Security Insights: Октябрь – месяц кибербезопасности
Опубликовано: 02.10.2023
Security Insights: Октябрь – месяц кибербезопасности
Месяц кибербезопасности начался
Европейский месяц кибербезопасности только начался, и в этом году основное внимание уделяется борьбе с социальной инженерией. Этот кампания,организованный агентством ENISA совместно с Европейской комиссией и государствами-членами ЕС, направлен на повышение осведомленности о киберугрозах. Темой этого года является упомянутая социальная инженерия, поэтому внимание будет обращено в основном на мошенников, которые пытаются манипулировать людьми с целью получения их конфиденциальной информации и финансовых ресурсов. В этом году нам уже 11-й год.
Недавний поспособствовал выбору темы отчет ENISA,в котором фишинг назван наиболее распространенным способом получения злоумышленниками доступа к конфиденциальным данным. В течение октября по всей Европе пройдут различные мероприятия и кампании, а наиболее успешные рекламные материалы, созданные государствами-членами ЕС, будут награждены.
Тьерри Бретон, комиссар по внутреннему рынку, предупредил по этому поводу, что мошенники становятся все изощреннее и люди должны быть бдительными и серьезно относиться к онлайн-безопасности, поскольку киберугрозы быстро развиваются, и интернет-безопасность является нашей коллективной ответственностью. Вот почему мы, сообщество ИТ и безопасности, должны распространять базовую информацию о безопасности, и не только в октябре.
Европейская кампания в чем-то вдохновлена американской» Месяц осведомленности о кибербезопасности ", о чем объявляют президент США и Конгресс США с 2004 года. В США это событие уже отмечает свое 20-летие, и в связи с этим Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) представил программу «Безопасный наш мир». В нем выделены четыре ключевых шага для безопасного поведения в Интернете: использование надежных паролей, использование многофакторной аутентификации (MFA), распознавание фишинга и сообщение о нем, а также обновление программного обеспечения.
Хакеры из группы Монти предположительно украли данные Университета обороны
В результате неосторожного подхода Университета обороны было скачано около 750 гигабайт внутренней информации, включая конфиденциальные данные студентов, сотрудников, внутренние документы Минобороны, чертежи некоторых зданий и что-то совсем нехорошее, о чем мы еще поговорим. пока не говорю. Третьего октября вся информация будет опубликована. Эта информация появилась на «Стене позора» группы вымогателей Monti 20 сентября.
В списке, который она опубликовала на своем сайте, около 150 000 файлов, и судя по названиям, это, скорее всего, различные электронные письма, файлы с информацией о сотрудниках и студентах, протоколы совещаний, финансовые отчеты, оперативные документы и другие. Они датированы 10-летней давностью.
Представитель университета Владимир Шидла подтвердил, что военный колледж занимается этим делом и дело рассматривается прокуратурой. Однако он не желает комментировать подробную информацию в связи со следствием.
Запись Университета обороны на Стене позора Monti Group.
Автор: АЛЕФ CSIRTГигант автоматизации Johnson Controls подвергся атаке группы вымогателей
Компания Johnson Controls пострадала масштабная атака с использованием программы-вымогателя,что привело к сбою некоторых ИТ-систем. Атака нарушила некоторые операции, в том числе серверы VMware ESXi, что повлияло на деятельность компании и ее дочерних компаний. Johnson Controls — одна из крупнейших компаний, работающих в области умных зданий.
Организаторами этой атаки считается группа вымогателей Dark Angels. Группа требует 51 миллион долларов за предоставление ключа дешифрования и удаление украденных данных. Злоумышленники утверждают, что в ходе атаки похитили около 27 ТБ данных и зашифровали вышеупомянутые гипервизоры VMware ESXi.
Часть первой информации об атаке предоставили клиенты York, дочерней компании Johnson Controls, которые были предупреждены о недоступности систем компании. Некоторые из этих клиентов сообщили, что упоминалась возможная связь с кибератакой.
