Czy Amerykanie sami ujawnili wrażliwe informacje o bazach z bronią atomową?

Według portalu śledczego Bellingcat, wojska amerykańskie odpowiedzialne za ochronę broni jądrowej w Europie wykorzystywały popularne witryny edukacyjne do tworzenia kart pamięci flash, ujawniając dokładne lokalizacje i ściśle tajne protokoły bezpieczeństwa.

Aby zapoznać się z instrukcjami lub informacjami takimi jak schrony w różnych lokalizacjach, w których znajdują się „gorące” krypty z aktywnymi bombami atomowymi, harmonogramami patroli bezpieczeństwa i szczegółami identyfikatorów, żołnierze stworzyli cyfrowe zestawy kart flash w aplikacjach takich jak Chegg Prep, Quizlet i Cram.

„Po prostu wyszukując w Internecie terminy powszechnie znane jako związane z bronią jądrową, Bellingcat był w stanie znaleźć karty używane przez personel wojskowy służący we wszystkich sześciu europejskich bazach wojskowych, gdzie przechowywane są urządzenia jądrowe” – napisał Foeke Postma, autor artykułu Bellingcat .

Badacze znaleźli jeden zestaw 70 fiszek na Chegga, zatytułowany „Studium!”, Który zawierał dokładne informacje o schronach zawierających broń jądrową w bazie lotniczej Volkel w Holandii.

„Ile skarbców WS3 znajduje się na Volkel ab”, mówi strona z pytaniami na jednej wirtualnej karcie flash, odnosząc się do wojskowego terminu na przechowywanie broni i systemy bezpieczeństwa.

„jedenaście (11)” po stronie odpowiedzi.

Inna karta z tego samego zestawu wskazywała, że pięć z jedenastu skarbców było „gorących” z bombami atomowymi, podczas gdy pozostałe 6 było „zimnych”, i wskazywała, które z nich.

Zestaw 80 kart na stronie z fiszkami Cram szczegółowo opisywał gorące i zimne krypty w bazie lotniczej Aviano we Włoszech i ujawniał, jak żołnierz powinien reagować, aktywując je w oparciu o różne poziomy otrzymywanych alarmów.

Inne karty ujawniły tajemnice w bazach w Turcji, Belgii i Niemczech. Niektórzy szczegółowo określali lokalizację kamer bezpieczeństwa; inni podali tajne „słowa pod przymusem”, które żołnierz, być może schwytany przez napastników, powiedziałby przez telefon, aby wskazać, że został wzięty do niewoli.

Fiszki odkryte przez Bellingcata były publicznie dostępne od 2013 roku, w tym niektóre były nowe używane dopiero od kwietnia 2021 roku.



Chińscy aktorzy atakują Pulse Secure VPN

Jeden z chińskich aktorów atakujących urządzenia Pulse Secure VPN za pośrednictwem niedawno ujawnionej luki próbował zatrzeć ślady, usuwając swoje powłoki internetowe z sieci ofiar, informuje FireEye.

Wykryta jako CVE-2021-22893 luka została upubliczniona pod koniec kwietnia, po tym, jak badacze bezpieczeństwa odkryli, że podmioty stanowiące zagrożenie wykorzystywały ją już w atakach na organizacje z sektora obronnego, finansowego, rządowego, zaawansowanych technologii i transportu w USA i Europie.

W tym czasie FireEye ujawniło, że co najmniej dwóch chińskich aktorów zagrożeń uważanych za sponsorowane przez państwo – UNC2630 i UNC2717 – wykorzystywało lukę w celu wstępnej kompromitacji. Firma zidentyfikowała 12 rodzin złośliwego oprogramowania wykorzystywanych w atakach związanych z wykorzystywaniem CVE-2021-22893 i trzech innych błędów w urządzeniach Pulse Secure VPN.

Łatka została wysłana 3 maja, dwa tygodnie po publicznym ujawnieniu luki w zabezpieczeniach, ale działalność wokół niej i inne wady nie ustały. FireEye twierdzi, że od tamtej pory zidentyfikował cztery inne rodziny złośliwego oprogramowania wykorzystywane w tych atakach, a mianowicie BLOODMINE, BLOODBANK, CLEANPULSE i RAPIDPULSE.

Z drugiej strony, zaledwie kilka dni przed upublicznieniem swoich ustaleń przez FireEye w kwietniu, UNC2630 został zauważony podczas usuwania powłoki internetowej z dziesiątek urządzeń.

„To niezwykłe, że chińskie podmioty szpiegowskie usuwają dużą liczbę backdoorów w kilku środowiskach ofiar w czasie lub w pobliżu publicznego ujawnienia. Ta akcja ukazuje interesującą troskę o bezpieczeństwo operacyjne i wrażliwość na rozgłos” – zauważają badacze.

Aby uniknąć wykrycia, zarówno UNC2630, jak i UNC2717 modyfikują sygnatury czasowe plików i manipulują dowodami kryminalistycznymi, w tym logami, zrzutami rdzenia serwera internetowego i danymi zebranymi w celu eksfiltracji. Ponadto przeciwnicy wykazują zaawansowaną wiedzę na temat sieci ofiar, co utrudnia obrońcom zidentyfikowanie wszystkich użytych narzędzi, skradzionych danych lub artefaktów włamań.



Canada Post informuje o wycieku danych

Canada Post, główny operator pocztowy w Kanadzie, poinformował 44 swoich dużych klientów biznesowych, że niektóre informacje zostały naruszone w wyniku ataku złośliwego oprogramowania na dostawcę.

Dostawcą, którego dotyczy informacja, to Commport Communications, hurtownia elektronicznej wymiany danych (EDI), którego Canada Post używa do zarządzania danymi dotyczącymi list przewozowych dla klientów biznesowych zajmujących się dużymi paczkami.

Securityweeek informuje, że w poście z 14 maja na popularnym forum hakerskim ktoś twierdził, że gang ransomware znany jako Lorenz ukradł dziesiątki gigabajtów danych z Commport.

Canada Post poinformował, że dowiedział się o naruszeniu danych 19 maja, ale spółka zależna IT, Innovapost, została poinformowana w listopadzie 2020 r., że miał miejsce atak ransomware na Commport. Jednak w tamtym czasie Commport twierdził, że nie znalazł dowodów na to, że dane klientów zostały naruszone.

Według Canada Post osoby atakujące uzyskały dostęp do manifestów wysyłkowych, które są używane do realizacji zamówień klientów i które zazwyczaj zawierają informacje kontaktowe nadawcy i odbiorcy.

Dochodzenie przeprowadzone przez organizację ujawniło, że informacje o ponad 950 000 przyjmujących klientów były przechowywane w zhakowanych manifestach przewozowych. W przypadku 97 procent tych klientów przechowywano tylko ich imię i nazwisko oraz adres, a dla pozostałych 3 procent pliki zawierały również adres e-mail i / lub numer telefonu. Zainfekowane informacje zostały zebrane w okresie od lipca 2016 do marca 2019 roku.


Podziel się z innymi tym artykułem!