Zapraszamy do nowego wydania Weekendowej Lektury. Co prawda, weekend już powoli się kończy, ale zostało jeszcze kilka godzin (o nocy nie wspominając) na przejrzenie zgromadzonych przez nas linków. Życzymy udanej lektury.
W dzisiejszym wydaniu szczególnie polecamy w części fabularnej nieco krytyczny artykuł o ostatnich działaniach Anonymous (pkt 3) oraz doniesienia o tym, że niemieckie BSI zaleca rezygnację z rozwiązań antywirusowych firmy Kaspersky (pkt 8). W części technicznej spójrzcie na informacje o świeżo odkrytym unixowym rootkicie wykorzystywanym przez grupę LightBasin do okradania bankomatów (pkt 10), analizę działań grupy Exotic Lily, która sprzedawała dostęp do zhakowanych systemów m.in. operatorom ransomware’u Conti (pkt 14) oraz ustalenia CISA dotyczące rosyjskich grup APT posługujących się luką PrintNightmare (pkt 22). Miłego klikania!
Jeśli chcecie otrzymywać e-mailową wersję Weekendowej Lektury, to możecie ją zasubskrybować na stronie z3s.pl/wl. Czytelnikom tego wydania regularnie podsyłamy bonusowe linki ;-)
Praktycznie każdego dnia, od kiedy rozpoczął się atak Rosji na Ukrainę, w mass mediach możemy przeczytać o planowanych atakach ze strony grupy Anonymous – jest to pokłosie „cyber wojny” wypowiedzianej przez tę organizację Rosji 24 lutego.
Takie zapowiedzi spotykają się z dużym entuzjazmem opinii publicznej. Należy jednak przyznać, że rzadko kiedy planowane akcje faktycznie następują, a jeszcze rzadziej ich rezultaty są aż tak spektakularne, jak je zapowiadano. Coraz częściej pojawia się zatem pytanie, czy należy zacząć wątpić w „legendę” Anonymous?
Odpowiedź na to pytanie nie jest jednoznaczna, trudność wynika z następujących faktów:
- Grupa Anonymous nie jest organizacją homogeniczną, a także nie ma jednego centralnego punktu, który zarządzałby jej działaniem – każdy może ogłosić, że działa w ramach tej grupy i planuje jakiś znaczący atak, a post factum nie ma możliwości osobistego rozliczenia z niespełnionych zapowiedzi i skonfrontowania rezultatów z planami.
- Rosja w żadnym wypadku nie jest zainteresowana, aby ewentualne sukcesy grupy były nagłaśniane, konsekwentnie więc im zaprzecza bądź też stara się umniejszyć ich rzeczywisty rezultat. Dodatkowo, w związku z blokadą informacyjną po stronie rosyjskiej, trudno jest dotrzeć do niezależnych źródeł celem oceny skuteczności ataku – przykładowo nie jesteśmy w stanie obiektywnie stwierdzić, jaki był dokładnie zasięg i rezultat ataku na rosyjskie kanały telewizyjne, w ramach których rosyjscy obywatele mieli być informowani o rzeczywistym przebiegu wojny na Ukrainie.
- Tego typu działania są efektywne, jeżeli są niespodziewane. Możliwe zatem, że Anonymous celowo wprowadzają zamęt informacyjny i korzystając z „mgły wojny” i mechanizmów PsyOps, starają się uśpić czujność służb rosyjskich i zaatakować w zupełnie innym miejscu, niż zapowiadano. Efekty ataków, mimo że dotkliwe dla przeciwnika, nie zawsze muszą być potem ujawniane szerszej opinii publicznej.
Reasumując, na tym etapie trudno o jednoznaczna ocenę skuteczności grupy Anonymous. Faktem jest jednak, że grupa działa i niezaprzeczalnie odnosi pewne sukcesy – vide niedawne ataki typu DDoS na rosyjskie strony rządowe i banki.
Piotr Buczek
Vice President, Product Manager, Privileged Identity Management Hive, Standard Chartered
Więcej informacji na temat Anonymous znajdziecie w fabularnej części Weekendowej Lektury.
Wersja anglojęzyczna
Część bardziej fabularna
- [PL][WIDEO] Rozmowa Kontrolowana z Piotrem Kalbarczykiem, CSO w PKO BP
- [PL][WIDEO] Geolokalizacja, jak ją oszukać? Czyli GPS i przyjaciele
- [PL] Anonymous do Putina: „Znajdziemy każdego trupa kryjącego się w twojej szafie”. Wciąż nie znaleźli
- [PL][WIDEO] Twitter, TikTok, trolle. Dlaczego Internet jest kluczowy dla obrony Ukrainy?
