Таргетирани атаки

  • Palo Alto Networks, Fidelis, Qualys и Mimecast разкриха инциденти, свързани със Solar Winds

    Списъкът на киберкомпаниите, засегнати от свързаната със SolarWinds supply chain атака продължава да нараства.

    Palo Alto Networks, Fidelis, Qualys и Mimecast са поредните, разкрили троянизирани версии на приложението на SolarWinds (Orion) в своите вътрешни мрежи.

    Доставчикът на софтуер за киберсигурност и мрежово оборудване, Palo Alto Networks, е открил два инцидента със сигурността си още през есента на 2020 г. Атаките са били неуспешни и са свързани със софтуера на SolarWinds, едва след разкритието на пробива във FireEye.

    Троянизирана версия на приложението Orion са разкрили и от киберкомпанията Fidelis. Инсталацията е направена още през май 2020 г., като част провеждана оценка на софтуера, и е останала изолирана в тестова среда.

    Вниманието към Qualys пък се насочи след като „corp.qualys.com“ се появи в списък на нови домейни, използвани от хакерите на SolarWinds за вторични атаки.

    Qualys твърди, че приложението Orion е инсталирано само в лабораторна среда за целите на тестването, отделно от основната мрежа.

    Най-силно засегнат изглежда е Mimecast – доставчик на продукти за защита на имейли. Компанията разкри, че хакерите са проникнали в мрежата й и са получили достъп до акаунтите в Microsoft 365 на някои от клиентите й. Пробивът е осъществен чрез цифрови сертификати, използвани от един от продуктите за сигурност на Mimecast.

  • Нов малуер е открит при разследването на атаката на SolarWinds

    Последен ъпдейт на 16 януари 2021 в 03:53 ч.

    Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

    Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

    Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

    “Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

    Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

    • Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
    • Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
    • SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
    Източник: SolarWinds
    Източник: SolarWinds

    Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

    Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

    Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

  • Хакерите на SolarWinds заобикалят многофакторното удостоверяване на Duo

    Топ-новината в областта на киберсигурността е мащабният пробив в мрежата на Министерство на финансите на САЩ. FireEye вече публикува подробности относно инцидента със supply-chain атаката към SolarWinds.

    В последните дни попаднахме на друго интересно проучване – на пионера в разследването на инциденти с оперативната памет, Volexity. Компанията  добавя  детайли и индикатори, свързани с компрометирането на сигурността, което засяга и клиентите на софтуерната платформа Orion на SolarWinds.

    Още от 2019 до средата на 2020 г. Volexity успява да засече компрометирани сървъри, атаките към които носят почерка на същата група (UNC2452), която FireEye свързва с атаката към SolarWinds. Тъй като по това време подробности относно групата не са били известни, Volexity я наричат Dark Halo.

    Общото между действията на Dark Halo и атаката към Orion на SolarWinds

    Най-голямото доказателство за връзка, Volexity намира в домейните за C2 комуникация на зловредния софтуер, описани в доклада на FireEye:

    • appsync-api.us-west-2.avsvmcloud[.]com
    • freescanonline[.]com
    • lcomputers[.]com
    • webcodez[.]com

    В първите подобни инциденти, разследвани от Volexity, са били открити множество инструменти, задни врати (Backdoor) и инжектирани зловредни кодове, които не са били използвани постоянно, а само при нужда – за ексфилтриране на точно определена информация.

    Според доклада на Volexity, три големи инцидента се свързват с групата Dark Halo. Ние избрахме да се спрем на втория от тях, тъй като той дава най-ясна представа за една от техниките, използвана при ексфилтрирането.

    Какво е Duo

    Duo е дъщерна компания на гиганта Cisco, която предоставя лесен начин за интегриране на многофакторна автентикация (MFA) при достъп до приложенията на различни доставчици. В това число О365, ERP системи, VPN и т.н. Сред най-големите клиенти на Duo са US Department of Defense, US Department of Homeland Security, SalesForce, NIST и т.н.

