Heti összefoglaló az ukrán-orosz kiberfrontról (2022. 10. 24 - 10. 30.)

Az orosz-ukrán háborúhoz kapcsolódó hacker csoportok állapota a Cyberknow  okt. 12-i frissítése szerint:

• összesen 84 aktív csoport - az összlétszám a legutóbbi, szept. 7-i frissítéshez képest nem változott, az összetételben ugyanakkor történtek változások
• 36 ukránbarát - ami eggyel több a szept. 7-i állapothoz képest
• 42 oroszbarát - itt pedig eggyel csökkent a szept. 7-i összesítőhöz képest
• 6 "mikor-hogy"
• Az előző állapothoz képest 11 csoport került hozzáadásra és ugyanennyi -inaktivitás miatt - eltávolításra.
• Az orosz-ukrán háború kezdete óta ez a 2. (és egymást követő) hónap, hogy az oroszbarát csapatok száma meghaladta ukránbarát csapatokét. Ugyanakkor ez azt is jelzi, hogy Oroszország erősíti támadó tevékenységét a kibertérben, ami ez esetben inkább állami hátterű koordinációt feltételez, mintsem az Anonymous kollektívát inkább jellemző civil hátterű szerveződéseket.
• Az oroszbarát csoportok jellemzően továbbra is a Telegram-ot használják és laza szövetségekben működnek együtt, sok esetben vélhetően az orosz kormány koordinációja mellett.
• Az ukránbarát csoportok a Twitter-en aktívabbak és náluk az Anonymous kollektíva működését jellemző decentralizáltság figyelhető meg inkább. A centralizált működést ezen az oldalon az IT Army of Ukraine képviseli az általa rendszeresen meghírdetett DDoS támadásokkal.

Orosz

(a jelentősebb orosz hackertevékenységek valamint azok az Oroszország elleni kibertámadások, melyek nem ukránbarát indíttatásúak vagy nem ismert a támadók célja. Továbbá az orosz kiberteret érintő események, trendek.)

• Ukrán kormányzati intézmények elleni kibertámadási kampányt azonosított az  ukrán CERT. Spearphishing email-eken keresztül próbálják az áldozatok gépét megfertőzni a RomCom malware-rel, amihez egy fake Adobe Reader frissítést használnak.‌‌Tekintettel a RomCom malware korábbi előfordulásaira és a jelenlegi változattal való hasonlóságra, a  vélhetően orosz kapcsolódású Cuba ransomware-t terjesztő csoporttal hozható kapcsolatba a kampány. Legutóbb augusztusban Montenegró állami intézményeit érte egy nagy támadási hullám, ami mögött a Cuba ransomware állt (részletek itt és itt).  - #RusUkrWar #CyberAttack #Campaign #Ukraine #IoCs #RomCom #malware #Cuba #ransomware
• Csütörökön a lengyel és szlovák parlament IT rendszerei is akadozva működtek.‌‌A lengyel parlament esetében annak weboldalát érte DDoS támadás, amit a posztok alapján a "CyberArmy of Russia" hackercsoport indított és vélhetően az volt a támadás oka, hogy Lengyelország előző nap hivatalosan is terrorista rezsimnek ismerte el Oroszországot.‌‌A szlovák parlament esetében, ahol leállt a teljes szavazórendszer, ugyanakkor meghibásodás okozta a problémát. - #RusUkrWar #CyberAttack #DDoS #Error #Parlaiment #Poland #Slovakia
• Az izraeli parlament honlapját hétfő este DDoS támadás érte, ami ennek következtében átmenetileg elérhetetlenné vált.‌‌A jelentés szerint egy Oroszországhoz köthető hackercsoport, a "XakNet" hozható összefüggésbe a DDoS támadással. A Knesszet technikai csapatának rövid idő után sikerült helyreállítani a weboldalt.‌‌Az incidens valószínűsíthető geopolitikai vonatkozása, hogy a közeljövőben egyezmény aláírása várható Irán és Oroszország között a kiberhadviselés (védelem és támadás) területén is. - #Geopolitics #Russia & #Iran vs #Israel #DDoS #XakNet
• 80%-kal emelkedett Oroszországban a kibertámadások száma idén.‌‌Kis statisztika az eddigi Oroszországot ért kibertámadásokról és a várható kiberfenyegetettségekről az orosz állami, valamint a kiberbiztonsági szakértők szemszögéből. - #CyberAttack #CyberThreat #Landscape #Russia
• Az orosz partizánok, az NRA (National Republican Army) az október eleji orosz Unisoftware (szoftverfejlesztő cég) elleni ransomware támadás után újabb találattal jelentkeztek. Ezúttal azt állítják, hogy Oroszország legnagyobb rendszerintegrátorát, a Technoserv rendszerét törték fel (okt. 17-én) és onnan 1,2 TB mennyiségű fájlt szereztek meg, amit, miután a cég nem reagált, elérhetővé tettek a dark weben.‌‌Amennyiben valós az állításuk, ez lehet Oroszország történetének egyik legnagyobb kiberbiztonsági incidense.‌‌A Technoserv székhelye Moszkvában van, és tulajdonosai egyben a Promsvyazbank tulajdonosai is, amely az ország katonai-ipari komplexumának kulcsfontosságú bankja,a védelmi minisztérium állami megrendeléseinek 70%-a ezen keresztül megy.‌‌További érdekesség, hogy a hackerek adminisztrátori hozzáféréssel rendelkeztek a Kaspersky Security Center 12 és a Hyper-V Manager segítségével kezelt virtuális gépekhez. - #Russia #Politics #CyberAttack #DataBreach #IT #RosPartizan
• Destruktív célú kampányt indított a nemrégiben megjelent Azov ransomware, ami valójában wiper malware. A csoport a fertőzött rendszerekben hagyott szöveges fájlokban azt állítja, hogy Ukrajnát támogatja, aminek ellentmond többek között, hogy van ukrán áldozat is, ezért vélhetően inkább orosz hátterű a wiper. - #Wiper #Ransomware #Campaign #IoCs
• A Kaspersky kiberbiztonsági szakértői orosz cégek ellen irányuló kiberkémkedési célú kampányt tártak fel. A támadáshoz használt trójait egy, az orosz haderő toborzáshoz kapcsolódó témájú szöveges fájl makrójába rejtették, amit phishing levelekkel terjesztenek. - #CyberEspionage #Campaign #Russia
• Feltörték Nagy-Britannia volt miniszterelnökének, Liz Truss-nak telefonját, mialatt külügyminiszter volt. Az incidensért vélhetően orosz oldali hackerek felelősek. Az incidens kivizsgálását sürgeti a brit kormány. - #UK #Minister #Phone #Hack #CyberEspionage #Russia #Geopolitics

