Weboldal biztonsági tippek

Az online világ rohamos fejlődése folyamatosan új lehetőségeket teremt a felhasználók számára, ugyanakkor a kiberbűnözők is egyre kreatívabb módszerekkel próbálnak visszaélni a sebezhetőségekkel. A digitális térben minden pillanatban változhatnak a veszélyek, és ha valaki nem frissíti rendszeresen a weboldalát vagy nem követi a legújabb biztonsági trendeket, könnyen áldozattá válhat.

Íme 4+1 tipp, melyekkel megvédheted weboldaladat a hackertámadások és egyéb kártékony tevékenységek ellen:

Rendszeres frissítés és karbantartás

A rendszeres karbantartás és frissítés az egyik alapvető védelmi intézkedés a weboldalak esetében. Egy elavult WordPress motor vagy egy régi bővítmény rendkívül sérülékeny lehet, és könnyű célponttá válhat a hackerek számára. Ezért fontos, hogy minden telepített szoftvert, bővítményt és sablont rendszeresen frissítsünk a legújabb verzióra. Ezzel csökkenthetjük a támadások sikerességének esélyét és minimalizálhatjuk az adathalászat, zsarolóvírusok vagy egyéb kártékony programok által okozott károkat.

  • Állíts be automatikus frissítéseket, ahol csak lehetséges.
  • Végezz időszakos auditot a weboldalon, hogy felismerd az elavult vagy felesleges bővítményeket.
  • Kérj szakértői segítséget, ha nem vagy biztos a frissítések helyes telepítésében.
Biztonsági mentés rendszeres készítése

Nem elég csupán védekezni, fel kell készülnöd arra is, hogy egy esetleges támadás után gyorsan helyreállíthatod a weboldalad. A biztonsági mentések kulcsfontosságúak minden weboldal üzemeltetője számára.

  • A mentéseket rendszeresen, automatizáltan végezd el, akár napi vagy heti szinten.
  • Tárold a mentéseket különböző helyeken, hogy ne egyetlen helyről függjön a helyreállítás.
  • Teszteld időnként a mentéseket, hogy biztos legyél abban, hogy valóban működnek vészhelyzet esetén.
Biztonsági bővítmények és tűzfalak használata

A weboldal biztonságának növelésére az egyik leghatékonyabb módszer a biztonsági bővítmények alkalmazása, különösen, ha WordPress-t vagy más népszerű platformot használsz.

  • Web Application Firewall (WAF) beállítása.
  • Kétfaktoros hitelesítés (2FA) alkalmazása.
  • SSL tanúsítvány beszerzése és beállítása.
Megbízható tárhelyszolgáltató választása

A tárhelyszolgáltató kiválasztása nemcsak a weboldalad sebességét és stabilitását befolyásolja, hanem közvetlenül érinti a biztonságot is.

  • Győződj meg arról, hogy a szolgáltató naprakész biztonsági szoftvereket alkalmaz.
  • Kérdezd meg, milyen védelmi intézkedéseik vannak DDoS támadások ellen.
+1 Erős jelszavak használata és rendszeres változtatásuk

A gyenge jelszavak a leggyakoribb sebezhetőségek közé tartoznak, amelyeket a hackerek kihasználnak.

  • Használj hosszú, véletlenszerű karakterekből álló jelszavakat, amelyek tartalmaznak számokat, nagy- és kisbetűket, valamint speciális karaktereket.
  • Ne használj ugyanazt a jelszót több helyen, különösen nem a fontos fiókokhoz.
Összefoglalás

A kiberbiztonság nem csupán nagy cégek számára fontos, hanem minden weboldal tulajdonosának érdemes komolyan venni. A rendszeres frissítések, biztonsági mentések, bővítmények használata, valamint a megfelelő tárhelyszolgáltató kiválasztása mind hozzájárul ahhoz, hogy weboldalad biztonságosabb legyen. A jelszavaid védelme pedig az egyik legegyszerűbb, de leghatékonyabb módja annak, hogy megakadályozd a hackerek bejutását. Készülj fel időben, és a weboldalad hosszú távon is biztonságban lesz a kiberbűnözők támadásaival szemben!

 

Különös vírus támadja a mobilokat: Újdonság a kutatók számára is

A kiberbiztonsági szakemberek nemrég egy új, jelentős aggodalmakra okot adó fenyegetést tártak fel, amely elsősorban Android operációs rendszerrel működő eszközöket vesz célba. Az ArsTechnica legújabb jelentése szerint több mint 280 rosszindulatú alkalmazást azonosítottak, melyek a kriptovaluta-tárcák hitelesítő adatainak megszerzésére használnak ki egy innovatív optikai karakterfelismerő (OCR) technológiát.

Ezek az alkalmazások hivatalosnak tűnő banki, kormányzati vagy médiaszolgáltató appoknak álcázzák magukat, így könnyedén átverik a gyanútlan felhasználókat. Telepítés után hozzáférnek a készülékeken található szöveges üzenetekhez, képekhez és névjegyekhez, ezeket pedig távoli szerverekre továbbítják, melyeket a támadók kezelnek.

A kifinomult OCR technológia bevetésével a kártékony szoftverek nem csak gépelt, hanem kézzel írt vagy nyomtatott szövegeket is képesek elemezni. Ez a technika különösen nagy veszélyt jelent a véletlenszerűen generált szavakból álló kriptovaluta-tárcákra, amelyek adatait a támadók megszerezhetik.

SangRyol Ryu, a McAfee kutatója szerint a támadások célja a digitális vagyon megszerzése azáltal, hogy a bűnözők hozzáférnek a pénztárcákhoz. Az OCR alkalmazása ebben a kontextusban példátlan, mivel korábban ritkán használták ilyen jellegű csalásokhoz. Az érintett alkalmazások többnyire fertőzött weboldalakon és adathalászati kampányok során terjednek, ám a Google Play Áruházban még nem jelentek meg.

Felhasználóknak elengedhetetlenül fontos, hogy csak megbízható forrásból töltsenek le alkalmazásokat, és kerüljék az ismeretlen weboldalakról származó szoftverek letöltését. Különösen ébernek kell lenniük a kriptovaluta felhasználóknak, akik gyakori célpontjai lehetnek ilyen támadásoknak. A biztonság növelése érdekében ajánlott az erős, többfaktoros hitelesítést alkalmazni és kerülni a privát kulcsok, valamint egyéb érzékeny adatok könnyen hozzáférhető módon történő tárolását.

Az OCR-technológia alkalmazása a kriptovaluták világában egyre elterjedtebb, és rávilágít arra, hogy a kiberbűnözők folyamatosan fejlesztik módszereiket a védelmi rendszerek megkerülése érdekében. A felhasználók tudatossága és a modern biztonsági technológiák használata azonban döntő szerepet játszik a védekezésben.

Digitális fenyegetések: Hogyan terjednek a szextorciós útmutatók a közösségi médián keresztül

A közösségi média platformokon, mint például TikTok és YouTube, egyre gyakoribbak azok a videók, amelyek részletes instrukciókat nyújtanak arra vonatkozóan, hogyan lehet meztelen fotókat kikényszeríteni főként fiataloktól. Ezek a videós tartalmak, melyek néhány ezer forintért hozzáférhetők, olyan információkat tartalmaznak, amelyeket bűnözők “oktatási célzattal” cserélnek meg egymás között.

Szextorció, vagyis szexuális zsarolás olyan bűncselekmény, amely során az elkövetők fenyegetésekkel próbálják megszerezni az áldozatok intim képeit, azzal fenyegetve őket, hogy a képeket nyilvánosságra hozzák. Ezt a módszert gyakran alkalmazzák e-mailekben, ahol azt állítják, hogy a címzettet webkamera felvételén kapták intim helyzetben.

A The Guardian szerint számos online felületen, köztük a Telegramon is megtalálhatók azok az útmutatók, amelyek lépésről lépésre ismertetik, hogyan lehet valakit hatékonyan zsarolni intim képekkel. Ezek az útmutatók rendkívül részletesek és bemutatják a bűnözői cselekvések mechanizmusait.

Adam Priestley, a brit Nemzeti Bűnüldözési Ügynökség munkatársa szerint a kézikönyvek mellett személyre szabott tanácsadás is elérhető az interneten. Egy ismert zsaroló például 50 dollárért kínál hozzáférést egy olyan szkripthez, amely a zsarolások elkövetéséhez szükséges, míg 250 dollárért már három hónapos személyes tanácsadást is vállal.

Az útmutatókból kiderül, hogy a bűnözők különösen a fiatalokra, elsősorban középiskolás diákokra összpontosítanak. Különböző megközelítési technikákat alkalmaznak az áldozatok becserkészéséhez, mind lassú, mind gyors módszerekkel, hogy növeljék az eredményességüket.

A jelentések alapján az érintett platformok, mint például az Instagram, komolyan veszik ezeket a fenyegetéseket, és aktívan törekszenek a hasonló bűncselekmények megelőzésére. Az útmutató jellegű tartalmak eltávolításával próbálják csökkenteni a káros hatásokat. Ezek a leírások rávilágítanak arra, hogy milyen szervezett és elterjedt módon működik ez a bűnözői tevékenység, és milyen lépéseket tesznek a közösségi média platformok a bűncselekmények megakadályozása érdekében.

