Zapraszamy do nowego wydania Weekendowej Lektury. W obliczu napaści Rosji na Ukrainę większość publikowanych w tym tygodniu informacji na temat bezpieczeństwa dotyczyła tego właśnie tematu, ale znaleźliśmy trochę także z innych obszarów.
W dzisiejszym wydaniu szczególnie polecamy w części fabularnej kilkuodcinkową analizę treści wewnętrznych czatów grupy Conti, które wyciekły w tym tygodniu (pkt 11). W części technicznej spójrzcie na raport poświęcony możliwości ominięcia systemów uwierzytelniania za pomocą deepfake’ów (pkt 7), poradnik CERT-EU, jak dobrze skonfigurować Signala (pkt 13) oraz świeże analizy złośliwego oprogramowania grasującego obecnie na Ukrainie (pkt 20-22). Miłego klikania!
Jeśli chcecie otrzymywać e-mailową wersję Weekendowej Lektury, to możecie ją zasubskrybować na stronie z3s.pl/wl. Czytelnikom tego wydania regularnie podsyłamy bonusowe linki ;-)
Wykrycie przez zespół ESET destrukcyjnego malware na maszynach należących do ukraińskich organizacji (są też doniesienia o atakach na systemy litewskie i łotewskie), na kilka godzin przed inwazją Rosji na Ukrainę, pokazuje, że dzieje się to, czego się przez lata spodziewano – regularny konflikt zbrojny został poprzedzony przez ataki cybernetyczne. Najpierw przez wielkoskalowy atak DDoS 15 lutego, który wyłączył szereg stron instytucji ukraińskich, w tym Ministerstwa Obrony Ukrainy, a później przez malware.
Malware, jaki zastosowano, nazwany przez researcherów HermeticWiper, różni się od typowego ransomware. Jego głównym i jedynym zadaniem jest niszczenie danych i unieruchamianie systemów – nie ma tutaj mowy o jakiejkolwiek próbie monetyzacji ataków.
Sama operacja prawdopodobnie była przygotowywana od bardzo dawna, certyfikat, którym podpisane były binaria, wystawiono już w kwietniu 2021, podszywając się pod niewielką cypryjską firmę tworzącą scenariusze gier. Udało się też ustalić, że najstarsze wersje malware pochodziły z października i grudnia 2021. Możliwe jednak, że sam certyfikat został kupiony na czarnym rynku przed atakami.
Do dnia dzisiejszego nie udało się ustalić także odpowiedzialnych za ataki – kod malware jest mocno unikalny i nie przypomina niczego wcześniej spotykanego. Natomiast w związku z korelacją czasową z agresją zbrojną można założyć, że mówimy tutaj o aktorach związanych z Rosją.
Jedynym pozytywem tej sytuacji jest fakt, że sam malware potrzebuje uprawnień użytkownika uprzywilejowanego (uruchamiany był na maszynach, do których atakujący uzyskali już wcześniej dostęp) oraz fakt że malware ten jest wykrywany już przez większość rozwiązań antywirusowych.
Marcin Klimowski
Malware Protection & Network Security Programme Architect, Standard Chartered
Więcej informacji na ten temat znajdziecie w technicznej części Weekendowej Lektury.
