Știrile săptămânii din cybersecurity (24.02.2022)
Troieni plasați de atacatori pe Microsoft Teams
În ianuarie 2022, cercetătorii de la Avanan au început studiul unei campanii ce vizează utilizatorii Microsoft Teams. Conform cercetătorilor, sunt vizați în special cei care acordă un nivel prea mare de încredere platformei sau persoanelor cu care interacționează pe Teams.
Mai întai, atacatorii fură datele de logare ale utilizatorilor sau realizează mișcare laterală în cadrul unei rețele pentru a putea plasa fișiere executabile în conversațiile de pe Teams. După ce potențiala victimă accesează fișierul malițios, care instalează un troian, atacatorul poate ajunge să preia controlul sistemului victimei sau să realizeze alte activități în interes propriu.
Analiză a atacurilor DDoS din februarie împotriva mai multor entități ucrainene
Cercetătorii de la Cado Security au publicat o analiză a atacurilor Distributed Denial of Service (DDoS) din 15-16 februarie, ce au vizat site-uri ale unor entități guvernamentale, militare sau bancare din Ucraina. În urma analizelor tehnice, SUA și UK au determinat că atacul a avut legături cu serviciul GRU din Rusia.
Analiza realizată de Cado menționează că atacul a plecat de la botnet-ul Katana, o variantă a Mirai specializată pe capabilități DDoS. În plus, mai multe camere vulnerabile produse de Avtech au fost exploatate pentru a realiza atacul.
În acest context, Cybersecurity & Infrastructure Security Agency (CISA) a oferit sfaturi pentru evitarea viitoarelor atacurilor similare.
Atacuri cu malware data-wiper împotriva țintelor ucrainene
La 23 februarie 2022, ESET Research Labs a anunțat că sute de sisteme ale mai multor organizații din Ucraina sunt vizate de atacuri cu un nou malware tip data-wiper, numit „HermeticWiper”. Conform Symantec, atacurile cu HermeticWiper au fost pregătite din timp, afectând contractori guvernamentali ucrainieni din Letonia și Lituania și o instituție financiară în Ucraina.
În acest context, la 24 februarie 2022, pe diverse forumuri au apărut solicitări pentru voluntari din comunitatea cyber din Ucraina, care să se implice în apărarea infrastructurii critice a țării și în realizarea de spionaj cibernetic împotriva trupelor Rusiei.
Un analist de la RAND Europe a indicat că ofensivele cibernetice de acest tip au riscul de a escalada și de a afecta sisteme din alte țări, precum în cazul NotPetya, deși HermeticWiper nu pare să se propage de la sine.
Posibile măsuri ale Occidentului împotriva atacurilor cibernetice rusești
În contextul agresiunilor cibernetice realizate de Rusia împotriva Ucrainei în ultimele săptămâni, Politico a publicat un articol în care sunt analizate măsurile de răspuns ale Occidentului.
Conform articolului, există 4 tipuri de răspuns ale Occidentului la adresa atacurilor cibernetice: sprijinirea Ucrainei pentru consolidarea rezilienței sale cibernetice; aplicarea sancțiunilor pentru cei responsabili pentru atacuri; lansarea unor atacuri cibernetice; păstrarea calmului.
România și alte cinci țări din UE alocă experți în securitate cibernetică pentru a sprijini Ucraina
Adjunctul ministrului lituanian al Apărării anunță că țara sa, România și alte patru țări membre UE vor trimite în Ucraina specialiști pe probleme de cybersecurity. Oficialii europeni sunt îngrijorați că Rusia ar putea lansa atacuri care să vizeze infrastructura critică a Ucrainei, în contextul tensiunilor tot mai ridicate.
Adjunctul Margiris Abukevicius a menționat că cererea de asistență a fost formulată de către Kiev, iar experții sunt din Lituania, România, Polonia, Estonia, Croația și Țările de Jos. Solicitarea Ucrainei a avut loc în aceeași zi în care autoritățile au anunțat că au informații despre un potențial atac cibernetic ce va avea loc săptămâna aceasta și care va viza instituții guvernamentale, bancare și militare.
