szukaj

20.03.2022 | 12:14

avatar

Anna Wasilewska-Śpioch

Weekendowa Lektura: odcinek 459 [2022-03-20]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Co prawda, weekend już powoli się kończy, ale zostało jeszcze kilka godzin (o nocy nie wspominając) na przejrzenie zgromadzonych przez nas linków. Życzymy udanej lektury.

W dzisiejszym wydaniu szczególnie polecamy w części fabularnej nieco krytyczny artykuł o ostatnich działaniach Anonymous (pkt 3) oraz doniesienia o tym, że niemieckie BSI zaleca rezygnację z rozwiązań antywirusowych firmy Kaspersky (pkt 8). W części technicznej spójrzcie na informacje o świeżo odkrytym unixowym rootkicie wykorzystywanym przez grupę LightBasin do okradania bankomatów (pkt 10), analizę działań grupy Exotic Lily, która sprzedawała dostęp do zhakowanych systemów m.in. operatorom ransomware’u Conti (pkt 14) oraz ustalenia CISA dotyczące rosyjskich grup APT posługujących się luką PrintNightmare (pkt 22). Miłego klikania!

Jeśli chcecie otrzymywać e-mailową wersję Weekendowej Lektury, to możecie ją zasubskrybować na stronie z3s.pl/wl. Czytelnikom tego wydania regularnie podsyłamy bonusowe linki ;-)

Komentarz eksperta do aktualnych wydarzeń

Praktycznie każdego dnia, od kiedy rozpoczął się atak Rosji na Ukrainę, w mass mediach możemy przeczytać o planowanych atakach ze strony grupy Anonymous – jest to pokłosie „cyber wojny” wypowiedzianej przez tę organizację Rosji 24 lutego.

Takie zapowiedzi spotykają się z dużym entuzjazmem opinii publicznej. Należy jednak przyznać, że rzadko kiedy planowane akcje faktycznie następują, a jeszcze rzadziej ich rezultaty są aż tak spektakularne, jak je zapowiadano. Coraz częściej pojawia się zatem pytanie, czy należy zacząć wątpić w „legendę” Anonymous?

Odpowiedź na to pytanie nie jest jednoznaczna, trudność wynika z następujących faktów:

  • Grupa Anonymous nie jest organizacją homogeniczną, a także nie ma jednego centralnego punktu, który zarządzałby jej działaniem – każdy może ogłosić, że działa w ramach tej grupy i planuje jakiś znaczący atak, a post factum nie ma możliwości osobistego rozliczenia z niespełnionych zapowiedzi i skonfrontowania rezultatów z planami.
  • Rosja w żadnym wypadku nie jest zainteresowana, aby ewentualne sukcesy grupy były nagłaśniane, konsekwentnie więc im zaprzecza bądź też stara się umniejszyć ich rzeczywisty rezultat. Dodatkowo, w związku z blokadą informacyjną po stronie rosyjskiej, trudno jest dotrzeć do niezależnych źródeł celem oceny skuteczności ataku – przykładowo nie jesteśmy w stanie obiektywnie stwierdzić, jaki był dokładnie zasięg i rezultat ataku na rosyjskie kanały telewizyjne, w ramach których rosyjscy obywatele mieli być informowani o rzeczywistym przebiegu wojny na Ukrainie.
  • Tego typu działania są efektywne, jeżeli są niespodziewane. Możliwe zatem, że Anonymous celowo wprowadzają zamęt informacyjny i korzystając z „mgły wojny” i mechanizmów PsyOps, starają się uśpić czujność służb rosyjskich i zaatakować w zupełnie innym miejscu, niż zapowiadano. Efekty ataków, mimo że dotkliwe dla przeciwnika, nie zawsze muszą być potem ujawniane szerszej opinii publicznej.

Reasumując, na tym etapie trudno o jednoznaczna ocenę skuteczności grupy Anonymous. Faktem jest jednak, że grupa działa i niezaprzeczalnie odnosi pewne sukcesy – vide niedawne ataki typu DDoS na rosyjskie strony rządowe i banki.

Piotr Buczek
Vice President, Product Manager, Privileged Identity Management Hive, Standard Chartered

Więcej informacji na temat Anonymous znajdziecie w fabularnej części Weekendowej Lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – March 20, 2022