Jellemzően csak orosz forrásokban jelzett EU-s országok elleni DDoS támadások és az elkövető csoportok:

• varsói értéktőzsde weboldala - KillNet‌‌
• Horvát Nemzeti Könyvtár weboldala - Russian Hackers Team (KillNet tag)‌‌
• állami tulajdonú lengyelországi áramszolgáltató weboldala (gkpge[.]pl) - Cyber Army of Russia‌‌
• lengyel szenátus weboldala - Cyber Army of Russia‌‌
• Lengyel Verseny- és Fogyasztóvédelmi Hivatal weboldala - Noname057(16)‌‌
• Jamal-Európa földgázvezeték lengyel üzemeltetőjének weboldala - NoName057(16)‌‌
• lengyel repülőtér weboldala - NoName057(16)

Ukrán

(a jelentősebb ukrán hackertevékenységek valamint azok az Ukrajna elleni kibertámadások, melyek nem oroszbarát indíttatásúak vagy nem ismert a támadók célja. Továbbá az ukrán kiberteret érintő események, trendek.)

• A OneFist ezúttal saját készítésű 0Day exploit-tal támadta az oroszországi router-eket, az Operation Kazimierz Pulaski (utalva az elnevezéssel a lengyel tagok aktív részvételére) műveletben.‌‌A hackerek állítása szerint 4 gyártó, a Nobelic, DS-Link, Qtech és Nateks Network router-einél tudták kihasználni a 0Day sérülékenységet.‌‌224 router-t sikerült így használhatatlanná tenniük, amiket gyakorlatilag cserélni kell, állítja a OneFist. - #RusUkrWar #OpRussia #OneFist #Router #0Day