    Как се заобикаля Duo MFA

    В разследван инцидент, свързан с Dark Halo, Volexity са наблюдавали как групата осъществява достъп до имейл акаунта на потребител, чрез OWA, при положение, че целевата пощенска кутия е била  защитена с MFA. Логовете от Exchange сървъра показват, че нападателите предоставят потребителско име и парола, като не им е изискано допълнително удостоверяване чрез Duo. В същото време, логовете от сървъра за удостоверяване на Duo не показват да са правени опити за влизане във въпросния акаунт. Volexity успява да потвърди, че не е имало прихващане на сесия и/или дъмп на паметта на OWA сървъра, а че нападателите са използвали бисквитка (cookie), свързана с Duo MFA сесията, наречена duo-sid.

    Разследването на Volexity установява, че нападателите са имали достъп до секретния ключ за интегриране на Duo (skey) от OWA сървъра. Този ключ им е позволил да генерират предварително изчислена стойност, която да бъде зададена в бисквитката duo-sid. След успешно удостоверяване с парола, сървърът е оценил бисквитката duo-sid, като валидна. Така нападателите, разполагайки с потребителско име и парола са успели да заобиколят напълно MFA.

    Важно е да се отбележи, че това не е уязвимост при доставчика на MFA: необходимо е всички пароли, свързани с ключовете за интеграции, като тези с доставчика на MFA, да бъдат променени след подобен инцидент. При това е особено важно паролите да бъдат сменени с такива, които по нищо не наподобяват старите (Пример: Да промените Sofia2020 на Plovdiv2020 не е добро решение!).

    Става дума за продължително организирана атака

    Друга интересна подробност, e че още през юли 2020 г. Volexity  са идентифицирали подозрителни административни команди и ActiveSync аномалии в Exchange инфраструктурата на клиента, чийто инцидент са разследвали. След обстойно проучване е било потвърдено, че има пробив в мрежата и крайните станции, като атакуващите са използвали команди, свързани с експортирането на мейли и ексфилтрирането им през Outlook (OWA). Много от детайлите описани тогава, се припокриват с доклада на FireEye, включително и такива, свързани с евентуална инфекция на SolarWinds машината на клиента.

    За съжаление Volexity не са успели да опишат в детайли компрометирането на  SolarWinds и да предоставят нужните доказателства на разработчика. Съответно не е имало възможност за по-нататъшно разследване и разкриване на проблема със supply-chain атаката по-рано.

    През последните дни ви предоставяме различни анализи и гледни точки за това как се е стигнало до хака на американската администрация. Основната ни цел е да насочим вниманието на отговорниците по сигурността (CSO и др.) към различните пробойни и недостатъци и да не подценяват дребните пропуски. Защото хакерите търсят най-слабото ви звено.

  • Network Management System – перфектната цел за атака

    Последен ъпдейт на 16 декември 2020 в 01:48 ч.

    За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

    SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

    NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

    Как NMS генерира картата

    Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

    Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

    Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

    Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

    Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

    Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

    1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
    2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

    Какво трябва да направите ако имате инсталиран SolarWinds NMS

    1. Не изпадайте в паника и не го изтегляйте офлайн
    2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
    3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
    4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

    Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

    В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

    В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.

  • Хакери са проникнали в мрежата на Министерство на финансите и други държавни структури на САЩ

    Последен ъпдейт на 2 януари 2021 в 06:46 ч.

    Правителството на САЩ съобщи за мащабен пробив в мрежата на Министерство на финансите, а вероятно и на други държавни агенции. Все още не е ясен пълния списък със засегнати структури, но се очаква той да нарасне.

    Експертите смятат, че няма достатъчно квалифицирани екипи от специалисти, които да идентифицират надлежно всички правителствени и частни системи, които може да са били хакнати. Държавната администрация пък не иска да сподели пълния обхват на инцидента и имената на засегнатите.

    Не е ясно какво точно са търсили хакерите, но експертите казват, че това може да включва ядрени тайни, схеми на усъвършенствани оръжия, изследвания, свързани с ваксината COVID-19 и информация от досиетата на ключови държавни и индустриални лидери.

    За атаката се счита, че е част от киберкампания срещу американски институции, жертва на която стана и компанията за киберсигурност FireEye. Смята, че зад атаката стои чуждо правителство, като най-много се спряга руско участие.

    Пробивът е станал през широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion на компанията SolarWinds. Веднъж получили отдалечен достъп до него, всичко в засегнатата мрежа  става видимо за хакерите.

    Според разследване на Microsoftзловреден код е бил вмъкнат в DLL файл, свързан с платформата за управление на инфраструктурата Orion. Той е осигурил на хакерите backdoor, използван за осъществяване на същинската атака.

    За пробивът в американското правителство е станало ясно при разследването, което FireEye е провела в собствената си мрежа. Компанията е установила, че софтуерът на SolarWinds е инжектиран със зловреден код, който се е разпространил с ъпдейт, приложен през март 2020.

    На сайта си SolarWinds заявяват, че имат над 300 хил. клиенти по целия свят, включително всичките пет клона на американската армия, Пентагона, Държавния департамент, НАСА, Агенцията за национална сигурност, Министерството на правосъдието и Белия дом. Според него 10-те водещи американски телекомуникационни компании и петте най-добри американски счетоводни фирми също са сред клиентите.

    Флорида е първият щат, който призна, че е станал жертва на хака на SolarWinds. Cisco Systems Inc. и Microsoft Corp. също съобщиха, че системите им са били засегнати от злонамерения ъпдейт. Към списъка се присъединиха Министерството на енергетиката (DOE) и Националната администрация за ядрена сигурност (NNSA) на САЩ. Пентагонът е заявил, че към момента не са открити прониквания в мрежата му.

    Американските държавни агенции са получили директива за предприемане на незабавни действия, които да намалят щетите от използването на компрометирания софтуер Orion на SolarWinds.

    Продължаваме да следим темата, за да ви информираме своевременно за развитието на инцидента.

    Ситуацията показва, че 100% сигурност не съществува, но наличието на средства за проследяване на случващото се в мрежата (Cybersecurity Monitoring) ви дава възможност да реагирате навременно и адекватно и да вземете мерки за минимизиране на нанесените щети.

    Прочетете още: Network Management System – перфектната цел за атака

    Друга интересна гледна точка представяме и тук: Хакерите на SolarWinds заобикалят многофакторното удостоверяване на Duo

  • Анатомия на кибератаката – как да се предпазите

    Както всеки администратор знае, хаковете са навсякъде около нас и постоянно еволюират. С една-единствена цел – да ни затруднят да ги разпознаем и класифицираме и да оцелеят възможно най-дълго в нашата компютърна екосистема.

    Всяка кибератака представлява комплексен низ от стъпки, събития и действия, които трябва да се изпълнят последователно, за да бъде тя успешна. Ако администраторите познават основните фази, през които преминава изпълнението на една кибератака, те ще могат да я разпознаят в някой от етапите на протичането й и да я предотвратят.

    Първа фаза:  Разузнаване

    Атакуващият има нужда от максимум информация за жертвата си, за да планира правилно атаката. В тази фаза се тестват и изследват механизмите за защита на жертвата. Хакерът обикновено търси уязвимо устройство или уязвима операционна система. Опитва се да научи максимално много за служителите, използвайки социални медии. Понякога дори използва партньори с по-слаба защита, които могат да бъдат компрометирани лесно, като точка за достъп до основната жертва.

