Menu dostępności

Zestawienie tygodniowe 30 listopada- 7 grudnia


Dwie osoby zostały aresztowane za kradzież danych włoskiej grupy lotniczej i elektronicznej Leonardo, poinformowało w sobotę ministerstwo spraw wewnętrznych Włoch.

Leonardo prowadzi szeroki zakres działań, od elektroniki morskiej, systemów sieciowych i ochronnych, broni elektronicznej i komunikacji globalnej. Wraz z partnerami europejskimi Leonardo jest zaangażowany w grupę MBDA, która m.in. produkuje kilka rodzajów pocisków. „Pod koniec złożonego śledztwa prowadzonego przez prokuraturę z Neapolu w sprawie poważnego ataku komputerowego na Leonardo… byłego pracownika i dyrektora firmy aresztowano” – podano w oświadczeniu ministerstwa.

Program zainstalowany na dziesiątkach komputerów za pośrednictwem pamięci USB w zakładzie firmy w Pomigliano d’Arco pod Neapolem umożliwił hakerom zbieranie danych o projektach, w tym strategicznych, na przestrzeni dwóch lat. Atak został odkryty przez dział przestępczości komputerowej w prokuraturze, który wydał nakazy aresztowania za nielegalny dostęp do systemu komputerowego, przechwycenie komunikacji informatycznej i nielegalne wykorzystanie danych osobowych. Za utrudnianie śledztwa i podawanie nieprawdziwych informacji o naturze ataków i ich skutkach został również aresztowany szef oddziału Leonardo ds. Przeciwdziałania włamaniom.

Śledczy powiedzieli, że od maja 2015 r. do stycznia 2017 r. System informatyczny grupy był celem „zaawansowanego trwałego zagrożenia” kierowanego przez pracownika, którego zadaniem było zapewnienie bezpieczeństwa komputerów. Nie podali szczegółowych informacji na temat włamań do systemów. W styczniu 2017 r. pracownicy Leonardo wykryli nieprawidłowy ruch danych ze stacji roboczych, który był generowany przez tak zwane złośliwe oprogramowanie o nazwie „cftmon.exe”. Hakerzy byli w stanie przechwytywać wiadomości wpisywane na komputerach i przechwytywać obrazy z ich ekranów. Niektóre stacje robocze były wykorzystywane do tworzenia strategicznych, dla obronności Włoch produktów i usług. W sumie zainfekowano 94 komputery, w tym 48 należące do firm działających w sektorze lotniczym. Z zakładu w Pomigliano d’Arco pobrano nie mniej niż 10 gigabajtów danych, co odpowiada około 100 000 plików, w tym informacje o komponentach samolotów cywilnych i wojskowych.


VMware „patchuje” łatkę wykrytą przez NSA


VMware opublikował w czwartek poprawki dotyczące luki w zabezpieczeniach Workspace ONE Access, która została zidentyfikowana i zgłoszona przez Narodową Agencję Bezpieczeństwa (NSA). O kłopotach z tą (i nie tylko łatką) pisaliśmy już 25 listopada.

Workspace ONE Access, dawniej VMware Identity Manager, zapewnia uwierzytelnianie wieloskładnikowe, logowanie jednokrotne i dostęp warunkowy do aplikacji SaaS, mobilnych i internetowych. Śledzona jako CVE-2020-4006, niedawno odkryta luka została obniżona z krytycznej do ważnej (jej wynik CVSS spadł z 9,1 do 7,2), ponieważ VMware odkrył, że osoba atakująca, która chce wykorzystać lukę, potrzebuje ważnych poświadczeń konta administratora. Początkowo VMware nie podało informacji o tym, kto zidentyfikował błąd bezpieczeństwa, ale aktualizacja, którą wprowadziła w swoim poradniku w tym tygodniu, w połączeniu z wydaniem łat, ujawniła, że problem wykryła NSA.

Stwierdzono, że wada wstrzykiwania poleceń wpływa na Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation i vRealize Suite Lifecycle Manager. Wydano poprawki dla produktów, których dotyczy problem, zarówno w systemie Linux, jak i Windows.


Nowy backdoor PowerShell używany przez DeathStalker


Kaspersky twierdzi, że w ciągu ostatnich kilku miesięcy grupa „hackerów- najemników”, znana jako DeathStalker, wykorzystywała w swoich atakach nowy backdoor PowerShell.

DeathStalker jest aktywny od co najmniej 2012 roku, ale działania tej grupy ujawniono dopiero w sierpniu 2020 roku. Jest to organizacją najemników cybernetycznych, atakującą małe i średnie firmy w kilkunastu krajach, w oparciu o prośby klientów lub postrzeganą wartość. Badacze bezpieczeństwa z Kaspersky, którzy śledzą grupę od 2018 roku, zidentyfikowali nieznany wcześniej implant, którego grupa używa w atakach od połowy lipca.

Złośliwe oprogramowanie o nazwie PowerPepper jest stale wykorzystywane w atakach i jest stale ulepszane. Celując w systemy Windows, implant w pamięci może wykonywać polecenia powłoki wysyłane przez zdalnego atakującego i próbować uniknąć wykrycia i wykonania w środowiskach piaskownicy. Używa DNS przez HTTPS (DoH) do komunikacji ze swoim serwerem dowodzenia i kontroli (C&C) i wykorzystuje do tego respondentów Cloudflare. Komunikacja C&C jest szyfrowana, a złośliwe oprogramowanie korzysta z tej samej implementacji szyfrowania AES, co poprzednio szczegółowy backdoor Powersing. Jednak tryb wypełniania AES jest inny i zmieniono format wejścia funkcji.

Zaobserwowano, że złośliwe oprogramowanie regularnie wysyłało żądania DNS typu TXT do serwerów nazw (NS) powiązanych z jego nazwą domeny C&C w celu otrzymywania poleceń. Następnie odsyła wyniki wykonania polecenia. „Oprócz logiki komunikacji DNS C2, PowerPepper sygnalizuje również pomyślne uruchomienie implantu i błędy przepływu wykonania do zaplecza Pythona za pośrednictwem protokołu HTTPS. Taka sygnalizacja umożliwia walidację celu i rejestrowanie wykonania implantu, jednocześnie uniemożliwiając badaczom dalszą interakcję ze złośliwymi serwerami nazw C2 PowerPepper ”- informuje Kaspersky.

Badacze bezpieczeństwa odkryli również, że backendy Pythona były hostowane w publicznej, legalnej usłudze hostingowej PythonAnywhere i współpracowali z dostawcą usługi, aby je usunąć. PowerPepper jest dostarczany za pośrednictwem złośliwych dokumentów Word, które zawierają wszystkie elementy niezbędne do wykonania złośliwego oprogramowania. W niektórych przypadkach do dostarczania używany jest plik skrótu systemu Windows, przy czym łańcuch wykorzystuje złośliwe skrypty PowerShell i wykorzystuje dokument Worda, który działa wyłącznie jako przynęta. PowerPepper był używany głównie przeciwko firmom prawniczym i doradczym w Stanach Zjednoczonych, Europie i Azji.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...