Он опубликовал это в среду утром Твиттер Один из исследователей из Nextron Systems предоставил образец инструмента шифрования Dark Angels для VMware ESXi, содержащий записку о выкупе, в которой говорилось, что он использовался против Johnson Controls. В соответствии с информация от членов сообщества безопасности на Virus Total — это программа-вымогатель для Linux, похожая, например, на RagnarLocker.
Китайские хакеры атакуют маршрутизаторы Cisco
Американские и японские спецслужбы в своих недавних сообщение они предупреждают против китайской хакерской группы BlackTe, которая использует специально созданное вредоносное ПО для атак на сетевое оборудование Cisco. Они используют это вредоносное ПО для установки бэкдоров на устройства с целью создания персистенции и получения доступа к сетям транснациональных компаний. Согласно предоставленной информации, само вредоносное ПО в некоторых случаях подписано украденными сертификатами цифровой подписи, что затрудняет его обнаружение защитным ПО.
Согласно отчету, злоумышленники нацелены на дочерние компании транснациональных корпораций США и Японии, где они пытаются получить первоначальный доступ к их сетям и использовать сетевые доверительные отношения для распространения на другие среды и штаб-квартиры корпораций. В частности, получив точку входа в целевую сеть и получив административный доступ к периферийным устройствам, злоумышленники используют вредоносное ПО для изменения памяти устройства, чтобы обойти функции проверки подписи Cisco ROM Monitor. Это позволяет заменить легитимную Cisco IOS на вредоносную прошивку, которая предварительно оснащена бэкдором SSH, обеспечивающим скрытый нерегистрируемый доступ к устройству. Этот бэкдор SSH активируется и деактивируется с помощью специально созданных пакетов TCP или UDP. Это позволяет злоумышленникам BlackTe сохранять доступ к скомпрометированному маршрутизатору, при этом их соединение не может быть легко обнаружено.
Cisco однако успокаивает своих клиентов в том, что группа BlackTe не использовала никаких уязвимостей в своих продуктах или сертификатах подписи. Далее отмечается, что описанная спецслужбами техника атаки с модификацией прошивки работает только против старых и неподдерживаемых продуктов.
Системным администраторам рекомендуется заменить все устройства, срок службы которых истек, или обновить устройства до устройств с функцией безопасной загрузки. Также рекомендуется следить за несанкционированной загрузкой загрузчика, прошивки и необычными перезагрузками устройства, которые могут быть частью загрузки модифицированной прошивки на маршрутизаторы. Они также должны отслеживать весь SSH-трафик на устройствах, находящихся под их управлением.
BlackTe — китайская хакерская группа, действующая как минимум с 2010 года. Например, она известна проведением кампаний кибершпионажа в Азии, нацеленных на организации в Гонконге, Японии и Тайване. В прошлом эта группа преследовала правительственные организации и компании, работающие в сфере электроники, телекоммуникаций, технологий, средств массовой информации и телекоммуникаций.
Репозитории GitHub подверглись атаке информационных воров
Репозитории GitHub нацелены новая наступательная кампания,который маскирует вредоносный код под коммит Dependabot и стремится украсть пароли и конфиденциальные данные. Dependabot используется для автоматического обновления зависимостей и интегрируется непосредственно в GitHub. Встроенный вредоносный код проникает секреты проекта, определенные GitHub, на сервер C2 и внедряет JavaScript в формы внутри проекта для кражи паролей пользователей konz.
Злоумышленники, вероятно, получили доступ к репозиториям, используя скомпрометированные токены личного доступа (PAT) разработчиков. Однако точный способ, которым могла произойти эта кража, в настоящее время неясен. Однако свою роль в краже могли сыграть и мошеннические вредоносные пакеты, которые разработчики по незнанию установили с помощью, например, npm или PyPI. Вся кампания подчеркивает постоянные угрозы экосистемам с открытым исходным кодом и цепочкам поставок.
В двух словах
Ради забавы
О сериале
Эта серия публикуется поочередно с помощью сотрудников Команда национальной безопасности CSIRT.CZ под управлением ассоциации CZ.NIC и команда безопасности CESNET-СЕРТС ассоциация СЕСНЕТ,служба безопасности АЛЕФ-CSIRT и эксперт по безопасности Ян Копржива. Подробнее о сериале…