Știrile săptămânii din cybersecurity (19.05.2022)
Parlamentul European a anunțat un acord de principiu pe adoptarea NIS2
La 13 mai 2022, Parlamentul European și statele membre UE au anunțat un acord privind stabilirea unui nivel de referință mai ridicat pentru standardele de securitate cibernetică în sectoare-cheie, inclusiv sectorul energetic, transporturile și asistența medicală.
NIS 2 va înlocui actuala Directivă privind Securitatea Rețelelor și a Sistemelor Informatice (Directiva NIS), iar statele membre UE vor avea la dispoziție 21 de luni de la intrarea în vigoare a directivei pentru a include dispozițiile în legislația națională.
În acest context, Directiva NIS2 va extinde domeniul de aplicare al reglementărilor în materie de securitate cibernetică la entitățile medii și mari în domeniul serviciilor digitale, al gestionării apelor uzate și al deșeurilor, al producției critice, al serviciilor poștale și de curierat, al serviciilor publice de comunicații electronice și al altor sectoare critice la nivel central și regional.
În plus, NIS2 are cerințe mai stricte de asigurare a respectării legislației, noi dispoziții privind schimbul de informații și ar institui Rețeaua Organizației Europene de Legătură în Caz de Crize Cibernetice (EU-CICLON) pentru a contribui la coordonarea răspunsurilor la incidentele de securitate cibernetică la scară largă.
SUA pilotează o nouă ordine globală pe internet pentru a contracara autoritarismul digital
61 de țări, inclusiv România, au semnat, la 28 aprilie 2022, o declarație politică prin care afirmă angajamentul de a dezvolta și promova un regim global unic de internet în fața autoritarismului digital.
"Declarația pentru Viitorul Internetului" este concepută pentru a promova "un singur sistem de comunicații interconectate pentru întreaga umanitate”. Angajamentul protejează drepturile omului, promovează libera circulație a informațiilor, protejează confidențialitatea utilizatorilor și stabilește reguli pentru o economie digitală globală în creștere.
În plus, declarația promovează siguranța și utilizarea echitabilă a internetului, țările implicate fiind de acord să se abțină de la a impune opriri comandate de guvern, oferind în același timp servicii de internet accesibile și fiabile. Un total de 182 de opriri ale serviciului de internet au fost raportate la nivel global în 2021. Numărul țărilor care au închis internetul în 2021 a crescut la 34 de la 29 în 2020.
Conti ar fi exfiltrat 419 GB de date de la compania Parker - Hannifin
Compania americană Parker-Hannifin Corp., din domeniul tehnologiilor de control al mișcării, a anunțat că o parte terță neautorizată a obținut acces la sistemele sale IT în perioada 11 martie - 14 martie 2022. În acest context, au fost expuse informațiile personale ale angajaților companiei, după ce, la 1 aprilie 2022, grupul de ransomware Conti a publicat 3% din datele obținute în cadrul atacului auto-asumat.
Publicarea întregului set de date de 419 GB a urmat pe 20 aprilie 2022, ceea ce înseamnă probabil că negocierile pentru plata unei răscumpărări au eșuat sau nu au avut loc niciodată.
CISA a emis o directivă de urgență referitoare la vulnerabilități critice la produse VMware
La 18 mai 2022, Cybersecurity and Infrastructure Security Agency (CISA) a emis Directiva de Urgență 22-03, în contextul existenței a patru vulnerabilități critice la nivelul produselor VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation și vRealize Suite Lifecycle Manager.
Dintre vulnerabilități, CVE-2022-22954 (remote code execution) și CVE-2022-22960 (escaladare de privilegii) sunt exploatate activ de atacatori, inclusiv de posibili actori advanced persistent threat (APT). La 6 aprilie 2022, VMware a lansat o actualizare care se adresează celor două vulnerabilități.
În plus, la 18 mai 2022, VMware a lansat o actualizare de securitate pentru CVE-2022-22972 (acces administrativ fără autentificare) și CVE-2022-22973 (escaladare de privilegii), asociate cu posibilitate de exploatare, conform CISA.
Honeypot-uri Docker compromise utilizate pentru atacuri DoS pro-ucrainene
Cercetătorii de la CrowdStrike au detectat un atac de tip denial-of-service (DoS) care compromite honeypot-ul Docker Engine pentru a viza site-uri web rusești și belaruse pe fondul războiului dintre Rusia și Ucraina. Potrivit companiei, honeypot-urile au fost compromise de patru ori între 27 februarie și 1 martie 2022, cu două imagini Docker diferite în care se regăsesc liste de ținte care se suprapun peste domeniile partajate de Armata IT a Ucrainei, susținută de guvernul Ucrainei.
CrowdStrike a avertizat cu privire la riscul unei activități de răzbunare din partea actorilor pro-ruși împotriva organizațiilor care sunt influențate să efectueze atacuri perturbatoare împotriva site-urilor web guvernamentale, militare și civile rusești.
Noi autorități de numerotare CVE (CNA)
CNA-urile (Autorități de Numerotare CVE) sunt organizații din întreaga lume care sunt autorizate să atribuie identificatori CVE (ID-uri CVE) vulnerabilităților ce afectează produsele în domeniul lor distinct, convenit, pentru a fi incluse pentru prima dată în anunțurile publice privind noile vulnerabilități.