Część bardziej fabularna

  1. [PL][WIDEO] Rozmowa Kontrolowana z Piotrem Kalbarczykiem, CSO w PKO BP
  2. [PL][WIDEO] Geolokalizacja, jak ją oszukać? Czyli GPS i przyjaciele
  3. [PL] Anonymous do Putina: „Znajdziemy każdego trupa kryjącego się w twojej szafie”. Wciąż nie znaleźli
  4. [PL][WIDEO] Twitter, TikTok, trolle. Dlaczego Internet jest kluczowy dla obrony Ukrainy?
  5. [PL] Dezinformacja wokół wojny w Ukrainie. Światowe narracje i trendy
  6. [PL] Meta chciała pozwolić na grożenie śmiercią, ale nie chce zmieniać swoich szkodliwych algorytmów
  7. Rosyjscy i białoruscy badacze wykluczeni z części programów bug bounty
  8. Niemieckie BSI zaleca rezygnację z rozwiązań Kaspersky’ego + stanowisko firmy
  9. Ukraina zaczęła używać wyszukiwarki twarzy Clearview AI do celów wojennych
  10. Autonomiczne wieże obserwacyjne z AI na granicy USA z Meksykiem
  11. Masywny atak DDoS na izraelskie strony rządowe
  12. Rostec, rosyjski państwowy koncern lotniczy i obronny, ofiarą ataku DDoS
  13. Producent części samochodowych Denso zaatakowany przez ransomware Pandora

Część bardziej techniczna

  1. [PL] Analiza pliku Word Office od APT Gamaredon
  2. Analiza podatności Dirty Pipe w jądrze Linuksa
  3. Świeży pakiet aktualizacji dla systemów iOS i iPadOS
  4. Wyodrębnianie oprogramowania sprzętowego drukarki Lexmark z pamięci flash
  5. Analiza podatności w zabezpieczeniach drukarki Lexmark
  6. Aplikacja Top Navigation z trojanem na pokładzie dostała się do Google Play
  7. Escobar – nowe wcielenie bankowego trojana AbereBot
  8. Trojan Escobar wykrada jednorazowe kody z Google Authenticatora
  9. Wykorzystywanie routerów MikroTik w infrastrukturze C2 trojana Trickbot
  10. Nowy unixowy rootkit wspomagający okradanie bankomatów
  11. Destrukcyjne oprogramowanie CaddyWiper atakuje ukraińskie systemy
  12. Jeszcze jedna analiza CaddyWipera, trzeciego już wipera odkrytego na Ukrainie
  13. Analiza funkcjonowania grupy Conti oparta na ostatnim wycieku czatów
  14. Grupa Exotic Lily sprzedawała dostęp do systemów operatorom Conti
  15. Za ataki DDoS na Ukrainie odpowiada nowy botnet Zhadnost
  16. Botnet Cyclops Blink wziął na celownik routery Asusa
  17. Nowy botnet B1txor20wykorzystuje tunelowanie DNS i lukę Log4Shell
  18. Popularny pakiet npm usuwa pliki z systemów rosyjskich i białoruskich programistów
  19. Fałszywe oprogramowanie do tłumaczenia w służbie grupy atakującej Ukrainę
  20. Oprogramowanie MicroBackdoor użyte w atakach na ukraińskie agencje rządowe
  21. Fałszywa aktualizacja antywirusa Bitdefender instaluje Cobalt Strike’a
  22. Rosyjskie grupy APT wykorzystują podatność PrintNightmare
  23. Wiele stron hostowanych przez GoDaddy zainfekowano jednocześnie backdoorem
  24. CoverDrop – system zapewniający bezpieczną komunikację dla sygnalistów (PDF)

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do serwera z3s na Discordzie i zostawiać swoje znaleziska na kanale „newsy”.

Powrót

Komentarze

  • avatar
    2022.03.20 21:37 B0mb4

    Laboratoria bio są… Podsekretarz Nuland spowiada się z tego kongresowi USA. Także demagog to sam w sobie jest dezinformacja. Może rzez w Oddessie w 2014 też nie miała miejsca? Jestem zmęczony narracja pro UA tak samo jak TVP PiS….

    Odpowiedz
  • avatar
    2022.03.21 12:00 Michał Głuchowski

    Najciekawsze w temacie punktu 10. jest sposób, w jaki dostano się do środowiska PCI DSS i zainstalowano tam cokolwiek.
    Mając dostęp do device handlera bankomatowego najczęściej nie potrzeba robić takich dziwacznych operacji, jak te opisane – trochę brakuje informacji o tym, do czego miałby służyć atak powtórzeniowy na zaszyfrowany pinblock. Dla współcześnie akceptowanych formatów pinblocku ten atak nie ma większego sensu. Zresztą, zarówno ta informacja o weryfikacji danych karty, jak i weryfikacji PINu sugeruje, że zaatakowany nie był device handler / switch bankomatowy, ale system autoryzacyjny u wydawcy.

    Odpowiedz
    • avatar
      2022.03.21 20:02 Józuś

      System o nieznanych prawach root, może dziąłać jak chce – – i jest to główna zasada, jego działania. Reszta, to pochodne.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Weekendowa Lektura: odcinek 459 [2022-03-20]. Bierzcie i czytajcie

Komentarze