Forrás: www.theguardian.com

Per indítása a TikTok ellen gyermekvédelmi törvények megsértése miatt

Az Igazságügyi Minisztérium és a Szövetségi Kereskedelmi Bizottság beperelte a TikTokot a gyermekvédelmi törvények megsértése miatt
Az Egyesült Államok Igazságügyi Minisztériuma (DoJ) és a Szövetségi Kereskedelmi Bizottság (FTC) közösen indítottak pert a népszerű videómegosztó platform, a TikTok ellen, mert az „szemtelenül megsértette” az ország gyermekvédelmi törvényeit.

A hivatalok szerint a cég tudatosan engedélyezte, hogy a gyermekek létrehozhassanak TikTok-fiókokat, rövid videókat és üzeneteket nézhessenek meg és osszanak meg felnőttekkel és másokkal a szolgáltatáson keresztül.

Azt is megvádolták, hogy törvénytelenül gyűjtötték össze és tárolták széles körű személyes információkat ezekről a gyermekekről anélkül, hogy értesítették volna vagy beleegyezést szereztek volna a szülőktől, ellentétben a Gyermekek Online Adatvédelmi Törvényével (COPPA).

A TikTok gyakorlatai továbbá megsértették a 2019-es egyezményt a cég és a kormány között, amelyben vállalták, hogy értesítik a szülőket a gyermekek adatainak gyűjtése előtt, és eltávolítják azokat a videókat, amelyek 13 év alatti felhasználóktól származnak.

A COPPA előírja, hogy az online platformoknak gyűjteniük, felhasználniuk vagy közzétenniük kell a 13 év alatti gyermekek személyes adatait, kivéve, ha megszerezték a szülők hozzájárulását. Ezenkívül előírja a vállalatoknak, hogy törölniük kell az összes gyűjtött adatot a szülők kérésére.

„Még azokban a fiókokban is, amelyeket ‘Gyermek Mód’ (egy 13 év alatti gyermekek számára szánt leegyszerűsített TikTok-verzió) keretében hoztak létre, a vádlottak törvénytelenül gyűjtötték és tárolták a gyermekek e-mail címeit és egyéb személyes információkat” – mondta a DoJ.

„Továbbá, amikor a szülők felfedezték gyermekeik fiókjait és kérték a vádlottaktól a fiókok és az azokban lévő információk törlését, a vádlottak gyakran nem teljesítették ezeket a kéréseket.”

A panasz szerint a ByteDance tulajdonában lévő cég milliókat vonzott be 13 év alatti gyermekekből, akiket célzott hirdetésekhez és felnőttekkel való interakcióhoz, valamint felnőtt tartalmak eléréséhez vezető adatgyűjtésnek tettek ki.

A vád szerint a TikTok nem gyakorolt megfelelő gondosságot a fióklétrehozási folyamat során, mert hátsó kapukat épített, amelyek lehetővé tették a gyerekek számára, hogy megkerüljék a 13 év alattiakat kiszűrő korhatárt, ha harmadik fél szolgáltatásait, mint a Google és az Instagram használták, és ezeket a fiókokat „ismeretlen korú” fiókokként sorolták be.

„Az FTC szerint a TikTok emberi felülvizsgálói átlagosan csak öt-hét másodpercet töltöttek el minden egyes fiók felülvizsgálatával, hogy megállapítsák, vajon az adott fiók gyermeké-e”, hozzátéve, hogy intézkedéseket fognak tenni a gyermekek magánéletének védelme érdekében azokkal a cégekkel szemben, amelyek „fejlett digitális eszközöket használnak a gyerekek megfigyelésére és adataikból történő profitálásra.”

A TikToknak az Egyesült Államokban több mint 170 millió aktív felhasználója van. Bár a cég vitatja az állításokat, ez az újabb visszaesés a videóplatform számára, amely már egy olyan törvény tárgya, amely 2025 elejére az alkalmazás eladását vagy betiltását követeli nemzetbiztonsági aggályok miatt. A cég beadvánnyal fordult a szövetségi bírósághoz, hogy megtámadja a tilalmat.

„Nem értünk egyet ezekkel az állításokkal, amelyek közül sok a múltbeli eseményekre és gyakorlatokra vonatkozik, amelyek ténybelileg pontatlanok vagy már kezelve lettek” – mondta a TikTok. „Korhoz megfelelő élményeket kínálunk szigorú biztonsági intézkedésekkel, proaktívan eltávolítjuk a feltételezett kiskorú felhasználókat, és önkéntesen indítottunk olyan funkciókat, mint az alapértelmezett képernyőidő-korlátozások, a Családi Párosítás és további adatvédelmi védelmek kiskorúak számára.”

A közösségi média platform globálisan is ellenőrzés alá került a gyermekvédelem miatt. Az Európai Unió szabályozói 2023 szeptemberében 345 millió eurós bírságot szabtak ki a TikTokra az adatvédelmi törvények megsértése miatt a gyermekadatok kezelésével kapcsolatban. 2023 áprilisában az Egyesült Királyság Információs Biztosának Hivatala (ICO) 12,7 millió fontos bírságot szabott ki, mert a platform törvénytelenül feldolgozta 1,4 millió 13 év alatti gyermek adatait szülői beleegyezés nélkül.

A per akkor került napvilágra, amikor az ICO felfedte, hogy 11 média- és videómegosztó platformot szólított fel a gyermekvédelmi gyakorlatok javítására, különben végrehajtási intézkedésekkel nézhetnek szembe. Az érintett szolgáltatások neveit nem hozták nyilvánosságra.

„A 34 platform közül 11-et szólítottak fel a beállított adatvédelmi beállítások, a geolokáció vagy a korazonosítás kapcsán, és arra kérték őket, hogy magyarázzák meg, hogyan illeszkedik megközelítésük a [Gyermekek Kódexéhez]”, mondta. „Néhány platformmal a célzott hirdetésekről is tárgyalunk, hogy kifejezzük az elvárásainkat a gyakorlatok törvénynek és a kódexnek megfelelő változásaira.”

Forrás: www.thehackernews.com

A stalkerware alkalmazások veszélyei

A stalkerware, más néven megfigyelő szoftver, olyan alkalmazásokat jelent, amelyeket főként féltékeny partnerek használnak mások – gyakran szeretteik – titkos megfigyelésére és ellenőrzésére. Ez az iparág nemcsak erkölcsileg megkérdőjelezhető, hanem gyakran törvénytelen is, és komoly veszélyeket rejt magában mind a felhasználók, mind a megfigyelt személyek személyes adataira nézve.

2017 óta legalább 21 ismert esetben történt adatszivárgás vagy hackelés ezekkel a cégekkel kapcsolatban. Ezek az események nemcsak a felhasználók, hanem a megfigyeltek adatait is komoly veszélynek tették ki. Az adatvédelmi incidensek közül kiemelkedik a Spytech, a mSpy és a pcTattletale esetei, ahol több millió felhasználó érintett adatai váltak nyilvánosságra.

A stalkerware használata több okból is kifogásolható. Először is, ezek az alkalmazások gyakran támogatják a törvénytelen magatartásokat, mint például a házastársak vagy élettársak titkos megfigyelését. Másodsorban, az ilyen típusú szoftverek gyakran bizonyulnak sebezhetőnek, és nem ritkán veszítenek el kritikus adatokat. Végül, de nem utolsósorban, az ilyen eszközök használata súlyos etikai aggályokat vet fel, és akár valós károkat is okozhatnak.

Eva Galperin, aki az Electronic Frontier Foundation kiberbiztonsági igazgatója és vezető kutatója, kifejtette, hogy a stalkerware iparág könnyű célpontnak számít a hackerek számára, és az ilyen típusú cégek gyakran nem fektetnek kellő hangsúlyt a termék minőségére vagy a felhasználóik adatainak védelmére.

Összességében a stalkerware alkalmazások használata nemcsak, hogy jogilag és erkölcsileg is megkérdőjelezhető, de az adatbiztonsági kockázatok miatt is kifejezetten felelőtlen döntés. Ezért fontos, hogy tájékozott döntéseket hozzunk, és kerüljük ezeknek a megfigyelő alkalmazásoknak a használatát.

Forrás: www.techcrunch.com

Generatív mesterséges intelligencia biztonsági kihívásai: A Gartner top 4 elemzése

A GenAI alkalmazásának top 4 biztonsági kockázata: Alapos elemzés a Gartner-től

A szervezetek manapság egyre nagyobb mértékben fordulnak a generatív mesterséges intelligencia (GenAI) felé, hogy növeljék termelékenységüket és elősegítsék az innovációt. Azonban minden gyorsan elterjedő technológiával együtt a biztonsági hátrányok is felszínre kerülnek, ami új biztonsági kockázatokat vet fel, melyek jelentős üzleti hatással bírnak.

