálás: Az Intruder többféle szkennert használ fel a támadási felületünkön lévő sebezhetőségek és expozíciók azonosítására, ezzel a lehető legnagyobb láthatóságot biztosítva.
  • Konzentráció a lényeges problémákra: Az eredmények kontextus figyelembevételével kerülnek rangsorolásra, így a legkritikusabb problémákra összpontosíthatunk anélkül, hogy időt vesztegetnénk a kevésbé jelentős kérdések szűrésével.

Forrás: www.thehackernews.com

Phobos Ransomware: Fenyegetés az amerikai alapvető infrastruktúrákra

Phobos Ransomware fenyegetések az USA alapvető infrastruktúrái ellen

Az USA kiberbiztonsági és hírszerző szervei arra hívják fel a figyelmet, hogy a Phobos ransomware súlyos kockázatot jelent a kormányzati és alapvető infrastruktúrákra. A támadók széles körű módszereket és technikákat vetnek be a zsaroló szoftverek terjesztésére.

A RaaS (Ransomware as a Service) modell szerint működő Phobos különféle célpontra irányul, beleértve városi és megyei kormányzati intézményeket, sürgősségi szolgáltatásokat, oktatási intézeteket, közegészségügyi létesítményeket, valamint más kulcsfontosságú infrastruktúrákat. Ezek a támadások komoly anyagi veszteségeket okoznak az Egyesült Államokban.

Figyelmeztetést kiadó szervezetek
  • Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Hivatal (CISA)
  • Federal Bureau of Investigation (FBI)
  • Multi-State Information Sharing and Analysis Center (MS-ISAC)
Alkalmazott támadási stratégiák és technikák

A támadók gyakran élnek phishing technikákkal vagy sebezhetőségeket keresnek a hálózati rendszerekben. Sikeres behatolást követően többféle távoli elérésű eszközt telepítenek a malware terjesztése és rejtőzködése érdekében.

Egyedi támadások és eszközök

A támadók kihasználják a Windows rendszer integrált API funkcióit a felhasználói jogosultságok kiterjesztésére és azonosítási próbálkozásokra. Nyílt forrású szoftverek, mint a Bloodhound és Sharphound segítik őket a célpontok feltérképezésében. Az adatlopáshoz a WinSCP és a Mega.io szolgál.

Kiemelt támadások

A Bitdefender részletesen tárgyalt egy koordinált támadásról, amely egyszerre két külön vállalatot érintett, amit a CACTUS nevű zsarolóprogram csoport hajtott végre. Ez a támadás kiemelkedő, mivel a célpontok között voltak virtualizációs infrastruktúrák is.

Konklúzió és védekezési stratégiák

A zsarolóprogramok továbbra is jelentős bevételi forrásokat jelentenek a kiberbűnözők számára. A váltságdíj fizetése után az áldozatok gyakran ismételt támadások célpontjává válnak, tovább növelve a pénzügyi terheket.

Forrás: www.thehackernews.com

Operáció Texonto: A kiberfenyegetések új generációja

A Kiberháború új dimenziói: Az Operáció Texonto elemzése

Az ESET biztonsági elemzőinek csapata felfedezett egy rendkívül összetett és újító kibertámadási hálózatot, amelyet „Operáció Texonto” néven ismerünk. Ez a fejlett támadási taktika dupla fenyegetést jelent: egyrészt dezinformációs hadjáratok révén terjeszt pszichológiai hadviselést az ukrán lakosság és vállalkozások körében, hamis információkat használva a közvélemény befolyásolására a konfliktussal kapcsolatban. Másrészt, adathalász módszerekkel is operál, tovább növelve a biztonsági kockázatokat. Az Operáció Texonto által létrehozott pszichológiai és dezinformációs tevékenységek jelentős kihívást jelentenek a kiberbiztonsági szakértők számára, mivel a védekezés nem csupán technikai intézkedéseket, hanem a közösség felvilágosítását és tudatosságának javítását is magában foglalja.

A dezinformációs és adathalászati hadjáratok dualitása

Az ESET szakértői által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két hullámban hajtott végre pszichooperatív üzenetküldéseket. Ezek az üzenetek a jellemző orosz propaganda narratíváit követték, olyan problémákat taglalva, mint a gyógyszerhiányok, az élelmezési nehézségek és az ukránok fűtésellátásának zavarai. A dezinformáció fő célja egyértelműen az volt, hogy megkérdőjelezzék Oroszország háborús előnyeit az ukrán nép szemében.

A kampány egy másik szegmense spam e-maileken keresztül terjedt háborús téves információkat, és egy adathalászati hadjárat is megfigyelhető volt októberben, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket célozta meg, a Microsoft Office 365 fiókok belépési adatainak megszerzésére törekedve.

Az Operáció Texonto Orosz kötelékei

Az ESET általi kutatás során az Operáció Texonto tevékenységeit „magas szintű biztonsággal” egy Oroszországgal kapcsolatban álló csoportnak tulajdonítják, ami összhangban áll korábbi hasonló módszerekkel operáló csoportokkal. A technikai egyezések hiányában azonban az ESET nem tudja egyértelműen egy specifikus fenyegető szereplőhöz kötni a Texonto működését.

A Callisto csoport és a dezinformációs műveletek kapcsolata

Matthieu Faou, az ESET kutatója kiemeli, hogy a kiberkémkedési műveletekben az utóbbi időben tapasztalt növekedés szembetűnő. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt, hasonló típusú akciókat végezve.

A dezinformációs üzenetek és a Spam Hadjáratok Közötti Kapcsolat

A kezdeti üzenetsor nem tartalmazott kártékony szoftvert vagy rosszindulatú hivatkozásokat, azonban egy e-mail javasolta a hiányzó gyógyszerek gyógynövényekkel való helyettesítését, míg egy másik a galamb risotto fogyasztását ajánlotta. A második üzenetsor már komorabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése végett.

A Meta elemzése az Orosz befolyásolási műveletekről

A META legfrissebb jelentése alapján az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos média által megosztott bejegyzések mennyiségét és az elköteleződési szinteket. A jelentés hangsúlyozza, hogy a nyilvánvalóan hamis, rövid életű profiok elleni harc tovább folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratok folytatódására.

Az Operáció Texonto esete rámutat a kibertámadások és pszichooperációs hadjáratok összetett és változatos világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakértők számára.

Forrás: www.forbes.com

Kiberbiztonsági incidens miatti fennakadások a Malawi Bevándorlási Hivatalnál az útlevélkiadás terén

A Malawi Bevándorlási Hivatal nemrégiben egy váratlan és kihívásokkal teli helyzettel szembesült, amikor egy zsarolóvírusos kibertámadás érte a hivatal számítógépes rendszerét. Ennek következtében a kormányzat arra kényszerült, hogy ideiglenesen leállítsa az útlevélkiadást, egy olyan intézkedés, amely már az elmúlt két hét folyamán is érvényben volt. Ez a lépés jelentős hatással van a malawi polgárokra, különösen azokra, akik külföldi munkavállalás céljából kívánnak utazni és emiatt sürgősen szükségük lenne útlevelükre.

Az ország vezetője, Lazarus Chakwera elnök, egy nyilvános közleményben számolt be arról, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány nem hajlandó megadni magát a zsarolásnak. Az elnök egyértelművé tette, hogy Malawi nem fogja „kényeztetni a bűnözőket” és nem tervez tárgyalásokat kezdeni „azokkal, akik fenyegetést jelentenek országunk szuverenitására”. Ez az álláspont egy világos üzenetet küld a kiberbűnözőknek, jelezve, hogy Malawi elutasítja a jogellenes tevékenységeket és határozottan fellép az ilyen típusú fenyegetésekkel szemben.

A kibertámadással kapcsolatos további részletek még nem kerültek nyilvánosságra. A kormányzat nem közölte, hogy kik állnak a támadás mögött, vagy hogy bármely érzékeny adat kompromittálódott-e. Ez fokozza a lakosság aggodalmait, hiszen sokan tartanak attól, hogy személyes és bizalmas adataik illetéktelen kezekbe kerültek.

Azonban Chakwera elnök optimista a helyzet megoldását illetően. Beszámolója szerint a bevándorlási hivatal egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadás újraindítását a közeljövőben, egy meghatározott háromhetes határidőn belül. Az elnök emellett kiemelte, hogy a kormány egy hosszú távú stratégián dolgozik, amely magában foglalja a rendszer védelmének megerősítését további biztonsági intézkedések bevezetésével. Ez a lépés létfontosságú a jövőbeni kiberfenyegetések elleni védelem szempontjából, amivel garantálható a bevándorlási szolgáltatások zökkenőmentes működése.

Ez az esemény nem újdonság Malawi történelmében, korábban is volt már példa útlevélkiadás szüneteltetésére. Azonban a mostani felfüggesztés különösen problematikus időszakban következett be, tekintve, hogy az útlevelek iránti kereslet jelentős mértékben növekedett. Számos polgár a jobb életminőség és munkalehetőségek keresése miatt tervezi, hogy elhagyja az országot, így az útlevélkiadási folyamatok felfüggesztése közvetlenül befolyásolja terveiket.

