Zestawienie tygodniowe 11 - 18 października

Kilka amerykańskich agencji rządowych ogłosiło w czwartek wspólny alert, aby ostrzec podmioty z sektora wodno-kanalizacyjnego przed trwającymi cyberatakami. Alert opisuje również trzy wcześniej niezgłoszone ataki ransomware, które wpłynęły na przemysłowe systemy sterowania (ICS).

Alarm został wydany przez FBI, CISA, EPA i NSA. Agencje są świadome ataków — przeprowadzanych zarówno przez znanych, jak i nieznanych cyberprzestępców — na sieci infrastruktury wodociągowej IT i OT. Agencje zauważyły, że chociaż cyberzagrożenia rosną w sektorach infrastruktury krytycznej, najnowszy alert nie ma sugerować, że sektor wodno-kanalizacyjny jest bardziej podatny niż inne podmioty krytyczne.

Raport zwraca też uwagę na zagrożenia związane z danymi, oprogramowaniem ransomware, segmentacją sieci, złożonością sieci i konserwacją systemu, a także udostępnia informacje o taktykach, technikach i procedurach (TTP) używanych przez cyberprzestępców do narażania systemów i sieci IT i OT. Zawiera również zalecenia dotyczące tego, jak organizacje mogą zapobiegać, wykrywać i reagować na zagrożenia cybernetyczne.

Alert zawiera również kilka przykładów ataków przeprowadzonych w ciągu ostatnich kilku lat, zarówno przez złośliwych użytkowników wewnętrznych, jak i zewnętrznych cyberprzestępców. Przykłady obejmują trzy incydenty, które miały miejsce w tym roku i nie zostały wcześniej upublicznione. Każdy z tych ataków dotyczył systemów nadzoru i gromadzenia danych (SCADA).

W jednym incydencie, który miał miejsce w marcu, cyberprzestępcy wykorzystali nieznane oprogramowanie ransomware, aby zaatakować obiekt wodociągowy w Nevadzie. Szkodliwe oprogramowanie wpłynęło na SCADA i systemy tworzenia kopii zapasowych, ale agencje zauważyły, że system SCADA zapewniał jedynie funkcje monitorowania i widoczności i „nie był pełnym systemem kontroli przemysłowej”.

Kolejny incydent miał miejsce w lipcu i dotyczył placówki w Maine. Hakerzy wdrożyli oprogramowanie ransomware „ZuCaNo”, które trafiło do komputera SCADA ze ściekami. „System uzdatniania był uruchamiany ręcznie, dopóki komputer SCADA nie został przywrócony przy użyciu lokalnego sterowania i częstszych obchodów operatora” – poinformowały agencje w swoim ostrzeżeniu.

Trzeci nowo ujawniony atak miał miejsce w sierpniu. Przestępcy rozmieścili oprogramowanie ransomware „Ghost” w systemach elektrowni wodnej w Kalifornii. Oprogramowanie ransomware zostało wykryte mniej więcej miesiąc po pierwszym włamaniu, po tym, jak organizacja zauważyła trzy serwery SCADA wyświetlające komunikat ransomware.

Przypomnijmy, że na początku tego roku FBI, CISA, EPA i Multi-State Information Sharing and Analysis Center (MS-ISAC) wydały ostrzeżenie po tym, jak cyberprzestępcy uzyskali nieautoryzowany dostęp do systemu SCADA w oczyszczalni wody pitnej na Florydzie i prawdopodobnie usiłowali zatruć wodę.

Autor: Kapitan Hack Data dodania: 18 paź 2021 10:55 6 min czytania

Nowe ataki wpływające na procesory AMD

Naukowcy ujawnili szczegóły nowych ataków z wykorzystaniem taktowania i kanałów bocznych, które mają wpływ na wszystkie procesory AMD, ale producent chipów twierdzi, że nie są potrzebne żadne nowe środki łagodzące.

Nową metodę ataku odkryli badacze Moritz Lipp i Daniel Gruss z Graz University of Technology oraz Michael Schwarz z CISPA Helmholtz Center for Information Security. To oni odkryli oryginalne luki w zabezpieczeniach Meltdown i Spectre, a ich badania utorowały drogę dla wielu innych metod ataku typu side-channel, których celem były powszechnie używane procesory.

Badacze zademonstrowali kilka scenariuszy ataków, w tym jeden, w którym przeprowadzili atak Spectre w celu wycieku poufnych danych z systemu operacyjnego i pokazali nową metodę ustanawiania tajnego kanału do eksfiltracji danych.

Naukowcy twierdzą również, że zidentyfikowali pierwszą „pełną mikroarchitektoniczną awarię KASLR (randomizacja układu przestrzeni adresowej jądra) w AMD, która działa na wszystkich głównych systemach operacyjnych”. KASLR to technika łagodzenia exploitów, a eksperci pokazali, w jaki sposób atakujący może ją złamać na laptopach, komputerach stacjonarnych i maszynach wirtualnych w chmurze.

Odkrycia zostały zgłoszone AMD w połowie i pod koniec 2020 r., a firma potwierdziła je i przekazał informacje zwrotne w lutym 2021 r. AMD przypisała lukom identyfikator CVE: CVE-2021-26318 i średnią ocenę ważności. Producent chipów potwierdził, że problem dotyczy wszystkich procesorów, ale nie zaleca żadnych nowych środków łagodzących, ponieważ „ataki omówione w artykule nie powodują bezpośredniego wycieku danych poza granice przestrzeni adresowej”.

Poradnik AMD zawiera szereg zaleceń dotyczących ogólnego łagodzenia ataków typu side-channel, takich jak aktualizowanie systemów operacyjnych, oprogramowania i oprogramowania układowego oraz przestrzeganie praktyk bezpiecznego kodowania.

Atak na największy bank w Ekwadorze

Klienci największego banku w Ekwadorze są już zniecierpliwieni przedłużającą się przerwą w świadczeniu usług po cyberataku na tę instytucję kilka dni wcześniej. Przed oddziałami banku Pichincha utworzyły się długie kolejki, a tysiące klientów publikuje posty w mediach społecznościowych. Ludzie zgłaszali brak dostępu do aplikacji internetowej i mobilnej. Bankomaty działały, tak samo jak oddziały.

Bank w poniedziałkowym oświadczeniu przyznał, że „zidentyfikował incydent cyberbezpieczeństwa, który częściowo zablokował usługi”.

Rządowy Nadzór Bankowy wysłał delegację do centrali banku w celu monitorowania problemów i rozwiązań. Zaatakowany Bank ma około 1,5 miliona klientów i około 1,5 miliarda dolarów w środków.