Środowisko do symulowania ataków od Microsoft
W tym tygodniu Microsoft ogłosił dostępność SimuLand, narzędzia open source, które umożliwia badaczom bezpieczeństwa odtworzenie technik ataków w środowiskach laboratoryjnych.
Microsoft twierdzi, że celem SimuLand jest pomoc w zrozumieniu zachowania i funkcjonalności tradycyjnych metod działania hackerów, znalezienie środków ograniczających zagrożenie i zweryfikowanie istniejących możliwości wykrywania, a także identyfikacja i udostępnianie źródeł danych związanych z wykrywaniem przeciwników.
SimuLand może służyć do testowania skuteczności wykrywania usług Microsoft 365 Defender, Azure Defender i Azure Sentinel.
Ponadto oczekuje się, że pomoże on przyspieszyć tworzenie i wdrażanie środowisk laboratoriów badawczych nad zagrożeniami oraz umożliwi badaczom bezpieczeństwa pozostawianie na bieżąco z technikami i narzędziami stosowanymi przez podmioty zagrażające.
„Naszym celem jest zintegrowanie SimuLand z metodologiami badania zagrożeń, w których analiza dynamiczna jest stosowana do kompleksowych scenariuszy symulacyjnych” – mówi Microsoft.
Oparty na projektach typu open source, takich jak “Azure Sentinel2Go” i “Blacksmith” oraz charakteryzujący się modułową konstrukcją, SimuLand może być używany do testowania różnych kombinacji działań ataków, a także zawiera przewodniki dotyczące wdrażania laboratorium i wykonywania ćwiczeń symulacyjnych.
Narzędzie ma na celu przyzwyczajenie badaczy do zachowań atakujących, a „każdy plan symulacji dostarczony w ramach tego projektu jest oparty na badaniach i jest podzielony na działania napastników odwzorowane w ramach MITER ATT & CK” – zauważa Microsoft.
Znany jest atakujący na Tusla
Atak na system komputerowy miasta Tulsa był podobny do ataku na rurociąg kolonialny – poinformowali w czwartek urzędnicy miejscy dodając, że hacker jest znany.
„Nie mogę udostępnić niczego, poza tym, że wiemy, kto to zrobił” – powiedział burmistrz G.T. Bynum. Miasto nie zapłaciło hakerom. Bynum powiedział, że system bezpieczeństwa komputerowego Tulsa zidentyfikował atak i zamknął system, zanim został zinfiltrowany.
Atak, odkryty na początku tego miesiąca, był podobny do ataku ransomware, który zamknął rurociąg kolonialny na kilka dni, według głównego oficera informacyjnego Tulsa, Michaela Dellingera.
Firma Colonial Pipeline ostatecznie zapłaciła 4,4 miliona dolarów okupu.
System komputerowy Tulsy pozostaje zamknięty, podczas gdy każdy z komputerów i serwerów w mieście jest badany i czyszczony, powiedział Dellinger. Dodał, że nic nie wskazuje na to, że doszło do naruszenia jakichkolwiek danych.
Wyciek danych 4,5 miliona pasażerów
Dane osobowe nieokreślonej liczby podróżnych zostały naruszone po włamaniu do firmy obsługującej przewoźnika narodowego Indii, poinformowało Air India.
Hackerzy uzyskali dostęp do danych z 10 lat, w tym imion, paszportów i danych kart kredytowych z systemu obsługi pasażerów SITA z Atlanty, podało Air India w piątkowym oświadczeniu.
O skali naruszenia firma poinformowała prawie trzy miesiące po fakcie. Dając sobie czas na ustalanie faktów.
Naruszenie, do którego doszło pod koniec lutego, naraziło również dane niektórych głównych światowych linii lotniczych. SITA powiedział, że wśród poszkodowanych były Singapore Airlines, New Zealand Air i Lufthansa.
Air India podała, że prawie 4,5 miliona pasażerów na całym świecie ucierpiało w wyniku „wysoce wyrafinowanego” ataku. Przewoźnik stwierdził, że podczas ataku nie zostały naruszone żadne dane dotyczące hasła, a firma prowadzi dochodzenie. Jednocześnie firma poinformowała, że w e-mailu do swoich klientów zaleciła zmianę haseł do kont jako środek ostrożności.
Air India rozpoczęło działalność jako przewoźnik pocztowy w 1932 roku. Ponosi straty od czasu połączenia w 2007 r. z krajowym przewoźnikiem państwowym Indian Airlines. Zadłużony przewoźnik jest obecnie w trakcie poszukiwania nowych nabywców.