Heti összefoglaló az ukrán-orosz kiberfrontról (2022. 11. 07 - 11. 13.)

Az orosz-ukrán háborúhoz kapcsolódó hacker csoportok állapota a Cyberknow  okt. 12-i frissítése szerint:

• összesen 84 aktív csoport - az összlétszám a legutóbbi, szept. 7-i frissítéshez képest nem változott, az összetételben ugyanakkor történtek változások
• 36 ukránbarát - ami eggyel több a szept. 7-i állapothoz képest
• 42 oroszbarát - itt pedig eggyel csökkent a szept. 7-i összesítőhöz képest
• 6 "mikor-hogy"
• Az előző állapothoz képest 11 csoport került hozzáadásra és ugyanennyi -inaktivitás miatt - eltávolításra.
• Az orosz-ukrán háború kezdete óta ez a 2. (és egymást követő) hónap, hogy az oroszbarát csapatok száma meghaladta ukránbarát csapatokét. Ugyanakkor ez azt is jelzi, hogy Oroszország erősíti támadó tevékenységét a kibertérben, ami ez esetben inkább állami hátterű koordinációt feltételez, mintsem az Anonymous kollektívát inkább jellemző civil hátterű szerveződéseket.
• Az oroszbarát csoportok jellemzően továbbra is a Telegram-ot használják és laza szövetségekben működnek együtt, sok esetben vélhetően az orosz kormány koordinációja mellett.
• Az ukránbarát csoportok a Twitter-en aktívabbak és náluk az Anonymous kollektíva működését jellemző decentralizáltság figyelhető meg inkább. A centralizált működést ezen az oldalon az IT Army of Ukraine képviseli az általa rendszeresen meghírdetett DDoS támadásokkal.

Orosz

(a jelentősebb orosz hackertevékenységek valamint azok az Oroszország elleni kibertámadások, melyek nem ukránbarát indíttatásúak vagy nem ismert a támadók célja. Továbbá az orosz kiberteret érintő események, trendek.)

• Az orosz állami hackercsoport, az APT29 (másik ismert nevén CozyBear) legfrissebb feltárt kampányában, phishing támadást követően a Windows egy kevésbé ismert szolgáltatását, a "Credential Roaming"-ot használja fel, hogy megfertőzze az áldozat gépét. Eddigi egy meg nem nevezett európai diplomáciai szereplőt azonosítottak, amely az APT29 ezen kampányának áldozatául esett. A támadás technikai részleteiről a Mandiant kiberbiztonsági cég készített jelentést. - #Russia #APT #CozyBear #Campaign #Analysis #IoCs #Europe
• Az orosz FRwL (From Russia with Love) vagy másik nevén ZTeam hacker csoport a Somnia ransomware-t használja ukrán célpontok ellen. A ransomware-ről technikai jelentést adott ki az ukrán CERT. Ugyanakkor Ukrajna azt eddig még nem erősítette meg, hogy a támadások között volt sikeres is. - #RusUkrWar #Ransomware #Analysis #IoCs #Ukraine
• A biztonsági elemzők szerint Oroszország frissítette taktikáját és a használt eszközeit az Ukrajna (és támogatói) ellen folytatott kiberháborúban. - #RusUkrWar #Russia #CyberWar #Tactics #Tools #Update
• Az Egyesült Államok Igazságügyi Minisztériuma egy orosz-kanadai kettős állampolgár ellen emelt vádat, amiért részt vett a Lockbit ransomware csoport által elkövetett támadásokban. - #CyberCrime #Lockbit #Ransomware #Russia #USA #Charge
• Az orosz hátterű Prestige ransomware csoport állhat a nemrégiben ukrán és lengyel szállítási és logisztikai ágazatot ért kibertámadások mögött.  A csoport a Microsoft szakértői szerint az orosz állami hátterű Sandworm hackercsoporttal lehet átfedésben. A támadásokról és a Prestige ransomware módszereiről, eszközeiről technikai elemzést is publikált a Microsoft. - #Ransomware #Prestige #Ukraine #Poland #CTI #Analysis #IoCs
• Az ukrán CERT az orosz állami hátterű Gamaredon APT egy újabb phishing kampányáról publikált technikai jelentést. - #Gamaredon #APT #Phishing #Campaign #IoCs
• Az ukrán CERT olyan phishing kampányra figyelmeztet, amelyben a phishing mail-ek feladója maga az "ukrán CERT". - #Phishing #Ukraine #CERT #IoCs
• Mississippi állam választási oldalai ellen indított DDoS támadást az oroszbarát People's Cyber Army.  A támadás során az oldalak átmenetileg elérhetetlenné váltak. - #DDoS #USA #Election

