Știrile săptămânii din cybersecurity (08.12.2022)

Foto: Euractiv

Oleksandr Potii, vicepreședinte al Serviciului de Stat pentru Comunicații Speciale și Protecția Informațiilor din Ucraina (SSSCIP) pentru Politico: Atacurile online ale Rusiei vizează sentimentele ucrainenilor

Atacurile cibernetice și campaniile de dezinformare fac parte dintr-o strategie mai largă a Rusiei de a știrbi încrederea ucrainenilor și a liderilor acestora, a declarat unul dintre principalii oficiali din domeniul securității cibernetice din Kiev. Rusia a încercat, în ultima jumătate de an, să afecteze psihicul ucrainenilor lansând așa-numitele atacuri hibride și atacuri cibernetice, a declarat pentru POLITICO Oleksandr Potii, vicepreședinte al Serviciului de Stat pentru Comunicații Speciale și Protecția Informațiilor din Ucraina.

„Atacuri cibernetice clasice, phishing, amenințări de tip distributed denial of service (DDoS), ransomware împotriva infrastructurii critice, aceste atacuri cibernetice continuă”, a spus Potii, „dar acum observăm o nouă metodă de atac cibernetic: încercări de influențare a proceselor politice, sociale, a societății civile și a celei politice."

Troianul Schoolyard Bully exfiltrează informații din conturile Facebook

Zimperium zLabs a descoperit o nouă campanie pentru Android, „Schoolyard Bully Trojan”, care este activă din 2018, s-a extins la peste 300,000 de victime din 71 țări, inclusiv România, și vizează în mod special acreditările Facebook.

Troianul Schoolyard Bully a fost identificat în 37 de aplicații care au fost descărcate din Google Play Store și din magazinele terțe de aplicații și poate fura informații asociate contului de Facebook, precum e-mail, numar de telefon, parola, ID-ul de utilizator și numele victimei.

Potrivit Zimperium, aplicațiile rău intenționate erau deghizate în aplicații legitime de lectură și educație și, chiar dacă în prezent au fost eliminate din Google Play Store, acestea încă sunt distribuite prin intermediul altor magazine de aplicații.

Utilizatorii sunt sfătuiți să ia în considerare factori suplimentari de protecție, cum ar fi evitarea descărcărilor din alte magazine de aplicații și să dispună de soluții complete de securitate pe dispozitive.

Certificate Samsung, LG, Revoview și Mediatek compromise pentru a semna malware Android

Un membru al echipei Google de securitate Android a descoperit malware semnat prin folosirea abuzivă a mai multor certificate de platformă utilizate de furnizorii de dispozitive Android OEM și a furnizat hash-urile SHA256 pentru fiecare dintre acestea.

În urma acestei dezvăluiri s-a descoperit că anumite certificate aparțin Samsung, LG, Revoview și Mediatek, însă, pentru moment, nu s-a putut stabili cui aparțin celelalte certificatelor. Partenerii OEM identificați au fost informați și au implementat măsuri de atenuare ce vor proteja utilizatorii finali.

Experții recomandă utilizarea APKMirror pentru a obține o prezentare generală a tuturor aplicațiilor Android semnate cu aceste certificate potențial compromise, iar utilizatorii sunt sfătuiți să mențina software-ul dispozitivului actualizat la cea mai recentă versiune Android.

APT41 a furat din fondurile SUA pentru sprijin împotriva Covid

La 5 decembrie 2022, US Secret Service a confirmat că hackerii chinezi din gruparea APT41 sau Winnti au furat cel puțin 20 de milioane de USD din fondurile SUA pentru sprijin în contextul pandemiei de Covid.

Furtul realizat de APT41 este prima situație de fraudă cu fonduri pentru pandemie, asociată cu un actor de criminalitate cibernetică sponsorizat de un stat și confirmată public de Guvernul SUA. Conform unor funcționari americani cu rol în impunerea legii și a unor experți în securitate cibernetică, situația ar putea fi doar vârful icebergului.

Atac DDoS masiv împotriva VTB Bank

A doua cea mai mare instituție financiară din Rusia, VTB Bank, a indicat că infrastructura sa IT este vizată de cel mai mare atac cibernetic din istoria sa. Primele semne ale atacului DDoS au apărut la 1 Decembrie 2022, când membrii ai Armatei IT a Ucrainei, grup care și-a asumat responsabilitatea pentru atac, au postat pe social media plângeri ale clienților VTB.

Atacul DDoS a condus la dezactivarea site-ului și aplicației mobile a VTB. Banca a indicat că serviciile bancare de bază funcționează normal.

Operatorii „Cuba ransomware” au extorcat 60 de milioane USD de la peste 100 de organizații

CISA și FBI au emis un aviz comun de securitate cibernetică prin care atrag atenția cu privire la operatorii „Cuba ransomware”, evidențiind ”o creștere bruscă atât a numărului de entități compromise, cât și a sumelor răscumpărării”.

Conform avizului comun, atacatorii au primit peste 60 milioane USD în plăți de răscumpărare și au compromis peste 100 de entități din întreaga lume, începând cu luna August 2022.

