Címke: kibertámadás

Az FBI intenzíven lép fel a Scattered Spider hacker csoport ellen

Az Amerikai Szövetségi Nyomozóiroda (FBI) megerősítette elkötelezettségét azon intézkedések meghozatalára, amelyek célja a Scattered Spider nevű bűnözői csoport elleni fellépés, mely csoport az elmúlt időszakban jelentős számú amerikai vállalat ellen intézett támadásokat, tájékoztatott egy magas rangú tisztviselő.

Tavaly a csoport nevét világszerte ismertté tették, amikor betörtek az MGM Resorts International (MGM.N) és a Caesars Entertainment (CZR.O) kaszinóüzemeltetők rendszereibe, zárolták ezeket és magas váltságdíjakat követeltek. Az egészségügyi, telekommunikációs, valamint pénzügyi szolgáltatások területén tevékenykedő cégek elleni támadásaikkal komoly kihívások elé állították a törvényvégrehajtó hatóságokat.

„Ahol csak lehetséges, bűncselekmények miatt fogjuk vádolni az egyéneket, ebben az esetben főként a Számítógépes Csalás és Visszaélés Törvénye értelmében,” mondta Brett Leatherman, az FBI kiberbiztonsági helyettes igazgatója a Reutersnek.

A banda egy különleges szövetségként ismert, amely a nyugati hackereket összekapcsolja a kelet-európai kiberbűnözők tapasztalataival, mondta Leatherman a San Franciscóban tartott RSA Konferencián.

„Ritkán fordul elő, hogy különböző földrajzi területekről származó hackerek működjenek együtt a hacktivizmuson kívül,” jegyezte meg.

A biztonsági szakértők már legalább 2022 óta követik nyomon a Scattered Spider tevékenységét, és megfigyeléseik szerint a banda jelentősen agresszívebb, mint más hasonló csoportok. Kiemelkedően ügyesek az IT-támogató személyzet azonosságának megszerzésében, amellyel hozzáférnek a cégek hálózataihoz. A Caesars körülbelül 15 millió dollárt fizetett a rendszerei felszabadításáért.

Néhány esetben a csoport tagjai fizikai erőszak fenyegetését is alkalmazták, ami felkeltette a kutatók figyelmét.

Bár az év elején csökkent a banda aktivitása, jelenleg „intenzíven működnek,” mondta Charles Carmakal, a Google Mandiant biztonsági részlegének technológiai igazgatója, aki több áldozattal is együttműködött.

A banda az elmúlt két évben több mint 100 szervezetet vett célba, mindegyikbe valamilyen szinten sikerült behatolniuk, és rendszeresen végeztek sikeres phishing támadásokat.

A támadásaik súlyossága miatt több szakértő kritizálta a letartóztatások hiányát, különösen mivel a csoport tagjai főleg nyugati országokban tartózkodnak.

Leatherman szerint magánbiztonsági cégek segítenek az FBI-nak a bizonyítékok összegyűjtésében.

„A csoport folyamatos figyelése és a zavaró lehetőségek keresése kiemelt fontosságú számunkra,” mondta.

„Egy meghatározott bizonyítási teher teljesítése szükséges a jogi intézkedések végrehajtásához, és ezen az úton haladunk előre,” tette hozzá.

Egy letartóztatás már megtörtént. Januárban az FBI vádat emelt a 19 éves floridai Noah Urban ellen, akit a Scattered Spider egyik tagjaként azonosítottak.

További letartóztatások várhatóak. Mivel a banda tagjai közül néhány még kiskorú, az FBI állami és helyi törvényeket alkalmazhat a bűnözők felelősségre vonására, mondta Leatherman.

„Ez a módszer történelmileg rendkívül hatásosnak bizonyult,” zárta le Leatherman.

Forrás: www.reuters.com

Kiberbiztonsági incidens miatti fennakadások a Malawi Bevándorlási Hivatalnál az útlevélkiadás terén

A Malawi Bevándorlási Hivatal nemrégiben egy váratlan és kihívásokkal teli helyzettel szembesült, amikor egy zsarolóvírusos kibertámadás érte a hivatal számítógépes rendszerét. Ennek következtében a kormányzat arra kényszerült, hogy ideiglenesen leállítsa az útlevélkiadást, egy olyan intézkedés, amely már az elmúlt két hét folyamán is érvényben volt. Ez a lépés jelentős hatással van a malawi polgárokra, különösen azokra, akik külföldi munkavállalás céljából kívánnak utazni és emiatt sürgősen szükségük lenne útlevelükre.

Az ország vezetője, Lazarus Chakwera elnök, egy nyilvános közleményben számolt be arról, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány nem hajlandó megadni magát a zsarolásnak. Az elnök egyértelművé tette, hogy Malawi nem fogja „kényeztetni a bűnözőket” és nem tervez tárgyalásokat kezdeni „azokkal, akik fenyegetést jelentenek országunk szuverenitására”. Ez az álláspont egy világos üzenetet küld a kiberbűnözőknek, jelezve, hogy Malawi elutasítja a jogellenes tevékenységeket és határozottan fellép az ilyen típusú fenyegetésekkel szemben.

A kibertámadással kapcsolatos további részletek még nem kerültek nyilvánosságra. A kormányzat nem közölte, hogy kik állnak a támadás mögött, vagy hogy bármely érzékeny adat kompromittálódott-e. Ez fokozza a lakosság aggodalmait, hiszen sokan tartanak attól, hogy személyes és bizalmas adataik illetéktelen kezekbe kerültek.

Azonban Chakwera elnök optimista a helyzet megoldását illetően. Beszámolója szerint a bevándorlási hivatal egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadás újraindítását a közeljövőben, egy meghatározott háromhetes határidőn belül. Az elnök emellett kiemelte, hogy a kormány egy hosszú távú stratégián dolgozik, amely magában foglalja a rendszer védelmének megerősítését további biztonsági intézkedések bevezetésével. Ez a lépés létfontosságú a jövőbeni kiberfenyegetések elleni védelem szempontjából, amivel garantálható a bevándorlási szolgáltatások zökkenőmentes működése.

Ez az esemény nem újdonság Malawi történelmében, korábban is volt már példa útlevélkiadás szüneteltetésére. Azonban a mostani felfüggesztés különösen problematikus időszakban következett be, tekintve, hogy az útlevelek iránti kereslet jelentős mértékben növekedett. Számos polgár a jobb életminőség és munkalehetőségek keresése miatt tervezi, hogy elhagyja az országot, így az útlevélkiadási folyamatok felfüggesztése közvetlenül befolyásolja terveiket.

A közelgő időszakban a közvélemény figyelme a Malawi kormány és a bevándorlási hivatal tevékenységére irányul, kíváncsian várva, hogy képesek lesznek-e hatékonyan kezelni ezt a válsághelyzetet és helyreállítani a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem napjainkban kulcsfontosságú tényezővé vált a globális üzleti és informatikai közegben, és Malawi jelenlegi helyzete ismételten rámutat arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan frissíteniük kell védelmi mechanizmusaikat, hogy megfeleljenek a modern világ kihívásainak.

Forrás: www.darkreading.com

Albánia ellen irányuló kiberfenyegetések és a No-Justice törlő szoftver

A legfrissebb kibertámadási hullám az albán intézmények ellen a „No-Justice” elnevezésű törlő szoftver alkalmazását jelentette.

A ClearSky kiberbiztonsági cég szerint ez a Windows rendszeren működő rosszindulatú szoftver az operációs rendszert úgy teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.

Ezeket a behatolásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, amely 2022 júliusa óta folyamatosan végrehajt pusztító akciókat Albánia ellen.

2023. december 24-én az ellenfél egy hosszabb kihagyás után ismét előtérbe került, kijelentve, hogy „ismét eljött az ideje a terroristák támogatóinak lerombolásának”, legfrissebb hadműveletüket #DestroyDurresMilitaryCamp-ként jelölve meg. Jelenleg a durrësi város ad otthont az Iráni Népi Mudzsahedin Szervezetnek, röviden a MEK-nek.

Az akcióban érintett célpontok között található az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán törvényhozás.

