Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Najprawdopodobniej rosyjska grupa APT celowała w polską firmę, dostarczającą sprzęt wojskowy.
Mowa o grupie Cold River, która właśnie jest wskazywana w kontekście cyberataków na amerykańskich specjalistów z obszaru technologii atomowych.
Jak czytamy na blogu Sekoia:
Calisto [inna nazwa grupy Cold River – przyp. sekurak] focuses on Western countries, especially the United States, and Eastern European countries. The group was observed carrying out phishing campaigns aiming at credential theft, targeting military and strategic research sectors such as NATO entities and a Ukraine-based defense contractor, as well as NGOs and think tanks.
Grupa stosuje m.in. ciekawą technikę phishingu, przesyła PDFa, w którym wyświetlany jest błąd (grafika w PDFie), sugerujący kliknięcie zewnętrznego linka:
Dlaczego tak dziwnie? Ano dlatego aby ominąć ew. korporacyjne skanery poczty (podejrzany link w e-mailu, spowoduje oflagowanie całej wiadomości).
Co w linku? Strona phishingowa skłaniająca ofiarę do podania swoich danych logowania. Dodatkowo grupa próbuje omijać również 2FA, stosując narzędzie evilgnix (które jest w zasadzie lekko przerobionym serwerem proxy)
Firmy, w które celowane były ataki (nie ma potwierdzenia, że zostały one zainfekowane):
Most of the targeted private organizations are involved in military equipment, military logistics or humanitarian support for Ukraine:
- UMO, Polish company, military equipment (high confidence);
- Emcompass, Ukrainian company, military logistic (high confidence);
- DTGruelle, US company, logistics (high confidence);
- Global Ordnance, US company, military and tactical equipment (high confidence);
- BotGuard, Estonian company, cybersecurity (medium confidence);
- Blue Sky Network, US company, satellite communications (high confidence).
Tutaj zobaczcie domeny, które były użyte przez atakujących:
Jak można by się przed czymś takim ochronić? Edukacja pracowników, ale również używanie sprzętowych kluczy 2FA jeśli chodzi o dostęp do krytycznych systemów (evilginx nie ma możliwości ominięcia tego typu 2FA).
~ms
Imo, obok edukacji ważne jest, żeby pracownik mógł łatwo i szybko zasięgnąć opinii kogoś z odpowiednią wiedzą. Nagradzać za zapytanie do technicznych w sprawie nietypowego maila albo strony.
I systemy zabezpieczające, poprawnie skonfigurowane a właściwie na bieżąco podkonfigurowywane. To nie są tanie rzeczy, ale jak się jest firmą zbrojeniową, to ma się od czego odliczać koszty.
Raczej nie ma z czego odliczać kosztów, bo to państwowe firmy z Rodziną na Swoim ++. Wszystkie są deficytowe i istnieją tylko dzięki dotacjom państwowy.
Cholera, @John Sharkrat, masz rację, a ja notorycznie zapominam w jakim kraju żyję
To dość zabawne ze ruscy hackerzy nazywają samych siebie angielskimi nazwami jak „Cold river”. Moim skromnym zdaniem powinni nazywać się po rosyjsku, jak przystało na specjalistów pracujących dla ruskiego rządu. Np „ druzja dieda Putina”
To raczej nazwy nadane przez badaczy ;)
Za odpowiednią kasę udowodnię, że włamania dokonali Struś Pędziwiatr, SpongeBob Kanciastoporty do spółki z Myszką Miki i Krecikiem.
To że udowodnisz sobie, jeszcze wiele nie znaczy ;-)
Jakiś czas temu było o tym jak to ruscy hakerzy wpływają na wybory w USA. Aż tu nagle https://ithardware.pl/aktualnosci/fbi_zaplacilo_twitterowi_3_4_mln_usd_za_nazywanie_historii_huntera_bidena_rosyjska_dezinformacja-24966.html.
Może to po prostu USA lub Izrael lub UK lub RFN chce nam wykraść plany Dzidy Laserowej.
Ciekawe jak FBI zaksięgowało te 3,4 mld dolców na łapówkę dla Twittera? Popcorn i cola w kinie? :)
Cii, o tej laserowej dzidzie, to jeszcze nikt nie wiedział. Wszystko rozpaplałeś.