A publicat studiul «Disponibilitatea pentru implementarea în România a schemei de certificare a securității cibernetice» Accesați aici studiul

Știrile săptămânii din cybersecurity (05.05.2022)

2022/05/05
Popularitate 1000

Site-uri .ro afectate de un atac de tip DDoS (distributed denial of service)

Începând cu ziua de vineri, 29 aprilie 2022, au avut loc o serie de atacuri de tip Distributed Denial of Service (DDoS) asupra unor site-uri care aparțin unor instituții publice și organizații private din România. Site-urile gov.romapn.ropolitiadefrontiera.rocfrcalatori.ro, respectiv otpbank.ro au fost țintite de atacatori care au avut ca obiectiv indisponibilizarea acestor servicii online prin supraîncărcarea acestor site-uri cu trafic masiv din surse multiple.

Atacul a fost revendicat de gruparea de criminalitate cibernetică ‘Killnet’ pe un canal de comunicare de pe Telegram și este justificat de aceștia prin faptul că statul român sprijină Ucraina în conflictul militar cu Rusia. Ulterior, aceeași grupare a publicat o listă de 284 de site-uri din România pe care le-au amenințat cu noi atacuri de tip DDoS. 

Atacuri phishing împotriva entităților din România afectate de DDoS 

În contextul atacurilor cibernetice lansate de o grupare pro-rusă împotriva mai multor entități românești, a fost observată o diversificare a atacurilor, atacatorii utilizând tehnici precum spear-phishing și spoofing pentru a infecta cu ransomware sistemele organizațiilor atacate recent prin DDoS.   

Atacatorii transmit mesaje pe email, WhatsApp, Signal, Telegram, Messenger, Slack, etc. pretinzând că sunt o sursă sau persoană de încredere, pentru a convinge victimele potențiale să divulge informații confidențiale, date personale sau să efectueze acțiuni care permit preluarea controlului unor infrastructuri sau dispozitive informatice de către atacatori. 

Aplicația malițioasă Voicemail.apk’, propagată prin mesaje-capcană trimise de atacatori utilizatorilor din România în perioada sărbătorilor de Paște

În perioada 22.04.2022 - 02.05.2022, utilizatori de terminale mobile din România au fost vizați de o campanie de infectare cu malware care se propaga prin intermediul unor mesaje-capcană venite pe telefon. Aceste mesaje erau special concepute de atacatori pentru a determina potențiala victimă să acceseze link-ul prezent în mesaj. Textul corespondent era unul într-o limbă română cu greșeli evidente și anunța utilizatorul că are un mesaj vocal, iar pentru a-l asculta trebuie să facă click pe acel URL.

Odată ce acel link era accesat de pe smartphone, dacă nu avea suspiciuni, utilizatorul descărca și instala în terminalul mobil o aplicație de tip APK, pentru a putea asculta mesajul. În realitate, mesajul nu exista, acesta fiind doar un pretext afișat de atacatori pentru a convinge potențiala victimă să execute acțiunea, mizându-se pe curiozitatea acestuia.

Telefoanele primului ministru și ministrului apărării din Spania au fost infectate cu Pegasus 

Conform unei declarații date de Félix Bolaños, ministrul spaniol pentru președenție, telefonul primului ministru Pedro Sánchez a fost infectat cu spyware-ul Pegasus în mai și iunie 2021, în timp ce telefonul ministrului apărării Margarita Robles a fost infectat in iunie 2021.  

Félix Bolaños a indicat că au fost extrase date de pe ambele dispozitive și că atacul a venit cel mai probabil din afara Spaniei. În plus, situația va fi investigată de cea mai înaltă curte penală a Spaniei, Audiencia Nacional.

Modalitate rară de abuz a unui mecanism Windows în cadrul unei campanii a grupului APT Winnti 

Conform cercetătorilor de la Cybereason, grupul advanced persistent threat (APT) Winnti (aka APT41, BARIUM, Blackfly), având potențiale legături cu Statul Chinez, desfășoară campania de spionaj cibernetic numită CuckooBees. În acest context, Winnti urmărește infiltrarea în rețelele unor companii de tehnologie și producție din Europa, Asia și America de Nord pentru a fura informații sensibile.  

Ca parte a unui lanț de infecție complex specific CuckooBees, atacatorii utilizează malware-ul Stashlog pentru a abuza mecanismul Windows Common Log Files System (CLFS). Stashlog manipulează Transactional NTFS (TxF) și Transactional Registry (TxR) din cadrul CLFS, pentru a ascunde payload-uri și pentru a evita soluțiile tradiționale de securitate.   