Kiberbiztonság a nagyvilágból

• Újabb Android és ezúttal Windows alkalmazásokat is érintő typosquat kampány, melynek során széles körben használt hamis Andoid és Windows alkalmazások telepítésével terjesztenek malware-eket. A hamis app-ok letöltéséhez typosqat (olyan karaktereket cserélnek ki, melyek könnyen összetéveszthetők az eredetivel, vagy könnyen elgépelhetők) domaineket használnak fel.‌‌Az érintett alkalmazások listája a megosztott cikkeben. - #CyberAttack #Campaign #Android #Windows #App #IoCs
• Több ezer olyan GitHub repository-t fedeztek fel, amik sérülékenységek kihasználásához kínálnak fake PoC-okat (Proof of Concept), hogy aztán azon keresztül malware-rel fertőzzék meg az azt letöltő rendszerét. - #SupplyChainAttack #GitHub #OpenSource #HackTheHacker
• A Group-IB kiberbiztonsági cég szakértői egy olyan POS (Point-of-Sale) terminálok ellen irányuló kampányt fedeztek fel, melynek során több mint 167 000 bankkártya adatait lopták el kiberbűnözők 2021 februárja és 2022 szeptembere között. - #POSTerminal #Payment #Bank #CyberAttack #Malware #Campaign #IoCs
• A Cranefly hacker csoport egy újszerű módszert használ, hogy az IIS logokból kiolvassa a parancsokat. A kapcsolódó kampányban egy eddig még szintén nem dokumentált malware-t, a Danfuan-t használják a hackerek.‌‌A Symantec által felfedezett támadási módszerről a kapcsolódó jelentésben olvashatók a technikai részletek. - #CyberEspionage #Technique #IIS #log #ThreatActor #Analysis #IoCs
• A Thomson Reuters, a kanadai multinacionális médiakonszern érzékeny ügyfél- és vállalati adatokat - köztük harmadik fél szervereinek plaintext formátumban tárolt jelszavait - tartalmazó adatbázisokat ) hagyott nyitva, így bárki számára elérhetővé téve az abban tárolt adatokat.‌‌A Cybernews szakértői által talált 3 ilyen adatbázis közül az egyik 3 TB (!) mennyiségű adatot tartalmazott.‌‌Az adatbázis típusa egyébként az az ElasticSearch, ami az elmúlt időszakban meglehetősen gyakran került elő adatszivárgások kapcsán, amit jellemzően az azt kezelő adminisztrátorok gondatlan biztonsági beállításai okoztak. Mint ahogy ebben az esetben is (persze az is lehet, hogy ez éppen gondos biztonsági konfig volt, a szabad rálátás jegyében...).‌‌A adatbázisokat a tájékoztatást követően a cég lezárta és értesítette az ügyfeleket.‌‌És hogy kik férhettek hozzá és vihették el jogosulatlanul az adatokat, azt nem tudni. Mindenesetre az ügyfelek (is) készülhetnek a ransomware és hasonló jellegű támadásokra.‌‌Szubjektív: 1 újabb "gyönyörű" példa a "hogyan NE kezeljünk adatbázist" gyűjteménybe... - #DataLeak #Misconfigured #ElasticSearch #Database #SupplyChain #Media
• Súlyos és mellé 22 éves sérülékenységet fedeztek fel és dokumentáltak a széles körben használt SQLite adatbázis könyvtárban CVE-2022-35737 (CVSS score: 7.5) jelzéssel. - #Vulnerability #Database #SQLite
• Az iránbarát iraki hacker csoport, "Al-Tahrea Team" vállalta a felelősséget egy DDOS-támadásért, amely állítólag leállította a "Call of Duty" játék szervereit, megtorlásul azért, mert a játékban egy küldetés keretében (fikció formájában) ábrázolták az IRGC Quds Force korábbi vezetője, Qassem Soleimani megölését. - #Geopolitics #Iran #Iraq #DDoS #OnlineGame
• Irán egy SIAM nevű számítógépes rendszert használ, amely az iráni mobilhálózatok kulisszái mögött működik, nyomon követi az egyének mozgását, feltöri a telefonhívások titkosítását és láthatatlanul "leveri" a tiltakozásokat - derül ki a "The Intercept" által megszerzett belső dokumentumokból.‌‌"A SIAM szabályozhatja, hogy a felhasználók kommunikálhatnak-e, hol, mikor és hogyan. Ez nem egy megfigyelőrendszer, hanem inkább egy elnyomó és ellenőrző rendszer, amely korlátozza a felhasználók másként gondolkodó vagy tiltakozó képességét" - mondta Gary Miller, a CitizenLab mobilbiztonsági kutatója. - #Iran #Surveillance #NationState
• A Hive ransomware csoport elkezdte közzétenni az állításuk alapján India legnagyobb integrált áramszolgáltató vállalatának, a Tata Power rendszeréből megszerzett fájlokat. - #DataBreach #India #Energy #Hive #Ransomware
• Aktív kihasználás alatt a Cisco AnyConnect Secure Mobility Windowsos kliensének  CVE-2020-3153 (CVSS score: 6.5) és CVE-2020-3433 (CVSS score: 7.8) azonosítójú, 2 éves sérülékenységei.‌‌Javaslat: akit érint, mielőbb frissítsen. - #Vulnerability #Exploitation #Cisco #Warning
• A Vice Society hackercsoport áll számos, főként oktatási, valamint kormányzati és kiskereskedelmi szektort érintő ransomware támadás mögött. - #ThreatActor #ViceSociety #Ransomware #Education

Magyar vonatkozás

• BEC (Business Email Compromise) támadás áldozatává vált a Magyar Vízilabda Szövetség. A csalók több tízmillió forintot loptak el sikeresen. - #BEC #Hungary #Sport
• "A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2020 májusában rekord összegű, százmillió forintos bírságot szabott ki az akkor még az RCS&RDS tulajdonában lévő Digi Távközlési Kft-re, amiért a cég többszörösen is megsértette az általános uniós adatvédelmi rendeletben (GDPR) foglaltakat. Az ügyet tavaly januárban terjesztette a Fővárosi Törvényszék az Európai Unió Bírósága elé előzetes döntéshozatali kérelemmel, melyben most hozott ítéletet a testület. Az ebben foglaltak az ügy kimenetelének eldöntése mellett fontos iránymutatást jelenthetnek az összeurópai fejlesztői/DevOps közeg számára, mivel eddig nem részletezett kérdésekre adnak egyértelmű, pontos választ.
  Az ominózus határozat indoklásában szerepelt, hogy a Digi 2019 szeptemberében egy etikus hackertől szerzett tudomást arról, hogy egy a www[.]digi[.]hu címen elérhető honlapot kezelő nyílt forráskódú tartalomkezelő szoftver sérülékenységét kihasználva egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető." - #GDPR #Hungary #Telco #Digi #DevOps #Fine