Nowa broń w arsenale Irańskich Hackerów
Powiązana z Iranem grupa szpiegowska znana jako Seedworm dodała nową broń do swojego cyber-arsenału i zaczęła przeprowadzać destrukcyjne ataki – donoszą badacze bezpieczeństwa. Grupa cyberszpiegowska, określana również jako MuddyWater, MERCURY i Static Kitten, została odkryta w 2017 r. Seedworm koncentruje się na atakowaniu organizacji z Bliskiego Wschodu lub w pobliskich regionach.
Grupa jest bardzo aktywna i znana z używania szerokiego i zróżnicowanego zestawu narzędzi. Na początku tego miesiąca zaobserwowano, że grupa aktywnie atakowała lukę Zerologon, którą Microsoft załatał w sierpniu.
Według ostatnich raportów ClearSky i Symantec, MuddyWater niedawno dodał do swojego arsenału narzędzie o nazwie PowGoop, które na początku tego roku było wykorzystywane w atakach ransomware Thanos na organizację na Bliskim Wschodzie.
PowGoop zawiera moduł ładujący bibliotekę DLL i program do pobierania kodu oparty na PowerShell, przy czym ten ostatni jest przeznaczony do odszyfrowania i uruchomienia pierwszego. Downloader to fałszywy mechanizm Google Update podobny do modułu ładującego MoriAgent / PudPoul DLL, który wcześniej był przypisywany MuddyWater.
Ataki, które zaobserwowano 6 lipca i 9 lipca 2020r, obejmują wariant oprogramowania ransomware, który był w stanie lepiej omijać narzędzia analityczne oraz mógł monitorować nowo podłączone urządzenia pamięci masowej.
Teraz również Symantec twierdzi, że był w stanie powiązać MuddyWater i PowGoop po odkryciu narzędzia do pobierania w systemach, w których zainstalowano jeden z backdoorów grupy. Co więcej, backdoor MuddyWater’s Powerstats (Powermud) został najwyraźniej zastąpiony bocznym ładowaniem PowGoop przez DLL.
„Na tej samej maszynie, na której był aktywny Seedworm, wdrożono narzędzie znane jako PowGoop. To samo narzędzie zostało również wdrożone przeciwko kilku organizacjom zaatakowanym przez Seedworm w ostatnich miesiącach” – mówi Symantec.
Wydaje się, że PowGoop był używany w atakach wymierzonych w rządy, organizacje edukacyjne, naftowe i gazowe, nieruchomości, technologie i telekomunikacje w Afganistanie, Azerbejdżanie, Kambodży, Iraku, Izraelu, Gruzji, Turcji i Wietnamie.
Rośnie cyber-ryzyko wyborcze w Stanach
Atak ransomware, który dotknął rząd hrabstwa Georgia na początku października, podobno wyłączył bazę danych używaną do weryfikowania podpisów wyborców w uwierzytelnianiu kart do głosowania. Jest to pierwszy zgłoszony przypadek ataku ransomware na system związany z wyborami w 2020 w Stanach Zjednoczonych. Urzędnicy federalni i eksperci ds. Cyberbezpieczeństwa są szczególnie zaniepokojeni tym, że ataki ransomware – nawet te, które nie są celowo ukierunkowane na infrastrukturę wyborczą – mogą zakłócić głosowanie i podważyć zaufanie do integralności wyborów 3 listopada.
Atak na hrabstwo Hall w północnej części stanu z 7 października uderzył w krytyczne systemy i przerwał usługi telefoniczne, podało hrabstwo w oświadczeniu opublikowanym na swojej stronie internetowej. Według raportu opublikowanego w Gainesville Times, atak wyłączył również bazę danych podpisów wyborców w hrabstwie. Internetowy artykuł CNN, dotyczący tego wydarzenia twierdzi, że atak dotyczył zarówno bazy sygnatur, jak i mapy okręgu wyborczego.
Co prawda w czwartek wieczorem komunikat na stronie hrabstwa mówi, że „atak nie wpłynął na proces głosowania obywateli”. Jednak urzędnik powiatowy cytowany przez Times powiedział, że weryfikacja podpisów została spowolniona, ponieważ pracownicy w wielu przypadkach musieli ręcznie pobierać papierowe kopie kart rejestracyjnych wyborców. Cytowano, że urzędnik powiedział, że większość podpisów wyborców nadal można zweryfikować za pomocą państwowej bazy danych, na którą atak nie miał wpływu. Hrabstwo ma 129 000 zarejestrowanych wyborców.