DNSC la I like IT - Specialiștii în securitate cibernetică atrag atenția asupra amenințărilor online din perioada Lunii Cadourilor

Mihai Rotariu, manager al Direcției Comunicare, Marketing și Media din DNSC a fost invitat la iLikeIT din cadrul Știrilor ProTV pentru a vorbi despre amenințările de dată recentă care vizează utilizatori din România și cum ne putem proteja. Spre exemplu, pe Siguranța Online poți afla dacă știi să-ți ții cardul, conturile și propria imagine la adăpost de orice pericol.

Campania #SiguranțaOnline a fost creată în beneficiul tuturor celor care vor să se simtă în siguranță pe internet și pentru cei care vor să știe cum să reacționeze corect atunci când primesc un telefon sau un SMS de la un număr necunoscut.

Tendință de normalizare a comportamentului riscant al tinerilor în mediul online

Un studiu finanțat de Uniunea Europeană a vizat 8,000 de persoane cu vârste între 16 și 19 ani, din nouă țări europene, inclusiv Franța, Marea Britanie, Norvegia și România, relevând o tendință de normalizare a comportamentului riscant sau ilegal în mediul online. Printre acțiunile luate în calcul de cercetare sunt urmărirea de materiale pornografice, pirateria digitală, trolling-ul sau incitarea la violență.

Conform Juliei Davidson, co-autor al studiului și profesor de criminologie la Universitatea East London, „cercetarea arată că o proporție mare a tinerilor din UE se implică într-o formă de criminalitate cibernetică, ajungându-se în situația în care realizarea faptelor ilegale de nivel mic și luarea unor riscuri în online au devenit aproape normalizate.”

În plus, cercetarea a relevat că țara cu cea mai mare proporție a tinerilor cu comportament neadecvat în online este Spania, cu 75%, urmată de România, Olanda și Germania, cu aproximativ 72%.

Poliția Spaniolă a arestat 55 de membri ai grupării „Black Panthers”

Poliția Națională Spaniolă a arestat liderul și 54 de alți membri ai grupării de criminalitate cibernetică „Black Panthers”, ce își avea sediul în Barcelona. Gruparea infracțională era specializată în vishing, phishing, carding și social engineering și a reușit să păcălească cel puțin 100 de victime, furând aproximativ 260,000 USD.

Ancheta poliției a dezvăluit faptul că atacatorii aveau o prezență activă pe dark web, cumpărau produse de lux din magazinele online și apoi le revindeau ca articole second-hand pentru a spăla banii.

În timpul raidurilor organizate de către autorități au fost găsite și confiscate 45 decartele SIM, 11 telefoane mobile, patru laptopuri, un portofel criptografic și multe documente legate de infracțiunile comise.

Google a remediat o vulnerabilitate de tip zero-day pentru Chrome

La 2 Decembrie 2022, Google a lansat o actualizare de securitate de urgență pentru browser-ul web Chrome, abordând o vulnerabilitate de tip zero-day ce rezidă în motorul Javascript V8 și pentru care există dovezi de exploatare activă.

Pentru a preveni alte abuzuri, compania nu a distribuit detalii tehnice în legătură cu noua vulnerabilitate raportată pe 29 Noiembrie 2022 și identificată prin CVE-2022-4262.

Utilizatorilor li se recomandă să facă upgrade la versiunea 108.0.5359.94 pentru macOS și Linux, respectiv la versiunea 108.0.5359.94/.95 pentru Windows, în scopul atenuării potențialelor amenințări.

Aplicații malware Android cu 2 milioane de instalări identificate în Google Play Store

Cercetătorii de la Synopsys Cybersecurity Research Center (CyRC) avertizează asupra unui nou set de aplicații Android disponibile în Google Play Store care au fost descărcate și instalate de peste două milioane de utilizatori și care sunt afectate de mai multe vulnerabilități de securitate.

Lazy Mouse, PC Keyboard și Telepad sunt aplicații pentru tastatură care se conectează la un server aflat pe un computer sau un laptop și transmit evenimente de mouse și tastatură către server.

Cercetarea CyRC a descoperit mecanisme de autentificare slabe sau lipsă, autorizare lipsă și vulnerabilități de comunicare nesigură în cele trei aplicații. O exploatare a vulnerabilităților ar putea permite unui atacator acces la informații sensibile, cum ar fi numele de utilizator și parola, precum și să execute comenzi arbitrare  de la distanță.

Trei vulnerabilități de securitate descoperite în software-ul AMI BMC

Experții în securitate cibernetică de la Eclypsium Research au dezvăluit trei vulnerabilități care afectează software-ul MegaRAC Baseboard Management Controller (BMC) de la American Megatrends Inc. (AMI) și care pot permite unui atacator execuția de cod de la distanță, implementarea de programe rău intenționate și provocarea de daune fizice serverelor.

Vulnerabilitățile de securitate sunt identificate prin CVE-2022-40259 (scor CVSS 9,9), CVE-2022-40242 (scor CVSS 8,3) și CVE-2022-2827 (scor CVSS 7,5) și sunt greu de detectat, deoarece sistemele de securitate au tendința să se concentreze pe sistemele de operare și nu pe firmware-ul de bază, conform cercetătorilor Eclypsium.

MegaRAC BMC este folosit de principalii producători de servere, inclusiv AMD, ASRock, Asus, Dell, GIGABYTE, HP, Huawei, Lenovo, Nvidia, Qualcomm și Tyan.