    Противодействие:

    • Не публикувайте твърде много информация в интернет и по възможност редактирайте или отстранете т.нар. банери на сървърите, които използвате. Те указват точната версия, която се използва и по този начин дават на атакуващия предимство в търсенето на уязвими места.
    • Обучавайте служителите си да не споделят прекомерно и ненужно в социалните мрежи
    • Проверявайте внимателно дали получените съобщения идват наистина от ваши партньори и дали прикачената информация не е измама

    Втора фаза: Подготовка за атака (въоръжаване)

    След като открият уязвимост в инфраструктурата на набелязаната жертва, атакуващите подготвят приложения, с които да я експлоатират, като се стремят да останат незабелязани. Повечето киберпрестъпници използват инструменти, които вече са известни и са използвани и в миналото. Ако такива обаче липсват, по всяка вероятност атакуващите ще се въоръжат с т.нар. Zero-Day експлойт, срещу който все още няма подготвени дефиниции или кръпки.

    Противодействие:

    • Създайте във вашата организация политики и процедури за информационна сигурност, за да повишите нивото си на защита или се обърнете към специалисти, които да го направят за вас

    Вижте също: Какво е Zero trust security и защо да го въведете в компанията си през 2020 г.

    Трета фаза: Доставяне

    След като се „въоръжи“, престъпникът трябва да намери механизъм, с който да достави пейлоуда (файлът, който изтегля същинския зловреден код). Това става най-често чрез фишинг имейли, а също и през инфектирани уеб сайтове, фалшиви реклами и др. Атакуващият се нуждае само от една слабост – един служител, който да натисне грешния линк или да отвори неправилният файл.

    Противодействие:

    • Използвайте технически средства, с които да отсеете масовката от спам и фишинг
    • Провеждайте адекватни и регулярни обучения за персонала ви, за да могат те да разпознават фишинг атаки, както и други заплахи
    • Използвайте услуги или системи за мониторинг, които биха ви подсказали за нетипично поведение в мрежата или крайните станции.

    Прочетете още: Защо фишингът е най-често използваният метод за кибератаки?

    Четвърта фаза: Експлоатация

    След като пейлоудът е доставен успешно, той трябва да бъде изпълнен незабелязано. Повечето атаки се фокусират върху приложения от трети страни, които работят с по-високи права върху операционната система. В повечето случаи тези приложения не се ъпдейтват често и почти не се тестват за уязвимости, затова стават лесна мишена и входна врата към превземането на системата.

    Противодействие:

    • Подбирайте внимателно и не се предоверявайте на приложения от трети страни
    • Прилагайте навреме и редовно наличните кръпки в операционната система и съпътстващите приложения
    • Използвайте защита на крайните станции от доказал се разработчик
    • Наблюдавайте действията на потребителите за нетипично поведение или изпълнение на съмнителен код върху системата, а при невъзможност да се справите сами, изнесете тази задача като услуга

    Ще ви бъде интересно да разгледате: 15 добри практики за защита на приложенията – за разработчици и клиентите им

    Пета фаза: Командване & Контрол

    След като експлойта е доставен и изпълнен успешно, той започва да комуникира със сървър на нападателя. В повечето случаи тази комуникация бива криптирана, за да остане трафикът скрит. Целта на атакуващия е да бъдат свалени допълнителен зловреден код и инструменти, които да  проникнат и компрометират мрежата на жертвата.

    Противодействие:

    • Използвайте добри технологични решения, които бързо и точно да идентифицират злонамерения софтуер в системата
    • Наблюдавайте мрежата си за съмнителен трафик и поведение

    Шеста фаза: Вътрешно разузнаване

    След като си осигури входна точка за достъп до инфраструктурата на организацията-жертва, атакуващият търси начини за движение по-навътре, за да си изгради топология на мрежата и да открие търсената информация. За целта той инфектира и други устройства – сървъри, домейни, крайни станции и дори IoT устройства.

    Противодействие:

    • Използвайте технологични решения, които да анализират съдържанието на мрежовия ви трафик и да защитават от мрежови атаки
    • Използвайте силни пароли. Препоръчително е също да добавите MFA за всички администратори и за достъп до важните активи.

    Седма фаза: Присъствие

    Заветната цел на всеки атакуващ е да придобие контрол върху системата на жертвата или поне част от нея. След като това се случи, атакуващият прилага техники, с които запазва присъствието си върху машината, така че да може да я достъпи отново във всеки един момент. В повечето случаи се цели това присъствие да бъде запазено дори и ако системата бъде преинсталирана (за справка: UEFI Malware) или се направи опит да бъде почистена чрез антивирусни приложения.

    Противодействие:

    • Създавайте редовно резервни копия на важната за вас информация
    • Ограничете достъпа до хранилищата на данни
    • Използвайте надеждно криптиране
    • Ако системата не е с голяма критичност – преинсталирайте я. Това е почти най-сигурния начин да елиминирате зловредния код.

    Заключение

    Компрометирането на една система или организация не е лесна задача, но както специалистите по информационна сигурност обичат да казват „100% сигурност няма“. При всички положения обаче разликата от 1% в защитата ви може да бъде критична и вие винаги трябва да бъдете максимално добре подготвени. Затова бихме ви посъветвали да се ориентирате към адаптирането на стандарт и добри практики за информационна сигурност. По този начин ще сте сигурни че няма да пропуснете важни стъпки и подходи при интегрирането и поддръжката на система за киберсигурност.

  • ФБР спря сайт, предлагащ достъп до крадени лични данни срещу 2 USD

    Последен ъпдейт на 30 януари 2020 в 08:33 ч.

    Достъпът до домейна WeLeakInfo.com е бил спрян принудително от ФБР съвместно с организации за борба с организираната престъпност от Великобритания, Нидерландия и Германия.

    Собствениците му са предлагали достъп до над 12 млрд. записи с лични данни „нелегално придобити при повече от 10 хил. пробива“, съобщава WeLiveSecurity, позовавайки се на данни от институцията.

    Снимка: weleakinfo.com

    В тях се е съдържала информация като лични имена, имейли, потребителски имена, пароли, телефонни номера и др. Цената за 24-часов достъп до базите е била 2 USD, като са били налични и абонаменти за по-дълъг период.

    Задържани са и двама души, заподозрени в управлението на сайта – единият в Нидерландия а вторият – в Северна Ирландия.

    Това не е първият подобен случай. През май 2019 г. LeakedSource.com, предлагам база данни с над 3 млрд. крадени потребителски профила, е спрян, а собственикът му се признава за виновен за трафик на крадена информация.

    Важно е да знаете, че има и легитимни сайтове, в които може да проверите дали потребителското ви име и паролата ви не са жертва на кражба – например, haveibeenpwnd.com. Браузърите Chrome и Firefox предлагат подобни функционалности.

  • Microsoft свали руски сайтове, използвани за кибер-атаки срещу САЩ

    Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

    Откритите домейни са:

    my.iri.org
    hudson-my-sharepoint.com
    senate.group
    adfs-senate.services
    adfs-senate.email
    office365-onedrive.com

    Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

    Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

    Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.

  • Китайски хакери с атаки към телекомуникационни и отбранителни системи

    Последен ъпдейт на 28 юни 2018 в 11:27 ч.

    Специалистите от Symantec са намерили доказателства, че атакуващите са търсили достъп до информационни системи, които управляват и наблюдават сателити. Също така са засечени атаки и опити към специализираните софтуерни пакети, които са част от подсистемите в сателитната инфраструктура. Прочетете повече »

  • Как хакери дебнат в засада на Световното първенство по футбол

    Последен ъпдейт на 28 юни 2018 в 11:48 ч.

    Световното първенство по футбол в Русия започва на 14 юни. Още преди откриването, интернет гъмжи от опити за експлоатиране на феновете най-големия футболен форум в света. Ето някои от по-популярните методи за злоупотреба и как да се предпазите от тях.