W większości stanów do potwierdzenia listów do głosowania nieobecnych wysłanych pocztą stosuje się podpisy. Napisane na kopertach okrywających karty do głosowania, są porównywane przez pracowników wyborczych z podpisami w aktach stanowych i lokalnych władz wyborczych.
Urzędnicy federalni ogłosili niedawno, że rosyjscy hakerzy zinfiltrowali dziesiątki sieci rządowych i lokalnych i mogą być przygotowani do przeprowadzenia destrukcyjnych ataków.
Wydaje się, że w ataku hrabstwa Hall zaangażowany jest międzynarodowy syndykat oprogramowania ransomware, znany jako Doppelpaymer. Opublikował dokumenty rzekomo skradzione z hrabstwa Hall w darknecie jest traktowany jako dowód odpowiedzialności tej grupy.
Pogarszająca się plaga oprogramowania ransomware dotyka amerykańskie miasta, hrabstwa i okręgi szkolne, zaostrzona przez pandemię COVID-19.
W tym roku co najmniej 82 organy rządowe w USA zostały dotknięte przez oprogramowanie ransomware. Według Emsisoft, osiemnaście takich incydentów miało miejsce od początku września.
Matryca będzie chroniła Machine Learning
Microsoft i MITER, we współpracy z kilkunastoma innymi organizacjami, opracowały strukturę, która ma pomóc w identyfikowaniu, reagowaniu i korygowaniu ataków wymierzonych w systemy uczenia maszynowego (ML). Microsoft twierdzi, że liczba takich ataków znacznie wzrosła w ciągu ostatnich czterech lat i prognozuje, że ataki będą ewoluować.
W rzeczywistości niedawne badanie przeprowadzone wśród 28 organizacji wykazało, że większość z nich (25) nie ma narzędzi niezbędnych do zabezpieczenia systemów uczenia maszynowego i wyraźnie szuka wskazówek.
„Odkryliśmy, że przygotowania nie ograniczają się tylko do mniejszych organizacji. Rozmawialiśmy z firmami z listy Fortune 500, rządami, organizacjami non-profit oraz małymi i średnimi organizacjami” – mówi Microsoft.
The Adversarial ML Threat Matrix, który Microsoft opublikował we współpracy z MITER, IBM, NVIDIA, Airbus, Bosch, Deep Instinct, Two Six Labs, Cardiff University, University of Toronto, PricewaterhouseCoopers, Software Engineering Institute na Carnegie Mellon University oraz Berryville Institute of Machine Learning to otwarta platforma branżowa, która ma na celu rozwiązanie tego problemu.
Struktura dostarcza informacji na temat technik stosowanych przez przeciwników podczas atakowania systemów ML i jest skierowana przede wszystkim do analityków bezpieczeństwa. Adversarial ML Threat Matrix jest oparta na zaobserwowanych atakach, które zostały uznane za skuteczne przeciwko produkcyjnym systemom ML.
Ataki wymierzone w te systemy są możliwe ze względu na nieodłączne ograniczenia leżące u podstaw algorytmów ML i wymagają nowego podejścia do bezpieczeństwa oraz zmiany sposobu modelowania zachowania cyberprzestępców, aby zapewnić dokładne odzwierciedlenie nowych wektorów zagrożeń, a także szybko ewoluującego przeciwnego uczenia maszynowego cykl życia ataku.
„MITER ma duże doświadczenie w rozwiązywaniu skomplikowanych technicznie problemów wielu interesariuszy. […] Aby odnieść sukces, wiemy, że musimy wykorzystać doświadczenie społeczności analityków, którzy dzielą się danymi o rzeczywistych zagrożeniach i ulepszają zabezpieczenia. Aby to zadziałało, wszystkie zaangażowane organizacje i analitycy muszą mieć pewność, że mają godną zaufania, neutralną stronę, która może gromadzić te incydenty z rzeczywistego świata i utrzymywać poziom prywatności – i mają to w MITER”, Charles Clancy, starszy powiedział wiceprezes i dyrektor generalny MITER Labs.
Nowo wydany framework to pierwsza próba stworzenia bazy wiedzy na temat sposobu, w jaki systemy ML mogą być atakowane, a firmy partnerskie zmodyfikują ją na podstawie informacji uzyskanych od społeczności zajmującej się bezpieczeństwem i uczeniem maszynowym. W związku z tym branża jest zachęcana do pomocy w wypełnianiu luk i udziału w dyskusjach.