La sfârșitul anului trecut, cercetătorii companiei de securitate cibernetică Resecurity din Los Angeles au descoperit un volum masiv de date furate, în timp ce investigau accesarea ilegală a datelor unui retailer italian. Printre instituțiile spionate de hackeri se numără și Institutul de Cercetări Nucleare de la Pitești, România, potrivit Bloomberg, citat de Rador.
Microsoft a pus rapid atacul cibernetic din 2021 pe seama unui grup de hackeri chinezi sponsorizați de stat, pe care i-a numit Hafnium, iar SUA, Marea Britanie și aliații lor au susținut ceva similar luna trecută, atribuind atacul unor hackeri afiliați guvernului chinez.
Institutul de Cercetări Nucleare de la Pitești este o sucursală a Regiei Autonome Tehnologii pentru Energia Nucleară (RATEN), o instituție care coordonează activitatea de cercetare în domeniul energeticii nucleare, asigură menținerea și dezvoltarea suportului științific și tehnologic pentru Programul Energetic Nuclear National.
Pe o platformă de stocare în cloud era ascuns un volum de cinci gigabiți de date care fuseseră furate în ultimii trei ani și jumătate de la ministere de externe și companii energetice prin piratarea serverelor locale ale Microsoft Exchange. În total, cercetătorii de la Resecurity au găsit documente și e-mail-uri de la șase ministere de externe și opt companii energetice din Orientul Mijlociu, Asia și Europa de Est.
Alte victime au fost Doosan Fuel Cell Co. din Coreea; Institutul de Cercetări Nucleare de la Pitești, România; Compania petrolieră de stat din Azerbaidjan, cunoscută sub numele de SOCAR; Sharjah National Lube Oil Corp. din Emiratele Arabe Unite și Electric Distribution Company și National Electric Power Company din Iordania, conform Resecurity, scrie g4media.ro
Atacurile, care nu au fost raportate anterior, au servit ca un preambul al unui atac izbitor de similar, pe larg mediatizat, al serverelor Microsoft Exchange, din ianuarie până în martie în acest an, potrivit Resecurity. O persoană familiarizată cu ancheta asupra atacului din 2021, care nu a fost autorizată să vorbească public și a solicitat anonimatul, a făcut o acuzație similară, spunând că furtul de date descoperit de Resecurity a urmat aceleași metode. Atacul cibernetic din 2021 a fost extraordinar în amploarea sa, infectând până la 60.000 de victime globale cu malware.
Resecurity nu poate spune cu certitudine că atacurile au fost comise de același grup. Chiar și așa, memoria cache a documentelor conținea informații care ar fi fost de interes pentru guvernul chinez, potrivit lui Gene Yoo, directorul executiv al Resecurity. Persoana avizată a spus că victimele selectate de hackeri și tipul de informații adunate de atacatori au indicat, de asemenea, o operațiune chineză.
Cercetătorii de la alte firme de securitate cibernetică, care au solicitat anonimatul pentru că nu au analizat toate constatările Resecurity, au avertizat că atacurile ar fi putut fi comise de orice națiuni interesate de diplomația din Orientul Mijlociu și de comunicările interne ale unor companii energetice influente.
Oricum, ambele campanii de hacking subliniază modul în care vulnerabilitățile din popularele servere locale de e-mail ale Microsoft – care sunt controlate de clienții care utilizează aceste sisteme – au acționat de ani de zile ca un element-cheie pentru ca hackerii să deblocheze date sensibile de la companii guvernamentale și private.
Guvernul chinez a respins acuzațiile potrivit cărora hackerii săi sponsorizați de stat ar fi fost implicați în oricare dintre aceste atacuri.
„China se opune cu hotărâre oricărei forme de atac sau infiltrare online. Aceasta este poziția noastră clară și consecventă ”, a declarat Ministerul Afacerilor Externe. „Legile chineze relevante privind colectarea și gestionarea datelor protejează în mod clar securitatea datelor și se opun categoric atacurilor cibernetice și altor activități infracționale.”
