Włochy. Aresztowania za kradzież danych
Dwie osoby zostały aresztowane za kradzież danych włoskiej grupy lotniczej i elektronicznej Leonardo, poinformowało w sobotę ministerstwo spraw wewnętrznych Włoch.
Leonardo prowadzi szeroki zakres działań, od elektroniki morskiej, systemów sieciowych i ochronnych, broni elektronicznej i komunikacji globalnej. Wraz z partnerami europejskimi Leonardo jest zaangażowany w grupę MBDA, która m.in. produkuje kilka rodzajów pocisków. „Pod koniec złożonego śledztwa prowadzonego przez prokuraturę z Neapolu w sprawie poważnego ataku komputerowego na Leonardo… byłego pracownika i dyrektora firmy aresztowano” – podano w oświadczeniu ministerstwa.
Program zainstalowany na dziesiątkach komputerów za pośrednictwem pamięci USB w zakładzie firmy w Pomigliano d’Arco pod Neapolem umożliwił hakerom zbieranie danych o projektach, w tym strategicznych, na przestrzeni dwóch lat. Atak został odkryty przez dział przestępczości komputerowej w prokuraturze, który wydał nakazy aresztowania za nielegalny dostęp do systemu komputerowego, przechwycenie komunikacji informatycznej i nielegalne wykorzystanie danych osobowych. Za utrudnianie śledztwa i podawanie nieprawdziwych informacji o naturze ataków i ich skutkach został również aresztowany szef oddziału Leonardo ds. Przeciwdziałania włamaniom.
Śledczy powiedzieli, że od maja 2015 r. do stycznia 2017 r. System informatyczny grupy był celem „zaawansowanego trwałego zagrożenia” kierowanego przez pracownika, którego zadaniem było zapewnienie bezpieczeństwa komputerów. Nie podali szczegółowych informacji na temat włamań do systemów. W styczniu 2017 r. pracownicy Leonardo wykryli nieprawidłowy ruch danych ze stacji roboczych, który był generowany przez tak zwane złośliwe oprogramowanie o nazwie „cftmon.exe”. Hakerzy byli w stanie przechwytywać wiadomości wpisywane na komputerach i przechwytywać obrazy z ich ekranów. Niektóre stacje robocze były wykorzystywane do tworzenia strategicznych, dla obronności Włoch produktów i usług. W sumie zainfekowano 94 komputery, w tym 48 należące do firm działających w sektorze lotniczym. Z zakładu w Pomigliano d’Arco pobrano nie mniej niż 10 gigabajtów danych, co odpowiada około 100 000 plików, w tym informacje o komponentach samolotów cywilnych i wojskowych.
VMware “patchuje” łatkę wykrytą przez NSA
VMware opublikował w czwartek poprawki dotyczące luki w zabezpieczeniach Workspace ONE Access, która została zidentyfikowana i zgłoszona przez Narodową Agencję Bezpieczeństwa (NSA). O kłopotach z tą (i nie tylko łatką) pisaliśmy już 25 listopada.
Workspace ONE Access, dawniej VMware Identity Manager, zapewnia uwierzytelnianie wieloskładnikowe, logowanie jednokrotne i dostęp warunkowy do aplikacji SaaS, mobilnych i internetowych. Śledzona jako CVE-2020-4006, niedawno odkryta luka została obniżona z krytycznej do ważnej (jej wynik CVSS spadł z 9,1 do 7,2), ponieważ VMware odkrył, że osoba atakująca, która chce wykorzystać lukę, potrzebuje ważnych poświadczeń konta administratora. Początkowo VMware nie podało informacji o tym, kto zidentyfikował błąd bezpieczeństwa, ale aktualizacja, którą wprowadziła w swoim poradniku w tym tygodniu, w połączeniu z wydaniem łat, ujawniła, że problem wykryła NSA.
Stwierdzono, że wada wstrzykiwania poleceń wpływa na Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector, Cloud Foundation i vRealize Suite Lifecycle Manager. Wydano poprawki dla produktów, których dotyczy problem, zarówno w systemie Linux, jak i Windows.
Nowy backdoor PowerShell używany przez DeathStalker
Kaspersky twierdzi, że w ciągu ostatnich kilku miesięcy grupa „hackerów- najemników”, znana jako DeathStalker, wykorzystywała w swoich atakach nowy backdoor PowerShell.
DeathStalker jest aktywny od co najmniej 2012 roku, ale działania tej grupy ujawniono dopiero w sierpniu 2020 roku. Jest to organizacją najemników cybernetycznych, atakującą małe i średnie firmy w kilkunastu krajach, w oparciu o prośby klientów lub postrzeganą wartość. Badacze bezpieczeństwa z Kaspersky, którzy śledzą grupę od 2018 roku, zidentyfikowali nieznany wcześniej implant, którego grupa używa w atakach od połowy lipca.
Złośliwe oprogramowanie o nazwie PowerPepper jest stale wykorzystywane w atakach i jest stale ulepszane. Celując w systemy Windows, implant w pamięci może wykonywać polecenia powłoki wysyłane przez zdalnego atakującego i próbować uniknąć wykrycia i wykonania w środowiskach piaskownicy. Używa DNS przez HTTPS (DoH) do komunikacji ze swoim serwerem dowodzenia i kontroli (C&C) i wykorzystuje do tego respondentów Cloudflare. Komunikacja C&C jest szyfrowana, a złośliwe oprogramowanie korzysta z tej samej implementacji szyfrowania AES, co poprzednio szczegółowy backdoor Powersing. Jednak tryb wypełniania AES jest inny i zmieniono format wejścia funkcji.
Zaobserwowano, że złośliwe oprogramowanie regularnie wysyłało żądania DNS typu TXT do serwerów nazw (NS) powiązanych z jego nazwą domeny C&C w celu otrzymywania poleceń. Następnie odsyła wyniki wykonania polecenia. „Oprócz logiki komunikacji DNS C2, PowerPepper sygnalizuje również pomyślne uruchomienie implantu i błędy przepływu wykonania do zaplecza Pythona za pośrednictwem protokołu HTTPS. Taka sygnalizacja umożliwia walidację celu i rejestrowanie wykonania implantu, jednocześnie uniemożliwiając badaczom dalszą interakcję ze złośliwymi serwerami nazw C2 PowerPepper ”- informuje Kaspersky.
Badacze bezpieczeństwa odkryli również, że backendy Pythona były hostowane w publicznej, legalnej usłudze hostingowej PythonAnywhere i współpracowali z dostawcą usługi, aby je usunąć.
PowerPepper jest dostarczany za pośrednictwem złośliwych dokumentów Word, które zawierają wszystkie elementy niezbędne do wykonania złośliwego oprogramowania. W niektórych przypadkach do dostarczania używany jest plik skrótu systemu Windows, przy czym łańcuch wykorzystuje złośliwe skrypty PowerShell i wykorzystuje dokument Worda, który działa wyłącznie jako przynęta. PowerPepper był używany głównie przeciwko firmom prawniczym i doradczym w Stanach Zjednoczonych, Europie i Azji.