Microsoft udostępnia część danych dotyczących COVID-19
Liczba ataków na organizacje i osoby prywatne na całym świecie za pomocą „przynęt koronawirusowych” dramatycznie wzrosła w ciągu ostatnich kilku miesięcy, a Microsoft twierdzi, że chce pomóc nawet tym, którzy nie korzystają z jego rozwiązań ochrony przed zagrożeniami. Dlatego w tym tygodniu Microsoft ogłosił, że udostępnił publicznie część swoich danych wywiadowczych dotyczących zagrożenia COVID-19.
Firma twierdzi, że przetwarza „tryliony sygnałów każdego dnia między tożsamościami, punktami końcowymi, chmurą, aplikacjami i pocztą e-mail”, dzięki czemu ma szeroki wgląd w różne ataki o tematyce COVID-19. Microsoft dzieli się przykładami złośliwych „przynęt” i zapewnia ukierunkowane wychwytywanie zagrożeń o tematyce COVID. W tym celu firma technologiczna podaje do publicznej wiadomości niektóre ze swoich wskaźników. Microsoft Threat Protection (MTP) może już chronić klientów przed zagrożeniami zidentyfikowanymi przez te wskaźniki, ale ci, którzy nie korzystają z technologii Microsoftu, nie są chronieni.
Publikując te wskaźniki, Microsoft ma na celu zwiększenie świadomości zmian technik atakujących i pomoc w ich wykryciu. Wskaźniki zostały udostępnione zarówno w repozytorium GitHub Azure Sentinel, jak i za pośrednictwem interfejsu API Microsoft Graph Security. Klienci korporacyjni korzystający z MISP do przechowywania i udostępniania informacji o zagrożeniach mogą wykorzystać te wskaźniki za pośrednictwem kanału informacyjnego MISP.
Firma twierdzi, że to dopiero początek udostępniania IOC związanych z COVID, ale podkreśla, że jest to ograniczony czasowo kanał, utrzymywany „do szczytu wybuchu epidemii, aby pomóc organizacjom skoncentrować się na regeneracji”.
Kibice Schalke zakłócili spotkanie piłkarzy Borussii Dortmund
Chciałoby się napisać, że wraca normalność, ale raczej jest to nowa, post-kowidowa rzeczywistość. Bundesliga wznowiła rozgrywki i przy pustych trybunach odbyła się przerwana ponad 60 dni temu kolejka niemieckiej piłki. W sobotę Borussia pokonała Schalke 4-0. Warto może wspomnieć, że Derby Zagłębia Rurhy należą do najzagorzalszych spotkań piłkarskich za naszą zachodnią granicą. Nie tylko na boisku, ale przede wszystkim poza nim. Kilka godzin po meczu klub z Dortmundu zorganizował wideokonferencję na platformie Zoom, gdzie do rozmowy zaprosił kibiców. W spotkaniu wzięło udział czterech graczy BVB: Mats Hummels, Marcel Schmelzer, Raphael Guerrerio i Łukasz Piszczek.
Liczba uczestników wideokonferencji miała być ograniczona, ale w pewnym momencie pojawiło się tylu fanów, że normalna komunikacja nie była już możliwa. Spotkanie postanowili przerwać kibice Schalke, którzy zaczęli obrażać graczy BVB. Cała sytuacja zaczęła być poza kontrolą, dlatego moderator, po zaledwie kilku minutach, przerwał wideokonferencję. Przypomina to włamania w Polskich szkołach na zdalne lekcje i obrażanie nauczycieli i uczniów. Ciekawe czy klub z Dortmundu będzie identyfikować internetowych trolli?
Ataki na Banki Narodowe i Bazy wojskowe w Tajwanie, na Filipinach i w Hongkongu
Trend Micro twierdzi, że znani jako Tropic Trooper i KeyBoy atakują fizycznie izolowane sieci wojskowe na Tajwanie i Filipinach. Ci Hackerzy albo grupy hackerskie działający od co najmniej 2011 roku, są znani z ataków na sektor rządowy, wojskowy, opieki zdrowotnej, transportu i zaawansowanych technologii na Tajwanie, Filipinach i Hongkongu.
Wcześniej obserwowano grupę atakującą ofiary za pomocą wiadomości e-mail typu spear phishing zawierających złośliwe załączniki zaprojektowane w celu wykorzystania znanych luk, takich jak CVE-2017-0199. Teraz Trend Micro ujawnia, że od grudnia 2014 r. atakujący wykorzystuje element złośliwego oprogramowania o nazwie USBferry, aby atakować takie podmioty, jak agencje wojskowe / marynarki wojennej, instytucje rządowe, szpitale wojskowe, a nawet bank narodowy. USBferry to złośliwe oprogramowanie USB zdolne do wykonywania różnych poleceń na określonych obiektach i zaprojektowane do kradzieży krytycznych danych za pośrednictwem pamięci USB.
Aby zapewnić powodzenie swoich ataków, hakerzy najpierw atakują organizacje związane z wojskiem lub rządem, które mogą stosować mniej niezawodne zabezpieczenia, i wykorzystują je jako punkty do głównych ataków. W jednym przypadku grupa skompromitowała szpital wojskowy i wykorzystała go do przejścia do fizycznie odizolowanej sieci wojska.
USBferry początkowo wspomniano w raporcie PricewaterhouseCoopers z 2017 r., ale bez analizy technicznej. Dochodzenie firmy Trend Micro w sprawie złośliwego oprogramowania ujawniło użycie co najmniej trzech wersji, z których każda zawiera różne warianty i komponenty. Działania, które złośliwe oprogramowanie wykonuje w zaatakowanych systemach, różnią się w zależności od środowiska: mogą wykonywać polecenia, źródłowe pliki docelowe lub listy folderów oraz kopiować pliki z maszyn na zainfekowane hosty.
Malware sprawdza połączenia sieciowe, a jeśli nie zostanie znaleziony, kontynuuje zbieranie informacji z urządzenia i kopiowanie danych na dysk USB.
Inne narzędzia, które hakerzy zastosowali w swoich atakach, to narzędzie do nasłuchiwania wiersza poleceń oraz moduły do ładowania steganografii czy narzędzia do skanowania portów dostępne w Internecie. Grupa używa steganografii do maskowania procedur backdoora i unikania wykrycia szkodliwego oprogramowania. Techniki użyto do przesłania informacji do serwera dowodzenia i kontroli, oprócz dostarczania ładunków.
„Tropic Trooper wydaje się atakować środowiska w ciągu ostatnich sześciu lat; w szczególności grupa woli atakować szpitale wojskowe i banki krajowe jako początkowe punkty zaczepienia. Niektóre biura wojskowe i rządowe mogą mieć trudności z zapewnieniem wystarczającej kontroli bezpieczeństwa; zabezpieczenia można zakwestionować, a tym samym utrudnić reagowanie na incydenty”, zauważa Trend Micro.