În plus, Ministerul a declarat că este o „problemă tehnologică complexă” de a determina sursa atacurilor, adăugând că speră că mass-media va evita „speculațiile nefondate” și se va baza pe „dovezi clare în determinarea naturii evenimentelor cibernetice”. China a propus deja un standard global de securitate a datelor și îndeamnă „toate părțile să colaboreze cu noi pentru a proteja cu adevărat securitatea globală a datelor”, conform declarației Ministerului.
Purtătorul de cuvânt al Microsoft Corp., Jeff Jones, a declarat că „mulți actori statali” vizează sistemele de e-mail pentru a obține informații confidențiale și că echipele de securitate ale Microsoft „lucrează constant cu partenerii noștri de securitate” pentru a identifica noi vulnerabilități care ar putea fi utilizate în atacuri viitoare.
Microsoft a urmărit încă din aprilie 2020 grupul Hafnium, pe care l-a acuzat de atacul din 2021, inclusiv prin colectarea de date despre operațiunile sale de spionaj cibernetic, a spus Jones. Unitatea Microsoft de informații privind amenințările a urmărit de atunci mai multe campanii ale Hafnium și a notificat țările care au fost victime ale atacurilor, potrivit lui Jones, care nu a identificat țările. Scopul grupului Hafnium este spionajul, cu accent pe furtul de date, a spus el.
Într-o serie de atacuri care se întind din 2017 până în 2020, hackerii au sustras documente și e-mail-uri de la ministerele de externe din Bahrain, Irak, Turcia, Oman, Egipt și Iordania – și e-mail-uri și date de la opt companii energetice, inclusiv de la gigantul malaezian Petronas Nasional Bhd și de la India Hindustan Petroleum Corp., potrivit Resecurity și unei analize a datelor furate, făcută de Bloomberg News.
Unele e-mail-uri și documente par să conțină informații sensibile: telegrame diplomatice, date critice de rețea, inclusiv nume de utilizatori și parole și date de consumator privat.
De exemplu, o notă a unui atașat din Bahrain descria o întâlnire din 9 decembrie 2018, în care principalii diplomați în Asia ai țării s-au întâlnit cu omologii chinezi, într-un moment în care China se confrunta cu o posibilă sesiune specială a Consiliului pentru Drepturile Omului a Organizației Națiunilor Unite pentru a analiza tratamentul aplicat uigurilor musulmani. În cadrul ședinței, chinezul Lin Jiming a reamintit că, mai devreme cu doi ani, țara sa a apărat situația drepturilor omului în Bahrain, în timpul unei analize oficiale a ONU, conform memorandumului, care a fost transmis ministrului de Externe al Bahrainului și Direcției pentru drepturile omului, împreună cu o recomandare pentru a susține poziția Chinei.
Bahrainul s-a numărat printre cele 37 de țări care au semnat o scrisoare, la mijlocul anului 2019, susținând politicile Chinei în regiunea de vest Xinjiang. Sesiunea specială nu a avut loc niciodată.
Există, de asemenea, documente cu detalii zilnice, cum ar fi anunțurile interne despre schimbările de personal, rezumate de știri, o cerere de autograf pentru un ministru de externe și invitații la conferințe diplomatice, conform Resecurity și documentelor analizate de Bloomberg.
Oficialii din Bahrain nu au răspuns la un mesaj care solicita comentarii. Oficialii din Irak au confirmat că guvernul a fost ținta atacurilor cibernetice, dar au spus că nu au provocat daune. Reprezentanții din Turcia, Oman, Egipt și Iordania nu au răspuns la solicitările de comentarii. HPCL nu a răspuns.
Hackerii au compromis, de asemenea, datele unor companii energetice, utilități și institute de cercetare administrate de stat, care acoperă regiuni care se întind din Europa de Est până în Asia de Sud-Est, potrivit Resecurity. Împreună cu datele administrative sensibile și de proprietate intelectuală, cercetătorii Resecurity au găsit, de asemenea, liste de utilizatori, permisiuni interne de rețea și detalii despre parole, toate acestea putând fi utilizate de hackeri pentru a-și extinde amprenta în rețelele victimelor, potrivit cercetătorilor Resecurity și documentelor.
În serverele Petronas, hackerii au găsit liste cu nume de utilizatori și parole, conform Resecurity și documentelor de la Hindustan Petroleum, au găsit mii de înregistrări ale utilizatorilor și e-mail-uri ale angajaților, conform cercetătorilor și documentelor.
Ca răspuns la o întrebare adresată de Bloomberg, Doosan a declarat că serverul său Exchange a fost atacat, dar că hackerii au fost împiedicați să fure orice fel de date. Petronas nu a răspuns la întrebări specifice despre presupusul atac, dar a furnizat o declarație despre „strategia lor robustă și cuprinzătoare de securitate cibernetică”.
Celelalte companii și Institutul de Cercetări Nucleare din România nu au răspuns la solicitările de comentarii.
Atacul din 2021 a avut loc după ce hackerii au descoperit o serie de vulnerabilități necunoscute anterior – numite zero days (zi zero/ 0 zi) – în sistemul de e-mail al Microsoft Exchange și apoi le-au folosit pentru a exploata zeci de mii de victime la nivel global. Deși extinderea atacului a fost fără precedent, relativ puțini dintre clienții ai Exchange care au fost infectați cu programe malware au fost apoi vizați pentru atacuri mai invazive, cum ar fi furtul de date sau ransomware, a precizat Microsoft într-un blog.
Nu este clar cum hackerii din spatele atacurilor anterioare asupra ministerelor de externe și companiilor energetice s-au infiltrat inițial în rețele.
Dar după compromisul inițial, ambele atacuri au fost aproape identice. Hackerii au instalat coduri web shell pe rețelele victimelor, care le-au permis accesul de la distanță la pagina de autentificare internă pentru fiecare server. Atacatorii au folosit apoi un software open-source numit Mimikatz (și o versiune modificată a Mimikatz) pentru a fura parolele și a stabili o conexiune în interiorul rețelei.
Astfel de metode nu sunt unice. În schimb, astfel de metode de atac generice le permit hackerilor să-și ascundă urmele și au devenit o semnătură pentru grupurile guvernamentale de hacking, inclusiv unele afiliate guvernului chinez, a declarat Ben Read, directorul de analiză de spionaj cibernetic la firma de securitate cibernetică Mandiant.
Compania de cercetare în domeniul securității Cybereason Inc. și-a publicat săptămâna aceasta propriile acuzații cu privire la hackerii chinezi. Compania a susținut că cel puțin cinci giganți ai telecomunicațiilor au fost vizați de hackerii chinezi sponsorizați de stat, într-o operațiune care datează din 2017. Grupurile de hacking au furat înregistrări telefonice și date de geolocalizare prin exploatarea sistemelor, inclusiv a serverelor Microsoftt Exchange, potrivit unui raport publicat pe 3 august. Ministerul chinez de Externe a declarat că raportul „exacerbează zvonuri politice” create de SUA și de aliații lor și „sunt pure invenții”.
Stiri din buletinul CERT.RO
Colaborare între Ministerul Apărării din UK și un grup de ethical hackers
În contextul în care asigurarea securității mediului cibernetic national reprezintă o provocare din ce în ce mai dificilă pentru orice guvern, Ministerul Apărării din UK a decis să colaboreze cu 26 de ethical hackers de la HackerOne, în cadrul unui program Bug Bounty.
Programul va dura 30 de zile, timp în care hackerii vor lucra alături de echipele cyber ale Ministerului pentru identificarea și remedierea vulnerabilităților cibernetice. Acțiunea este parte a unui plan mai mare de colaborare cu diverși parteneri pentru consolidarea securității cibernetice naționale.
Autoritățile italiene au precizat că “puternicul” atac cibernetic a împiedicat programarea cetățenilor pentru vaccinarea anti-Covid, precum și accesul la alte servicii. Conform surselor implicate în acest caz, site-ul a fost victima unui atac de tip ransomware.
“Toate operațiunile de protecție și verificare sunt în desfășurare pentru a evita posibilitatea opririi serviciilor. Operațiunile legate de vaccinări ar putea fi încetinite. Ne cerem scuze pentru inconveniența ieșită de sub controlul nostru”, au spus reprezentanții regiunii într-o postare pe Facebook.
Raport al ENISA pentru înțelegerea atacurilor supply chain
Conform ENISA, numărul atacurilor de tip supply chain, care pot conduce la compromiterea unei întregi rețele de furnizori, se va multiplica cu 4 în 2021, comparative cu anul trecut.
În cadrul raportului Threat Landscape for Supply Chain Attacks, în care au fost analizate 24 de atacuri recente, a fost relevat faptul că securitatea cibernetică solidă nu mai reprezintă o garanție a protecției, în contextul în care atacatorii își concentrează atenția pe furnizori.
Printre informațiile utile promovate, raportul oferă recomandări tuturor actorilor implicați pentru asigurarea unui nivel comun adecvat de securitate cibernetică.
Malware distribuit prin intermediul call center-urilor
Cercetătorii de securitate cibernetică au identificat, începând cu ianuarie 2021, o campanie numită BazarCall, în cadrul căreia este distribuit malware prin intermediul call center-urilor.
Atacul începe printr-un mail, venit de la companii false, cu denumiri precum Medical reminder service, Inc., iMed Service, Inc., Blue Cart Service, Inc. și iMers, Inc. Mail-ul îndeamnă destinatarul să apeleze un număr de telefon pentru a anula o subscripție, înainte de a fi taxați automat cu $70-90 pentru un serviciu despre care nu sunt oferite detalii.
În urma apelului, utilizatorii sunt direcționați către un site de unde trebuie să descarce un formular .xls sau .xlsb pentru anularea subscripției, prin care este instalat malware-ul BazarCall. Pe lângă malware-ul BazarLoader, campania este utilizată pentru distribuția altor tipuri de malware, precum TrickBot, IcedID sau Gozi IFSB.
Malware distribuit prin intermediul unor anunțuri false pentru browserul Brave
Un grup de atacatori a folosit Google Ads pentru a achiziționa pozi’ii de top pe motorul de căutare Google și pentru a promova un site fals al browser-ului Brave, prin intermediul căruia a fost distribuit malware, ascuns ca fișierul de descărcare pentru Brave.
Singura diferență notabilă dintre site-ul original și cel fals a fost un accent la nivelul litere „e” – bravė[.]com. Site-ul fals distribuia malware-ul SectopRat, prin care atacatorul poate reda în flux desktop-ul victimei sau poate crea un desktop invizibil pe care să-l folosească.
Cele mai importante agenții de securitate cibernetică și de aplicare a legii din Statele Unite, Marea Britanie și Australia au emis un aviz comun care prezintă top 30 de vulnerabilități utilizate în mod obișnuit de către atacatori în decursul anului 2020 și 2021.
Comitetul consultativ, alături de Biroul Federal de Investigații al Statelor Unite (FBI) și Agenția de Securitate Cibernetică și Infrastructură (CISA), Centrul Național de Securitate Cibernetică al Marii Britanii (NCSC) și Centrul de Securitate Cibernetică Australiană (ACSC) au dezvăluit că cele mai multe vulnerabilități vizate în 2020 au fost legate de tehnologiile axate pe munca la distanță. Acest lucru ar putea fi atribuit pandemiei COVID-19 care a forțat majoritatea companiilor să treacă rapid la un mediu de lucru de la domiciliu.
„Migrarea rapidă și utilizarea sporită a opțiunilor de lucru la distanță, cum ar fi rețelele private virtuale (VPN) și mediile bazate pe cloud, au adus, probabil, o grijă în plus pentru responsabilii cu securitatea cibernetică, care se luptă să mențină și să țină pasul cu cu patch-urile de rutină”, a declarat comitetul.
