Zestawienie tygodniowe 26 lipca – 2 sierpnia
Grupa cyberszpiegowska znana jako APT29 lub Cozy Bear nadal aktywnie dostarcza „szkodnika” o nazwie WellMess, mimo że ten malware został szczegółowo opisany w zeszłym roku.
WellMess, znany również jako WellMail, to lekkie złośliwe oprogramowanie, które umożliwia operatorom wykonywanie „poleceń powłoki”, a także przesyłanie i pobieranie plików w zaatakowanym systemie. Złośliwe oprogramowanie zostało po raz pierwszy opisane w 2018 r., kiedy zostało wykryte w atakach wymierzonych w organizacje japońskie, ale w tym czasie nie było powiązane z konkretnym podmiotem atakującym.
WellMess został przypisany rosyjskiemu APT29 w 2020 roku, kiedy Stany Zjednoczone, Wielka Brytania i Kanada poinformowały, że był wykorzystywany przez hakerów w atakach wymierzonych w akademickie i farmaceutyczne instytucje badawcze zaangażowane w opracowywanie szczepionek przeciw COVID-19.
Złośliwe oprogramowanie zostało ponownie wspomniane w tym roku, kiedy agencje w USA i Wielkiej Brytanii opublikowały raport opisujący działalność APT29, która prawdopodobnie stała również za atakiem na firmę zarządzającą IT w SolarWinds.
W raporcie wspomniano o WellMess, ponieważ – najwyraźniej w odpowiedzi na ujawnienie ich operacji wymierzonej w producentów szczepionek – hakerzy zaczęli używać otwartej platformy symulacyjnej przeciwnika o nazwie Sliver, aby utrzymać dostęp do istniejących ofiar.
Szkodliwe oprogramowanie było wykorzystywane w wysoce ukierunkowanych atakach i pomimo ujawnienia go przez rządy i firmy zajmujące się cyberbezpieczeństwem.
RiskIQ, firma zajmująca się badaniem zagrożeń, przejęta niedawno przez Microsoft, odkryła ponad 30 serwerów dowodzenia i kontroli (C&C), które są aktywnie wykorzystywane przez hakerów do dostarczania złośliwego oprogramowania WellMess. Chociaż firma jest przekonana, że serwery należą do APT29 i nadal są aktywnie wykorzystywane, nie ma wystarczających informacji, aby określić, w jaki sposób wykorzystywana jest wykryta infrastruktura.
Powstanie Centralne Biuro Zwalczania Cyberprzestępczości!
Niemałe zamieszanie wywołała konferencja premiera Mateusza Morawieckiego w polskim środowisku cyberbezpieczeników. 27 lipca premier ogłosił: „Chcemy, żeby Policja miała odpowiednie instrumenty, najlepsze rozwiązania i kompetencje do walki z cyberprzestępczością, żebyśmy mogli jak najlepiej odpowiadać na te zagrożenia”. W konferencji wzięli także udział Mariusz Kamiński – minister spraw wewnętrznych i administracji oraz Janusz Cieszyński – sekretarz stanu w KPRM, pełnomocnik rządu do spraw cyberbezpieczeństwa. Zgodnie z informacjami udostępnionymi na stronie Ministerstwa Spraw Wewnętrznych, Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) będzie jednostką Policji odpowiedzialną za rozpoznawanie, zapobieganie i zwalczanie cyberprzestępczości. Zgodnie z projektem zmiany ustawy o Policji, nową jednostką będzie kierować komendant Centralnego Biura Zwalczania Cyberprzestępczości jako organ podległy komendantowi głównemu Policji. Komendanta CBZC będzie powoływał (spośród oficerów Policji) i odwoływał minister właściwy do spraw wewnętrznych, na wniosek komendanta głównego Policji. Komendant CBZC będzie posiadał również pełne kompetencje kadrowo-szkoleniowe w stosunku do policjantów CBZC.
Centralne Biuro Zwalczania Cyberprzestępczości będzie jednostką jednolitą w skali kraju, z siedzibą w Warszawie. W procesie naboru do służby zwalczania cyberprzestępczości pod szczególną uwagę będą brane wiedza i umiejętności z zakresu informatyki i nowoczesnych technologii teleinformatycznych. Funkcjonariuszom CBZC będzie przysługiwać w pełni możliwość prowadzenia działań operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych.
Pokusimy się o opisanie i analizę powyższych planów w osobnym artykule już wkrótce.
A tymczasem w Polsce…
CBZC na razie w planach, ale tematów dochodzeń na pewno im nie zabraknie. I to bliżej niż dalej. TVN24 poinformował, że w Komendzie Głównej Policji wykryto koparki kryptowalut osoba odpowiedzialna (cywilny pracownik IT) została zwolniona. I podobno to nie jedyne konsekwencje i nie jedyna osoba, o których prasa będzie w przyszłości informować. Sprawa jest rozwojowa jak to mówią z reguły rzecznicy prasowi prokuratury.
Z kolei Onet wykrył „Piłkarską aferę z dyplomami”. Z doniesień prasowych wydaje się, że sprawa oparta jest o zawartość telefonu Głównego Podejrzanego, przyłapanego podczas policyjnej prowokacji. Dla nas najbardziej zastanawiający jest przypadek jednego z polskich piłkarzy, który w dniu meczu polskiej kadry miał bronić dyplom z teologii adwentystycznej, chodź zdecydowanie bardziej do niego pasuje dyplom z stomatologii atawistycznej.
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