    Кражбата на данни повежда играта

    Една от основните съпътстващи футбола дейности са залаганията. Именно феновете на идеята да спечелят от футболните си познания с една от основните цели на киберпрестъпността. Измамни мейли за участие в томболи, игри за билети, продажби и други. Заедно със заявката си за участие, трябва да споделите и солидна част от чувствителната си информация за целите на играта – или по-точно да се разделите с нейната сигурност за нечия чужда облага.

    Други стратегии включват съобщения, които приканват потребителите да изтеглят и инсталират приложения, които съдържат злонамерен код. Атакуващите подхождат все по-експедитивно като използват поздравления за победа или приканване за споделяне на впечатления в социалните медии.

    Където дигиталния и физическия свят се срещат

    Най-силно застрашени са хората, които пътуват, за да присъстват на игрите. Защото те могат да станат жертва на измами, като например фалшиви WiFi хотспотове, създадени с цел кражба на лични данни. Иначе казано – не винаги е нужно данните или парите ви да бъдат взимани на сила – понякога жертвите ги дават доброволно, без дори да разберат.

    Една от често срещаните схеми за финансова облага включва превземането на потребителски мейл акаунт. Обикновено то бива последвано от „зов за помощ“ към цялата контакт листа – бедствате без никакви финанси и няма как да се приберете (или това виждат близките ви от съобщението). В действителност, докато разглеждате за подаръци,  от вкъщи може би вече изпращат пари към нечий тръпнещ в очакване джоб.

    Друг подход е показването на фалшиви уеб страници, които приканват потребителя да обнови настройките си, за да използва мрежата. Вместо това, обаче, се изтегля и инсталира зловредно приложение, което може да следи активността ви, да я предава в реално време и да изчака следващия път, когато използвате банкиране през самртфона си.

    Никой не е в безопасност – дори играчите

    Уви, през последните няколко години атаките над играчи и известни личности зачестиха значително. Това е от части и заради публичността, която атакуващите могат да си осигурят чрез тях. Високо профилните мишени също представляват много по-голям интерес на пазара за информация.

    Заплахата стига до там, че футболната асоциация ще предоставя собствени WiFi точки за достъп и инструктира играчите допълнително да не споделят информация, която може да разкрие местоположението на отбора или тактика за предстоящата игра.

    Прогнозата изглежда мрачна, но не е трудно да се предпазим

    Не можем да очакваме нищо повече от повече и по-сложни атаки срещу фенове, а и срещу отбори и домакини от следващите първенства – било то с политическо или лично основание. Докато професионалистите могат да разчитат на подобаваща на статуса им подкрепа, средностатистическия потребител трябва да реагира самостоятелно.

    Ако можете да различите фалшив от истински „Download” бутон, то вероятно можете да разпознаете и повечето средства за онлайн измама, които визираме тук. Това, обаче, не пречи да ви препоръчаме:

    • Отнасяйте се към всички линкове и прикачени файлове с нормално голямата доза скептичност
    • Публичните WiFi мрежи са игралната площадка на всеки, желаещ да се упражнява в „тъмните изкуства“. Личен VPN или споделяне на сигурна мрежа ви правят невидими на площадката.
    • Ако едно устройство има нужда от връзка с интернет, има нужда и от адекватната защита – антивирусен софтуер с вграден антифишинг, спам филтър и други стандартни защити. Устройството ви трябва да разполага с обновена операционна система и всички последни защитни патчове.
    • Говорете с хората покрай вас – жертви на измама най-често невежите. Без значение дали е от загриженост или нужда от добра карма, чувствайте се длъжни да им обясните.
    • Народът е казал, че който го е страх от мечки, не ходи в гората. Всички се сещаме, обаче за даден човек (или хора), които някак си всеки път се натъкват точно на мечката. Има различни технически средства като уеб филтри, които са включени в повечето модерни антивирусни решения – използвайте ги ако се опасявате.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button