A közelgő időszakban a közvélemény figyelme a Malawi kormány és a bevándorlási hivatal tevékenységére irányul, kíváncsian várva, hogy képesek lesznek-e hatékonyan kezelni ezt a válsághelyzetet és helyreállítani a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem napjainkban kulcsfontosságú tényezővé vált a globális üzleti és informatikai közegben, és Malawi jelenlegi helyzete ismételten rámutat arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan frissíteniük kell védelmi mechanizmusaikat, hogy megfeleljenek a modern világ kihívásainak.

Forrás: www.darkreading.com

Kiberbiztonsági áttörés: Az „MMS ujjlenyomat” technológia bemutatkozása

A digitális megfigyelés új Horizontja: Az MMS ujjlenyomat technológia

Az információs korban, ahol az adatokból új „arany” születik, a kiberbiztonsági veszélyek és kémkedési módszerek állandóan alakulnak, fejlődnek. Az NSO Csoport, egy neves kiberbiztonsági vállalat, egy forradalmi technikával lépett színre: az „MMS Ujjlenyomat” technológiával, ami új távlatokat nyit a digitális megfigyelés világában. Ezt az újítást egy ghánai telekommunikációs hatósággal kötött megállapodás keretében mutatták be, amely a technológia széles körű használatának potenciálját sugallja.

Az „MMS ujjlenyomat” technológia kulcsfontosságú jellemzői

Az „MMS Ujjlenyomat” technológia alapvető vonása, hogy képes felismerni a célzott készülékeket és azok operációs rendszereit aktív beavatkozás nélkül. Ez a módszer a bináris SMS-en, pontosabban a WSP Push technológián alapul, lehetővé téve az MMS üzenetek fogadásának előzetes értesítését. Amikor a felhasználó eszköze csatlakozik a szerverhez egy MMS letöltése céljából, bizonyos eszközinformációk kerülnek átadásra, amelyek felhasználhatók későbbi támadásokhoz.

Veszélyek és megelőzési stratégiák

Az „MMS Ujjlenyomat” technológia, melyet az NSO Csoport fejlesztett ki és az Enea tesztelt, rejtetten gyűjti az információkat a felhasználók észrevételei nélkül, ami komoly kérdéseket vet fel az adatvédelem és a privátszféra területén. Noha egyelőre nincsenek arra vonatkozó adatok, hogy ezt a technológiát széleskörűen alkalmazzák, a lehetséges következmények és az abuzív használat kockázata jelentős kihívásokat jelent a kiberbiztonsági szakemberek számára.

A telekommunikációs szolgáltatók képesek lehetnek blokkolni e típusú támadásokat, míg az egyéni felhasználók megvédhetik magukat az MMS üzenetek automatikus letöltésének tiltásával. Ez az eset is rávilágít arra, mennyire lényeges a proaktív szemlélet és az állandó informáltság a digitális biztonság terén.

Az „MMS Ujjlenyomat” technológia feltárása és a vele járó veszélyek felhívják a figyelmet a kiberbiztonsági fenyegetések állandó változására, és arra, hogy a felhasználóknak, vállalatoknak, valamint kormányzati szerveknek mindig ébernek és késznek kell lenniük. Az NSO Csoport által, és más hasonló entitások által kifejlesztett technológiák új kihívások elé állítják a védelmi stratégiákat, hangsúlyozva a technológiai innovációk nyomon követésének és a digitális védekezési mechanizmusok megerősítésének fontosságát a kiberbiztonság megőrzése érdekében.

Forrás: www.securityweek.com

Az MMS ujjlenyomat technika: Úttörő innováció a kiberbiztonságban

A Digitális Figyelés Új Dimenziója: Az MMS Ujjlenyomat Technika

A digitális információ korában, ahol az adatok aranyat érnek, a kiberbiztonsági fenyegetések és a kémkedési módszerek folyamatosan változnak és fejlődnek. Ebben a környezetben az NSO Csoport, egy előtérbe került kémprogram-készítő vállalat, egy újító technológiát mutatott be: az „MMS Ujjlenyomat” technikát, amely új lehetőségeket nyit meg a digitális megfigyelés világában. Ezt a módszert egy ghánai telekommunikációs szabályozó testülettel kötött megállapodás keretében tárta fel, ami jelzi a technológia széles körű alkalmazásának potenciálját.