Jellemzően csak orosz forrásokban jelzett EU és NATO tagállamok elleni DDoS támadások és az elkövető csoportok:

• Az oroszbarát NoName057(16) hackercsoport több napon keresztül támadott számos lengyel weboldalt. A DDoS támadásokban érintettek voltak minisztériumok, kerületi és regionális bíróságok, adó és egészségügyi intézmények, az Állami Javítóintézet és a Kiválósági Tanács is. - #DDoS #Poland
• Görög ételszállítókat, mobilszolgáltató és az állami villamosenergia társaság weboldalait támadta a KillNet. - #DDoS #Greece
• Bulgáriában egy szállítással foglalkozó cég weboldalát támadta a KillNet-hez tartozó Anonymous Russia. - #DDoS #Bulgaria #Transportation
• Moldova minisztériumának weboldalát támadta a Russian Hackers Team. - #DDoS #Moldova #Government

Ukrán

(a jelentősebb ukrán hackertevékenységek valamint azok az Ukrajna elleni kibertámadások, melyek nem oroszbarát indíttatásúak vagy nem ismert a támadók célja. Továbbá az ukrán kiberteret érintő események, trendek.)

• AOneFist egyik nagy művelete még a múlt hétről, az Operation Switchblade. Az orosz adatközpontok ellen ez az eddigi legkiterjedtebb támadása a csapatnak. 55 kapcsolódó switch-et sikerült feltörniük és használhatatlanná vagy legalábbis nehezen helyreállíthatóvá tenniük. Mindezt úgy, hogy a művelet után még 2 hétig monitorozták a feltört eszközöket és amelyiket helyreállították, azokat a korábban már megszerzett hozzáférés segítségével újból lekapcsolták.‌‌ A hackerek az eszközök jól ismert sérülékenységeit vagy hiányos biztonsági konfigurációit használták ki, számos gyártó eszköze, köztük pl. Cisco, HP is érintettek. ‌‌Az érintett adatközpontok közül néhány jelentősebb:‌‌
  - SPZhT központi switch-e, a Nyugat-Szibériában stratégiai vasúti logisztikát biztosító vállalat‌‌• SK Vostok, egy áramszolgáltató vállalat Tyumenben.‌‌
  - Rostelecom (Avantel) infrastruktúra Moszkvában‌‌
  - ISA RAN, amely már korábban is volt áldozata a OneFist-nek‌‌
  - Kuban-Telecom adatközpontja Krasznodarban‌‌
  - Egy adatközpont Konstantinovóban‌‌
  - Egy teljes hálózat, amely a szocsi és adleri vállalkozásokat köti össze az orosz internettel. - #OpRussia #OneFist #DataCenter #Switch
• A OneFist szintén egyik jelentős művelete és szintén még a múlt hétről a Rostelecom infrastruktúrája ellen irányuló Operation Dark Fiber 5. A hackerek állítása szerint 267 #Rostelecom-hoz tartozó router-t sikerült feltörniük és wipe-olniuk. Ez a művelet már a 8. (és egyben a legnagyobb) amiben a OneFist sikeresen kompromittálta a Rostelecom rendszerét.‌‌A művelet másik érdekessége, hogy a fő célja az volt, hogy elfedjék vele másik 3 párhuzamosan futó műveletüket, amik szintén sikerrel zárultak, a OneFist állítása szerint. - #OpRussia #OneFist #Router
• A szárazföldi offenzívát támogatva a OneFist november 9-én stratégiai kibertámadást indított a jekatyerinburgi Központi Járműjavító Gyár (TsARZ) ellen. A TsARZ többek között teherautókat, könnyű páncélozott járműveket javít az Orosz Föderáció Védelmi Minisztériuma számára.‌‌ A hackerek azt állítják, hogy 8 Schneider M258-as vezérlőt találtak és támadtak meg a TsARZ rendszerében. Mindegyiket tönkretették, ami egy nagy tűzesethez vezetett, amely egy egész műhelyépületet elpusztított, 13 teherautó és 44 tűzoltó kellett az oltáshoz.‌‌
  (Kis színes: a  tűzesethez kiérkező első 3 tűzoltóautó víz nélkül érkezett...) - #OpRussia #OneFist #CyberWar #SCADA #Hack #CyberPhysical
• A National Security Archive elindította a Ukraine Cyber Project-et, amelynek keretében dokumentálják a háború kezdete óta lebonyolított kiber eseményeket / támadàsokat. - #Ukraine #Cyber #Project #Information #CyberWar
• Az ItArmyOfUkraine sikeresen támadta az orosz Alfa-Bank rendszereit, aminek következtében a bank fizetési rendszere jelentősen lelassult. - #OpRussia #ITArmyUKR #Bank
• Az ITArmyOfUkraine azt állítja, feltörte az orosz Központi Bank rendszerét, ahonnan jelentős mennyiségű szenzitív adatot is sikerült megszerezniük. Az ellopott fájlokat (legalábbis egy részét) letölthetővé is tették, melyek mérete közel 50 GB. - #OpRussia #ITArmyUKR #DataBreach #Bank

