» »

Cozy Bear ne počiva

Cozy Bear ne počiva

Microsoft - Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v Microsoftu, kjer skušajo Nobelium podrobno spremljati zaradi ločenega napada, maja že opozarjali na novo phishing kampanjo, ki je zlorabljala okužen poštni račun Ameriške agencije za mednarodni razvoj USAID.

V petek so iz Redmonda poročali o novih lumparijah omenjenih nepridipravov. V tokratnem napadu naj bi se konec maja spravili na še neznano število tarč, pri čemer naj bi v tri podjetja tudi uspešno vdrli. Problematičen za Microsoft pa je način: šlo je za razbijanje gesel in ribarjenje s podatki, ki so jih zlikovci ukradli z računalnika Microsoftovega uslužbenca za podporo. Tako so na primer pridobili podatke o uporabniških imenih računov in osebne podatke njihovih imetnikov, kar so uporabili v tehnikah, kakršna je password-spraying, kjer se serijsko preizkuša prilagojena gesla. Microsoft je vse napadene, tudi tiste, kjer vdor ni uspel, že obvestil.

5 komentarjev

mrTwelveTrees ::

Še vedno to počno tako da pošiljajo na email "okuženo" datoteko ?

strawman ::

Verjetno, ampak kaj bolj iznajdljivega od emaila in "please review the attached report" report.doc.exe
Bi rekel, da se drugače to precej počne po socialnih omrežjih (npr. FB je imel problem z 3rd party appi), kjer so ljudje manj previdni, kot na službenih emailih.
Lahko preko spoofanih prijavnih strani poizkušaš dobiti dostop do cloud storage uporabnika in okužiš datoteke, ki veš da se bodo sinhronizirale na njegovo napravo. Je pa 2FA kar velik problem.
Phishing preko SMSa ali messaging aplikacije, kjer nekdo imitira nadrejenega z "nujno" zahtevo po kakem shadow IT tasku.

bbbbbb2015 ::

mrTwelveTrees je izjavil:

Še vedno to počno tako da pošiljajo na email "okuženo" datoteko ?


Taki napadi imajo skoraj vedno noto socialnega inženiringa, t.j. nekdo pozna uslužbenca pa točno ve, da ima dostop do nekega solidnega legit e-mail accounta, recimo USAID. Od tam je lažje. Prebere se komunikacija, ter se vidijo poslani maili in od tod ni težko sfabricirati maila, ki ga zelo težko ločiš od realnega maila.

Potem targetiraš (zopet) nekoga na Microsoftu, tako dolgo, da poklika e-mail. Potem si na suportu, kar je sicer še vedno "outer-ring". Suport ima skoraj vedno eskalacijske procedure, da kontaktirajo developerje. Potem je to že inner-ring.

Od tu, do hude varnostne težave pa ni več daleč.

2FA je res velika težava (za napadalce), za windows 11 pa so dali notri kot zahtevo secure boot in TPM 2.0.
Kombinacija tega varuje pred tem, da se napadalec vgnezdi v firmware.

Verjetno pa bi se TPM 2.0 dalo uporabiti kot zaščito pred spremembo exejev in DLLjev, čeprav verjetno ne v realnem času, bi pa skener lahko izračunal hash kode in shranil digitalni podpis v TPM 2.0.

Potem pa je to že skoraj harverska zaščita pred zlonamerneži.

Kritiki TPM pravijo, da je to pa potem skoraj Apple svet, kjer je možno instalirati samo approved alikacije oz. imeti approved developer account.

borko ::

Ne bi bilo slabo, če bi desktopi dobili nekaj lastnosti telefonov, ne pa da vsaka aplikacija lahko naredi štalo.

bbbbbb2015 ::

borko je izjavil:

Ne bi bilo slabo, če bi desktopi dobili nekaj lastnosti telefonov, ne pa da vsaka aplikacija lahko naredi štalo.


Problem, da ne boš mogel instalirati softvera po želji se je v preteklosti preveč potenciral. Secure boot se da izklopiti in TPM 2.0 se da izklopiti.

Po drugi strani se Microsoft brani hudo targetiranih in zelo sofisticiranih in personaliziranih napadov. Po moje so to razlogi, da zdaj hočejo imeti secure boot in TPM 2.0. Z TPM 1.2 je problem, ker imata implementirane stare hash algoritme, za katere je ugotovljeno, da niso dovolj odporni na ponarejanje. To sicer *zelo* oži platforme na praktično hardver star 3 leta.

Benefit je pa bolj varna platforma. Samo Microsoft nekako ne oglašuje tega tako.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ZDA pod udarom širokopoteznega hekerskega napada

Oddelek: Novice / Varnost
1710704 (7988) Spock83
»

Za vdor v Twitter obtožena trojica ljudi

Oddelek: Novice / Varnost
95300 (4397) Markoff

Več podobnih tem