Mit rejt az „MMS ujjlenyomat” technika?

Az „MMS Ujjlenyomat” módszer esszenciája, hogy képes felismerni a célzott eszközöket és azok operációs rendszereit, anélkül, hogy a felhasználónak bármit is tennie kellene. A technológia a WSP Push, vagyis a bináris SMS technológiájára épül, amely képessé teszi, hogy a felhasználókat értesítse a beérkező MMS üzenetekről. Amint a felhasználó eszköze csatlakozik a szerverhez az MMS letöltése érdekében, bizonyos eszközinformációkat átad, amelyeket aztán támadók használhatnak fel.

Kihívások és védekezési stratégiák

Az NSO Csoport által fejlesztett, és az Enea által tesztelt „MMS Ujjlenyomat” technika titokban gyűjti az információkat a felhasználók tudta nélkül, ami súlyos aggodalmakat vet fel a digitális adatvédelem és a személyes magánélet terén. Jelenleg nincs arra bizonyíték, hogy ezt a technológiát széles körben alkalmaznák, de a lehetséges következmények és a rosszindulatú használat veszélye jelentős kihívásokat állít a kiberbiztonsági közösség elé.

A telekommunikációs hálózatok képesek lehetnek megakadályozni ezen támadásokat, és az előfizetők is védekezhetnek azáltal, hogy letiltják eszközeiken az MMS üzenetek automatikus letöltését. Ez a helyzet ismételten rámutat arra, hogy a digitális védelem terén milyen fontos a proaktív magatartás és az állandó tájékozottság.

Az „MMS Ujjlenyomat” technológia leleplezése és az ezzel járó kockázatok felhívják a figyelmet a kiberbiztonsági fenyegetések folyamatos fejlődésére, és arra, hogy a felhasználóknak, vállalatoknak, és kormányzati szerveknek egyaránt éberebbnek és készültebbnek kell lenniük. Az NSO Csoport által és más hasonló szervezetek által kifejlesztett technológiák újabb és újabb kihívásokat állítanak a védelmi intézkedések elé, ami kiemeli a technológiai fejlesztésekkel való lépéstartás és a digitális védelmi mechanizmusok erősítésének fontosságát a kiberbiztonság megőrzésében.

Forrás: www.securityweek.com

Albánia ellen irányuló kiberfenyegetések és a No-Justice törlő szoftver

A legfrissebb kibertámadási hullám az albán intézmények ellen a „No-Justice” elnevezésű törlő szoftver alkalmazását jelentette.

A ClearSky kiberbiztonsági cég szerint ez a Windows rendszeren működő rosszindulatú szoftver az operációs rendszert úgy teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.

Ezeket a behatolásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, amely 2022 júliusa óta folyamatosan végrehajt pusztító akciókat Albánia ellen.

2023. december 24-én az ellenfél egy hosszabb kihagyás után ismét előtérbe került, kijelentve, hogy „ismét eljött az ideje a terroristák támogatóinak lerombolásának”, legfrissebb hadműveletüket #DestroyDurresMilitaryCamp-ként jelölve meg. Jelenleg a durrësi város ad otthont az Iráni Népi Mudzsahedin Szervezetnek, röviden a MEK-nek.

Az akcióban érintett célpontok között található az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán törvényhozás.

A hadjárat során két fő eszközt vetettek be: egy végrehajtható törlő programot és egy PowerShell szkriptet, amely a már említett programot terjeszti tovább a célhálózat többi számítógépére, miután engedélyezte a Windows Távoli Kezelést, ismertebb nevén a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB méretű bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.

Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírást eltávolítva érik el, ami minden merevlemez első szektorát jelenti, azonosítva, hol helyezkedik el az operációs rendszer a lemezen, így lehetővé téve annak betöltését a számítógép RAM-jába.

A támadás során további érvényes eszközöket is felhasználtak, mint például a Plinket, másnéven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletét, amelyek elősegítik a felderítést, az oldalirányú manőverezést és a tartós távoli hozzáférést. Ez az esemény kapcsolatban áll az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team fokozott figyelmével Izrael és az Egyesült Államok irányába a Közel-Keleten fennálló geopolitikai feszültségek között.

„Úgy tűnik, olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra törekvő narratívát alkalmaznak kibertámadásaik során,” számolt be a Check Point a múlt hónapban.