Kiberbiztonság a nagyvilágból

• A Conti után egy újabb ransomware csoport, a Yanluowang chat logjai szivárogtak ki. A csoport jelentős áldozatai közé tartozik pl. a Cisco. A Darktrace kiberbiztonsági cég elkezdte feldolgozni a logokat és összefoglalót készített a kiberbűnöző csoport felépítéséről, módszereiről, működéséről. - #HackTheHacker #Leak #Analysis #TTP
• Súlyos, kódfuttatásra lehetőséget adó PathTraversal sérülékenységet hoztak nyilvánosságra a ABB TotalFlow áramlásmérőiben és vezérlőiben CVE-2022-0902 (CVSS v3: 8.1) jelzéssel.‌‌Ezek a gépek olyan folyadék- vagy gázméréseket végeznek, amelyek nemcsak a folyamatbiztonság szempontjából létfontosságúak, hanem más folyamatok - riasztások, naplók, konfigurációk - bemeneteként is használják őket.‌‌Az áramlásmérők közműveken belüli szerepének másik fontos aspektusa a számlázás. A legjelentősebb és ezzel kapcsolatos biztonsági incidens a Colonial Pipeline elleni zsarolóvírus-támadás volt, amely a vállalati rendszereket érintette, és a vállalatot a termelés leállítására kényszerítette, mivel nem tudtak számlázni az ügyfeleknek. Az áramlásmérők működésének megzavarása egy olyan finom támadási vektor, amely az IT és az OT rendszerekre is hatással lehet.‌‌A sérülékenység firmware frissítéssel javítható. - #Vulnerability #Energy #Gas #Oil #ABB #FlowComputer
• Új kiberbiztonsági jogszabály született az EU-ban. Az ICT szektor ellátási lánc biztonságának erősítése a cél. - #EU #ICT #CyberSecurity #Regulation
• Kibertámadás következtében leállt Kanada legnagyobb csomagolt húsfeldolgozó üzeme. - #CyberAttack #Outage #Food #Manufactire #Canada
• Ausztrália legnagyobb egészségügyi biztosítójától, a Medibanktól ellopták 9.7 millió ügyfél adatait, közte 500 ezer ügyfél egészségügyi adatait is. Mivel a biztosító nem fizetett, kis csomagokban elkezdték nyilvánosságra hozni a hackerek az ellopott adatokat. Az elkövetők a Revil ransomware csoportttal lehetnek kapcsolatban. - #DataBreach #Finance #Healthcare #Australia #Ransomware
• Bedőlt az FTX kriptotőzsde, miután hackertámadás érte a kriptoplatformot. A támadásban az FTX Official és az FTX US tárcákat törték fel és több mint 600 millió dollárt értékű kriptopénzt sikerült ellopniuk a hackereknek.  Az FTX meghackelése miatt 31 millió dollárnyi USDT-t fagyasztottak be. - #Cryptocurrency #Finance #FTX #Hack
