Știrile săptămânii din cybersecurity (11.11.2021)
Coduri 2FA furate prin apeluri cu boți
Cercetătorii de la Motherboard atrag atenția referitor la o practică a atacatorilor ce implică apeluri cu boți (voci automatizate). În urma obținerii datelor personale ale unui individ, atacatorii vor identifica serviciile utilizate de acel individ (ex. Paypal, Amazon, diverse bănci) pentru a asocia numărul de telefon al potențialei victime cu un bot aparent legitim, special creat pentru acel serviciu.
Atacatorii pot iniția o tranzacție sau un anumit serviciu, ținta primind într-un mesaj codul pentru autentificarea prin doi pași (2FA) sau codul unic (OTP), urmat de un apel în care o voce automatizată solicită codul. În cazul furnizării codului, atacatorii pot fura bani sau criptomonede sau obțin acces la contul victimei.
În astfel de situații, sunt recomandate închiderea apelurilor, monitorizarea activității pe contul vizat și schimbarea adresei de email asociată cu acel cont.
Alerte despre fraude bancare prin SMS, ca pretext pentru „voice phishing”
În cadrul unei forme hibride de smishing, atacatorii trimit țintei un mesaj de informare cu privire la o tranzacție fictivă, alături de o cerere de răspuns cu „da” sau „nu” pentru primirea de alerte viitoare.
După răspuns, atacatorul apelează ținta, susținând că este un reprezentant al băncii și că are nevoie de informațiile potențialei victime pentru a determina validitatea identității acesteia.
În acest context, sunt recomandate închiderea apelului și contactarea băncii.
13 vulnerabilități afectează echipamente medicale și industriale de la Siemens
La 9 noiembrie 2021, a fost dezvăluit un set de 13 vulnerabilități, denumit „Nucleus:13”, cu impact la nivelul Nucleus NET, un stack TCP/IP din Nucleus, un sistem de operare al Siemens ce rulează pe componente „system-on-a-chip” incluse în dispozitive medicale și industriale, automobile, smartphone-uri, sau alte dispozitive IoT.
Dintre cele 13 vulnerabilități se remarcă CVE-2021-31886, o vulnerabilitate „remote code execution” cu un rating de severitate de 9.8 din 10.
ICS-CERT a publicat o avertizare cu privire la situație, în timp ce Siemens a lansat actualizări de securitate pentru clienții săi.
Studiu referitor la grupul de cyber-mercenari „Void-Balaur”
Cercetătorii de la Trend Micro au publicat un studiu referitor la grupul de criminalitate cibernetică „Void Balaur”. Din 2018, grupul își promovează serviciile pe forumuri în limba rusă, vizând intensiv țintele stabilite de clienți. Țintele fac parte din diverse categorii iar majoritatea au acces la informații sensibile.
Serviciile oferite de cyber-mercenari includ compromiterea conturilor de email sau social media, furtul de informații personale sau lansarea unui malware pentru culegerea informațiilor din dispozitivele victimelor.
Trend Micro recomandă activarea opțiunii „multi-factor authentication” pentru protejarea conturilor de email sau social media și evitarea utilizării codurilor trimise prin SMS (one-time SMS passcode). În plus, sunt recomandate selectarea serviciu de email cu standarde de confidențialitate ridicate și utilizarea unei opțiuni de criptare a comunicațiilor.
Caractere invizibile ascunse în codul JavaScript
Recent, un cercetător de securitate cibernetică a detaliat modalitatea prin care un atacator poate injecta anumite caractere (ex. invizibile sau homoglyph) într-un cod JavaScript, pentru a crea backdoor-uri sau vulnerabilități de securitate.
Atacul a fost denumit „Trojan Source” de către cercetătorii de la Universitatea Cambridge și un exemplu de caz a avut loc în octombrie 2021, când atacatorii au încercat să instaleze cryptominers și password stealers pe dispozitivele victimelor.
Români suspectați de implicare în atacuri cu ransomware reținuți de DIICOT
Procurorii DIICOT au reținut doi români din Constanța, implicați în atacuri ransomware la nivel mondial. Aceștia au aderat la două grupări de hackeri, responsabile pentru astfel de atacuri.
Conform DIICOT, cei doi au aderat la grupările de hackeri GandCrab și REvil/Sodinokibi, care au atacat numeroase victime din toată lumea atât din sectorul public cât și privat, printre care companii, municipalități, spitale, forțe de ordine, servicii de urgență, unități școlare, colegii și universități. Atacurile au vizat și sectorul sănătății în timpul pandemiei COVID-19, profitând de criza mondială pentru a extorca victimele.
PlayStation 5 compromis de hackeri
Fail0Overflow, o echipă de hackeri care studiază de ceva vreme mecanismele de protecție pentru PlayStation 5 a reușit să decripteze firmware-ul și să obțină cheile de root. Anunțul a fost făcut pe Twitter, iar hackerii au inclus și dovada.
De regulă, eliminarea mijloacelor de protecție de pe console se face prin intervenții hardware, însă cei de la fail0overflow susțin că în cazul lui PlayStation 5 cheile de root pot fi obținute exclusiv din software. De ce sunt atât de importante aceste chei de root?
Pentru că permit semnarea unor firmware-uri neoficiale prin care pot fi rulate și aplicații „nesemnate”, cum ar fi aplicații homebrew, sisteme de operare alternative și jocuri piratate. Din păcate, hackerii nu au dezvăluit modalitatea prin care pot fi obținute cheile de root, așadar nu putem face încă jailreabk pe PlayStation 5. De asemenea, este foarte posibil ca Sony să rezolve exploit-ul curând printr-o actualizare.
'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC
