05.03.2022 | 15:35

Anna Wasilewska-Śpioch

Weekendowa Lektura: odcinek 457 [2022-03-05]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. W obliczu napaści Rosji na Ukrainę większość publikowanych w tym tygodniu informacji na temat bezpieczeństwa dotyczyła tego właśnie tematu, ale znaleźliśmy trochę także z innych obszarów.

W dzisiejszym wydaniu szczególnie polecamy w części fabularnej kilkuodcinkową analizę treści wewnętrznych czatów grupy Conti, które wyciekły w tym tygodniu (pkt 11). W części technicznej spójrzcie na raport poświęcony możliwości ominięcia systemów uwierzytelniania za pomocą deepfake’ów (pkt 7), poradnik CERT-EU, jak dobrze skonfigurować Signala (pkt 13) oraz świeże analizy złośliwego oprogramowania grasującego obecnie na Ukrainie (pkt 20-22). Miłego klikania!

Jeśli chcecie otrzymywać e-mailową wersję Weekendowej Lektury, to możecie ją zasubskrybować na stronie z3s.pl/wl. Czytelnikom tego wydania regularnie podsyłamy bonusowe linki ;-)

Komentarz eksperta do aktualnych wydarzeń

Wykrycie przez zespół ESET destrukcyjnego malware na maszynach należących do ukraińskich organizacji (są też doniesienia o atakach na systemy litewskie i łotewskie), na kilka godzin przed inwazją Rosji na Ukrainę, pokazuje, że dzieje się to, czego się przez lata spodziewano – regularny konflikt zbrojny został poprzedzony przez ataki cybernetyczne. Najpierw przez wielkoskalowy atak DDoS 15 lutego, który wyłączył szereg stron instytucji ukraińskich, w tym Ministerstwa Obrony Ukrainy, a później przez malware.

Malware, jaki zastosowano, nazwany przez researcherów HermeticWiper, różni się od typowego ransomware. Jego głównym i jedynym zadaniem jest niszczenie danych i unieruchamianie systemów – nie ma tutaj mowy o jakiejkolwiek próbie monetyzacji ataków.

Sama operacja prawdopodobnie była przygotowywana od bardzo dawna, certyfikat, którym podpisane były binaria, wystawiono już w kwietniu 2021, podszywając się pod niewielką cypryjską firmę tworzącą scenariusze gier. Udało się też ustalić, że najstarsze wersje malware pochodziły z października i grudnia 2021. Możliwe jednak, że sam certyfikat został kupiony na czarnym rynku przed atakami.

Do dnia dzisiejszego nie udało się ustalić także odpowiedzialnych za ataki – kod malware jest mocno unikalny i nie przypomina niczego wcześniej spotykanego. Natomiast w związku z korelacją czasową z agresją zbrojną można założyć, że mówimy tutaj o aktorach związanych z Rosją.

Jedynym pozytywem tej sytuacji jest fakt, że sam malware potrzebuje uprawnień użytkownika uprzywilejowanego (uruchamiany był na maszynach, do których atakujący uzyskali już wcześniej dostęp) oraz fakt że malware ten jest wykrywany już przez większość rozwiązań antywirusowych.

Marcin Klimowski
Malware Protection & Network Security Programme Architect, Standard Chartered

Więcej informacji na ten temat znajdziecie w technicznej części Weekendowej Lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – March 5, 2022

Część bardziej fabularna

  1. [PL][AUDIO] „Cyber, Cyber…” – seria Ukraina ACK [1] [2] [3] [4]
  2. [PL][WIDEO] Bezpieczeństwo w czasie wojny – pomagaj z głową
  3. [PL][WIDEO] Atak Denial of Service, czyli jak zapchać nawet najszerszą rurę
  4. [PL][WIDEO] Dyskusja o cyberbezpieczeństwie w kontekście ostatnich wydarzeń
  5. [PL][WIDEO] Rosja odcięta od polskich danych lokalizacyjnych
  6. [PL][WIDEO] Debata Panoptykon 4.0: Big tech na wojnie
  7. [PL] Dane obywateli trafią w ręce wojska? Ustawa o obronie Ojczyzny
  8. [PL] Czy wniesienie apelacji poprzez platformę ePUAP jest skuteczne
  9. FBI dostało się na konto Google założyciela platformy Sci-Hub
  10. Nietypowe żądania grupy, która zhakowała Nvidię
  11. Toyota zawiesza produkcję po ataku na jednego z jej dostawców
  12. Po której stronie są różne grupy hakerskie w wojnie Rosji z Ukrainą
  13. Czego możemy się dowiedzieć z upublicznionych czatów grupy Conti [1] [2] [3]

