Ataki na GitHubie – NetBeans


GitHub ujawnił w czwartek, że dziesiątki otwartych projektów NetBeans hostowanych na jego platformie było atakowanych przez szkodliwe oprogramowanie w ramach czegoś, co wydaje się być „atakiem łańcucha dostaw”. GitHub badał to zagrożenie od 9 marca. Wtedy badacze poinformowali platformę, że kilka repozytoriów hostowanych w GitHub było przedmiotem cyberprzestępstwa, prawdopodobnie bez wiedzy ich właścicieli. Oprogramowanie nazwano Octopus Scanner.

Analiza doprowadziła do odkrycia 26 projektów NetBeans, które zostały wycofane. Zainfekowanie ma na celu dodawanie złośliwego kodu zarówno do plików projektu, jak i do nowo tworzonych plików JAR. Pliki JAR zostały „podkręcone” ładunkiem zaprojektowanym w celu zapewnienia działania narzędzia do administracji zdalnej (RAT). RAT jest dostarczany zarówno do systemów typu UNIX, jak i Windows. Szkodliwe oprogramowanie ma również na celu zapobieganie zastępowaniu nowych wersji projektów już zainfekowanymi.

Kiedy GitHub przeanalizował złośliwe pliki w marcu – firma zidentyfikowała cztery próbki – zostały wykryte tylko przez kilka silników antymalware na VirusTotal. Od tego czasu współczynnik wykrywania wzrósł, ale obecnie wynosi on tylko 20/60.

Firma ostrzega, że projekty o otwartym kodzie źródłowym, takie jak te, na które skanuje Octopus Scanner, mogą zostać sklonowane, rozwidlone i wykorzystane przez przestępców.

„Ponieważ pierwotnie zainfekowani użytkownicy są programistami, uzyskany dostęp ma duże znaczenie dla atakujących, ponieważ programiści mają na ogół dostęp do dodatkowych projektów, środowisk produkcyjnych, haseł do baz danych i innych krytycznych zasobów. Istnieje ogromny potencjał eskalacji dostępu, który w większości przypadków jest głównym celem atakującego” – powiedział GitHub.

Fakt, że szkodliwe oprogramowanie specjalnie atakuje projekty NetBeans, jest interesujący, biorąc pod uwagę, że istnieją inne, bardziej popularne środowiska IDE Java.

„Jeśli twórcy szkodliwego oprogramowania poświęcili czas na wdrożenie tego złośliwego oprogramowania specjalnie dla NetBeans, oznacza to, że może to być atak ukierunkowany lub mogą już zaimplementować złośliwe oprogramowanie dla systemów kompilacji, takich jak Make, MsBuild, Gradle i inne, a także może rozprzestrzeniać się niezauważalnie”, zauważył GitHub.

Przypomnijmy, że GitHub ostrzegł programistów w zeszłym miesiącu, że ich konta mogły zostać przejęte w wyniku wyrafinowanej kampanii phishingowej.


NSA informuje o atakach na serwery pocztowe Exim


Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) opublikowała w czwartek informacje na temat atakowania serwerów pocztowych Exim przez powiązanego z Rosją „aktora” znanego jako Sandworm Team. Agent transferu poczty Exim (MTA) o otwartym kodzie źródłowym jest szeroko stosowany na całym świecie, zasilając ponad połowę internetowych serwerów poczty elektronicznej, a także jest wstępnie instalowany w niektórych dystrybucjach Linuksa. Około 500 000 organizacji korzysta z Exim w swoich środowiskach.

W czerwcu ubiegłego roku twórcy Exim załatali CVE-2019-10149, lukę, która może pozwolić zarówno lokalnym, jak i zdalnym atakom na uruchamianie dowolnych poleceń jako root. W tym czasie stwierdzono, że zagrożonych jest ponad 3,5 miliona maszyn, a wkrótce potem pojawiły się ataki ukierunkowane na lukę.

Teraz NSA twierdzi, że rosyjscy hakerzy wykorzystują tę lukę co najmniej od sierpnia 2019 r., aby wykonywać polecenia i kod w zagrożonych systemach.

„Rosyjscy aktorzy, będący częścią Centrum Wywiadu Głównego Sztabu Głównego (GRU) ds. Technologii Specjalnych (GTsST), wykorzystali ten exploit do dodania uprzywilejowanych użytkowników, wyłączenia ustawień bezpieczeństwa sieci, wykonania dodatkowych skryptów w celu dalszego wykorzystania sieci, tworząc prawie nieograniczony dostęp do sieci, pod warunkiem, że ta sieć korzysta z niepakowanej wersji Exim MTA”, mówi NSA.

Zespół Sandworm, śledzony również jako TeleBots, koncentruje się na cyberszpiegostwie. Aktywność grupy w dużej mierze pokrywa się z aktywnością APT28 (znanej również jako Pawn Storm, Fancy Bear, Sofacy, Sednit, Tsar Team i Strontium), niemniej oba zespoły używają różnych narzędzi i metod.

Zespół Sandworm, jak twierdzą badacze bezpieczeństwa, celuje w europejskie organizacje rządowe, media we Francji i Niemczech, opozycyjne grupy polityczne w Rosji oraz organizacje LGBT powiązane z Rosją. Grupa była również powiązana z atakami na ukraińską sieć energetyczną. Ponadto uważa się, że aktor grożący zorganizował ataki na wybory prezydenckie w USA w 2016 r. i stoi za cyberatakiem NotPetya z czerwca 2017 r. oraz botnetem VPNFilter.

Według NSA, Sandworm Team atakuje niezałatane serwery poczty Exim na publiczne MTA swoich ofiar, wysyłając polecenie w polu MAIL FROM wiadomości SMTP (Simple Mail Transfer Protocol).


Potencjalne kary za cyberprzestępstwa USA


W tym tygodniu Departament Sprawiedliwości Stanów Zjednoczonych (ang. DoJ) ogłosił, że mężczyzna z Nowego Jorku został oskarżony o udział w programie cyberprzestępczości obejmującym kradzież i handel danymi z kart płatniczych. 28-letni Vitalii Antonenko, aresztowany w marcu 2019 r. został oskarżony o spiskowanie w celu uzyskania nieautoryzowanego dostępu do sieci komputerowych w nieautoryzowanych urządzeniach dostępowych oraz pranie pieniędzy.

Antonenko został aresztowany i zatrzymany po przybyciu z Ukrainy w zeszłym roku. Miał przy sobie komputery i inne media cyfrowe z „setkami tysięcy skradzionych numerów kart płatniczych”, mówi DoJ.

Zgodnie z aktem oskarżenia Antonenko i współspiskowcy przeszukali Internet w poszukiwaniu podatnych na zagrożenia sieci zawierających numery kont kart, daty ważności i wartości weryfikujące karty. Następnie, stosując ataki typu SQL injection, dokonali ekstrakcji interesujących danych i wystawili je na sprzedaż na internetowych platformach przestępczych.

Podejrzanemu grozi do 20 lat więzienia i grzywna w wysokości 500 000 USD za zarzuty związane ze spiskiem prania pieniędzy. Za zarzuty związane z nieuprawnionym dostępem grozi kara do pięciu lat więzienia i grzywna w wysokości 250 000 USD.