Cyclops Blink, un nou malware utilizat de grupul Sandworm
Conform mai multor organizații din SUA și UK, respectiv CISA, NSA, FBI și NCSC, grupul Sandworm, cunoscut și ca Voodoo Bear, utilizează un nou malware, Cyclops Blink, reprezentând un înlocuitor al VPNFilter, un malware observat în 2018.
Printre funcțiile modulelor VPNFilter erau incluse manipularea traficului din rețea sau distrugerea dispozitivului gazdă infectat. Cyclops Blink, activ din 2019, are un cadru de malware modular la o scară mai mare față de VPNFilter, fiind capabil de a transmite informațiile despre dispozitiv către un server, de a descărca și executa fișiere sau de a adăuga noi module în timpul rulării. NCSC a publicat o analiză detaliată a Cyclops Blink.
Conform CISA, FBI și NCSC, grupul Sandworm are legături cu serviciul GRU din Rusia și este responsabil pentru NotPetya, atacuri împotriva Jocurilor Olimpice de Iarnă din 2018 sau atacuri împotriva Georgiei în 2019.
ENISA a lansat o nouă versiune a „CSIRT maturity framework”
La 23 februarie 2022, Agenția Europeană pentru securitate cibernetică - ENISA a lansat o nouă versiune a „CSIRT maturity framework”, adresat Rețelei de CSIRT-uri. Rolul cadrului constă în înțelegerea, menținerea și îmbunătățirea „maturității” CSIRT-urilor, contribuind la consolidarea capacităților de management al incidentelor de securitate cibernetică.
Noua versiune a cadrului include un parametru adițional pentru „Public Media Policy”, iar ceilalți 44 de parametrii ai Open CSIRT Foundation Security Incident Management Maturity Model (SIM3) au fost revizuiți. Parametrii reprezintă atribute relevante ale unu CSIRT, fiind organizați pe 3 categorii: organizaționali, umani, instrumente și procese.
Amprenta Digitală: DoS și DdoS: blocarea accesului la un serviciu IT ca atac reputațional
În repertoriul amenințărilor cibernetice există două forme ale acestui tip de atac. Denial-of-Service (DoS) utilizează un singur sistem IT&C și o singură conexiune la Internet, în timp ce Distributed-Denial-of-Service (DDoS) derulează operațiunea de epuizare a resurselor prin intermediul unui botnet, un grup de dispozitive infectate, conectate la internet, care inundă/ suprasolicită sistemul vizat din mai multe surse. În cazul celui de-al doilea tip de refuz al unui serviciu, puterea de atac și dificultatea atribuirii cresc, adevărata sursă a atacului fiind greu de identificat.
Pe lângă pierderile financiare și timpul necesar pentru repunerea în funcțiune a sistemelor, întreruperea serviciilor poate genera și daune reputaționale. DoS și DdoS pot viza site-uri guvernamentale, site-uri de știri, aplicații financiare sau de comerț online, sau chiar componente ale infrastructurilor esențiale (ex. rețeaua de furnizare de energie). În toate aceste cazuri, indisponibilitatea sau funcționarea greoaie a sistemelor IT pot crea confuzie, panică, afectând încrederea utilizatorilor.
Codurile QR – noua poartă de acces pentru atacatori
Termenul de cod QR reprezintă un acronim pentru Quick Response Code (Cod Răspuns Rapid) și sunt în esență coduri de bare pătrate (bidimensionale), inventate și utilizate inițial în Japonia în 1994. Ca orice alt cod de bare pe care toți îl știm de pe produsele din magazine, un cod QR este doar o altă metodă de stocare a informației într-o etichetă vizuală, ce poate fi citită rapid de o mașină (cititor de cod de bare sau cameră foto). Datele dintr-un cod QR pot fi orice, de la un simplu text, la link-uri de site-uri web, adrese de e-mail, numere de telefon etc.
Deși apărută acum mai bine de 20 de ani, popularitatea tehnologiei QR a explodat odată cu pandemia COVID-19, iar inventivitatea atacatorilor cibernetici poate transforma această mică etichetă vizuală într-un instrument de maximizare a profitului. Cu siguranță asistăm la un trend puternic ascendent privind atacurile ce utilizează acest instrument, fiind o piesă de puzzle ce permite instrumentarea unor atacuri cibernetice mult mai complexe.
'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC
