Zestawienie tygodniowe 26 października - 2 listopada

United States Cyber Command (USCYBERCOM) opublikowało w tym tygodniu nowe próbki złośliwego oprogramowania związane z działalnością rosyjskich „aktorów” Turla i Zebrocy.

Turla, kontynuuje złośliwą aktywnością od ponad dekady, określana jest również jako Snake, Waterbug, Venomous Bear, Belugasturgeon i KRYPTON. Ostatnio zaobserwowano, że atakuje europejskie organizacje rządowe.

W czwartek USCYBERCOM udostępnił w VirusTotal nowe próbki trojana ComRAT, który jest uważany za jedną z najstarszych rodzin szkodliwego oprogramowania wykorzystywanych przez powiązanego z Rosją agenta.

„FBI jest przekonane, że sponsorowany przez Rosję aktor APT Turla, który jest grupą szpiegowską, używa szkodliwego oprogramowania ComRAT do wykorzystywania w sieci ofiar. Grupa jest dobrze znana ze swoich niestandardowych narzędzi i ukierunkowanych operacji” – czytamy w raporcie przygotowanym przez Agencję ds. Cyberbezpieczeństwa i Infrastruktury (CISA).

Raport udostępnia szczegółowe informacje na temat skryptu programu PowerShell używanego do instalowania innego skryptu, który z kolei ładuje bibliotekę DLL ComRAT w wersji 4. CISA wyjaśnia, że złośliwe oprogramowanie zawiera biblioteki DLL używane jako moduły komunikacyjne, które są wstrzykiwane w domyślnej przeglądarce i które komunikują się z plikiem ComRATv4 za pomocą nazwanego potoku. Interfejs internetowy Gmaila służy do odbierania poleceń i eksfiltrowania danych.

W sumie pięć plików ComRAT zostało udostępnionych przez USCYBERCOM na VirusTotal, wraz z dwiema próbkami związanymi z rosyjskim aktorem zagrożeń Zebrocy.

Początkowo wyszczególniona w 2018 roku, rosyjska grupa hakerska jest uważana przez niektóre firmy zajmujące się bezpieczeństwem za część Sofacy APT (zwanego również APT28, Fancy Bear, Pawn Storm, Sednit i Strontium), podczas gdy inni postrzegają ją jako odrębny podmiot.

We wrześniu 2020 r. odkryto nowe ataki Zebrocy, które pokazują ciągłe ataki na państwa stowarzyszone z Organizacją Traktatu Północnoatlantyckiego (NATO).

Autor: Kapitan Hack Data dodania: 2 lis 2020 10:31 7 min czytania

Kary za RODO w Wielkiej Brytanii

Brytyjski organ ochrony danych poinformował w piątek, że nałożył grzywnę na amerykańską grupę hoteli Marriott za naruszenie danych dotykające miliony klientów na całym świecie.

Biuro brytyjskiego komisarza ds. Informacji podało w oświadczeniu, że od marca 2018 r. ukarało Marriott 18,4 miliona funtów (23,5 miliona dolarów, 20,1 miliona euro) za naruszenia danych, które zawierały dane osobowe, między innymi takie jak numery paszportów.

Ostateczna kara jest znacznie mniejsza niż kwota około 100 milionów funtów pierwotnie zaplanowana przez ICO.

Organ nadzorczy powiedział, że wziął pod uwagę „kroki podjęte przez Marriott w celu złagodzenia skutków incydentu i ekonomicznego wpływu Covid-19 na ich działalność przed nałożeniem ostatecznej kary”.

Ponieważ naruszenie miało miejsce przed opuszczeniem Unii Europejskiej przez Wielką Brytanię, ICO przeprowadziło dochodzenie w imieniu wszystkich organów UE jako główny organ nadzorczy zgodnie z RODO. ICO stwierdziło, że naruszenie przez Marriott w rzeczywistości datuje się na 2014 rok, ujawniając dane klientów, w tym numery paszportów. Marriott szacuje, że w następstwie cyberataku przeprowadzonego sześć lat temu na Starwood Hotels and Resorts Worldwide wpłynęło to na 339 milionów rekordów gości na całym świecie.

ICO stwierdziło, że dokładna liczba dotkniętych osób pozostaje niejasna, ponieważ może istnieć wiele zapisów dla pojedynczego gościa.

Dodał, że naruszeniu uległo około siedmiu milionów rekordów gości będących obywatelami Wielkiej Brytanii.

VPN od Googla

Firma Google ogłosiła w czwartek, że klienci Google One mogą teraz korzystać z nowej usługi wirtualnej sieci prywatnej (VPN), która zapewni im dodatkową warstwę ochrony, gdy przejdą do trybu online.

Google One to oparta na subskrypcji usługa przechowywania i tworzenia kopii zapasowych w chmurze. Nowa sieć VPN od Google One jest dostępna dla klientów, którzy wykupili abonament 2 TB lub wyższy. Usługa VPN będzie początkowo dostępna tylko w Stanach Zjednoczonych na Androida – zostanie wdrożona w ciągu najbliższych tygodni i będzie można ją włączyć z aplikacji Google One.

Jednak Google twierdzi, że planuje rozszerzyć go na więcej krajów i systemów operacyjnych – w tym Windows, macOS i iOS – w nadchodzących miesiącach.

„Wbudowaliśmy już zaawansowane zabezpieczenia we wszystkie nasze produkty, a sieć VPN rozszerza te zabezpieczenia, aby szyfrować cały ruch online w telefonie, bez względu na to, jakiej aplikacji lub przeglądarki używasz” – powiedziała Larissa Fontaine, dyrektor Google One. „VPN jest wbudowany w aplikację Google One, więc jednym dotknięciem możesz mieć pewność, że Twoje połączenie jest bezpieczne przed hakerami”.

Firma Google wydała również oficjalny dokument zawierający pewne szczegóły techniczne dotyczące nowej sieci VPN, a także kod źródłowy biblioteki klienta, aby umożliwić użytkownikom i ekspertom sprawdzenie, jak obsługuje ona dane.

Firma twierdzi, że VPN nie rejestruje aktywności użytkowników ani danych, które mogłyby ujawnić dane osobowe. Obejmuje to ruch sieciowy, adres IP, sygnaturę czasową połączenia lub używaną przepustowość.

Chociaż oferta VPN może wydawać się atrakcyjna dla niektórych użytkowników, eksperci ds. Bezpieczeństwa nie są przekonani, że Google nie wykorzysta żadnych danych dla własnej korzyści.

„VPN przez jedną z największych firm zbierających dane na świecie to przerażająca myśl” – powiedział SecurityWeek Joseph Carson, główny naukowiec ds. Bezpieczeństwa i doradca CISO w Thycotic. „To początkowo sprawia, że myślę, że nie jest to dokładnie produkt VPN, który ma być wirtualną siecią prywatną, co zazwyczaj oznacza, że nikt nie może zobaczyć żądań klienta. To może bardziej przypominać, że nikt inny oprócz Google nie otrzyma Twoich danych. Gdy produkty reklamują się jako VPN, musi być absolutnie jasne, przed kim chronią, a także komu zapewnia dostęp do całej historii transmisji danych. Mam nadzieję, że jest to naprawdę motyw bezpieczeństwa do ochrony ludzi przed cyberprzestępczością, a nie próba zdobycia większej ilości danych pod postacią rozwiązania zabezpieczającego”.