Slo-Tech - Po marčevski najavi so v Googlu končali prevzem znanega podjetja za kibernetsko varnost Mandiant, za 5,4 milijarde dolarjev, kar je eden največjih tovrstnih poslov doslej.

Že ptički čivkajo, da se nevarnost kibernetskega kriminala, kot so napadi z izsiljevalsko zlobno kodo ali tisti na dobavne verige, v zadnjem desetletju vztrajno krepi. Čeprav tega nemara ni videti navzven, se IT velikani, predvsem pa razvijalci in ponudniki storitev v oblaku, na vse kriplje trudijo izboljšati zmogljivosti kibernetske obrambe, tako v smislu lastnega notranjega delovanja kakor storitev, ki jih ponujajo strankam. Google že ima več varnostnih laboratorijev z vidnejšimi uspehi, kot sta Project Zero in Threat Analysis Group (TAG). Toda očitno so menili, da imajo strokovnjakov še premalo, saj so marca najavili enega največjih prevzemov varnostnih podjetij, ko so se odločili za 5,4 milijarde ameriških dolarjev pohrustati znano ameriško firmo Mandiant. Med drugim smo jo videli kot eno tistih, ki so...

Group-IB - Za phishing napadi, ki so v zadnjih mesecih prizadeli vrsto predvsem ameriških podjetij, verjetno stoji en akter, ki je tako od marca letos napadel blizu 170 tarč.

V začetku avgusta so pri razvijalcu komunikacijskega programja Twilio razkrili, da so bili tarča premišljenega napada z ribarjenjem. V dnevih zatem se je javilo še več žrtev, med njimi Cloudflare, LastPass, DoorDash in ponudnik 2FA storitev Okta, medtem ko so pri Signalu opozorili, da so napadalci nakradene informacije hitro uporabili za poskus zlorabe okoli 1900 številk njihovih uporabnikov. Kmalu se je pokazalo, da je napad zasnovan na izkoriščanju slabosti v spletnih in telefonskih storitvah dvostopenjske avtentikacije (2FA), kakršne ponujata Okta in pa Twiliov oddelek Authy. Posledično so pri varnostni firmi Group-IB, kjer so sedaj napravili podroben povzetek metod zlikovcev, napadalno kampanjo poimenovali 0ktapus.

Postopek je šel približno takole: napadalci so najprej pridobili službene ali domače telefonske...

Washington Post - Znan nekdanji heker Peiter Zatko je družbo Twitter, kjer je bil dobro leto dni šef digitalne varnosti, obtožil vsesplošne malomarnosti pri vzdrževanju varnostnih standardov.

Silicijeva dolina letos ne pozna kislih kumaric, kajti izbruhnila je nova afera. The Washington Post in CNN sta se dokopala do prijave, ki jo je pred mesecem dni na ameriško Zvezno agencijo za trg vrednostnih papirjev (SEC) podal nekdanji vodja Twitterjevega oddelka za varnost, sicer pa legendarni varnostni strokovnjak Peiter 'Mudge' Zatko. V več kot 200 strani dolgem dokumentu, ki sta ga medija včeraj poobjavila v prirejeni, 84-stranski različici (povzetek), Zatko družbo Twitter obtožuje obupne varnostne kulture, oziroma vsesplošnega nespoštovanja varnostnih standardov. Med konkretnejšimi očitki so; da ima kar polovica od 7000 polno zaposlenih oseb dostop do zasebnih podatkov uporabnikov družbenega omrežja; da podjetje odkrito krši dogovor o varnostni kulturi, ki ga je leta 2010 sklenilo z Zvezno agencijo za...

Microsoft - Pri Microsoftu so v prvem večjem poročilu resneje razkrili obseg delovanja ruskih državnih hekerjev med aktualnim ukrajinsko-ruskim spopadom. Ti naj bi sprožili več sto napadov, ki so bili dostikrat dejansko usklajeni z delovanjem ruske vojske.