Część bardziej techniczna

  1. [PL] Złośliwe oprogramowanie bankowe na Androida znów atakuje
  2. [PL] Przypadek phishingu oferujący wizy dla obywateli Ukrainy
  3. UNC1151/GhostWriter odpowiada za ataki phishingowe na ukraińskich żołnierzy
  4. Ucieczka z kontenerów dzięki nowej luce w cgroups na Linuksie
  5. Jak stworzyć keyloggera za pomocą CSS-a
  6. Przestępcy tracą zainteresowanie luką Log4Shell
  7. Omijanie systemów uwierzytelniania za pomocą deepfake’ów (PDF)
  8. Sprzętowy problem kryptograficzny w urządzeniach Samsunga (PDF)
  9. Analiza pomp infuzyjnych pod kątem podatności na ataki
  10. Wzmacnianie ataków DDoS za pomocą urządzeń do filtrowania ruchu
  11. Nietypowy błąd w uczelnianej aplikacji mobilnej
  12. Luki w multimedialnej bibliotece PJSIP zagrażają komunikatorom
  13. Jak bezpiecznie korzystać z Signala – poradnik CERT-EU (PDF)
  14. Orbot – aplikacja proxy opracowana przez Tor Project – dostępna na iOS
  15. Usługa SMS PVA w służbie przestępców [1] [2] [3]
  16. TeaBot zintensyfikował swoje działania na całym świecie
  17. Daxin – chińska tylna furtka zauważona po 10 latach funkcjonowania
  18. Microsoft kompleksowo o atakach realizowanych na terenie Ukrainy
  19. DanaBot wykorzystany w atakach DDoS na ukraińskie Ministerstwo Obrony
  20. IsaacWiper i HermeticWizard – tandem, który atakuje ukraińskie systemy
  21. Świeża analiza oprogramowania HermeticWiper od Malwarebytes
  22. HermeticRansom miał odwrócić uwagę od HermeticWipera
  23. Darmowy dekryptor do ransomware’u HermeticRansom
  24. RuRAT użyty w atakach spear-phishingowych na amerykańskie media
  25. Nowe narzędzia w arsenale irańskiej grupy UNC3313
  26. Kod źródłowy ransomware’u Conti również został ujawniony
  27. Ewolucja zagrożeń atakujących systemy ICS w II połowie 2021 r.

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do serwera z3s na Discordzie i zostawiać swoje znaleziska na kanale „newsy”.

Powrót

Komentarze

  • 2022.03.05 21:18 Czesio

    Szkoda ze nie dodaliscie info o wycieku kodow zrodlowych Samsunga przez ta sama grupe co NVIDIA… wg readme, torrent zawiera:
    Leak of Samsung Electronics data from Lapsus group.

    Part 1 contains a dump of source code and related data about Security/Defense/Knox/Bootloader/TrustedApps and various other items.

    Part 2 contains a dump of source code and related data about device security and encryption related stuffs.

    Part 3 contains various repositorys from Samsung Github. Including Mobile defense engineering, Samsung account backend, Samsung pass backend/frontend, and SES (Bixby, Smartthings, store, etc)

    Part 1 and 2 also contain highly confidential data from Qualcomm and various other samsung parters

    Odpowiedz
    • 2022.03.06 07:31 Xfc

      Co do tego wycieku kodów źródłowych Samsunga, to akurat ta informacja mnie osobiście bardzo ucieszyła. Mam nadzieje że po tym wycieku telefony staną się bardziej przyjazne dla modderów oraz że wreszcie będzie można nagrywać rozmowy bez problemu. Dodać należy że wyciek został udostępniony 4 marca, a same pliki mają około 160 gb.

      Odpowiedz
      • 2022.03.11 00:24 MatkaTereseZKatapulty

        Nagrywac rozmowy mozna, wystarczy zmienic CSC, ale fakt moze w koncu cos ruszy z CustomRomami xd
        Nie ma to jak cieszyc sie z wycieku :p

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Weekendowa Lektura: odcinek 457 [2022-03-05]. Bierzcie i czytajcie

Komentarze