Ebben a jelentésben a Gartner betekintést nyújt, és javaslatokat tesz a biztonsági és termékvezetők számára, hogy hogyan érhetnek el versenyelőnyt ezeknek a kockázatoknak a kezelésével kapcsolatos kulcsfontosságú átalakítási lehetőségek kihasználásával.

Ajánljuk a jelentés elolvasását, hogy megismerhesse:

· A GenAI területén megjelenő top 4 fő új kockázatot

· A közelgő hatásokat rövid távon

· A következő hat-tizennyolc hónapra szóló ajánlott intézkedéseket

Gartner, Emerging Tech: A GenAI top 4 biztonsági kockázata, Lawrence Pingree, Swati Rakheja, Leigh McMullen, Akif Khan, Mark Wah, Ayelet Hayman, Carl Manion, 2023. augusztus 10.

A GARTNER védjegye és szolgáltatási jele a Gartner, Inc. és annak amerikai, valamint nemzetközi leányvállalatainak tulajdona, és itt engedéllyel használják. Minden jog fenntartva.

A Gartner nem támogat semmilyen szolgáltatót, terméket vagy szolgáltatást kutatási kiadványaiban, és nem javasolja a technológiai felhasználóknak, hogy kizárólag a legmagasabb értékeléssel rendelkező szolgáltatókat válasszák. A Gartner kutatási kiadványai a Gartner kutatószervezetének véleményét tükrözik, és nem tekinthetők tényállításnak. A Gartner minden kifejezett vagy vélelmezett jótállást elutasít e kutatással kapcsolatban, beleértve a piacképességre vagy egy adott célra való alkalmasságra vonatkozó jótállásokat.

Forrás: www.wiz.io

TeamViewer kibertámadás: Orosz kémek támadták meg a vállalati hálózatot

A TeamViewer, a távoli hozzáférési szolgáltatásokat nyújtó óriás bejelentette, hogy orosz kémek törték fel a vállalati hálózatát

A TeamViewer, amely széles körben használt távoli hozzáférési eszközöket biztosít vállalatok számára, megerősítette, hogy folyamatban van egy kibertámadás a vállalati hálózatuk ellen.

Egy pénteki közleményben a cég az orosz hírszerzés által támogatott hackerekre, az APT29 (és a Midnight Blizzard) csoportra vezette vissza a biztonsági incidens okát.

A Németországban székelő cég azt állítja, hogy eddigi vizsgálataik szerint az első behatolás június 26-án történt, amely egy standard alkalmazotti fiók hitelesítő adataihoz köthető a vállalati IT környezeten belül.

A TeamViewer szerint a kibertámadás kizárólag a vállalati hálózatot érintette, és a cég külön tartja belső hálózatát és az ügyfélrendszereket. A cég hozzátette, hogy „nincs bizonyíték arra, hogy a fenyegetési színész hozzáférhetett volna termék környezetünkhöz vagy ügyféladatainkhoz.”

Martina Dier, a TeamViewer szóvivője elutasította, hogy válaszoljon a TechCrunch több kérdésére, többek között arra, hogy rendelkezik-e a cég a szükséges technikai képességekkel, mint például naplózással, hogy megállapítsa, történt-e adatok hozzáférése vagy eltulajdonítása a hálózatukról.

A TeamViewer az egyik legnépszerűbb távoli hozzáférési eszközöket biztosító szolgáltató, lehetővé téve vállalati ügyfelei számára – többek között a szállítmányozási óriás DHL és az italgyártó Coca-Cola számára, weboldaluk szerint –, hogy hozzáférjenek más eszközökhöz és számítógépekhez az interneten keresztül. A cég azt állítja, hogy több mint 600,000 fizető ügyfelük van, és több mint 2,5 milliárd eszközhöz biztosítanak távoli hozzáférést világszerte.

Ismert, hogy a TeamViewer eszközeit rosszindulatú hackerek is kihasználják, lehetővé téve számukra, hogy távolról malware-t telepítsenek egy áldozat eszközére.

Nem ismert, hogy hogyan kerülhettek kompromittálásra a TeamViewer alkalmazottjának hitelesítő adatai, és a cég ezt nem is közölte.

Az Egyesült Államok kormánya és biztonsági kutatók régóta az APT29 csoportot, amely Oroszország külföldi hírszerzési szolgálata, az SVR munkatársaihoz kötik. Az APT29 az egyik legkitartóbb, jól felszerelt kormány által támogatott hackercsoport, és ismert egyszerű, de hatékony hackelési technikái – beleértve a jelszavak ellopását – használatáról, amelyek hosszú távú, rejtett kémkedési kampányok során érzékeny adatok ellopására támaszkodnak.

A TeamViewer az utóbbi időben az SVR által célba vett legújabb technológiai vállalat. Ugyanez a kormányzati hackercsoport korábban idén feltörte a Microsoft vállalati hálózatát is, hogy ellopja a legfelsőbb vezetők e-maileit, hogy megismerjék, mit tudnak a behatolókról. A Microsoft szerint más technológiai vállalatokat is kompromittáltak az orosz kémkedési kampány során, és az amerikai kiberbiztonsági ügynökség, a CISA megerősítette, hogy az amerikai kormányzat e-maileit is ellopták, amelyeket a Microsoft felhőjében tároltak.

Hónapokkal később a Microsoft azt állította, hogy nehezen tudja kizárni a hackereket a rendszereiből, és ezt az orosz kormány „folyamatos, jelentős elkötelezettségének” nevezte, amely „erőforrásokat, koordinációt és fókuszt” igényelt.

Az amerikai kormány azt is Oroszország APT29 csoportjának rótta fel, hogy 2019-2020-ban kémkedési kampányt indított az amerikai SolarWinds szoftvercég ellen. A kibertámadás során az amerikai szövetségi kormányzati ügynökségeket tömegesen hackelték meg, egy rejtett rosszindulatú hátsó ajtó beültetésével a SolarWinds zászlóshajó szoftverébe. Amikor a fertőzött szoftverfrissítést kiadták a SolarWinds ügyfeleinek, az orosz hackerek hozzáférhettek minden olyan hálózathoz, amely a kompromittált szoftvert futtatta, beleértve a Pénzügyminisztériumot, az Igazságügyi Minisztériumot és az Államminisztériumot.

Globális kihívások a kiberbiztonság frontján: Az USA kritikus infrastruktúrája célkeresztben

A kritikus infrastruktúrák sebezhetősége: Miért fontos ez mindenki számára?

Amikor a „kritikus infrastruktúra” kifejezés kerül szóba, gyakran eszünkbe jutnak hídak, erőművek vagy vasúti rendszerek. De gondolt már arra, mi történik, amikor egy gyermek egy parkban lévő ivókútból iszik? Vagy amikor egy tanár mesterséges intelligenciát használ az oktatásban? Netán amikor egy ünnepi hétvégén repülőre szállunk?

Ritkán gondolunk azokra a rendszerekre, amelyek ezeket és számos más napi tevékenységet alátámasztanak, ám ezek a folyamatok egyre inkább digitalizálódnak, és gyakran olyan hálózatokra és rendszerekre támaszkodnak, amelyeket nem biztonsági szempontok előtérbe helyezésével terveztek.

Az energia-, egészségügyi-, víz-, telekommunikációs- és mezőgazdasági szektorokat – többek között – támogató rendszerek egyre inkább ki vannak téve a rosszindulatú kibertevékenységeknek, és a támadók folyamatosan fejlesztik technikáikat.

Az idei év elején amerikai kiberbiztonsági hivatalos személyek figyelmeztettek az államilag támogatott kártékony kibertámadókra, akik a Kínai Népköztársasághoz köthetőek, beleértve a jól ismert Volt Typhoon hackercsoportot is, amely kompromittálja és folyamatosan hozzáfér az USA kritikus infrastruktúráihoz, készülve a lehetséges jövőbeli zavaró tevékenységekre, ha konfliktus lépne fel Kínával.

A Környezetvédelmi Ügynökség nemrég további figyelmeztetést adott ki a vízellátó rendszerek számára, sürgetve őket, hogy azonnali intézkedéseket tegyenek az ország ivóvize kiberfenyegetettsége ellen. Az EPA szerint a kibertámadások károsíthatják a vízinfrastruktúrát, mint például a szelepeket és szivattyúkat, zavarhatják a vízkezelést vagy tárolást, vagy veszélyesen magas szintre emelhetik a vegyi anyagok koncentrációját.

Nem minden amerikai kritikus infrastruktúra képes ellenállni és helyreállni egy kibertámadás után, egyes infrastruktúra-tulajdonosoknak több erőforrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt elmondta: “Sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken keresztül a szoftverfejlesztőket nem terhelte felelősség a hibás technológiáért.”

A vállalatoknak magas színvonalon kellene eljárniuk a digitális termékek fejlesztésében. Az Biden-Harris adminisztráció iparági felelősségre vonásra irányuló hangsúlyozása dicséretes ebben a tekintetben, de a szövetségi kormány folyamatos sürgős figyelmeztetései sürgős intézkedéseket követelnek a kiber-fizikai ellenállóképesség terén.

Például a Colonial Pipeline esemény rávilágított a kiberbiztonság javításának szükségességre. Fontos, hogy a mélyebb felhívás a szegmentálásra irányuljon, hogy a Colonial üzleti rendszereinek kompromittálása ne érintse a szélesebb működését.

Szükség van egy alapvető megközelítési váltásra – egy olyan lépésre, amely túlmutat a digitális biztonságon és az igazi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik – olyan rendszerek tervezésével, amelyek támogatják a kritikus infrastruktúrákat, hogy azok a váratlan nyomás alatt is a várt módon működjenek.

Képzeljük el egy kórház folyamatos működését internetkapcsolat nélkül, vagy egy zsarolóvírusos támadás alatt; egy vízművet, amelyet kézzel kezelnek, miközben a hatóságok vizsgálják a gyanús tevékenységet egy tisztítóműnél; vagy egy villamos hálózatot, amely moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.

Eljuthatunk ide. El kell jutnunk ide.

A Tudományos és Technológiai Tanácsadó Testület a közelmúltban kiadott egy jelentést, amely javasolt intézkedéseket tartalmaz, hogy minden kritikus infrastruktúra rendszer elérje az ellenállóképességet, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.

A kiberhivatalok folyamatos figyelmeztetése rámutat arra, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások csak növekednek. Készen állnak a rendszereink?

Felfedezték az npm csomagban rejtőző RAT-ot, ami a Gulp felhasználókat veszélyezteti

Biztonsági kutatók egy olyan npm csomagot fedeztek fel, amely távoli hozzáférésű trójai programot (RAT) juttat a megfertőzött rendszerekre

A kiberbiztonsági kutatók egy új, gyanús csomagot azonosítottak az npm csomagregisztrációs rendszerben, amely távoli hozzáférésű trójai programot (RAT) telepít a kompromittált rendszerekre.

A kérdéses csomag a glup-debugger-log, amely a Gulp eszközkészlet felhasználóit célozza meg úgy, hogy “naplózóként a gulp és a gulp bővítmények számára” álcázza magát. Eddig 175 alkalommal töltötték le.

A szoftver-ellátási lánc biztonságával foglalkozó Phylum cég fedezte fel ezt a csomagot, amelyről elmondják, hogy két rejtjelezett fájlt tartalmaz, amelyek együttműködve telepítik a kártékony terhelést.
“Az egyik fájl egyfajta kezdeti dropperként működik, amely előkészíti a terepet a kártevőkampányhoz azáltal, hogy kompromittálja a célszámítógépet, ha az megfelel bizonyos követelményeknek, majd letölti a további kártevő komponenseket, a másik szkript pedig tartós távoli hozzáférési mechanizmust biztosít a támadónak a megsértett gép irányításához,” mondja a cég.

A Phylum alapos vizsgálata a könyvtár package.json fájljának – amely mintegy manifest fájlként szolgál, amely összefoglalja a csomaghoz kapcsolódó összes metaadatot – rámutatott, hogy egy tesztszkriptet használnak egy JavaScript fájl (“index.js”) futtatására, amely viszont egy rejtjelezett JavaScript fájlt (“play.js”) hív meg.

A második JavaScript fájl úgy működik, mint egy dropper, amely további szakaszos kártevőket tölt le, de csak azután, hogy sorozatban ellenőrzi a hálózati interfészeket, a különféle típusú Windows operációs rendszereket (Windows NT), és – egy szokatlan fordulattal – a Desktop mappa fájljainak számát.

“Az ellenőrzések során meggyőződnek arról, hogy a gép otthoni könyvtárában lévő Desktop mappában legalább hét vagy több elem található,” magyarázza a Phylum.

“Első pillantásra ez lehet, hogy abszurdul tetszőlegesnek tűnik, de valószínűleg egyfajta felhasználói tevékenység-indikátorként szolgál, vagy módot kínál arra, hogy elkerüljék a telepítést ellenőrzött vagy kezelt környezetekben, mint például a VM-ek vagy vadonatúj telepítések. Úgy tűnik, a támadó aktív fejlesztői gépeket céloz meg.”

Amennyictous mindegyik ellenőrzés sikeres, egy másik JavaScript indításra kerül a package.json fájlból (“play-safe.js”), amely beállítja a tartósságot. A betöltő további képességeket tartalmaz tetszőleges parancsok végrehajtására egy URL-ről vagy helyi fájlból.
A “play-safe.js” fájl egy HTTP-szervert hoz létre és figyel a 3004-es porton beérkező parancsokra, amelyeket végrehajt. A szerver a parancs kimenetét egyszerű szöveges válaszként küldi vissza a kliensnek.

A Phylum a RAT-ot egyszerre durvának és kifinomultnak írta le, mivel minimalista funkcionalitással, önellátó jelleggel rendelkezik, és a rejtjelezésre támaszkodik az elemzés ellenállására.

“Ez továbbra is hangsúlyozza a nyílt forráskódú ökoszisztémákban zajló kártevőfejlesztés folyamatosan fejlődő tájképét, ahol a támadók új és ravasz technikákat alkalmaznak azért, hogy kompakt, hatékony és rejtett kártevőket hozzanak létre, amelyek remélhetőleg elkerülik az észlelést, miközben erős képességekkel rendelkeznek,” mondta a cég.

Forrás: www.thehackernews.com

Az FBI felgyorsítja a Scattered Spider hacker csoport elleni eljárásokat

Az Amerikai Egyesült Államok Szövetségi Nyomozóirodája (FBI) komoly lépéseket tesz az agresszív Scattered Spider nevű bűnözői csoport tagjainak megvádolására, akik többnyire az Egyesült Államokban és nyugati országokban tevékenykednek, és tucatnyi amerikai szervezetet támadtak meg, mondta egy magas rangú tisztviselő.

A fiatal hackerek tavaly kerültek a hírek középpontjába, amikor betörtek az MGM Resorts International (MGM.N) és a Caesars Entertainment (CZR.O) kaszinóüzemeltetők rendszereibe, blokkolták azokat, és jelentős váltságdíjakat követeltek. Az egészségügyi, telekommunikációs cégektől kezdve a pénzügyi szolgáltatásokig számos szervezetet támadtak meg az elmúlt két évben, ezáltal nyomást gyakorolva a törvényvégrehajtó szervekre, hogy állítsák meg őket.

“Bűncselekményekkel vádoljuk az egyéneket, ahol csak lehetséges, ebben az esetben főként a számítógépes csalás és visszaélés törvénye alapján,” mondta Brett Leatherman, az FBI kibervédelmi helyettes igazgatója a Reutersnek adott interjúban.

A csoport ritka szövetséget képez a nyugati országok hackereivel és Kelet-Európa veterán kiberbűnözőivel, mondta Leatherman az RSA Konferencián San Franciscóban, szerdán.

“A földrajzi hackerek együttműködését ritkán látjuk kívül a hacktivizmus keretein,” tette hozzá.

A biztonsági kutatók legalább 2022 óta követik a Scattered Spider csoportot, és úgy vélik, hogy ez a banda sokkal agresszívabb, mint más kibertérben tevékenykedő bűnbandák. Különösen ügyesek az IT helpdesk alkalmazottak személyazonosságának eltulajdonításában, amellyel bejutnak a cégek hálózataiba. A Caesars körülbelül 15 millió dollárt fizetett a rendszerei felszabadításáért.

Beszélgetéseik során a csoport néha fizikai erőszakot is fenyegetett, ami aggodalmat keltett néhány kutatóban.

Úgy tűnik, hogy a banda tevékenysége januárban csökkent, de most “eléggé erőteljesen működnek,” mondta Charles Carmakal, a Google Mandiant biztonsági részlegének technológiai igazgatója, aki több áldozattal is együttműködött.

A banda több mint 100 szervezetet célozott meg két év alatt, mindegyikbe sikerült valamilyen szinten behatolniuk, és rendszeresen sikeresen phising támadásokat hajtottak végre.

A támadásaik intenzitását tekintve néhány szakértő bírálta az elfogások hiányát, különösen mivel a banda tagjai nyugati országokban tartózkodnak.

Leatherman szerint magánbiztonsági cégek segítik az FBI-t a bizonyítékok összegyűjtésében.

“Ez a csoport rendkívül fontos számunkra, hogy folytassuk a zavaró lehetőségek keresését,” mondta.

“Van bizonyos bizonyítási teher, amelyet teljesítenünk kell a jogi műveletek végrehajtásához. És ezen az úton haladunk előre, amilyen gyorsan csak lehet,” tette hozzá.

Egy ismert letartóztatás történt. Januárban az FBI vádat emelt Noah Urban 19 éves floridai lakos ellen, akit a Scattered Spider egyik tagjaként azonosítottak.

További letartóztatások is várhatóak. Néhány banda tag még kiskorú, de az FBI állami és helyi törvényeket használhat az igazságszolgáltatás érdekében, mondta Leatherman.

“Ez történelmileg nagyon, nagyon hatékony,” mondta.

Forrás: www.reuters.com

Amnesty International az Indonéziát kémprogramok központjának nevezi

Az Amnesty International friss kutatása Indonéziát az egyre elterjedtebb megfigyelési technológiák és beszállítók feltörekvő központjaként azonosította. Az Amnesty International bizonyítékokat talált arra, hogy olyan “nagyon invazív kémprogramokat és más megfigyelési technológiákat” értékesítenek és szállítanak Indonéziába olyan országokból, mint Izrael, Görögország, Szingapúr és Malajzia, 2017-től egészen a múlt évig.

Ezeket a megfigyelési eszközöket állítólag olyan vállalatok birtokolják, mint a “Q Cyber Technologies (kapcsolódóan az NSO Group-hoz), az Intellexa konzorcium, a Saito Tech (más néven Candiru), a FinFisher és teljesen tulajdonában lévő leányvállalata, a Raedarius M8 Sdn Bhd, és a Wintego Systems.”

Az Amnesty International továbbá részletezte különféle rosszindulatú domain neveket és hálózati infrastruktúrákat, amelyek kapcsolódnak a megfigyelő szoftverplatformokhoz, és amelyek egyéneket céloznak meg Indonéziában. Míg a domain nevek utánozzák a politikai pártokat és a média hírportáljait, nem világos, hogy valójában kiket céloznak meg, az Amnesty International szerint. A kémprogramokat történelmileg kormányzati szervezetek használták arra, hogy a civil társadalmat és újságírókat célozzák meg, így Indonéziában, ahol a civil jogok támadásnak vannak kitéve, ez “különösen aggasztó” – áll az Amnesty jelentésében.

“A jelenlegi kutatás anyagi bizonyítékot nyújt, hogy tájékoztasson további kutatási és felelősségre vonási erőfeszítéseket annak biztosítása érdekében, hogy az indonéz civil társadalom szabad környezetben működhessen, félelem nélkül az törvénytelen megfigyeléstől” – áll a jelentésben.

Forrás: www.darkreading.com

Shakeeb Ahmed, egykori senior biztonsági mérnök, három év börtönt kapott az Egyesült Államokban kriptotőzsdei csalás miatt

2022 júliusában, Shakeeb Ahmed – aki korábban egy neves nemzetközi technológiai vállalatnál látott el senior biztonsági mérnöki feladatokat, és kimagaslóan jártas volt a blokklánc-auditok terén, valamint az intelligens szerződések dekódolásában –, az Egyesült Államokban hároméves börtönbüntetésre ítélték. Az ítéletet 2023 decemberében hozták meg, miután Ahmed beismerő vallomást tett egy számítógépes csalással kapcsolatos vádpontban.

Az Amerikai Igazságügyi Minisztérium (DoJ) szerint Ahmed bűncselekményei során egy biztonsági rést használt ki egy meg nem nevezett kriptotőzsdén. Ezt a biztonsági rést felhasználva manipulált az intelligens szerződésekben szereplő árazási adatokkal, ezzel mesterségesen felfújva a tranzakciós díjakat, és így több millió dollár értékben szerezve jogtalan hasznot, amelyet később sikeresen felvett.

Emellett Ahmed tárgyalásokat kezdeményezett a cégvezetéssel, és beleegyezett, hogy visszafizeti a jogtalanul megszerzett összegek nagy részét, 1,5 millió dollárt kivéve, amennyiben a tőzsde hajlandó nem értesíteni a hatóságokat a történtekről. A CoinDesk hírügynökség beszámolója szerint egy névtelen támadó több mint 8 millió dollár értékű kriptovalutát adott vissza a Solana-alapú Crema Finance kriptotőzsdének, miközben 1,68 millió dollárt megtartott „fehér kalapos” jutalomként.

Továbbá, Ahmed egy másik támadást is végrehajtott a Nirvana Finance nevű decentralizált kriptotőzsde ellen, ahonnan 3,6 millió dollárt sikkasztott el, ami a tőzsde végleges bezárásához vezetett.

A megszerzett összegeket Ahmed kriptovalutákon keresztüli áthidaló hálózatok használatával tisztította meg, és a zsákmányt Moneróvá alakította át, olyan mixerek használatával, mint a Samourai Whirlpool.

A hároméves szabadságvesztés mellett Ahmedet további három év felügyelet melletti szabadlábra helyezésre ítélték, továbbá kötelezték, hogy fizesse meg a kártérítést, amely több mint 5 millió dollárt tesz ki, valamint köteles visszafizetni a körülbelül 12,3 millió dollár értékű jogtalanul megszerzett összeget.

Forrás: www.thehackernews.com

Új védelmi funkció a Chrome-ban: A Google teszteli a Device Bound Session Credentials technológiát

A Google bejelentette, hogy elkezdte egy új funkció, a Device Bound Session Credentials (DBSC) tesztelését a Chrome böngészőben. Ennek célja a malware által végrehajtott session cookie lopás elleni védelem nyújtása a felhasználóknak.

Ez a prototípus, amely jelenleg néhány Google-fiókot használó Chrome Beta felhasználó körében zajlik, azzal a szándékkal jött létre, hogy nyílt webes szabvánnyá váljon, mondta a tech óriás Chromium csapat.

“Az autentikációs munkamenetek eszközhöz kötésével a DBSC célja az, hogy megnehezítse a cookie lopásra specializálódott tevékenységeket, mivel így a sütik kiszivárogtatása nem lesz hasznos,” tette hozzá a vállalat.

“Úgy vélem, hogy ez jelentősen csökkenteni fogja a cookie lopásra specializálódott malware sikerességi arányát. A támadóknak ebben az esetben az adott eszközön kellene cselekedniük, ami hatékonyabbá teszi az észlelést és a tisztítást, mind az antivírus szoftverek, mind a vállalati kezelés alatt álló eszközök esetében.”

Ez a fejlesztés azon jelentések nyomán jött létre, amelyek szerint a pénzért megvásárolható információlopó malware-ek új módszereket találnak a sütik lopására oly módon, hogy lehetővé teszik a fenyegetés színészei számára a többtényezős hitelesítés (MFA) védelem megkerülését és a jogosulatlan hozzáférést az online fiókokhoz.

Munkamenet-eltérítési technikák nem számítanak újdonságnak. 2021 októberében a Google Threat Analysis Group (TAG) részletezett egy phishing kampányt, mely YouTube tartalomkészítőket célzott cookie lopó malware-rel, hogy eltérítse fiókjaikat és monetizálja a hozzáférést kriptovaluta csalások elkövetésére.

Idén januárban a CloudSEK felfedte, hogy információlopók, többek között a Lumma, Rhadamanthys, Stealc, Meduza, RisePro és WhiteSnake, frissítették képességeiket a felhasználói munkamenetek eltérítésére és a Google szolgáltatásokhoz való folyamatos hozzáférés lehetővé tételére még jelszóváltoztatás után is.

A Google a Hacker Newsnak mondta, hogy “a cookie-kat és tokeneket lopó malware-ekkel kapcsolatos támadások nem újak; rendszeresen frissítjük védelmeinket ezekkel a technikákkal szemben és hogy megvédjük azokat a felhasználókat, akik malware áldozataivá válnak.”

Továbbá azt javasolta a felhasználóknak, hogy engedélyezzék a Bővített Biztonságos Böngészést a Chrome webböngészőben a phishing és malware letöltések elleni védelem érdekében.

A DBSC célja, hogy csökkentse ezeket a rosszindulatú tevékenységeket egy olyan kriptográfiai megközelítéssel, amely az eszközhöz köti a munkameneteket, így nehezebbé téve az ellenségek számára a lopott sütikkel történő fiókeltérítést.

Biztonsági rész a MobSF-ben: Hogyan vezethet SSRF támadáshoz

A MobSF, azaz a Mobile Security Framework, amely a pen-tesztelés, a malware elemzés és a biztonsági felülvizsgálat terén elterjedt keretrendszer, egy kritikus bemeneti érvényesítési hibával rendelkezik, amely szerveroldali kérés-hamisítás (SSRF) támadásokhoz vezethet. Ez a sebezhetőség a CVE-2024-29190 azonosító alatt van nyilvántartva, és a MobSF 3.9.5 Béta verzióját és az azt megelőző kiadásokat érinti.

A sebezhetőségs alapjai:

A Trendyol Alkalmazásbiztonsági csapatának vizsgálata során, mely az “App Link assetlinks.json fájl nem található” sebezhetőséget tanulmányozta, felfedezték, hogy a MobSF GET kérést küld a “/.well-known/assetlinks.json” végpontnak minden olyan házigazdánál, amelyet az “android:host” attribútummal jelöltek az AndroidManifest.xml fájlban. Azonban a MobSF nem végez bemeneti érvényesítést a házigazdák neveinek kinyerésekor az android:host attribútumból, ami lehetővé teszi, hogy a rendszer véletlenül helyi házigazdáknak küldjön kéréseket, potenciálisan SSRF sebezhetőséghez vezetve.

A GitHub nemrégiben közzétett egy blogbejegyzést, amely egy SSRF sebezhetőségre hívja fel a figyelmet, amely az assetlinks_check funkciót érinti.

Műszaki leírás
Sebezhető konfiguráció példája:

A fenti példában az android:host “192.168.1.102/user/delete/1#”-ként van meghatározva.

A házigazda végén található “#” karakter kritikus, mivel ez akadályozza meg a kérések küldését a “/.well-known/assetlinks.json” végponthoz, biztosítva, hogy a kérések a megadott végpontra kerüljenek előtte.

Bizonyíték a koncepcióra

A Trendyol Alkalmazásbiztonsági csapata egy demonstrációs videót is közzétett, amely bemutatja az SSRF sebezhetőséget.

Az SSRF sebezhetőség jelentős kockázatot jelent, mivel lehetővé teszi a támadó számára, hogy az áldozat szerverét olyan nem engedélyezett kapcsolatok létrehozására kényszerítse, amelyek csak a szervezet infrastruktúráján belüli szolgáltatásokhoz érhetők el. Ennek eredményeképpen kiszolgáltathatja a szervezet érzékeny belső rendszereit és adatokat.

Mitigációs és gyorsjavítási lépések

A probléma gyorsjavítását a 5a8eeee73c5f504a6c3abdf2a139a13804efdb77 commitban vezették be. A MobSF felhasználóit arra ösztönzik, hogy frissítsék szoftverüket a legújabb verzióra, ezzel minimalizálva a CVE-2024-29190-nel kapcsolatos kockázatokat.

A CVE-2024-29190 felfedezése kiemeli a gondos bemeneti érvényesítés fontosságát a szoftverfejlesztésben, különösen a biztonságkritikus alkalmazások, mint a MobSF esetében. A MobSF-re támaszkodó szervezeteknek azonnali lépéseket kell tenniük a gyorsjavítás alkalmazása érdekében, hogy megvédjék infrastruktúrájukat a lehetséges SSRF támadásoktól.

Összegzés

Az SSRF sebezhetőség a MobSF eszközben jelentős biztonsági kihívást jelent, amely figyelmet igényel a biztonsági szakemberek és a fejlesztők részéről egyaránt. A CVE-2024-29190 azonosítójú sebezhetőség felfedezése és a hozzá kapcsolódó gyorsjavítás kidolgozása fontos lépés a biztonságos szoftverfejlesztés felé. A MobSF legújabb verziójára való frissítéssel a felhasználók csökkenthetik az ilyen típusú sebezhetőségekből eredő kockázatokat és védelmet nyújthatnak infrastruktúrájuk számára. A folyamatos figyelem és a biztonsági frissítések alkalmazása elengedhetetlen az információs biztonság fenntartásában.

Forrás: www.cybersecuritynews.com

A mesterséges intelligencia új szerepe a kiberbiztonsági támadásokban

A mesterséges intelligencia (AI) fejlődése új dimenziókat nyit meg a kiberbiztonsági támadások terén, az önfejlesztő kártevőktől a társadalomra és gazdaságra is veszélyt jelentő deepfake technológiákig. A Recorded Future friss jelentése szerint a nagy nyelvi modellek (LLM) által hajtott eszközök kihasználhatók olyan kártevők fejlesztésére, amelyek képesek kijátszani a YARA szabályokat.

„A generatív AI felhasználható a string-alapú YARA szabályok kijátszására a kártevő forráskódjának módosításával, jelentősen csökkentve ezzel a detektálási arányokat,” – áll a The Hacker News-szal megosztott jelentésben.

Ez a felfedezés egy vörös csapat által végzett gyakorlat eredményeként született, amelynek célja az AI technológiák rosszindulatú felhasználásának feltárása volt. E technológiákat már kísérleti jelleggel alkalmazzák fenyegetési aktorok, például kártékony kódok részleteinek generálására, phishing e-mailek előállítására, valamint potenciális célpontok felderítésére.

A biztonsági cég egy ismert kártevőt, az APT28 hacking csoport által használt STEELHOOK-ot és annak YARA szabályait nyújtotta be egy LLM-nek, kérve, hogy módosítsa a forráskódot úgy, hogy az eredeti funkcionalitás megmaradjon, a generált forráskód pedig szintaktikailag hibamentes legyen.

E visszajelzési mechanizmus segítségével az LLM által módosított kártevő képes volt elkerülni a string-alapú YARA szabályok általi detektálást.

A módszernek azonban vannak korlátai, leginkább az, hogy a modell egyszerre mennyi szöveget képes feldolgozni, ami megnehezíti a nagyobb kódbázisokon való működést.

Az AI eszközök nem csupán a kártevők észrevétlen módosítására használhatók, hanem deepfake technológiák létrehozására is, amelyek magas rangú vezetőket és döntéshozókat utánoznak, vagy olyan befolyásoló műveleteket hajtanak végre, amelyek hiteles weboldalakat másolnak nagy méretekben.

A generatív AI várhatóan felgyorsítja a fenyegetési aktorok képességét, hogy felderítsenek létfontosságú infrastruktúrákat és olyan információkat szerezzenek, amelyek stratégiai jelentőséggel bírhatnak további támadások során.

„A multimodális modellek segítségével a nyilvános képek és videók, beleértve a légifelvételeket is, feldolgozhatók és gazdagíthatók további metaadatokkal, mint a geolokáció, a berendezések gyártói, modellek és a szoftververziók,” – mondta a cég.

Valóban, a Microsoft és az OpenAI nemrég figyelmeztetett, hogy az APT28 LLM-eket használt „a műholdkommunikációs protokollok, a radar képalkotó technológiák és specifikus technikai paraméterek” megértésére, ami arra utal, hogy „mélyreható ismereteket akarnak szerezni a műholdképességekről.”

Ajánlott, hogy a szervezetek alaposan vizsgálják meg a nyilvánosan elérhető képeket és videókat, amelyek érzékeny berendezéseket ábrázolnak, és szükség esetén töröljék őket, hogy csökkentsék az ilyen fenyegetések által jelentett kockázatokat.

E fejlemények fényében egy tudósokból álló csoport megállapította, hogy lehetséges az LLM-eket “feltörni” és káros tartalmat előállítani azáltal, hogy bemenetként ASCII művészet formájában adnak meg kéréseket (pl. „hogyan készítsünk bombát”, ahol a BOMB szót “*” karakterekkel és szóközökkel írják).

E gyakorlati támadás, az ArtPrompt nevet kapta, és az LLM-ek ASCII művészet felismerésében mutatott gyenge teljesítményét használja ki a biztonsági intézkedések megkerülésére és a modellek nem kívánt viselkedésének előidézésére.

Forrás: thehackernews.com

Phobos zsarolóvírus támadja az USA kritikus infrastruktúráját

Az amerikai kiberbiztonsági és hírszerzési ügynökségek arra figyelmeztettek, hogy a Phobos zsarolóvírus támadások célkeresztjében kormányzati és kritikus infrastruktúra szervezetek állnak, kifejtve a fenyegetést jelentő szereplők által alkalmazott különféle taktikákat és technikákat a fájltitkosító kártevő telepítéséhez.

“A zsarolóvírus mint szolgáltatás (RaaS) modellként strukturált Phobos zsarolóvírus szereplők olyan entitásokat céloztak meg, mint a városi és megyei kormányzatok, vészhelyzeti szolgáltatások, oktatás, közegészségügy és kritikus infrastruktúra, több millió dollárt sikeresen zsarolva ki az Egyesült Államokban,” mondta a kormány.

A figyelmeztetést az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Multi-State Information Sharing and Analysis Center (MS-ISAC) adta ki.

2019 májusa óta aktív a Phobos zsarolóvírus több változatát azonosították már, nevezetesen az Eking, Eight, Elbie, Devos, Faust és Backmydata. Az elmúlt év végén a Cisco Talos felfedte, hogy a 8Base zsarolóvírus mögött álló fenyegető szereplők egy Phobos zsarolóvírus változatot használnak pénzügyileg motivált támadásaik végrehajtásához.

Bizonyítékok utalnak arra, hogy a Phobos valószínűleg szorosan egy központi hatóság által kezelt, amely irányítja a zsarolóvírus privát dekódoló kulcsát.

A zsarolóvírus törzsével kapcsolatos támadási láncok tipikusan phishinget használtak kezdeti hozzáférési vektorként az észrevétlen terhelések, mint a SmokeLoader leejtéséhez. Alternatív megoldásként a sebezhető hálózatokat RDP szolgáltatásoknak kitett pontjainak vadászatával törték fel, kihasználva őket brutális erő támadásokkal.
Egy sikeres digitális betörést követően a fenyegető szereplők további távoli hozzáférési eszközöket dobnak le, kihasználva a folyamatok injektálási technikáit a rosszindulatú kód végrehajtásához és az észlelés elkerüléséhez, valamint Windows Registry módosításokat végeznek a kompromittált környezeteken belüli kitartás fenntartása érdekében.

“Továbbá, a Phobos szereplőket megfigyelték, hogy beépített Windows API funkciókat használnak tokenek lopására, hozzáférési kontrollok megkerülésére és új folyamatok létrehozására a privilégiumok kiterjesztésére a SeDebugPrivilege folyamat kihasználásával,” mondták az ügynökségek. “A Phobos szereplők megkísérlik az azonosítást a célgépeken tárolt jelszó hash-ek használatával, amíg el nem érik a domain adminisztrátori hozzáférést.”

Az e-bűnözési csoport ismert arról, hogy nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound használ az aktív könyvtár felsorolásához. A fájlkivonás a WinSCP és Mega.io segítségével történik, amely után a kötetárnyék másolatok törlésre kerülnek a helyreállítás megnehezítése érdekében.

A közlemény akkor került kiadásra, amikor a Bitdefender részletesen beszámolt egy gondosan koordinált zsarolóvírus-támadásról, amely egyszerre érintett két különálló céget. A támadást, amelyet szinkronizáltnak és sokrétűnek írtak le, egy CACTUS nevű zsarolóvírus-szereplőnek tulajdonítottak.

“CACTUS tovább folytatta az egyik szervezet hálózatának infiltrálását, különféle típusú távoli hozzáférési eszközöket és alagutakat ültetve be különböző szervereken,” mondta Martin Zugec, a Bitdefender technikai megoldások igazgatója egy múlt héten közzétett jelentésben.

“Amikor lehetőséget találtak egy másik céghez való átmozgásra, pillanatnyilag felfüggesztették műveletüket, hogy infiltrálják a másik hálózatot. Mindkét cég ugyanannak a csoportnak a része, de függetlenül működnek, külön hálózatokat és domaineket fenntartva bármilyen megalapozott bizalmi kapcsolat nélkül.”
A támadás azért is figyelemre méltó, mert célba vette a megnevezetlen cég virtualizációs infrastruktúráját, jelezve, hogy a CACTUS szereplők túlléptek a Windows hosztokon, hogy Hyper-V és VMware ESXi hosztokat támadjanak meg.

Ezen felül kihasznált egy kritikus biztonsági rést (CVE-2023-38035, CVSS pontszám: 9.8) egy interneten keresztül elérhető Ivanti Sentry szerveren, kevesebb mint 24 órával az eredeti közzététel után 2023 augusztusában, ismét kiemelve az újonnan közzétett sebezhetőségek opportunista és gyors fegyveresítését.
A zsarolóvírus továbbra is jelentős pénzforrás a pénzügyileg motivált fenyegető szereplők számára, az első zsarolóvírus-követelések mediánja elérte a 600 000 dollárt 2023-ban, 20%-os ugrás az előző évről az Arctic Wolf szerint. 2023 negyedik negyedévében az átlagos zsarolófizetés 568 705 dollár áldozatonként.

Ráadásul a zsarolásnak való engedés nem jelent jövőbeli védelmet. Nincs garancia arra, hogy az áldozat adatai és rendszerei biztonságosan helyreállnak, és hogy a támadók nem adják el az ellopott adatokat az alvilági fórumokon vagy újra támadják őket.

A Cybereason által megosztott adatok szerint “megdöbbentő 78% [a szervezetek] újra megtámadásra került a zsarolás kifizetése után – 82% belülük egy éven belül”, néhány esetben ugyanazon fenyegető szereplő által. Ezekből az áldozatokból 63%-ot “másodszor többet kellett fizetniük.”

A vírusirtó szoftverek használatának jelentőségét nem lehet eléggé kihangsúlyozni.
Partnerünk ajánlata: G Data Antivirus 1 éves előfizetés      PCCloud.hu

Forrás: thehackernews.com

Oroszország hibrid kibertámadást indít Ukrajna ellen

Az ESET biztonsági szolgáltató kutatói feltárták egy kétágú, hibrid háborús kibertámadást, amely pszichooperációs és hitelesítési adatok ellopását célzó kampányokat foglal magában, Ukrajna polgárai és vállalkozásai ellen.

Kutatók Felfedik Az Oroszokkal Összhangban Álló Pszichooperációs Kampányt, Az ‘Operáció Texonto’
Az ESET biztonsági szolgáltató kutatói megerősítették, hogy felfedeztek egy kiberpszichooperációs kampányt, amelyet ‘Operáció Texonto’ néven azonosítottak, miután elemeztek két hullámnyi pszichooperációs üzenetet, amelyeket 2023 novemberében és decemberében küldtek. A tartalmak tipikus orosz propagandatémák köré épültek, mint például a gyógyszer- és élelmiszerhiány, valamint az ukrán polgárok fűtésének megszakítása. A cél úgy tűnik, hogy az ukrán polgárokat meggyőzzék, Oroszország nyeri a háborút.

A háborúval kapcsolatos dezinformációt spam e-mailek útján terjesztették. Októberben a kutatók egy lándzsás phishing kampányt is láttak, amely az ukrán szervezeteket, beleértve egy védelmi vállalatot, és az EU ügynökségeit célozta meg. Ennek célja a Microsoft Office 365 fiókok bejelentkezési adatainak ellopása volt. Az ESET szerint “a PSYOPs és a phishing műveletekben használt hálózati infrastruktúra hasonlóságai miatt” nagy biztonsággal állítható, hogy ezek összekapcsolódnak.
Az Operáció Texontót Magas Biztonsággal Oroszbarát Műveletekhez Tulajdonítják
Az Operáció Texonto-t, amelyet az ESET Kutatás “magas biztonsággal egy Oroszországgal összhangban álló csoportnak” tulajdonít, úgy tűnik, hogy hasonlít az előző műveletekre, amelyeket egy Oroszországgal összhangban álló fejlett tartós fenyegetéscsoport, a Callisto hajtott végre. Azonban az ezen legújabb kibertámadások felfedezéséért felelős ESET kutató, Matthieu Faou szerint technikai átfedés hiányában “jelenleg nem tulajdonítjuk az Operáció Texonto-t egy konkrét fenyegetési szereplőnek.”

Faou szerint az ESET az utóbbi hónapokban növekedést látott a kiberkémkedési műveletekben. “A kémkedés, információs műveletek és hamis gyógyszertár üzenetek furcsa keveréke,” mondja Faou, “csak emlékeztetni tud minket a Callistóra, egy jól ismert Oroszországgal összhangban álló kiberkémkedési csoportra, amelynek néhány tagja az Egyesült Államok Igazságügyi Minisztériumának 2023 decemberében kelt vádiratának tárgya volt.”

A hamis gyógyszertár üzenetek aspektusa érdekes, mivel ugyanazt az e-mail szervert, amelyet a támadók a pszichooperációs üzenetek küldésére használtak, két héttel később kanadai gyógyszertár spam küldésére is használták. A bűnözési és politikai tevékenységek közötti határvonalak elmosódása korántsem szokatlan, különösen Oroszországban, mint országban.
Galamb Risottót Ajánl a Dezinformációs Kampány az Ukránoknak
Úgy tűnik, nem tartalmazott semmilyen malware-t vagy rosszindulatú linket az első hullámnyi e-mail. “Egy olyan domain, amely az Ukrán Agrárpolitikai és Élelmezésügyi Minisztériumnak adta ki magát, azt javasolta, hogy a nem elérhető gyógyszereket helyettesítsék gyógynövényekkel,” mondja Faou, egy másik pedig azt javasolta, hogy “fogyasszanak galamb risottót”, beleértve “egy élő galamb és egy sült galamb fotóját.” Az ESET szerint a második hullám sötétebb volt, üzenetekkel, amelyek “arról tanácsoltak az embereknek, hogy amputáljanak egy lábat vagy egy karjukat, hogy elkerüljék a katonai bevetést.”

META Jelentéseket Adott ki Orosz Eredetű Befolyásolási Kampányok Sikeres Leállításáról
A legújabb META Adversarial Threat Report is beszámol az Ukrajnában a háború kezdete óta zajló orosz befolyásolási kampányokról. “Csapataink továbbra is magas készültségben maradnak, hogy figyeljék az e háborúval kapcsolatos ellenséges változásokat,” mondja a jelentés, “mivel Ukrajna vagy az Ukrajnával kapcsolatos kérdések maradnak a legnagyobb fókuszban az orosz eredetű befolyásolási műveletekben.” A META azt jelenti, hogy az orosz állami média által közzétett posztok mennyisége 55%-kal, az elkötelezettségi szintek pedig 94%-kal csökkentek a háború előtti szintekhez képest, mióta megkezdődtek az érvényesítési intézkedések. “A rejtett befolyásolási műveletek esetében, 2022 óta kevesebb kísérletet láttunk bonyolult csaló személyiségek felépítésére a vékonyan leplezett, rövid életű hamis fiókok javára egy internetes spamelési kísérletben, abban reménykedve, hogy valami megmarad.” A META jelentése szerint 2024-ben is folytatódni fog a spam kampányok, amelyek “nagy mennyiségű fiókot vetnek be számos internetes szolgáltatáson és weboldalon” keresztül.

A Malawi Bevándorlási Osztálya szünetelteti az útlevélszolgáltatást egy kibertámadás miatt

A Malawi Bevándorlási Osztályának nemrégiben szembe kellett néznie egy váratlan kihívással, amikor egy zsarolóvírus-támadás érte a szervezet számítógépes hálózatát. Ennek eredményeként, a kormányzat kénytelen volt ideiglenesen felfüggeszteni az útlevélkiadási folyamatot, ami már a múlt két hét során is szünetelt. Ez a döntés közvetlen hatással van a polgárokra, különösen azokra, akik munkavállalási lehetőségek után kutatnak külföldön, és sürgősen szükségük lenne útlevelükre.

Lazarus Chakwera, Malawi elnöke, egy nyilatkozatban hangoztatta, hogy a támadók váltságdíjat követelnek, de a Malawi kormány nem hajlandó engedni a zsarolásnak. Az elnök világosan kifejezte, hogy az ország nem fog “megbékélni a bűnözőkkel” és nem tárgyal “azokkal, akik támadást intéznek országunk ellen”. Ez az álláspont erős üzenetet küld a kiberbűnözők felé, miszerint Malawi nem tűri a jogellenes tevékenységeket.

A támadás részleteit illetően a kormányzat eddig szűkszavúan nyilatkozott. Nem tették közzé, hogy pontosan kik állnak a támadás mögött, vagy hogy bármilyen érzékeny adatot eltulajdonítottak-e. Ez a bizonytalanság további aggodalmakat vet fel az érintett polgárok körében, akik attól félnek, hogy személyes adataik illetéktelen kezekbe kerülhettek.

Chakwera elnök azonban bizakodó a helyzet megoldását illetően. Kifejtette, hogy a bevándorlási osztály dolgozik egy ideiglenes megoldáson, amely lehetővé teszi az útlevélkiadás folytatását egy háromhetes határidőn belül. Továbbá, az elnök hangsúlyozta, hogy a kormány hosszú távú tervet dolgoz ki a rendszer védelmére, amely magában foglal további biztonsági intézkedéseket. Ez a lépés kulcsfontosságú a jövőbeni kibertámadások elleni védekezés szempontjából, mivel biztosítja, hogy a bevándorlási szolgáltatások zavartalanul működhessenek.

A jelenlegi helyzet nem egyedi eset Malawi történetében. Korábban is volt már példa útlevélkiadási szünetre, de a mostani felfüggesztés különösen kellemetlen időpontban történt, tekintettel arra, hogy az útlevelek iránti kereslet jelentősen megnőtt. A polgárok egy része jobb életkörülmények és munkalehetőségek reményében készül külföldre távozni, így az útlevélkiadás felfüggesztése közvetlenül érinti őket.

Az elkövetkezendő hetekben minden szem a Malawi kormányzatán és a bevándorlási osztályon lesz, hogy lássák, sikerül-e hatékonyan kezelniük ezt a válsághelyzetet és helyreállítaniuk a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem kiemelten fontos tényezővé vált a nemzetközi üzleti és informatikai életben, és Malawi esete ismét rávilágított arra, hogy a kormányzatoknak és szervezeteknek folyamatosan fejleszteniük kell védelmi stratégiáikat a digitális kor kihívásaival szemben.

Az NSO csoport által alkalmazott “MMS ujjlenyomat” technika: Egy új kémkedési módszer felfedése

A digitális korszakban, ahol az információ az új arany, a kiberbiztonsági támadások és a kémkedési technikák folyamatosan fejlődnek. Az NSO Csoport, egy ismert kémprogram-fejlesztő cég, most egy újabb innovatív módszerrel rukkolt elő: az “MMS Ujjlenyomat” technikával, ami úgy tűnik, hogy új dimenziókat nyit a digitális megfigyelés terén. Ezt a technikát egy Ghána telekommunikációs szabályozó hatóságával kötött szerződés során ismertették, ami felveti a technológia széleskörű alkalmazhatóságának lehetőségét.

Az “MMS Ujjlenyomat” technika lényege abban rejlik, hogy képes azonosítani a céleszközöket és azok operációs rendszereit, anélkül hogy a felhasználónak bármilyen aktív lépést kellene tennie. Ez a módszer a bináris SMS, azaz a WSP Push technológián alapul, ami lehetővé teszi a várakozó MMS üzenetek értesítését a felhasználó számára. Amikor a felhasználó eszköze kapcsolatba lép a szerverrel az MMS letöltése céljából, bizonyos eszközinformációk átadásra kerülnek, amelyeket aztán a támadók felhasználhatnak.

Az NSO Csoport által kifejlesztett és az Enea által tesztelt “MMS Ujjlenyomat” technika, rejtett módon, a felhasználó tudta nélkül gyűjti össze az információkat, ami komoly aggodalomra ad okot a digitális adatvédelem és a magánélet védelme szempontjából. Bár jelenleg nincsenek bizonyítékok arra, hogy ezt a technikát széles körben használnák, a lehetséges következmények és a rosszindulatú felhasználás potenciálja komoly kihívásokat vet fel a kiberbiztonsági közösség számára.

A helyi telekommunikációs hálózatoknak van lehetőségük blokkolni ezt a típusú támadást, és az előfizetők megvédhetik magukat azzal, hogy letiltják az MMS üzenetek automatikus letöltését eszközeiken. Ez a helyzet ismét felhívja a figyelmet arra, hogy mennyire fontos a proaktív hozzáállás és a folyamatos tájékozódás a digitális adatvédelem terén.

Az “MMS Ujjlenyomat” technikájának felfedése és a vele járó kockázatok rávilágítanak a kiberbiztonsági fenyegetések állandó evolúciójára és arra, hogy a felhasználóknak, szervezeteknek és kormányoknak egyaránt ébernek és felkészültnek kell lenniük. Az NSO Csoport és hasonló szervezetek által fejlesztett technológiák folyamatosan új kihívások elé állítják a védelmi mechanizmusokat, így a digitális védelem megerősítése és a technológiai fejlődéssel való lépést tartás kulcsfontosságú a kiberbiztonság fenntartásában.

A biztonság fontossága az Intel technológiáiban: Frissítések és javítások áttekintése

Nemrégiben az Intel egy fontos bejelentést tett, amely ráirányítja a figyelmet a digitális biztonság elengedhetetlen szerepére a modern technológiák használata során. A vállalat szakértői által felfedezett 34 biztonsági rés kihívást jelent a felhasználók számára, de egyben lehetőséget is kínál a védekezésre, hiszen a legtöbb sebezhetőségre már elérhető a megfelelő javítás. Ez a lépés fontos emlékeztető arra, hogy a szoftverek és firmware-ek rendszeres frissítése nem csupán ajánlott, hanem alapvetően szükséges a kiberbiztonsági fenyegetések kivédése érdekében.

A bejelentett biztonsági rések az Intel számos termékét és technológiáját érintik, beleértve a szoftvereket, drivereket és a firmware-t. A 34 sebezhetőség közül 32 a különböző szoftveralkalmazásokban található, míg a fennmaradó kettő a firmware komponensekben. Ezek az érintett technológiák magukban foglalják, de nem korlátozódnak az oneAPI Toolkitre, az Intel Extreme Tuning Utility (XTU) szoftverre, az Intel Unison alkalmazásra, valamint különféle lapkakészlet- és Wi-Fi driverekre. Kiemelendő, hogy bizonyos kevésbé ismert alkalmazások, mint például a Battery Life Diagnostic Tool és a már nem támogatott System Usage Report segédprogram is sebezhetőségek forrásai lehetnek, amelyek esetében az Intel a programok eltávolítását javasolja.

A felfedezett sebezhetőségek között kiemelt figyelmet érdemelnek a Thunderbolt interfésszel kapcsolatos biztonsági kockázatok, ahol a kutatók összesen 20 potenciális biztonsági rést azonosítottak. Ezek többsége helyi hozzáférés mellett jelent veszélyt, azonban van közöttük olyan is, amely távoli hozzáférés esetén is kihasználható, így növelve a kiberfenyegetések körét. Ezek közül három sebezhetőséget különösen magas kockázatúnak minősítettek, míg a távolról kihasználható rést közepes veszélyességi szintre sorolták.

Az Intel felhívja a figyelmet arra, hogy a felhasználók hogyan maradhatnak védettek azáltal, hogy proaktívan kezelik a szoftverfrissítéseket és a biztonsági javításokat. Az egyes sebezhetőségek részletes leírásai elérhetők az Intel dedikált biztonsági weboldalán, ami lehetővé teszi a felhasználók számára, hogy tájékozódjanak a potenciális kockázatokról és a szükséges védelmi intézkedésekről. Az aktualizálások megszerzéséhez és az eszközök biztonságának fenntartásához az Intel hivatalos weboldala nyújt segítséget, ahol a legfrissebb szoftverek és driverek letölthetők. Ezen felül a Driver & Support Assistant (DSA) szolgáltatás is rendelkezésre áll, amely megkönnyíti a felhasználók számára a szükséges frissítések kezelését.

Ez az eset ismételten rámutat arra, hogy a technológiai fejlődés mellett a biztonsági tudatosság és az elővigyázatosság milyen fontos szerepet tölt be. Az Intel által nyújtott információk és eszközök kihasználása lehetővé teszi a felhasználók számára, hogy lépést tartsanak a kiberbiztonsági kihívásokkal és megvédjék digitális életüket a különféle fenyegetésekkel szemben.

Forrás: www.intel.com