Eno pomembnih vprašanj v prvih dveh mesecih ruske agresije na Ukrajino se je dotikalo delovanja zloglasnih ruskih državnih hekerjev, ki so v zadnjem desetletju postali strah in trepet organizacij po vsem svetu. Med samo vojno jih namreč na videz ni bilo kaj dosti na spregled, saj ni bilo opaziti uničevalnih napadov na ukrajinsko infrastrukturo, kakršne smo pričakovali. A po tem, ko smo sredi aprila dobili prva pojasnila, da se takšne sorte napadi v resnici vršijo - ko je ruska ekipa Sandworm skušala še tretjič vreči na tla dele ukrajinskega elektroomrežja - so sedaj pri Microsoftu lansirali prvo večje poročilo svojega centra za obravnavo kibernetskih nevarnosti MSTIC, ki ponuja zelo zanimive podatke, saj med drugim skuša ruske hekerske...

Dragos - Več ameriških varnostnih agencij je prejšnji teden objavilo, da so v divjini našli novo orodje za kibernetske napade na industrijske krmilne sisteme, ki so ga poimenovali Pipedream. Zaenkrat ni videti, da bi bilo že sproženo.

Zlobno programje za napade na industrijske krmilne sisteme (ICS) popularno še vedno predstavlja tisto najnaprednejšo in potencialno najbolj uničevalno stopnjo v kibernetskem vojskovanju. Malo zato, ker terja res odlično poznavanje specializiranih industrijskih sistemov in hkrati zahtevne postopke dostave na želeno mesto, kar pomeni, da se s tem praviloma ukvarjajo dobro plačani državni hekerji. Malo zato, ker v primeru uspešnega napada lahko pride do katastrofalne škode na industriji. In malo zato, ker so še vedno precejšnja eksotika, saj smo doslej poznali zgolj štiri, med njimi črva Stuxnet, s katerim so Izraelci in Američani uničevali iranske centrifuge za bogatenje urana; črva Triton, s katerim so Rusi napadli rafinerijo v Savdski Arabiji; pa orodje...

Slo-Tech - Po neuradnih podatkih je v zadnjih dneh Nvidio prizadel močan hekerski napad z izsiljevalskimi virusi, ki pa sicer ni povezan s trenutnim vojskovanjem v Ukrajini. Nvidia je v petek zvečer uradno potrdila vdor in dejala, da preiskujejo napad na računalniške sisteme. Dodali so, da napad ni vplival na njihovo poslovanje, podrobnosti pa ne razkrivajo.

Napadalci naj bi odnesli približno 1 TB podatkov. Odgovornost za napad je prevzela hekerska skupina LAPSU$ iz Južne Amerike, ki se ukvarja z izsiljevanjem. Trdijo, da jih je po incidentu Nvidia napadla nazaj in vdrla v njihove strežnike, česar ni bilo možno neodvisno preveriti in kar se v resnici sliši precej nenavadno.

Kakorkoli, na Nvidiini strani so imeli izpad sistema za elektronsko pošto in razvijalskih orodij. Telegraph ob tem opominja napade SolarWinds. Nvidiina ključna naloga bo sedaj preveriti sistem in zagotoviti integriteto, da ne bi napad vanje zanesel zlonamerno kodo, ki bi jo potem napadalci podtaknili Nvidiinim strankam.

...

Microsoft - Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v...

Slo-Tech - Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.

Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito...

Washington Post - Podjetje Colonial Pipeline, ki v ZDA upravlja največji naftovod, je včeraj zaradi hekerskega napada zaprlo svoje celotno naftovodno omrežje. Po njem se pretakajo nafta, bencin, kerozin in druga goriva, skupno pa na vzhodno obalo ZDA dobavijo skoraj polovico vsega potrebnega goriva iz rafinerij v Teksasu. Po prvih podatkih je napad izvedla skupina DarkSide, ki naj bi izvirala iz vzhodne Evrope. V podjetju so napad potrdili.