Noi atacuri spear-phishing realizate de grupul APT Override Panda  

Conform Cluster25, grupul APT Override Panda (aka Naikon, Hellsing), având potențiale legături cu Statul Chinez, realizează o nouă campanie de spear-phishing cu obiectivul de a fura informații sensibile. Campania implică email-uri ce conțin un document Microsoft Office cu rolul de a livra un beacon pentru Viper, un instrument de penetrare intranet. 

Override Panda este cunoscut pentru operațiile de strângere de informații îndreptate împotriva țărilor din ASEAN. Conform Cluster25, ținta actuală este cel mai probabil o instituție guvernamentală a unei țări din Sudul Asiei.   

Atac ransomware al LockBit împotriva unui serviciu popular de bibliotecă din Germania 

Serviciul de bibliotecă EKZ Bibliotheksserivce din Germania a fost vizat de un atac cu ransomware a cărui responsabilitate a fost revendicată de grupul LockBit. În urma atacului, clienții serviciului nu au mai putut plasa comenzi pentru a închiria eBooks, audio books, sau reviste electronice. 

Aplicația Onleihe, care utilizează serviciul EKZ, a indicat că eBook-urile cu protecție împtoriva copierii au fost șterse și că este necesară reîncărcarea și recriptarea documentelor. 

Conform Bleeping Computer, la 28 aprilie 2022, grupul LockBit a publicat pe dark web datele pe care le-ar fi furat de la EKZ, posibil din cauza refuzului EKZ de a plăti cererea de răscumpărare a datelor.     

Cabluri de fibră optică tăiate în mai multe locații din Franța 

La 27 aprilie 2022, cablurile de fibră optică din mai multe locații din Franța au fost tăiate de mai multe ori, pentru a complica reparațiile, ceea ce a cauzat probleme la nivelul furnizării serviciilor de internet în Franța. Situația este investigată de mai multe agenții guvernametale franceze, printre care serviciul intern de informații DGSI. 

Conform lui Bob Kolasky, fost director la CISA, incidentul neobișnuit subliniază dificultatea asigurării securității fizice a cablurilor de fibră optică și necesitatea unor măsuri mai bune în acest sens.  

În contextul războiului din Ucraina și al alegerilor prezidențiale din Franța, Marek Posard, sociolog militar la RAND, a indicat că sabotajul ar putea determina anumite grupuri din Franța să lanseze atacuri împotriva propriei țări.   

Servicii de informații ruse încearcă să spioneze entități guvernamentale românești 

Conform domnului Anton Rog, directorul Cyberint, serviciile ruse de informații FSB, GRU și SVR au realizat acțiuni de spionaj cibernetic împotriva a cel puțin 4 entități guvernamentale din România. Atacatorii încearcă să pătrundă în rețelele vizate și să își mențină o prezență îndelungată pentru a extrage date sensibile care pot fi folosite în avantajul Federației Ruse.  

5 vulnerabilități critice identificate la milioane de dispozitive Aruba și Avaya 

Cercetătorii de la Armis au identificat 5 vulnerabilități critice „remote code execution” ce afectează aproximativ 10 milioane de switch-uri adesea furnizate de companiile Aruba și Avaya către aeroporturi, spitale sau hoteluri. În acest context, cercetătorii nu au identificat situații de exploatare activă a vulnerabilităților și au contactat Aruba și Avaya pentru dezvoltarea unor actualizări de securitate. 

Vulerabilitățile fac parte din setul TLStorm 2.0 și pot fi exploatate de atacatori pentru a executa cod de la distanță fără autentificare, în situațiile în care un echipament vulnerabil utilizează NanoSSL pentru a prezenta un „captive portal”. Prin exploatarea vulnerabilităților atacatorii pot realiza acțiuni precum modificarea comportamentului unui switch, mișcarea laterală către alte dispozitive sau furtul de informații. 

AntiFake, proiectul Amprenta Digitală: Raportul Microsoft despre operațiunile cibernetice derulate în războiul hibrid din Ucraina

De la începutul invaziei, Rusia a efectuat sute de operațiuni cibernetice împotriva Ucrainei, cu scopul de a submina încrederea cetățenilor în guvern și armată și de a perturba sistemele informatice aferente serviciilor publice, potrivit celui mai recent raport Microsoft. Vicepreședintele companiei responsabil pentru securitatea clienților a transmis și un avertisment: atacatorii cibernetici ar putea fi însărcinați să-și extindă acțiunile distructive în afara Ucrainei pentru a se răzbuna pe țările care decid să ofere mai multă asistență militară Ucrainei și să înăsprească sancțiunile împotriva guvernului rus.

Punctele-cheie ale raportului Microsoft sunt prezentate în materialul de pe site.