Știrile săptămânii din cybersecurity (04.05.2023)
Google a indicat că, în 2022, a împiedicat publicarea în Google Play a unui număr de 1.43 milioane de aplicații care încalcă politicile, a blocat 173,000 de conturi dăunătoare și a prevenit tranzacții frauduloase și abuzive în valoare de 2 miliarde USD.
De asemenea, Google susține că a împiedicat aproximativ 500,000 de aplicații să obțină acces inutil la permisiuni sensibile în ultimii trei ani și a ajutat dezvoltatorii să remedieze aproximativ 500,000 de erori care au afectat aproximativ 300,000 de aplicații.
În mai 2022, compania a lansat Google Play SDK Index, un director public populat cu cele mai utilizate SDK-uri comerciale, precum și date și informații despre fiecare. De asemenea, în ultimul an Google a încorporat mai multe măsuri de securitate pentru a proteja utilizatorii Android.
DNSC scoate la concurs 50 de posturi în patru Direcții Generale
Directoratul Național de Securitate Cibernetică (DNSC) organizează o serie de concursuri pentru angajarea de noi colegi, ca personal contractual, pe o perioadă nedeterminată. Posturile scoase la concurs până la acest moment sunt din următoarele patru Direcții Generale ale DNSC:
Direcția Generală Parteneriate Instituționale – 12 posturi
Direcția Generală Strategie – 3 posturi
Direcția Generală Operațiuni Tehnice – 32 posturi
Direcția Generală Internă - Serviciul Achiziții – 3 posturi
Formularul de înscriere poate fi descărcat aici: https://www.dnsc.ro/vezi/document/formular-de-inscriere-concurs-dnsc
Relații suplimentare pot fi obținute la telefon 0742 999 645 sau pe email la [email protected]
Directoratul Național de Securitate Cibernetică (DNSC) a participat în perioada 18 – 21 aprilie 2023 la exercițiul internațional de apărare cibernetică Locked Shields 2023. Mihai Rotariu, Manager al Direcției Comunicare, Marketing și Media din cadrul DNSC, a condus pentru a treia ediție la rând sub-echipa MEDIA din cadrul echipei României.
Exercițiul a fost planificat și organizat de NATO Cooperative Cyber Defence Centre of Excellence (Centrul de excelență NATO pentru cooperare în domeniul apărării cibernetice - CCDCOE) din Tallinn, Estonia, reunind în acest an aproximativ 3000 de profesioniști ai domeniului, militari și civili, din 38 de state aliate și partenere.
O vulnerabilitate veche de 5 ani și neremediată este exploatată activ în dispozitivele TBK DVR
Potrivit unei alerte Fortinet de la 1 mai 2023, atacatorii exploatează activ o vulnerabilitate de securitate neremediată, ce are o vechime de cinci ani - CVE-2018-9995 (scor CVSS: 9,8) - și afectează dispozitivele DVR TBK.
Compania afirmă că zeci de mii de dispozitive DVR TBK disponibile sub diferite mărci ar putea fi compromise cu ușurință datorită disponibilității unui exploit PoC publicat în 2018 și a lipsei unei actualizări de securitate care abordează această vulnerabilitate, furnizorul nelansând corecții până la acest moment.
Unul dintre cei mai mari furnizori IT din Germania se confruntă cu un atac cibernetic
Bitmarck, un furnizor de servicii IT ce deservește sistemul de asigurări medicale din Germania, a anunțat că sistemele sale de avertizare timpurie au raportat un atac cibernetic desfășurat asupra sistemelor interne ale companiei și, ca parte a protocolului propriu de securitate, organizația a indisponibilizat temporar sistemele interne și pe cele ale clienților și a efectuat o analiză de impact. De asemenea, Bitmarck a demarat și o investigație cu ajutorul experților externi.
Nu a fost dezvăluită natura incidentului, însă compania a declarat că nu a fost identificat niciun furt de date.
Indisponibilizarea rețelei afectează o serie de persoane și organizații asociate cu serviciile Bitmark, în special pe acelea care se bazează pe companie pentru a emite certificate electronice privind afecțiunile medicale, utilizate în Germania pentru plata concediului angajaților.
Qualcomm ar fi colectat în secret date despre utilizatorii Android
Firma de securitate hardware Nitrokey a publicat un raport în care susține că „dispozitivele smartphone cu chipset-uri Qualcomm trimit în secret date personale către producătorul american de chipset-uri, fără consimțământul utilizatorului, necriptate” și fac acest lucru „chiar și atunci când folosesc o distribuție Android lipsită de serviciile Google”.
Cercetările publicate de Nitrokey susțin că hardware-ul produs de Qualcomm încarcă într-un cloud atribuit companiei date ale utilizatorilor precum tipul de sistem de operare și versiune, modelul dispozitivului , software-urile de pe dispozitiv, sau adrese IP.
Conform unui reprezentant al Qualcomm, „După cum se arată în politica noastră de confidențialitate disponibilă public, tehnologiile Qualcomm utilizează date tehnice fără caracter personal, anonimizate, pentru a permite producătorilor de dispozitive să furnizeze aplicații și servicii în funcție de locațiile clienților, pe care utilizatorii finali le așteaptă de la smartphone-urile de astăzi.”
LOBSHOT oferă atacatorilor acces hVNC la dispozitivele Windows
Cercetătorii Elastic Security Labs au descoperit un nou troian RAT numit Lobshot, distribuit prin reclame Google Ads care promovau software-ul legitim de gestionare la distanță AnyDesk și care redirecționau utilizatorii către un site web malițios.
„Am observat peste 500 de eșantioane LOBSHOT unice din iulie anul trecut. Mostrele pe care le-am observat sunt compilate ca DLL-uri pe 32 de biți sau executabile pe 32 de biți, de obicei cuprinse între 93 KB și 124 KB”, conform raportului Elastic Security Labs.
Cercetătorii menționează că LOBSHOT implementează un modul hidden virtual network computing (hVNC), ce permite atacatorilor să controleze desktopul folosind mouse-ul și tastatura ca și cum ar fi în fața acestuia.
„Atacatorul controlează tastatura, face clic pe butoane și mișcă mouse-ul. Aceste capabilități oferă atacatorului control complet, de la distanță, asupra dispozitivului” și, folosind hVNC, atacatorii au posibilități precum executarea de comenzi, furtul de date sau implementarea de payload-uri malițioase.
Noul malware Atomic macOS Stealer vizează parolele portofelelor criptografice
Un nou program malware, comercializat de către dezvoltatori cu 1,000 USD pe lună, este capabil „să compromită parolele iCloud Keychain, informațiile despre cardul de credit, informații despre sistem, fișiere din desktop, documente și chiar parola macOS” conform analizei tehnice efectuată de cercetătorii Cyble.
Programul malware este numit Atomic macOS Stealer, sau AMOS, este conceput special pentru a viza macOS, iar dezvoltatorii săi îmbunătățesc constant funcțiile lui pentru a-l face cât mai eficient. Cea mai recentă actualizare a fost observată în 25 aprilie 2023, pe Telegram.
Atomic macOS Stealer este conceput pentru a viza mai multe browsere și include capacitatea de a extrage date din portofele criptografice precum Atomic, Binance, Coinomi, Electrum și Exodus.
CISA a adăugat trei vulnerabilități la catalogul KEV
La 1 mai 2023, CISA a adăugat la Catalogul vulnerabilităților cunoscute exploatate (KEV) vulnerabilitatea identificată prin CVE-2023-1389 (scor CVSS: 8,8). Aceasta afectează firmware-ul routerelor TP-Link Archer AX21 și permite unui atacator aflat la distanță să execute cod și să compromită întreaga rețea. Conform cercetătorilor Zero Day Initiative de la Trend Micro, această vulnerabilitate a fost exploatată începând cu 11 aprilie 2023 de către atacatorii asociați cu rețeaua botnet Mirai.
De asemenea, CISA a inclus în Catalogul Kev vulnerabilitatea identificată prin CVE-2021-45046 (scor 9.0), afectează biblioteca Apache Log4j2 și poate fi exploatată de un atacator, care poate controla mesajele sau parametrii de jurnal, pentru a executa cod arbitrar. Datele culese de GreyNose indică dovezi ale încercărilor de exploatare de la 74 de adrese IP unice în ultimele 30 de zile.
Lista este completată de o vulnerabilitate de mare severitate ce afectează versiunile Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0 și 14.1.1.0.0, este identificată prin CVE-2023-21839 (scor CVSS: 7,5) și poate permite unui atacator care o exploatează să acceseze datele sensibile stocate pe Oracle WebLogic Server.