„Az Egyesült Államok területén működő szervezetek izraeli technológiával történő célzásával ezek a hacktivista csoportok egy kettős visszavágó stratégiát igyekeznek megvalósítani, állítólag eg

yszerre Izraelt és az Egyesült Államokat érintő, összehangolt kibertámadás révén.”
A Cyber Toufan különösen több mint 100 szervezet ellen irányuló hackelési és adatszivárogtatási műveletekkel hozható összefüggésbe, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon megosztva.

„Olyan jelentős károkat okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” jelentette ki Kevin Beaumont biztonsági szakértő. „Némelyikük még több mint egy hónappal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami intézmények egyaránt megtalálhatóak.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggésbe hozható hackercsoportot figyel, amelyek rosszindulatú tevékenységet folytatnak az izraeli kibertérben az izraeli-hamási háború 2023 októberi kezdete óta.

Az ügynökség megjegyezte, hogy az alkalmazott módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során használtakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny adatok megsemmisítése érdekében.

Forrás: https://thehackernews.com

Az X közösségi média gold fiókjainak védelme: digitális biztonság és online integritás

A kiberbűnözők átveszik a megerősített „Arany” fiókokat az X nevű közösségi médiaszolgáltatáson, amelyet korábban Twitternek hívtak, majd eladják őket a Dark Weben akár 2 000 dollárért is egy darabonként.

Ezt a jelenséget a CloudSEK kutatása tárt fel, amely felfedezett egyfajta „Arany Lázat”, amelyben ezek a fiókok az underground piacokon bukkannak fel.

Az X-en a „Gold” jelzés azt jelenti, hogy a szolgáltatás függetlenül megerősítette, hogy a fiók valóban egy hírhedt szervezethez vagy hírességhez tartozik. Ezt az opciót egy évvel ezelőtt vezették be fizetős lehetőségként, miután az X a kék pipát – amely korábban a hitelesség jele volt – olyanná tette, hogy bárki hozzáadhatja a profiljához, anélkül, hogy validációt igényelne.

A CloudSEK kutatói szerint a kiberbűnözők most brutális erőszakkal próbálják feltörni a jelszavakat és eltulajdonítani az azonosítókat malware segítségével annak érdekében, hogy hozzáférést szerezzenek meglévő Gold fiókokhoz. Gyakran előfordul az is, hogy átveszik olyan nem-Gold fiókokat is, amelyek valódi szervezetekhez tartoznak, és már hónapok óta nem használták, majd megerősített státuszra emelik azokat. Összességében százak számára kínálnak fiókokat, amelyeknek tízezres követői vannak az underground fórumokon.

Azok a gonosz szándékú személyek, akik hajlandóak fizetni, ezeket a fiókokat használhatják phishing hivatkozások terjesztésére, dezinformációs kampányok és pénzügyi csalások indítására, vagy akár a márkaimázst is károsíthatják, olyan tartalmak közzétételével, amelyek kárt okoznak.

„A Dark Web piacokat elárasztják a Twitter Gold fiókokat kínáló hirdetések” – állapította meg a cég kutatása, amelyet ezen a héten tettek közzé. „Az árak 35 dollártól indulnak egy alap fióknál, és akár 2 000 dollárig terjednek a nagy követői bázissal rendelkező fiókok esetében.”

A kutatók bemutatták a szervezetekre leselkedő veszélyt egy szeptemberi példával: Kiber-támadók sikerrel vették át egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy olyan ajánlatot, amelyben ingyenes nem fungálható tokenek (NFT) állítólagosan elérhetőek voltak, egy rosszindulatú linkkel ellátva, amely átirányította a felhasználókat egy hamis weboldalra, hogy kriptovalutát szivattyúzzanak ki az érintett pénztárcájukból.

„Annak ellenére, hogy körülbelül 20 percig voltak aktívak, a hackerek hihetetlenül 691 000 dollárt szivattyúztak ki digitális eszközökben az átverős poszt eltávolítása előtt” – áll az elemzésben.

Hogyan védekezhetünk az X fiókok átvételével szemben

A nagy fiókokba való beszivárgás értéke már legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkor még Twitternek nevezett platform belső hálózatait, hozzáférést szerezve megerősített fiókokhoz és tweetek küldéséhez több híresség nevében.

Az intézkedések érdekében a szervezeteknek „rendszeresen figyelniük kell a Twitteren a márka említéseket, és erős jelszópolitikát kell bevezetniük a fiókok átvételének megakadályozására” – ajánlja a CloudSEK. Hatékony márkafigyelés azt jelenti, hogy felismerik a hamis profilokat, az engedély nélküli termékhirdetéseket, a félrevezető hirdetéseket és a rosszindulatú tartalmakat.

Forrás:https://www.darkreading.com

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”