- [PL] Dezinformacja wokół wojny w Ukrainie. Światowe narracje i trendy
- [PL] Meta chciała pozwolić na grożenie śmiercią, ale nie chce zmieniać swoich szkodliwych algorytmów
- Rosyjscy i białoruscy badacze wykluczeni z części programów bug bounty
- Niemieckie BSI zaleca rezygnację z rozwiązań Kaspersky’ego + stanowisko firmy
- Ukraina zaczęła używać wyszukiwarki twarzy Clearview AI do celów wojennych
- Autonomiczne wieże obserwacyjne z AI na granicy USA z Meksykiem
- Masywny atak DDoS na izraelskie strony rządowe
- Rostec, rosyjski państwowy koncern lotniczy i obronny, ofiarą ataku DDoS
- Producent części samochodowych Denso zaatakowany przez ransomware Pandora
Część bardziej techniczna
- [PL] Analiza pliku Word Office od APT Gamaredon
- Analiza podatności Dirty Pipe w jądrze Linuksa
- Świeży pakiet aktualizacji dla systemów iOS i iPadOS
- Wyodrębnianie oprogramowania sprzętowego drukarki Lexmark z pamięci flash
- Analiza podatności w zabezpieczeniach drukarki Lexmark
- Aplikacja Top Navigation z trojanem na pokładzie dostała się do Google Play
- Escobar – nowe wcielenie bankowego trojana AbereBot
- Trojan Escobar wykrada jednorazowe kody z Google Authenticatora
- Wykorzystywanie routerów MikroTik w infrastrukturze C2 trojana Trickbot
- Nowy unixowy rootkit wspomagający okradanie bankomatów
- Destrukcyjne oprogramowanie CaddyWiper atakuje ukraińskie systemy
- Jeszcze jedna analiza CaddyWipera, trzeciego już wipera odkrytego na Ukrainie
- Analiza funkcjonowania grupy Conti oparta na ostatnim wycieku czatów
- Grupa Exotic Lily sprzedawała dostęp do systemów operatorom Conti
- Za ataki DDoS na Ukrainie odpowiada nowy botnet Zhadnost
- Botnet Cyclops Blink wziął na celownik routery Asusa
- Nowy botnet B1txor20wykorzystuje tunelowanie DNS i lukę Log4Shell
- Popularny pakiet npm usuwa pliki z systemów rosyjskich i białoruskich programistów
- Fałszywe oprogramowanie do tłumaczenia w służbie grupy atakującej Ukrainę
- Oprogramowanie MicroBackdoor użyte w atakach na ukraińskie agencje rządowe
- Fałszywa aktualizacja antywirusa Bitdefender instaluje Cobalt Strike’a
- Rosyjskie grupy APT wykorzystują podatność PrintNightmare
- Wiele stron hostowanych przez GoDaddy zainfekowano jednocześnie backdoorem
- CoverDrop – system zapewniający bezpieczną komunikację dla sygnalistów (PDF)
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do serwera z3s na Discordzie i zostawiać swoje znaleziska na kanale „newsy”.
Komentarze
Laboratoria bio są… Podsekretarz Nuland spowiada się z tego kongresowi USA. Także demagog to sam w sobie jest dezinformacja. Może rzez w Oddessie w 2014 też nie miała miejsca? Jestem zmęczony narracja pro UA tak samo jak TVP PiS….
Najciekawsze w temacie punktu 10. jest sposób, w jaki dostano się do środowiska PCI DSS i zainstalowano tam cokolwiek.
Mając dostęp do device handlera bankomatowego najczęściej nie potrzeba robić takich dziwacznych operacji, jak te opisane – trochę brakuje informacji o tym, do czego miałby służyć atak powtórzeniowy na zaszyfrowany pinblock. Dla współcześnie akceptowanych formatów pinblocku ten atak nie ma większego sensu. Zresztą, zarówno ta informacja o weryfikacji danych karty, jak i weryfikacji PINu sugeruje, że zaatakowany nie był device handler / switch bankomatowy, ale system autoryzacyjny u wydawcy.
System o nieznanych prawach root, może dziąłać jak chce – – i jest to główna zasada, jego działania. Reszta, to pochodne.