A TeamViewer, a távoli hozzáférési szolgáltatásokat nyújtó óriás bejelentette, hogy orosz kémek törték fel a vállalati hálózatát
A TeamViewer, amely széles körben használt távoli hozzáférési eszközöket biztosít vállalatok számára, megerősítette, hogy folyamatban van egy kibertámadás a vállalati hálózatuk ellen.
Egy pénteki közleményben a cég az orosz hírszerzés által támogatott hackerekre, az APT29 (és a Midnight Blizzard) csoportra vezette vissza a biztonsági incidens okát.
A Németországban székelő cég azt állítja, hogy eddigi vizsgálataik szerint az első behatolás június 26-án történt, amely egy standard alkalmazotti fiók hitelesítő adataihoz köthető a vállalati IT környezeten belül.
A TeamViewer szerint a kibertámadás kizárólag a vállalati hálózatot érintette, és a cég külön tartja belső hálózatát és az ügyfélrendszereket. A cég hozzátette, hogy „nincs bizonyíték arra, hogy a fenyegetési színész hozzáférhetett volna termék környezetünkhöz vagy ügyféladatainkhoz.”
Martina Dier, a TeamViewer szóvivője elutasította, hogy válaszoljon a TechCrunch több kérdésére, többek között arra, hogy rendelkezik-e a cég a szükséges technikai képességekkel, mint például naplózással, hogy megállapítsa, történt-e adatok hozzáférése vagy eltulajdonítása a hálózatukról.
A TeamViewer az egyik legnépszerűbb távoli hozzáférési eszközöket biztosító szolgáltató, lehetővé téve vállalati ügyfelei számára – többek között a szállítmányozási óriás DHL és az italgyártó Coca-Cola számára, weboldaluk szerint –, hogy hozzáférjenek más eszközökhöz és számítógépekhez az interneten keresztül. A cég azt állítja, hogy több mint 600,000 fizető ügyfelük van, és több mint 2,5 milliárd eszközhöz biztosítanak távoli hozzáférést világszerte.
Ismert, hogy a TeamViewer eszközeit rosszindulatú hackerek is kihasználják, lehetővé téve számukra, hogy távolról malware-t telepítsenek egy áldozat eszközére.
Nem ismert, hogy hogyan kerülhettek kompromittálásra a TeamViewer alkalmazottjának hitelesítő adatai, és a cég ezt nem is közölte.
Az Egyesült Államok kormánya és biztonsági kutatók régóta az APT29 csoportot, amely Oroszország külföldi hírszerzési szolgálata, az SVR munkatársaihoz kötik. Az APT29 az egyik legkitartóbb, jól felszerelt kormány által támogatott hackercsoport, és ismert egyszerű, de hatékony hackelési technikái – beleértve a jelszavak ellopását – használatáról, amelyek hosszú távú, rejtett kémkedési kampányok során érzékeny adatok ellopására támaszkodnak.
A TeamViewer az utóbbi időben az SVR által célba vett legújabb technológiai vállalat. Ugyanez a kormányzati hackercsoport korábban idén feltörte a Microsoft vállalati hálózatát is, hogy ellopja a legfelsőbb vezetők e-maileit, hogy megismerjék, mit tudnak a behatolókról. A Microsoft szerint más technológiai vállalatokat is kompromittáltak az orosz kémkedési kampány során, és az amerikai kiberbiztonsági ügynökség, a CISA megerősítette, hogy az amerikai kormányzat e-maileit is ellopták, amelyeket a Microsoft felhőjében tároltak.
Hónapokkal később a Microsoft azt állította, hogy nehezen tudja kizárni a hackereket a rendszereiből, és ezt az orosz kormány „folyamatos, jelentős elkötelezettségének” nevezte, amely „erőforrásokat, koordinációt és fókuszt” igényelt.
Az amerikai kormány azt is Oroszország APT29 csoportjának rótta fel, hogy 2019-2020-ban kémkedési kampányt indított az amerikai SolarWinds szoftvercég ellen. A kibertámadás során az amerikai szövetségi kormányzati ügynökségeket tömegesen hackelték meg, egy rejtett rosszindulatú hátsó ajtó beültetésével a SolarWinds zászlóshajó szoftverébe. Amikor a fertőzött szoftverfrissítést kiadták a SolarWinds ügyfeleinek, az orosz hackerek hozzáférhettek minden olyan hálózathoz, amely a kompromittált szoftvert futtatta, beleértve a Pénzügyminisztériumot, az Igazságügyi Minisztériumot és az Államminisztériumot.
A Malawi Bevándorlási Osztályának nemrégiben szembe kellett néznie egy váratlan kihívással, amikor egy zsarolóvírus-támadás érte a szervezet számítógépes hálózatát. Ennek eredményeként, a kormányzat kénytelen volt ideiglenesen felfüggeszteni az útlevélkiadási folyamatot, ami már a múlt két hét során is szünetelt. Ez a döntés közvetlen hatással van a polgárokra, különösen azokra, akik munkavállalási lehetőségek után kutatnak külföldön, és sürgősen szükségük lenne útlevelükre.
Lazarus Chakwera, Malawi elnöke, egy nyilatkozatban hangoztatta, hogy a támadók váltságdíjat követelnek, de a Malawi kormány nem hajlandó engedni a zsarolásnak. Az elnök világosan kifejezte, hogy az ország nem fog “megbékélni a bűnözőkkel” és nem tárgyal “azokkal, akik támadást intéznek országunk ellen”. Ez az álláspont erős üzenetet küld a kiberbűnözők felé, miszerint Malawi nem tűri a jogellenes tevékenységeket.
A támadás részleteit illetően a kormányzat eddig szűkszavúan nyilatkozott. Nem tették közzé, hogy pontosan kik állnak a támadás mögött, vagy hogy bármilyen érzékeny adatot eltulajdonítottak-e. Ez a bizonytalanság további aggodalmakat vet fel az érintett polgárok körében, akik attól félnek, hogy személyes adataik illetéktelen kezekbe kerülhettek.
Chakwera elnök azonban bizakodó a helyzet megoldását illetően. Kifejtette, hogy a bevándorlási osztály dolgozik egy ideiglenes megoldáson, amely lehetővé teszi az útlevélkiadás folytatását egy háromhetes határidőn belül. Továbbá, az elnök hangsúlyozta, hogy a kormány hosszú távú tervet dolgoz ki a rendszer védelmére, amely magában foglal további biztonsági intézkedéseket. Ez a lépés kulcsfontosságú a jövőbeni kibertámadások elleni védekezés szempontjából, mivel biztosítja, hogy a bevándorlási szolgáltatások zavartalanul működhessenek.
A jelenlegi helyzet nem egyedi eset Malawi történetében. Korábban is volt már példa útlevélkiadási szünetre, de a mostani felfüggesztés különösen kellemetlen időpontban történt, tekintettel arra, hogy az útlevelek iránti kereslet jelentősen megnőtt. A polgárok egy része jobb életkörülmények és munkalehetőségek reményében készül külföldre távozni, így az útlevélkiadás felfüggesztése közvetlenül érinti őket.
Az elkövetkezendő hetekben minden szem a Malawi kormányzatán és a bevándorlási osztályon lesz, hogy lássák, sikerül-e hatékonyan kezelniük ezt a válsághelyzetet és helyreállítaniuk a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem kiemelten fontos tényezővé vált a nemzetközi üzleti és informatikai életben, és Malawi esete ismét rávilágított arra, hogy a kormányzatoknak és szervezeteknek folyamatosan fejleszteniük kell védelmi stratégiáikat a digitális kor kihívásaival szemben.
Az albán intézmények elleni legújabb kibertámadási hullám során a “No-Justice” nevű törlő szoftvert használták.
A ClearSky kiberbiztonsági vállalat szerint ez a Windows rendszeren futó kártékony szoftver az operációs rendszert oly módon teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.
Ezen támadásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice nevéhez köthetőek, amely 2022 júliusa óta folyamatosan hajt végre pusztító akciókat Albánia ellen.
2023. december 24-én az ellenfél egy hosszabb szünet után újra felbukkant, kijelentve, hogy “újra ideje a terroristák támogatóinak szétzúzásának”, legújabb hadműveletüket #DestroyDurresMilitaryCamp néven azonosítva. Jelenleg Durrës városa nyújt otthont az Iráni Népi Mudzsahid Szervezetnek, ismertebb nevén a MEK-nek.
A támadás célpontjai között szerepel az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.
A kampány során két fő eszközt vetettek be: egy futtatható törlő programot és egy PowerShell szkriptet, amely a fenti programot továbbítja a célhálózat további számítógépeire, miután bekapcsolták a Windows Távoli Kezelési funkciót, azaz a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB-os bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.
Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírás eltávolításával érik el, ami minden merevlemez első szektorát képezi, meghatározva, hol helyezkedik el az operációs rendszer a lemezen, ezzel lehetővé téve annak betöltését a számítógép RAM-jába.
A támadások során további hiteles eszközöket is használtak, mint a Plink, más néven a PuTTY Link, a RevSocks és a Windows 2000 erőforráskészlet, amelyek elősegítik a felderítést, az oldalirányú mozgást és a hosszantartó távoli hozzáférést. Ez az esemény összefügg az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Kelet geopolitikai feszültségei között.
„Úgy tűnik, csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra irányuló narratívát alkalmaznak kibertámadásaikban,” számolt be a Check Point a múlt hónapban.
„Az Egyesült Államokban tevékenykedő célpontok izraeli technológiával történő célba vételével ezek a hacktivista csoportok egy kettős visszavágó stratégiát próbálnak megvalósítani, állítólag egyszerre Izraelt és az Egyesült Államokat célzó, összehangolt kibertámadással.”
A Cyber Toufan különö
sen több mint 100 szervezetet érintő hackelési és adatszivárogtatási tevékenységeiről ismert, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon közzétéve.
„Annyi kárt okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” állította Kevin Beaumont biztonsági szakértő. „Némelyikük még hónapokkal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami szervek egyaránt szerepelnek.”
A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD megerősítette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggő hackercsoportot figyel, amelyek rosszindulatúan tevékenykednek az izraeli kibertérben az izraeli-hamási konfliktus 2023 októberi kezdete óta.
Az ügynökség hozzáfűzte, hogy a felhasznált módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során alkalmazottakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítése céljából.
Forrás: https://thehackernews.com
Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.
Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.
Kibertámadás fél Ausztrália ellen
Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.
A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.
Törölték az adatokat
Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.
Politikai vihart kavart az ügy
Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.
Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.
Szankciók GDPR mintára
Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.
Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.