În prezent există aproximativ 220 de astfel de organizații care funcționează în 34 de țări. Acestea includ Cisco, Apple, IBM, Linux, Oracle, Adobe, Microsoft, Mozilla, Rapid7, Red Hat și Github, printre multe altele.
Multe organizații, inclusiv furnizori, programe de recompense pentru erori, certificate naționale și de afaceri, experți în securitate, precum și cercetători în vulnerabilități, vor deveni CNA. În acest context, în mai 2022, entități precum Philips, General Electric (Gas Power) și OpenAnolis au devenit CNA.
Nerbian RAT folosește tehnici avansate anti-detectare
Nerbian RAT, o nouî și complexă variată de troian cu acces la distanță (remote access trojan), se răspândește prin campanii de e-mail rău intenționate, folosind momeli pe subiectul Covid-19 și include numeroase caracteristici pentru a se sustrage analizei sau detectării de către cercetători, a descoperit Proofpoint.
Nerbian RAT este scris în limbajul de programare OS-agnostic Go și “utilizează capacități semnificative anti-analiză și anti-inversare”, potrivit unui articol publicat de Proofpoint la 11 mai 2022.
Mesajele din cadrul campaniei includ măsuri de siguranță legate de COVID-19, precum și atașamente care includ și "covid19" în numele lor, dar sunt de fapt documente Word care conțin macrocomenzi rău intenționate.
Cercetătorii de la Sucuri Security au descoperit o campanie masivă în cadrul căreia au fost compromise aproximativ 6000 de site-uri WordPress prin injectarea de cod JavaScript rău intenționat.
Vizitatorii site-ului sunt redirecționați către site-uri terțe care au un conținut malițios. Spre exemplu, vorbim despre pagini de phishing, descărcări de malware sau site-uri comerciale pe care se dorește generarea de trafic nelegitim.
Elaborarea și emiterea unui nou Ghid de bune practici în domeniul securității cibernetice
Șapte agenții cu atribuții în domeniul securității cibernetice din Australia, Canada, Marea Britanie, Noua Zeelandă și Statele Unite ale Americii au lansat un ghid cu cele mai bune practici de securitate cibernetică pentru tehnologia informației și comunicațiilor (TIC), concentrându-se pe facilitarea discuțiilor transparente între furnizorii care gestionează servicii externalizate (MSP) și clienții acestora cu privire la securizarea datelor sensibile. Ghidul oferă mai multe acțiuni pe care organizațiile le pot întreprinde pentru a reduce riscul de a deveni victimele activității cibernetice rău intenționate.
Privire de ansamblu asupra programelor malware de tip wiper folosite în razboiul din Ucraina
Insikt Group, componenta de cercetare a amenințărilor cibernetice a Recorded Future, a analizat nouă tipuri diferite de wiper folosite în contextul razboiului Rusia-Ucraina, iar concluziile au fost publicate sub forma unui document pe site-ul Recorded Future. Conform documentului, wiper-urile au avut un obiectiv distructiv comun și rolul de a acționa ca multiplicator de forță pentru operațiile militare rusești în Ucraina. Totuși, din punct de vedere tehnic, wiper-urile au fost distincte, ceea ce ar sugera ca fiecare a reprezentat un instrument distinct, având autori diferiți.
Hacker ucrainean condamnat la închisoare pentru dezvoltarea și utilizarea unei rețele de botnet
La 12 mai 2022, Departamentul de Justiție al SUA a declarat că Glib Oleksandr Ivanov-Tolpintsev, din Cernăuți, Ucraina, a fost condamnat la închisoare pentru operarea unui botnet conceput pentru atacuri tip brute force.
Potrivit dosarului, botnet-ul lui Ivanov-Tolpintsev a fost folosit pentru a „decripta simultan numeroase credențiale de conectare la computer”. La apogeul său, aproximativ 2.000 de computere au fost vizate și compromise în fiecare săptămână.
Ivanov-Tolpintsev a fost urmărit în Korczowa, Polonia, și a fost arestat de forțele locale de aplicare a legii pe 3 octombrie 2020. Ulterior, a fost extrădat în SUA și a pledat vinovat că a conspirat la traficul de dispozitive de acces neautorizat și de parole de computer.
Atac cibernetic atribuit grupului APT34
Cercetătorii de la FORTINET au observat un nou atac atribuit grupului APT34 sau Oilrig, având posibile legături cu Guvernul Iranian, în cadrul căruia a fost vizat un diplomat iordanian prin folosirea instrumentelor personalizate. Atacul a inceput cu un e-mail de tip spear-phishing care continea un document EXCEL cu conținut malițios. Expeditorul a folosit o adresă de mail falsificată, pretinzând ca este un coleg de la departamentul IT.
Atacul a implicat tehnici avansate anti-detecție și anti-analiză și a avut unele caracteristici care indică o pregătire îndelungată și atentă. Cercetătorii avertizează asupra faptului că, luând în calcul tehnicile folosite, acest atac pare a fi o altă campanie lansată de APT34.