Wersja anglojęzyczna
Część bardziej fabularna
- [PL][AUDIO] „Cyber, Cyber…” – seria Ukraina ACK [1] [2] [3] [4]
- [PL][WIDEO] Bezpieczeństwo w czasie wojny – pomagaj z głową
- [PL][WIDEO] Atak Denial of Service, czyli jak zapchać nawet najszerszą rurę
- [PL][WIDEO] Dyskusja o cyberbezpieczeństwie w kontekście ostatnich wydarzeń
- [PL][WIDEO] Rosja odcięta od polskich danych lokalizacyjnych
- [PL][WIDEO] Debata Panoptykon 4.0: Big tech na wojnie
- [PL] Dane obywateli trafią w ręce wojska? Ustawa o obronie Ojczyzny
- [PL] Czy wniesienie apelacji poprzez platformę ePUAP jest skuteczne
- FBI dostało się na konto Google założyciela platformy Sci-Hub
- Nietypowe żądania grupy, która zhakowała Nvidię
- Toyota zawiesza produkcję po ataku na jednego z jej dostawców
- Po której stronie są różne grupy hakerskie w wojnie Rosji z Ukrainą
- Czego możemy się dowiedzieć z upublicznionych czatów grupy Conti [1] [2] [3]
Część bardziej techniczna
- [PL] Złośliwe oprogramowanie bankowe na Androida znów atakuje
- [PL] Przypadek phishingu oferujący wizy dla obywateli Ukrainy
- UNC1151/GhostWriter odpowiada za ataki phishingowe na ukraińskich żołnierzy
- Ucieczka z kontenerów dzięki nowej luce w cgroups na Linuksie
- Jak stworzyć keyloggera za pomocą CSS-a
- Przestępcy tracą zainteresowanie luką Log4Shell
- Omijanie systemów uwierzytelniania za pomocą deepfake’ów (PDF)
- Sprzętowy problem kryptograficzny w urządzeniach Samsunga (PDF)
- Analiza pomp infuzyjnych pod kątem podatności na ataki
- Wzmacnianie ataków DDoS za pomocą urządzeń do filtrowania ruchu
- Nietypowy błąd w uczelnianej aplikacji mobilnej
- Luki w multimedialnej bibliotece PJSIP zagrażają komunikatorom
- Jak bezpiecznie korzystać z Signala – poradnik CERT-EU (PDF)
- Orbot – aplikacja proxy opracowana przez Tor Project – dostępna na iOS
- Usługa SMS PVA w służbie przestępców [1] [2] [3]
- TeaBot zintensyfikował swoje działania na całym świecie
- Daxin – chińska tylna furtka zauważona po 10 latach funkcjonowania
- Microsoft kompleksowo o atakach realizowanych na terenie Ukrainy
- DanaBot wykorzystany w atakach DDoS na ukraińskie Ministerstwo Obrony
- IsaacWiper i HermeticWizard – tandem, który atakuje ukraińskie systemy
- Świeża analiza oprogramowania HermeticWiper od Malwarebytes
- HermeticRansom miał odwrócić uwagę od HermeticWipera
- Darmowy dekryptor do ransomware’u HermeticRansom
- RuRAT użyty w atakach spear-phishingowych na amerykańskie media
- Nowe narzędzia w arsenale irańskiej grupy UNC3313
- Kod źródłowy ransomware’u Conti również został ujawniony
- Ewolucja zagrożeń atakujących systemy ICS w II połowie 2021 r.
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do serwera z3s na Discordzie i zostawiać swoje znaleziska na kanale „newsy”.
Komentarze
Szkoda ze nie dodaliscie info o wycieku kodow zrodlowych Samsunga przez ta sama grupe co NVIDIA… wg readme, torrent zawiera:
Leak of Samsung Electronics data from Lapsus group.
Part 1 contains a dump of source code and related data about Security/Defense/Knox/Bootloader/TrustedApps and various other items.
Part 2 contains a dump of source code and related data about device security and encryption related stuffs.
Part 3 contains various repositorys from Samsung Github. Including Mobile defense engineering, Samsung account backend, Samsung pass backend/frontend, and SES (Bixby, Smartthings, store, etc)
Part 1 and 2 also contain highly confidential data from Qualcomm and various other samsung parters
Co do tego wycieku kodów źródłowych Samsunga, to akurat ta informacja mnie osobiście bardzo ucieszyła. Mam nadzieje że po tym wycieku telefony staną się bardziej przyjazne dla modderów oraz że wreszcie będzie można nagrywać rozmowy bez problemu. Dodać należy że wyciek został udostępniony 4 marca, a same pliki mają około 160 gb.
Nagrywac rozmowy mozna, wystarczy zmienic CSC, ale fakt moze w koncu cos ruszy z CustomRomami xd
Nie ma to jak cieszyc sie z wycieku :p