A hadjárat során két fő eszközt vetettek be: egy végrehajtható törlő programot és egy PowerShell szkriptet, amely a már említett programot terjeszti tovább a célhálózat többi számítógépére, miután engedélyezte a Windows Távoli Kezelést, ismertebb nevén a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB méretű bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.

Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírást eltávolítva érik el, ami minden merevlemez első szektorát jelenti, azonosítva, hol helyezkedik el az operációs rendszer a lemezen, így lehetővé téve annak betöltését a számítógép RAM-jába.

A támadás során további érvényes eszközöket is felhasználtak, mint például a Plinket, másnéven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletét, amelyek elősegítik a felderítést, az oldalirányú manőverezést és a tartós távoli hozzáférést. Ez az esemény kapcsolatban áll az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team fokozott figyelmével Izrael és az Egyesült Államok irányába a Közel-Keleten fennálló geopolitikai feszültségek között.

„Úgy tűnik, olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra törekvő narratívát alkalmaznak kibertámadásaik során,” számolt be a Check Point a múlt hónapban.

„Az Egyesült Államok területén működő szervezetek izraeli technológiával történő célzásával ezek a hacktivista csoportok egy kettős visszavágó stratégiát igyekeznek megvalósítani, állítólag eg

yszerre Izraelt és az Egyesült Államokat érintő, összehangolt kibertámadás révén.”
A Cyber Toufan különösen több mint 100 szervezet ellen irányuló hackelési és adatszivárogtatási műveletekkel hozható összefüggésbe, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon megosztva.

„Olyan jelentős károkat okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” jelentette ki Kevin Beaumont biztonsági szakértő. „Némelyikük még több mint egy hónappal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami intézmények egyaránt megtalálhatóak.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggésbe hozható hackercsoportot figyel, amelyek rosszindulatú tevékenységet folytatnak az izraeli kibertérben az izraeli-hamási háború 2023 októberi kezdete óta.

Az ügynökség megjegyezte, hogy az alkalmazott módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során használtakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny adatok megsemmisítése érdekében.

Forrás: https://thehackernews.com

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”

Iránból Indított Kibertámadások Célpontja Az Izraeli Technológia és Oktatás

2023 januárjában kezdődött az a sorozat, melynek során számos izraeli felsőoktatási és technológiai intézmény került pusztító kibertámadások célpontjává. Az incidensek elsődleges célja új, eddig ismeretlen adattörlő vírusok telepítése volt.

E behatolásokat az Agonizing Serpens néven ismert iráni hackercsoport hajtotta végre, melyet más néven is ismernek, többek között Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven.

A Palo Alto Networks Unit 42 kutatócsoportja szerint a támadások leginkább az adatok, köztük a személyes azonosító információk (PII) és a szellemi tulajdonok eltulajdonítására irányultak. „Az adatlopás után a támadók különféle adattörlő szoftvereket telepítettek, hogy eltüntessék nyomaikat és tönkretegyék a fertőzött rendszereket,” áll a The Hacker News-szal megosztott jelentésben.

E támadások során három különleges, újszerű adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t és a BFG Agonizer-t, valamint a Sqlextractor nevű speciális eszközt, amit adatbázis-szerverekből való adatkinyerésre fejlesztettek.

Az Agonizing Serpens csoportot 2020 decemberében izraeli célpontok elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point májusban részletezte, hogy a csoport a Moneybird nevű zsarolóprogramot is alkalmazta az ország elleni támadások során.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki az elsődleges bejutási pontként, ahol webhéjakat telepítettek, felderítették a célhálózatot, és megszerezték a rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait. Ezt követően az adatokat különböző nyilvános és egyedi eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták, majd a törlő vírusokat telepítették.

A MultiLayer egy .NET alapú vírus, ami fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, megnehezítve a helyreállítást és a rendszerindító szektort törölve, így használhatatlanná téve a rendszert. A PartialWasher egy C++ alapú vírus, ami merevlemezeket vizsgál és bizonyos mappákat, illetve almappáikat törli. A BFG Agonizer egy CRYLINE-v5.0 nevű nyílt forráskódú projekten alapuló vírus.

Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is használta.

„Úgy tűnik, az Agonizing Serpens APT csoport fokozta képességeit, jelentős erőfeszítéseket és forrásokat fordítva az EDR és más biztonsági megoldások kijátszására,” jelentették ki a kutatók. „E célból váltakozva alkalmaztak különféle ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű szoftvereket.”

A támadások nem csak az izraeli intézmények számára jelentettek komoly veszélyt, hanem az egész nemzetközi közösség számára is figyelmeztetést jelentenek a kiberbiztonsági fenyegetések fokozódására. Az izraeli hatóságok és a nemzetközi kiberbiztonsági szakértők együttműködése kulcsfontosságú lesz a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat arra is, hogy a kiberbiztonság nem csak a technológiai cégek, hanem az oktatási intézmények számára is alapvető fontosságú, és mindkét szektorban szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek az érintett intézmények védelme és a támadók azonosítása érdekében.

Forrás: www.thehackernews.com

Francia Adatlopás: Tízmillió Embert Érint a Pôle Emploi Ügynökség Adatszivárgása

Adatlopás történt Franciaországban: A biztonsági incidens tízmillió embert érint

 

A francia Pôle Emploi ügynökség, amely álláskeresési és pénzügyi segélyezési szolgáltatásokat támogat, beszámolót adott ki egy adatlopásról, amely során tízmillió ember személyes adatai kerültek illetéktelen kezekbe.

„A Pôle Emploi értesült egy biztonsági problémáról, amely egyik szolgáltatójánál keletkezett és az álláskeresők személyes információinak nyilvánosságra kerülését eredményezte,” olvasható a hivatalos közleményben.

„A 2022-ben regisztrált álláskeresők, valamint az ügynökség korábbi felhasználói is lehetségesen érintettek lehetnek az adatlopásban” – derült ki a Pôle Emploi hivatalos weboldaláról.

Az ügynökség nem közölt részleteket az érintett személyek számáról, de a Le Parisien című lap szerint a szivárgás körülbelül tízmillió embert érinthet. A szám a 2022-es regisztrációk és az elmúlt év adatsorából származik, amelyek még mindig jelen vannak az ügynökség rendszerében.

A pénzügyi segélyek nem érintettek

A kompromittált információk között szerepelnek teljes nevek és társadalombiztosítási számok, azonban e-mail címek, telefonszámok, jelszavak és bankszámla-információk nem kerültek rossz kezekbe.

Annak ellenére, hogy az érintett adatok korlátozottan használhatók fel kibertámadásokban, a Pôle Emploi az álláskeresőknek azt ajánlja, hogy legyenek óvatosak az érkező kommunikációval kapcsolatban.

Az ügynökség külön telefonszámot is létrehozott, ahol az érintett személyek információkat kaphatnak az esetről.

A Pôle Emploi azt közölte, hogy minden erőfeszítést megtesz az álláskeresők adatainak védelmében, és további biztonsági intézkedéseket tervez bevezetni, hogy megakadályozza a hasonló esetek előfordulását.

Az ügynökség hozzátette, hogy a pénzügyi segélyezési programjai nem érintettek, és az álláskeresők továbbra is bizalommal használhatják az online szolgáltatásaikat.

MOVEit Listázás

Az Emsisoft biztonsági cég MOVEit platformján az adatlopásért felelős szolgáltatóként a Pôle Emploi-t is megnevezte, és megerősítette, hogy az eset tízmillió embert érint.

A Clop ransomware csoport, amely az adatlopást elkövette, még nem tette közzé az ügynökséget zsarolási oldalán.

Korábban a támadók állították, hogy nem hozzák nyilvánosságra az állami ügynökségektől származó adatokat, így nem világos, hogy a csend az ő taktikájuknak tulajdonítható-e.

A Pôle Emploi a Maximus után a második helyen áll az érintett egyének számát tekintve, amelynek esetében 11 millió ember érintett, míg a MOVEit támadási kampány összesen 59,2 millió embert és 988 szervezetet kompromittált.

Forrás: www.leparisien.fr