• Indiai banki felhasználókat érintő masszív phishing támadás van folyamatban, melynek során 5 különböző malware-rel támadják a user-eket. - #Phishing #Campaign #India #Bank #Malware #IoCs
• Az új KmsdBot malware kriptobányászatra és DDoS támadásokhoz használja a megfertőzött gépeket. - #Malware #CryptoMining #DDoS #IoCs
• Két, már régóta folyamatban lévő, a kínai ujgur közösség ellen irányúló kémkedési kampány került feltárásra, melyben a BadBazaar és MOONSHINE malware-ek variánsait használják, hogy kémkedjen az áldozatok Androidos eszközein. - #Geopolitics #China vs #Uyghur #CyberEspionage #Android #IoCs

Magyar vonatkozás

• A Kossuth rádió Felfedező című műsorában beszélt Frész Ferenc a Cyber Services Zrt. alapító vezérigazgatója és a CyberThreat.Report portál alapító tagja a dezinformáció és a mesterséges intelligencia kapcsolatáról. - #FF #Podcast #AI #Desinformation
• Mádi-Nátor Anettel, a CyberThreat.Report portál alapító tagjával és a Cyber Services Zrt. elnökével beszélgetett Varga Júlia a Rádióbézs műsorában. - #Podcast #MNA
• "Így jelennek meg a magyar nyelvű hírmédiában az orosz dezinformációs propagandagépezet trükkös hazugságai" - #Desinformation #Russia #Hungary
• "Az MTVA gépein ellenőrizni fogják, hogy a munkatársak mozgatják-e az egeret, milyen oldalakat nyitnak meg, és hogy hol, mennyi időt töltenek el. Az intézkedést állítólag az indokolja, hogy a koronavírus miatti megváltozott munkarendben megőrizzék a dolgozók produktivitását." 190 millió forintot költenek a rendszerre. - #Hungary #Media #Job #Surveillance #MTVA
• "Feltörhették a KRÉTA-t, a diákok adatai is kiszivároghattak"
  'Néhány héttel ezelőtt adathalász támadás érte a Köznevelési Regisztrációs és Tanulmányi Alaprendszer, azaz a KRÉTA fejlesztőcégét, az eKRÉTA Informatikai Zrt.-t.
  A támadás sikeres volt, így a támadó illetéktelen hozzáférést szerezhetett a közoktatás minden intézményében kötelezően használt adminisztrációs rendszer adataihoz"
  A hackerek később nyilvánossá tették a rendszer forráskódját. - #Hungary #DataBreach #Education #eKreta #GDPR
• KiberPajzs néven közös oktatási és kommunikációs együttműködésről döntött az MNB, a Magyar Bankszövetség, az NMHH, az NBSZ-NKI, illetve az ORFK.  - #Hungary #CyberSecurity #Education #Platform