Ponad 105 milionów pobrań scamware!
Według firmy Zimperium, zajmującej się bezpieczeństwem mobilnym, ponad 105 milionów użytkowników Androida pobrało i zainstalowało scamware z Google Play i sklepów z aplikacjami innych firm.
Łącznie 470 szkodliwych aplikacji, pod wspólną nazwą Dark Herring, zostało wykorzystanych do atakowania użytkowników w 70 krajach w ramach, jak się wydaje, największej znanej do tej pory kampanii oszustw SMS. Poprzednia podobna kampania o nazwie GriftHorse skompromitowała około 10 milionów użytkowników na całym świecie.
Kampania Dark Herring trwa co najmniej od marca 2020 r. Subskrybowała użytkowników usług, które pobierają od nich średnią miesięczną składkę w wysokości 15 USD. Z milionami dolarów w cyklicznych przychodach generowanych co miesiąc, osoby atakujące spowodowały łączne straty rzędu setek milionów.
Kampania była aktywna przez tak długi czas, ponieważ szkodliwe aplikacje zapewniały użytkownikom oczekiwaną funkcjonalność.
Po zainstalowaniu na urządzeniu aplikacje Dark Herring zaczynają komunikować się z serwerem dowodzenia i kontroli (C&C) w celu przesłania adresu IP ofiary, który jest używany do kierowania ofiarą do bezpośredniej subskrypcji rozliczeń operatora.
Następnie ofiara jest przenoszona na stronę internetową o określonym położeniu geograficznym, gdzie jest proszona o podanie swojego numeru telefonu, rzekomo w celu weryfikacji. W rzeczywistości przekazują numer telefonu do usługi premium.
„Ofiara nie zauważa od razu skutków kradzieży, a prawdopodobieństwo, że naliczanie rachunków będzie kontynuowane przez wiele miesięcy przed wykryciem, jest wysokie, z niewielką lub zerową szansą odzyskania pieniędzy” – mówi Zimperium.
470 aplikacji Dark Herring zostało opublikowanych w Google Play między marcem 2020 a listopadem 2021, ale wszystkie zostały usunięte z oficjalnego sklepu. Pozostają jednak dostępne w sklepach innych firm.
System do głosowania dziurawy jak szwajcarski ser
E-głosowanie zostało po raz pierwszy wprowadzone w Szwajcarii prawie dwie dekady temu. Jednak krajowa poczta szwajcarska, która jest odpowiedzialna za głosowanie elektroniczne, pracuje nad nowym systemem „z pełną weryfikowalnością”.
Zanim nowy system będzie mógł być szeroko wdrożony, Swiss Post chce się upewnić, że jest odpowiednio przetestowany i bezpieczny. Organizacja uruchomiła pierwszy program bug bounty z głosowaniem elektronicznym w 2019 r., ale trwał tylko jeden miesiąc i zaowocował wykryciem zaledwie kilkunastu problemów z zabezpieczeniami o niskim poziomie istotności.
Jednak mniej więcej w tym samym czasie zespół badaczy przeanalizował kod źródłowy systemu — poza jakimkolwiek programem bug bounty — i wykrył potencjalnie poważne luki związane z protokołami kryptograficznymi, w tym luki, które mogły prowadzić do niewykrywalnej manipulacji głosowaniem. Wyniki zostały zbagatelizowane przez firmę, która system opracowała.
W zeszłym roku Swiss Post ogłosił trwający program bug bounty na platformie YesWeHack, oferujący nagrody w wysokości do 230 000 EUR (około 260 000 USD).
Według Swiss Post, do 20 stycznia 2022 r. firma otrzymała już 122 zgłoszeń luk w zabezpieczeniach, w tym cztery problemy, którym przypisano ocenę „wysokiego poziomu ważności”. Za wszystkie ważne luki wypłacił łącznie 79 000 EUR (88 000 USD).
Z tej kwoty 27 000 EUR (30 000 USD) zarobił Ruben Santamarta, doświadczony badacz cyberbezpieczeństwa, który w ostatnich latach odkrył wiele luk w zabezpieczeniach, w tym w systemach przemysłowych, IoT, satelitarnych, lotniczych i morskich.
Santamarta do tej pory zidentyfikował 13 luk w systemie głosowania elektronicznego, ale jego badania są w toku i oczekuje, że zgłosi dodatkowe problemy. Zauważył również, że waga niektórych wad jest nadal badana i oczekuje dodatkowych nagród za słabości, które zostały już ujawnione.
Dziewiętnastu badaczy znajduje się w galerii sław programu „bug bounty” Swiss Post na YesWeHack, a Santamarta ma obecnie najwyższy ranking. Najwyższa nagroda wypłacona do tej pory w ramach tego programu wyniosła 40 000 EUR (45 000 USD).
W poście na blogu opublikowanym na początku tego miesiąca Santamarta ujawnił szczegóły siedmiu luk w zabezpieczeniach, w tym problem o dużej wadze, który przyniósł mu 15 000 euro. Poważna wada związana jest z używaniem dysków USB.
FBI ostrzega przed Irańską firmą.
W tym tygodniu FBI ostrzegło o szkodliwych działaniach prowadzonych przez irańską firmę cybernetyczną o nazwie Emennet Pasargad. Agencja opisała taktyki, techniki i procedury (TTP) oraz podzieliła się kilkoma zaleceniami dotyczącymi zapobiegania i wykrywania ataków.
W listopadzie 2021 r. Departament Skarbu USA ogłosił sankcje wobec sześciu obywateli Iranu i firmy zaangażowanej w kampanię, której celem było wywarcie wpływu na wybory prezydenckie w 2020 roku.
Wspomniana firma to Emennet Pasargad, wcześniej znany jako Eeleyanet Gostar i Net Peygard Samavat — firma regularnie zmienia nazwę, aby uniknąć sankcji. Emennet świadczył usługi cyberbezpieczeństwa w Iranie, w tym na rzecz organizacji rządowych.
W dniu, w którym Ministerstwo Skarbu ogłosiło sankcje, Departament Sprawiedliwości przedstawił zarzuty dwóm pracownikom Emenneta, którzy byli rzekomo odpowiedzialni za działania hakerskie i dezinformacyjne związane z wyborami prezydenckimi.
W ostrzeżeniu wydanym w tym tygodniu FBI zauważyło, że oprócz operacji skoncentrowanej na wyborach, Emennet prowadził „tradycyjną działalność w zakresie cybereksploatacji”, atakując sektory takie jak wiadomości, transport, podróże, ropa i petrochemia, telekomunikacja i finanse. Celowali w Stany Zjednoczone, Europę i Bliski Wschód.
Hakerzy wykorzystywali różne sieci VPN, aby ukryć swoją lokalizację i wykorzystywali w swoich działaniach kilka narzędzi open source i komercyjnych, w tym SQLmap, Acunetix, DefenseCode, Wappalyzer, Dnsdumpster, Netsparker, wpscan i Shodan.
Zaobserwowano również, że hakerzy atakują popularne systemy zarządzania treścią, takie jak WordPress i Drupal, a także ujawnione bazy danych. W wielu przypadkach próbowali użyć domyślnych haseł, aby uzyskać dostęp do docelowego systemu.