Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
NCCIC Resecurity brute force Litvánia Kaspersky UC Browser Shodan szabályozás biztonsági esemény alkalmazás Emsisoft Europol tiltás gyakorlat Spotify HOYA tanulmány GitHub ENSZ Iridium frissítés protokoll Microsoft Adobe Reader DNs eltérítés SI-LAB letiltás MAVNI WhatsApp kétfaktoros autentikáció
 február 20. 14:17

A legtöbb informatikai támadás utáni post-mortem elemzés elsősorban a kezdeti támadási vektor fontosságát emeli ki, azonban Dmitri Alperovitch, a CrowdStrike műszaki vezérigazgatója szerint ennél sokkal lényegesebb a támadás következő fázisa, azaz amikor a támadók megpróbálnak további node-okat elérni a hálózaton, vagy magasabb jogosultsághoz jutni.

Bővebben

A legtöbb informatikai támadás utáni post mortem elemzés elsősorban a kezdeti támadási vektort helyezi fókuszba, azonban Dmitri Alperovitch, a CrowdStrike műszaki vezérigazgatója szerint ennél sokkal lényegesebb a támadás következő fázisa, azaz amikor a támadók megpróbálnak további node-okat elérni a hálózaton, vagy magasabb jogosultsághoz jutni. A CrowdStrike ennek kapcsán új metrikát vezetett be a globális fenyegetéseket összefoglaló jelentésében, azzal a céllal, hogy azt a hackerek technikai képességeinek tekintetbe vételéhez új szempontként hasznosítsa. Ez az ún. „breakout speed”, ami azt az időegységet jelöli, amely a támadás kezdeti, illetve a következő fázisa között telik el. Alperovitch szerint az eddigi támadások elemzése azt mutatja, hogy az orosz állami támogatású hackerek messze a leggyorsabbak, mivel átlagosan körülbelül 19 perc alatt képesek kiterjeszteni a hozzáférésüket. Őket követi Észak-Korea hozzávetőlegesen 2 órával, majd Kína 4, és Irán már több, mint 5 órával, a kiberbűnözők ugyanakkor lényeges lemaradásban vannak, az ő esetükben közel 10 óra szükséges a továbblépéshez. Az új mérési koncepció kapcsán a FireEye fogalmazott meg elsőként kritikát, miszerint a gyorsaság fontos jellemző, mindazonáltal önmagában nem nyújt hiteles képet egy támadó képességeiről.

(wired.com)
Kevesebb
Hasonló hírek
 április 12. 12:52

Az Emotet az egyik legnagyobb botnet jelenleg, jelentőségére jellemző, hogy nagyobb kiberbiztonsági cégek (CrowdStrikeFireEyeKryptos LogicMcAfeeIBMCybereason) elemzései alapján nagy szerepe van a Ryuk, a LockerGoga, valamint a BitPaymer zsarolóvírusok elterjedésében is.

Bővebben

Az Emotet az egyik legnagyobb botnet jelenleg, jelentőségére jellemző, hogy nagyobb kiberbiztonsági cégek (CrowdStrikeFireEyeKryptos LogicMcAfeeIBMCybereason) elemzései alapján nagy szerepe van a Ryuk, a LockerGoga, valamint a BitPaymer zsarolóvírusok elterjedésében is. A Cofense szerint a botnetet működtető kollektíva most új taktikát kezdett alkalmazni: egy korábbi, alapozó kampány során begyűjtött valós e-mail üzenetekre válaszolva küldenek káros hivatkozást az áldozatnak. Ez a technika ─ amelyet a Palo Alto Networks Észak-Koreához köt ─ nagyon megtévesztő, hiszen a felhasználó azt tapasztalja, hogy egy legitim e-mail beszélgetésben érkezik új üzenet. Az Emotet botnet spamelő hálózata ─ a lekapcsolás megnehezítésére ─ két fő klaszterből áll (E1, E2) és jelenleg mindkettő az új kampánnyal van elfoglalva. A ZDNet felhívja a figyelmet arra, hogy amennyiben valaki gyanús hivatkozást tartalmazó e-mailt kap egy partnerétől, javasolt korábbi Emotet-es fertőzések után kutatnia a rendszerén.

(www.zdnet.com)
Kevesebb
 április 11. 12:50

A FireEye nyilvánosságra hozta, hogy Triton (más néven TriSIS) támadást észleltek egy meg nem nevezett kritikus infrastruktúra ellen.

Bővebben

A FireEye nyilvánosságra hozta, hogy Triton (más néven TriSIS) támadást észleltek egy eddig meg nem nevezett kritikus infrastruktúra ellen. Említett támadási formát a szakértők rendkívül veszélyesnek tartják, mivel céljuk a fizikai károkozás olyan rendszereken, amelyek meghibásodása emberéletek veszélyeztethet. 2017 nyarán ezt a malware-t vetették be a szaúdi Petro Rabigh olajvállalat ellen, amelynek során a támadók kifejezetten a létesítmény katasztrófa állapotok megelőzésére, elkerülésére szolgáló biztonsági rendszereit (Safety Instrumented System ─ SIS) támadták. Szerencsére a támadás „csupán” az erőmű leállását okozta, azonban a következmények ennél jóval súlyosabbak is lehettek volna. A Triton támadások hátterében egy TEMP.Veles-ként hivatkozott kollektívát sejtenek, amely Oroszországhoz köthető, ugyanis az amerikai kiberbiztonsági cég szerint a malware elkészítésében lényeges szerepet vállalt egy orosz állami technológiai kutatóintézet (Central Scientific Research Institute of Chemistry and Mechanics ─ CNIIHM). A FireEye úgy véli más kritikus létesítmények ellen is folyhatnak műveletek, ezért a cég az érintett szervezetek számára javasolja a közreadott technikai információk feldolgozását.

(motherboard.vice.com)
Kevesebb
 április 10. 14:56

A Chronicle kutatói szerint egy negyedik csoport is részt vett a Stuxnet malware készítésében.

Bővebben

A Stuxnetet a világ első ─ felfedezett ─ katonai célú kiberfegyvereként tarják számon. A káros kódot, amelyet vélhetően az Egyesült Államok és Izrael vetett be egy iráni urándúsító üzem ellen, az eddigi kutatások már három másik kiberfenyegetéssel is összefüggésbe hozták (a Duqu és a Flame nevű, valamint az NSA-féle Equation Group kártékony szoftvereivel). A Chronicle legfrissebb elemzése szerint azonban a Stuxnet egy moduljának ─ a vezérlőszerverekkel való kapcsolattartást időzítő Stuxshop ─ fejlesztésében a Flowershop nevű, 2002 és 2013 között aktív malware-t készítő kollektíva is részt vett. A Chronicle az ilyen összetett kollaborációk meghatározására egy új fogalmat is bevezetett, az ún. „Supra Threat Actor”-t (STA), amely alatt egy több országot, szervezetet vagy csoportot reprezentáló, nagyobb szerveződést értenek. A Stuxnetet készítő STA-ra GOSSIPGIRL-ként hivatkoznak. A szakértők szerint a felfedezés azért is fontos, mert alátámasztja a Symantec teóriáját, miszerint a Stuxnet fejlesztése már 2005-ben megkezdődött.

(securityweek.com)
Kevesebb
 március 27. 07:36

Az Alert Logic szerint ─ legalábbis néhány variáns esetében ─ megelőzhető, hogy a LockerGoga zsarolóvírus titkosítsa a fájlokat.

Bővebben

Az Alert Logic szerint ─ legalábbis néhány variáns esetében ─ megelőzhető, hogy a LockerGoga zsarolóvírus titkosítsa a fájlokat. A kutatók felfedezték, hogy a vírus enkriptálás előtt átfésüli a merevlemezt, hogy egy listát készítsen azon fájlokról, amelyeket titkosítani fog. Amennyiben ennek során egy olyan .lnk kiterjesztésű (parancsikon) fájlra bukkan, amely érvénytelen hivatkozást tartalmaz, megszakítja a műveletet. Megjegyzendő, hogy ehhez a fájlnak a legutóbb megnyitott elemeket (Recent Items) tartalmazó könyvtárban kellett lennie. Mindemögött egy programozói mulasztás áll, ugyanis a malware készítői nem gondoskodtak az imént vázolt esetben fellépő hiba lekezeléséről. A Cisco Talos fenyegetés elemző csapata más érdekes felismerést is tett: a malware későbbi verziói futáskor automatikusan kijelentkeztetik a felhasználót. Mindez esetenként azt eredményezi, hogy az áldozat már a zsaroló üzenetet sem láthatja, így ezen variánsok esetében a cél már inkább a direkt károkozás lehet.

(securityweek.com)
Kevesebb
 március 22. 13:38

A FireEye információi szerint az APT32 (vagy OceanLotus) néven ismert, feltételezetten vietnámi állami kötődésű hacker csoport február óta több (5-10) multinacionális autóipari vállalat ellen indított informatikai támadást. Ezek motivációja vélhetően az ország kiemelt gazdasági céljaként meghatározott jármű- és alkatrészgyártó ipar fellendítésének információgyűjtéssel történő támogatása. Az OceanLotus kiberműveletei során jellemzően inkább ismert hacking eszközöket (például Cobalt Strike) alkalmaz, ami ugyanakkor nem jelenti azt, hogy ne rendelkezne saját fejlesztésű, szofisztikált káros kódokkal és technikákkal, ám ezeket csupán meghatározott stratégia mentén veti be. 

(cyberscoop.com)
Kevesebb
 március 08. 08:05

Az iDefence biztonsági kutatócég elmondása szerint kínai hackerek célzott kampányt folytatnak amerikai, kanadai és délkelet-ázsiai felsőoktatási intézmények ellen.

Bővebben

Az iDefence biztonsági kutatócég elmondása szerint kínai hackerek célzott kampányt folytatnak amerikai, kanadai és délkelet-ázsiai felsőoktatási intézmények ellen. Bár az érintett egyetemek teljes listáját nem fedték fel a kutatók, összesen 27 intézmény, például a Massachusettsi Műszaki Egyetem (MIT) is érintett volt a támadásban, amely során főleg a tengeri hadviseléssel összefüggő – például a tengeralattjáró rakéta – technológiával kapcsolatos információk megszerzése volt a cél. A támadás során – látszólag más egyetemekről érkező – olyan káros kódokat tartalmazó adathalász e-mailek kerültek kiküldésre, amelyekkel a támadók hozzáférést szereztek a tárolt kutatási eredményekhez, például az USA haditengerészetével szoros együttműködésben álló Woods Hole Óceanográfiai Intézet adataihoz. Az elemzők szerint a támadás hátterében a kínai kötődésű Mudcarp (Temp.Periscope vagy Leviathan) nevű államilag szponzorált hackercsoport állhat, bár utóbbi állításra nincsenek egyértelmű bizonyítékok. Ezzel összefüggésben a FireEye által végzett külön vizsgálat eredményei szerint egy kínai hackercsoport – APT40 – több éven keresztül haditengerészeti információk megszerzése céljából folytatott kiberkémkedési tevékenységet, amely jellemzően a kínai „Új selyemút” (Belt and Road Initiative ─ BRI) kezdeményezés szempontjából stratégiai fontosságú országok ellen irányult.

(www.bbc.com)
Kevesebb
 február 06. 15:50

Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) kiadta a számítógép-biztonsági és incidenskezelő csoportok (CSIRT) és incidens reagálási képességek (IRC) Európai viszonylatban tapasztalt fejlődéseiről szóló jelentését.

Bővebben

Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) összefoglaló jelentésében szeretne átfogó képet nyújtani az európai számítógép-biztonsági és incidenskezelő csoportok (CSIRT-ek), valamint az incidens reagálási képességek (IR) utóbbi öt év során tapasztalt fejlődéséről. Az elemzés során mintegy 81 új CSIRT-et azonosítottak, és 36 szabályozó dokumentum került átvizsgálásra. A tanulmány főbb megállapításai között szerepel, hogy a NIS irányelv implementálása pozitív hatást gyakorol az incidenskezelési képességek fejlesztésére, valamint egy uniós norma kialakítására, illetve, hogy lényeges fejlesztés tapasztalható az európai magánszektor tekintetében, ugyanakkor az EU-n kívül gyártott hardverelemek egyre nagyobb kockázati tényezőt jelentenek. Az együttműködési kezdeményezésekkel kapcsolatban az összefoglaló szerzői a köz- és a magánszektor közötti kapcsolat fontosságát emelik ki. 

(www.enisa.europa.eu)
Kevesebb
 január 30. 10:48

A FireEye kedden nyilvánosságra hozott jelentésében egy új, kiberkémkedést végző APT csoportról számol be, amely főként a telekommunikációs és utazási ipar terén működő, közel-keleti vállalatok között szedi áldozatait.

Bővebben

A FireEye kedden nyilvánosságra hozott jelentésében egy új, kiberkémkedést végző APT csoportról számol be, amely főként a telekommunikációs és utazási ipar terén működő, közel-keleti vállalatok között szedi áldozatait. Az összefoglaló  szerint az „APT39” néven hivatkozott kollektíva intenzív adatgyűjtési tevékenysége Irán geopolitikai céljainak megfelelően történik, emellett a támadásokhoz felhasznált eszközök tekintetében is tapasztalható átfedés egyéb iráni kötődésű csoportokéval, mint például az APT33, az APT34, a Newscaster és a Chafer. A csoport az elmúlt fél év óta mutat számottevő aktivitást, azonban már 2014-ben megkezdte működését. A támadások általában egy fertőzött fájlokat és linkeket tartalmazó célzott adathalász kampánnyal veszik kezdetüket, amelyek sikeressége esetén megkezdődik az információgyűjtés, amely során nyíltan hozzáférhető és egyedi fejlesztésű hacking eszközöket egyaránt alkalmaznak.

(www.cyberscoop.com)
Kevesebb