Incident preiskujejo organi pregona in podjetje za računalniško varnost FireEye, zato veliko podrobnosti ta hip še ni znanih. Napad se je zgodil v petek pozno popoldne po našem času in je vključeval izsiljevalsko programsko opremo. Tako hekerji niso zaprli naftovoda, temveč je to storil upravljavec, ko je ugasnil računalniške sisteme, da bi omejil širjenje virusa. Za zdaj zaprtje še ni vplivalo na cene nafte, ni pa še znano, kako dolgo bo trajalo. Tovrstni napadi kažejo, kako zelo je kritična infrastruktura občutljiva na delovanje računalniških sistemov, ki so...

Slo-Tech - Bela hiša je danes v izjavi za javnost Rusijo oz. njihovo tajno službo SVR obtožila za napade, popularno imenovane Solarwinds in druge sovražne poteze, zaradi česar bo proti njej uvedla nove sankcije. Slednje je z izvršnim ukazom podpisal predsednik Joe Biden, uperjene pa so proti nekaj desetim ruskim organizacijam in posameznikom. Deset ruskih diplomatov, med njimi jih je nekaj obtoženih vohunstva, so izgnali iz države. Kot so še povedali, bodo ZDA poslej strateško in ekonomsko kaznovale Rusijo, če bo nadaljevala z destabilizacijo delovanja mednarodne skupnosti.

Širokopotezni napad Solarwinds se je odvil konec lanskega leta in je prizadel deveterico zveznih agencij in več tisoč zasebnih podjetij v ZDA. Medtem, ko nekateri varnostni strokovnjaki napad ocenjujejo za docela tradicionalno špijonsko dejavnost, ki je med velesilama običajna, pa predstavniki Bele Hiše trdijo, da sam obseg napada ter dolga ruska zgodovina brezobzirnih informacijskih napadov, predstavljata problem na...

Slo-Tech - Microsoft je ob nedavno odkriti in zakrpani ranljivosti v več verzijah Exchange Severja opozoril, da več hekerskih skupin luknjo že izkorišča. Brian Krebs je potrdil, da je žrtev samo v ZDA vsaj 30.000. Napadi so se še okrepili.

Potem ko je Microsoft 2. marca izdal izredne varnostne popravke, kar se zgodi redko, je kitajska hekerska skupina Hafnium še povečala pogostost napadov na to ranljivost, ugotavlja Krebs. Na ta način si želijo zagotoviti prisotnost v sistemih, saj tudi po zakrpanju luknje sistemi ostanejo ranljivi, če so jih hekerji predhodno kompromitrali in vanje naložili zlonamerno programsko opremo. Zato Microsoft in tudi naš SI-CERT svetujejo, da po namestitvi popravkov temeljito preverimo (obstaja več orodij), ali je bil sistem že pred tem napaden (simptomi) - in ga v takih primerih ustrezno očistimo.

Napadi pa trajajo že vsaj dva meseca. V podjetju Volexity, ki so prvi opazili ranljivosti in nanjo opozorili tudi Microsoft, so dejali, da so prve napade zaznali že 6....

ZDNet - Prejšnji teden je francoska državna agencija za kibernetsko varnost razkrila, da je dobro organizirana napadalna ekipa v približno tri leta dolgi kampanji vdrla v več francoskih podjetij. Čeprav stoodstotnega potrdila še ni, pa veliko podrobnosti kaže na delovanje ruske skupine Sandworm, kar je zanimivo, ker slednjo povezujemo z uničevalnimi napadi na omrežja, ne z vohunskimi podvigi, kot je bila kampanja v Franciji.

V začetku prejšnjega tedna so iz francoske državne agencije za informacijsko varnost ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sporočili, da so prišli na sled nepridipravom, ki so med letoma 2017 in 2020 vdrli v več francoskih informacijskih podjetij; zvečine je šlo za ponudnike spletnega prostora, cilj pa naj bi bilo vohunjenje. Vdore je povezovala vstopna točka skozi luknje v nadzornem programju za omrežja Centreon, istoimenskega francoskega podjetja. V Centreonu so sredi tedna v izjavi za javnost poudarili, da niso bile napadene njihove...

Slo-Tech - Dobra dva tedna po ambicioznem napadu na ameriške državne institucije in podjetja, ki je potekal prek sistema za posodabljanje omrežnega programja SolarWinds, se počasi slikajo bolj konkretne posledice incidenta. Kot so na silvestrskem blogu sporočili iz Microsofta, so domnevno ruski državni hekerji med napadom uspešno dostopali tudi do njihove izvorne kode. V podjetju so namreč opazili nenavadne dejavnosti na nekaterih internih računih zaposlenih, eden med njimi pa je uspešno dostopal do izvorne kode v različnih repozitorijih. Kot poudarjajo Microsoftovci, račun ni imel dovoljenja za spreminjanje kode in spremljajočih sistemov, poznejša analiza pa naj bi pokazala, da sprememb ni bilo.

Iz poročil ni mogoče razbrati, za katere dele izvorne kode gre, Microsoft trži veliko programskih izdelkov, je pa to precej zaskrbljujoče, saj lahko kaže na precej bolj daljnosežne ambicije vdiralcev. Kakršnekoli spremembe v izvorni kodi tako široko uporabljanih izdelkov kot sta Windows ali Office,...

Slo-Tech - Po odkritju, da so prek napada na programsko opremo SolarWinds najverjetneje ruski hekerji imeli odprta vrata do ameriških podjetij in inštitucij, Microsoft nadaljnje ugotavlja, da je v istem programskem paketu prisluškovala še druga, z Rusi nepovezana skupina hekerjev. Ta je zagotovo napadla vsaj Microsoft, morda pa tudi kakšno drugo tarčo.

Microsoft je pri preiskavi odkril dodatno zlonamerno programsko opremo (malware), ki je napadala isti program SolarWinds Orion, a jo je uporabljala druga ekipa. Drugo zlonamerno programsko opremo so poimenovali SUPERNOVA in gre za kodo, ki imitira Orion, a ni digitalno podpisana. Ostali del napada je tak podpis imel. Sprva so menili, da gre za del prvega napada, a se je izkazalo, da ima drugega avtorja. Ni namreč verjetno, da bi napadalci pozabili podpisati en modul, vse ostale pa bi bili. Nastala je konec marca, ni pa še jasno, ali so z njo dejansko še koga napadli. Skrita je bila v DLL knjžnici App_Web_logoimagehandler.ashx.b6031896.dll.

To...

The New York Times - Vse kaže, da so ruski državni hekerji v izredno ambicioznem in dalj časa trajajočem napadu pridobili dostop do pomembnih podatkov v več ameriških vladnih ustanovah ter večjih podjetjih, po tem ko je preiskava prejšnjetedenskega vdora v podjetje FireEye razkrila, da so zlikovci kompromitirali sistem za posodabljanje razširjenega omrežnega programja firme SolarWinds.

Vdor v varnostno družbo FireEye, o katerem smo poročali prejšnji teden, bi kaj lahko bil samo še eden od primerov ravsanja malopridnih hekerjev z varnostnimi strokovnjaki. Toda ko so FireEyejevi uslužbenci dodobra analizirali nerodni incident, so odkrili, da se zadaj v resnici skriva ena najbolj impozantnih in obsežnih hekerskih kampanj v zgodovini! Napadalci so se v sistem namreč pritihotapili skozi okuženo posodobitev za programje za nadzor omrežij Orion, podjetja Solarwinds. Problem? Orion širom sveta uporablja dobrih 33.000 podjetij in državnih organizacij, med katerimi je večina ameriških zveznih agencij, podjetij...

bleepingcomputer.com - Iz znanega ameriškega varnostnega podjetja FireEye so sporočili, da so neznanci uspešno vdrli v njihov sistem in med drugim dostopali tudi do njihovih orodij, ki jih uporabljajo za t. i. Red team teste pri svojih strankah. Napadalci so med napadom skušali zbrati tudi podatke o strankah FireEya, zlasti tistih na ravni svetovnih vlad, za zdaj še ni znano ali jim je to tudi uspelo.

