Luki w Windows wykorzystywane przez Hackerów
Seria ataków na firmy w Europie Zachodniej obejmowała połączenie dwóch luk w zabezpieczeniach systemu Windows, o których Microsoft nie spodziewał się, że zostaną wykorzystane w takim zakresie.
Według singapurskiej firmy zajmującej się cyberbezpieczeństwem Group-IB, przestępcy określani jako TA505 (aka Evil Corp) i Silence – pod koniec stycznia atakowali co najmniej dwie firmy farmaceutyczne i produkcyjne w Belgii i Niemczech. Analiza infrastruktury wykorzystywanej przez hakerów doprowadziła do odkrycia pliku wykonywalnego o nazwie comahawk.exe, który zawiera dwa exploity eskalacji lokalnych uprawnień na systemach Windows. Luki, nazwane CVE-2019-1405 i CVE-2019-1322, zostały załatane przez Microsoft odpowiednio w listopadzie 2019r i październiku 2019r. Microsoft określił obie z tych wad, jako potencjalnie „mniej prawdopodobne” do wykorzystania w cyberatakach.
W połowie listopada 2019 r. Grupa NCC, której badacze zgłosili luki w zabezpieczeniach Microsoft, opublikowała post na blogu opisujący słabości. Niedługo potem, ktoś opublikował exploit o nazwie COMahawk, który wykorzystywał CVE-2019-1405 i CVE-2019-1322. Badacze z grupy IB odkryli ten exploit na serwerach atakującego i uważają, że został on prawdopodobnie użyty w kampanii skierowanej do europejskich firm.
TA505 wykorzystał w swoich działaniach kilka szkodliwych programów, w tym trojana bankowego Dridex i ransomware Locky. Group-IB uważa, że niemieckie i belgijskie firmy mogły zostać zaatakowane oprogramowaniem ransomware w ramach „złożonego ataku na łańcuch dostaw”.
Wcześniej w tym miesiącu firma zajmująca się cyberbezpieczeństwem Prevailion opublikowała raport opisujący ataki rozpoczęte przez TA505 na niemieckie firmy. Ataki polegające na umieszczanie Trojanów w życiorysach wysyłanych do działu HR w docelowych przedsiębiorstwach.
Raport opublikowany w sierpniu 2019 r. przez Group-IB ujawnił, że grupa Silence ukradła około 3,5 mln USD od września 2018 r. Silence atakowała banki w ponad 30 krajach w Europie, Ameryce Łacińskiej, Afryce i Azji.
Wzmagają się ataki powiązane z COVID-19 – raport Europolu
Przestępcy żerują na strachu i zakłócają świadczenie opieki medycznej podczas pandemii koronawirusa, sprzedając podrobione produkty, podszywając się pod pracowników służby zdrowia i hakując komputery. Tak twierdzi raport Europolu. „Przestępcy szybko skorzystali z okazji, by wykorzystać kryzys, dostosowując swoje sposoby działania lub rozwijając nowe działania przestępcze”, powiedziała w oświadczeniu Catherine de Bolle, dyrektor wykonawczy. Dodała, że „zdolność zorganizowanych grup przestępczych do wykorzystania tego kryzysu oznacza, że musimy być stale czujni i przygotowani”.
W ostatnim tygodniu odnotowano cyberatak na duży szpital w Czechach, w którym przeprowadzane są testy COVID-19. Incydent wymusił odwołanie planowanych operacji.
Raport Europolu wymienia cztery główne drogi nielegalnej działalności: cyberprzestępczość, oszustwa, towary podrobione i niespełniające norm oraz przestępczość zorganizowana. Przestępcy produkują i sprzedają produkty o wysokim popycie, takie jak maski lub lekarstwa, podszywają się pod pracowników medycznych, aby dostać się do domów lub firm, oraz włamują się do komputerów, ponieważ wielu obywateli Europy wykonuje swoją pracę online w domu.
Działalność przestępcza związana z koronawirusem nie ogranicza się do Europy. Operacja w dniach 3–10 marca w 90 krajach, nadzorowana przez międzynarodową agencję policyjną Interpol, wskazała podejrzanych poszukujących szybkiej gotówki, w szczególności poprzez sprzedaż podrobionych masek na twarz i leków.
Interpol powiedział, że zakłócił pracę 37 zorganizowanych grup przestępczych, przechwycił 34 000 fałszywych i niespełniających norm masek oraz ponad 14 milionów dolarów w potencjalnie niebezpiecznych farmaceutykach. „Spray koronowy”, „opakowania koronowe” i leki to tylko „wierzchołek góry lodowej w związku z tym nowym trendem podrabiania”, powiedział Interpol. W raporcie Europol odnotował przekazanie 6,6 mln euro przez europejską spółkę do innej w Singapurze w celu zakupu masek na twarz i żeli alkoholowych, powszechnie stosowanych obecnie do czyszczenia rąk w celu ochrony przed koronawirusem. „Towary nigdy nie zostały odebrane”.
Drastyczne kroki w Czarnogórze
Zdnet podaje, że w celu zahamowania wybuchu koronawirusa, władze Czarnogóry wybrały drastyczny kierunek działania. Rząd publikuje listy zawierające dane osobowe obywateli poddanych kwarantannie, którzy potencjalnie mieli kontakt z koronawirusem wywołującym COVID-19. Samoizolujących się obywateli wymienia się na podstawie ich niedawnej historii podróży, a po powrocie do kraju uznaje się za mające wysoki wskaźnik ryzyka infekcji.
Od ostatniej soboty nazwiska i lokalizacje prawie 6000 osób zostały udostępnione online, aby każdy mógł je zobaczyć na stronie internetowej rządu Czarnogóry. Przy populacji nieco ponad 600 000 oznacza to, że wymieniono około 1% mieszkańców. Do chwili obecnej Czarnogóra zarejestrowała 70 przypadków COVID-19, z jedną ofiarą śmiertelną.
Nazwiska na stronie są pogrupowane według miejscowości i lokalizacji, aby umożliwić innym obywatelom sprawdzenie potencjalnych przypadków w ich okolicy. Witryna podaje również datę początkową i końcową izolacji, prawdopodobnie po to, aby ludzie w okolicy mogli zidentyfikować osoby naruszające ich kwarantannę. Według władz Czarnogóry w tym momencie kraj stoi przed trudnym wyborem między zdrowiem obywateli, a ochroną ich danych osobowych.
„Oceniliśmy, że prawo do zdrowia i życia przewyższa prawo do bezwarunkowej ochrony danych osobowych” – powiedział premier Czarnogóry Dusko Markovic – „Dlatego nie czas na niuanse prawne, ale na ratowanie życia”.
Krajowa agencja odpowiedzialna za zwalczanie zarazy postanowiła opublikować dane osobowe w zeszłym tygodniu, po uzyskaniu zgody Czarnogórskiej Agencji Ochrony Danych. Jednak według organów nadzorujących prawa cyfrowe kilka aspektów tego środka jest problematycznych. „Nie ma odpowiedniej podstawy prawnej do publicznego przetwarzania danych zdrowotnych w Internecie, ponieważ należą one do osobnej kategorii danych i cieszą się wyższym poziomem ochrony”, to fragment oświadczenia SHARE Foundation z siedzibą na Bałkanach, organizacja promująca prawa cyfrowe i wolności online. „Cel tego działania jest również kontrowersyjny. Czy jest to publiczne zawstydzanie ludzi, którzy naruszyli kwarantannę, co można wywnioskować z oświadczeń czarnogórskich urzędników, czy też jest to środek, który przyniesie konkretne rezultaty”.
Ten drastyczny środek podzielił również samo społeczeństwo Czarnogóry, przy czym władze podejmują ryzyko, że zostaną ostatecznie pociągnięte do odpowiedzialności, jeśli zostanie udowodnione, że naruszyły konstytucję tego kraju. „Osoby bliskie rządowi twierdzą, że czynnik publicznego potępienia spowoduje, że ludzie w izolacji będą się wahać przed podjęciem decyzji o naruszeniu kwarantanny” – powiedział ZDNet politolog z Czarnogóry, Luka Nikolic. „Z drugiej strony obrońcy praw człowieka i niektórzy obywatele uważają, że niedopuszczalne i nieefektywne jest publiczne oznaczanie osób, które nie popełniły żadnych działań niezgodnych z prawem. Ale kiedy kryzys się skończy, zostanie ocenione, czy to działanie było przydatne albo nie.”
Tymczasem w sąsiedniej Bośni i Hercegowinie lokalne władze zrobiły w tym tygodniu podobny krok, publikując nazwiska i adresy osób w izolacji. Początkowo lista zawierała również numery telefonów, ale zostały później usunięte. Jednak bośniackie władze federalne zdecydowały później, że odtąd będą publikować tylko dane osobowe tych, którzy próbują naruszyć warunki samoizolacji. „Naszym zdaniem publikowanie minimum danych o osobach naruszających prawo nie jest nielegalne” – oświadczyła w oświadczeniu Bośniacka Agencja Ochrony Danych Osobowych.
Z kolei Fundacja SHARE zauważa, że rządy muszą bardzo ostrożnie publikować dane osobowe obywateli. „Rząd może usunąć dane z witryny po wyleczeniu obywateli, ale nie można tego zagwarantować w pozostałej części Internetu. W ten sposób dane mogą pozostać publiczne na zawsze”.