Microsoft „sprząta” Azure
Microsoft ogłosił w tym tygodniu, że niedawno usunął 18 aplikacji Azure Active Directory, które były wykorzystywane przez GADOLINIUM, grupę hackerską sponsorowaną podobno przez Chiny. Grupa znana jest również jako APT40, TEMP.Periscope, TEMP.Jumper, Leviathan, BRONZE MOHAWK i Kryptonite Panda i jest aktywna co najmniej od 2013 roku.
Ostatnio zaobserwowano, że ten „aktor” wykorzystuje usługi chmury Azure i narzędzia open source w atakach przy pomocy wiadomości e-mail typu spear-phishing. „Po wykryciu tych ataków Microsoft podjął proaktywne kroki, aby uniemożliwić atakującym wykorzystywanie naszej infrastruktury chmurowej do przeprowadzania ataków, w tym zawieszenie 18 aplikacji Azure Active Directory, które uznaliśmy za część ich złośliwej infrastruktury dowodzenia i kontroli” – oświadczyła firma technologiczna.
Grupa od lat eksperymentuje z wykorzystaniem usług chmurowych, zaczynając od profilu Microsoft TechNet w 2016 roku. W 2018 roku hakerzy wykorzystali GitHub do hostowania poleceń, a ataki z 2019 i 2020 roku wykorzystały podobne techniki.
W ciągu ostatniego roku, podobnie jak w przypadku innych sponsorowanych przez państwo grup, GADOLINIUM włączyło do swojego portfolio narzędzia typu open source, co skutkuje niższymi całkowitymi kosztami dla atakujących, a także utrudnia inwestygacje.
Phishing w stanie Waszyngton
Stan Waszyngton jest jednym z tych, na które skierowana jest „zakrojona na dużą skalę, wysoce wyrafinowana” ogólnokrajowa kampania phishingowa, poinformowało biuro gubernatora Jay Inslee. Na konferencji prasowej w czwartek, Inslee powiedział, że stan podejmuje proaktywne środki w celu ochrony systemów. Wśród atakowanych agencji nie wystąpiła żadna aktywność oprogramowania ransomware i żadne usługi państwowe nie zostały dotknięte.
„Wykorzystujemy wszystkie dostępne zasoby, aby uniemożliwić tym przestępcom – a tym właśnie są – postawienie nas w kryzysowej sytuacji” – powiedział Inslee.
Inslee i inni urzędnicy nie podali szczegółów dotyczących działalności phishingowej, powołując się na względy bezpieczeństwa, ale stwierdzili, że niedawny wzrost aktywności wywołał zaniepokojenie.
Podmioty prywatne i publiczne w całym kraju zostały poddane atakom phishingowym, a stan współpracuje z Departamentem Bezpieczeństwa Wewnętrznego i innymi partnerami federalnymi w celu zwalczania ataków. Inslee ogłosił, że aktywuje stanowe centrum operacyjne w sytuacjach kryzysowych oraz zespół ds. Cyberbezpieczeństwa Gwardii Narodowej.
Czyżby wyciekły kody źródłowe z Microsoftu?
To pytanie wydaje się zasadne bowiem „nieznany sprawca” ujawnił coś, co wygląda na pliki kodu źródłowego systemów operacyjnych Windows XP i Windows Server 2003. Pliki wyciekły na tablicę ogłoszeń 4chan i można je pobrać zarówno z witryn hostujących, jak i przez torrenty. Istnieją dziesiątki gigabajtów danych i wydaje się, że zawierają one również kod źródłowy starszych systemów operacyjnych Microsoft (MS-DOS, Windows NT, Windows CE, Windows 2000), wcześniej wyciekły pliki związane z Xboksem oraz teorie spiskowe Billa Gatesa.
Jedna osoba twierdziła na 4chan, że te pliki „krążą prywatnie od wielu lat”.
Wydaje się, że pliki kodu źródłowego dla systemów Windows XP i Windows Server 2003 zostały upublicznione po raz pierwszy. Kilka osób twierdzi, że kod wygląda na legalny, a jeden z entuzjastów infosec zwrócił uwagę, że wyciekły kod systemu Windows XP wydaje się być przeznaczony dla wersji SP1.
Zarówno Windows XP, jak i Windows Server 2003 odeszły do lamusa lata temu. Wsparcie techniczne zostało zakończone. Jednak według niektórych ostatnich danych system Windows XP nadal działa na około 1 % komputerów na całym świecie, co przekłada się na dziesiątki milionów komputerów.
Z punktu widzenia bezpieczeństwa, chociaż kod źródłowy systemu Windows XP może być przydatny do znajdowania nowych luk w systemie operacyjnym, cyberprzestępcy mają do wyboru wiele istniejących exploitów, jeśli chcą atakować urządzenia z systemem Windows XP.
Niektórzy zwrócili jednak uwagę, że części kodu w systemie Windows XP prawdopodobnie trafiły również do systemu Windows 10, co może mieć poważniejsze konsekwencje.
Z drugiej strony, kod źródłowy systemów operacyjnych Windows nie jest ściśle strzeżoną tajemnicą. Microsoft udostępnia kod źródłowy systemu Windows wielu podmiotom, szczególnie w celu zapewnienia przejrzystości. Warto również zauważyć, że kilka lat temu wyciekł do sieci kod źródłowy systemu Windows 10.
Niemniej jednak niektóre osoby na forach już twierdzą, że znalazły „interesujące rzeczy” w opisywanych plikach.