Kot so sporočili iz podjetja, vse kaže, da za napadom stoji ena od hekerskih skupin, povezana s tajnimi službami ene od držav. CEO Kevin Mandia je pri tem ocenil, da gre za eno od držav z najbolj razvitimi kapacitetami za izvajanje informacijskih napadov. Časnik Washington Post pa iz svojih virov poroča, da je napad najverjetneje izvedla ruska skupina APT-29, bolj znana pod imenom Cozy Bear.

Da je temu tako kaže način vdora, ki je bil posebej ukrojen za ciljanje FireEya, pri čemer je bila uporabljena taktika, ki ovira forenzično preiskavo dogodka, prav tako so bila neučinkovita orodja, ki naj bi zaznala...

Washington Post - Nekaj več kot 650 Facebook strani in skupin je bilo v zadnjem času identificiranih kot zavajajočih in posledično izbrisanih, je včeraj med pogovorom z novinarji povedal Mark Zuckerberg. Gre za strani, ki naj bi bile povezane z Iranom in Rusijo, kar so preiskovalci ugotavljali tekom večmesečne preiskave med katero so se povezali tudi z državnimi organi pregona.

Družabno omrežje je preiskavo začelo na namig, ki ga je prejelo od varnostnega podjetja FireEye....

The Wall Street Journal - Kitajski hekerji so z blagoslovom države napadli južnokorejske informacijske sisteme s ciljem, da ustavijo postavitev balističnih raket v okviru obrambnega sistema Terminal High Altitude Area Defense (THAAD). Tako ameriški specialist za kibernetično varnost iz podjetja FireEye za Wall Street Journal. THAAD je sicer del ameriškega obrambnega ščita StarWars, ki je namenjen zaščiti ZDA in njenih zaveznic pred različnimi raketami sovražnih držav ali organizacij.

Po trditvah FireEyea sta napad izvedli vsaj dve skupini hekerjev. Ena – poimenovali so jo Tonto team - naj bi bila na severu države in naj bi po državnih navodilih hekala tudi Severno Korejo. Druga ekipa hekerjev, znana kot APT10, pa naj bi sodelovala s kitajskimi...

Slo-Tech - Pri vseh novicah o vdorih v računalnike različnih podjetij in organizacij je bilo le vprašanje časa, kdaj bomo brali o vdoru, ki je imel bolj domiseln cilj kakor odnesti ter prodati številke kreditnih kartic. Domnevno severnokorejski vdor zaradi produkcije filma o ljubljenem vodji in kraja še neizdanih filmov sodi v kategorijo bizarno, vdor v podjetja z Wall Streeta in kraja notranjih informacij za špekuliranje z delnicami pa je dobro naštudiran in do potankosti izpiljen napad. FireEye sledi skupini FIN4, ki je vdrla v več kot sto ameriških podjetij prav s tem namenom.

Kot so zapisali v izčrpnem poročilu, so neznani napadalci tarče zelo dobro preučili. Vdirali niso z zlonamerno programsko opremo, temveč so s socialnim inženiringom. Pripravili so elektronska sporočila, ki jih je napisal materni govorec angleščine s poznavanjem...

Slo-Tech - Niso samo Američani in njihova NSA tisti, ki vohunijo, čeprav se zaradi nenehnega razkrivanja novih informacij v primeru Snowden tako zdi. NSA je vohunila po veleposlaništvih in v evropskih inštitucijah, nič boljši pa niso Kitajci. Njihove hekerje so odkrili v računalniških sistemih na zunanjih ministrstvih na Češkem, Portugalskem, Madžarskem, v Bulgariji in Latviji. To so počeli vse od leta 2010, ugotavlja podjetje za računalniško varnost FireEye. Pri tem eksplicitno ne navajajo, kdo iz Kitajske stoji za napadi, a njihova izvedba kaže, da gre za klasične vojaške napade, ki jih izvaja Enota 61398 ali katera sorodna. To seveda niso edini tovrstni napadi, saj je Trend Micro že lani izsledil izvor napadov...