Egyre aktívabbak az észak-koreai hackerek
Az FBI beszámolt azon vizsgálatairól, amelyek az Észak-Koreához köthető, feketekalapos hackerek tevékenységéről derítettek ki érdekességeket.Azt már eddig is lehetett tudni, hogy a kiberhadviselést Észak-Korea sem veszi félvállról. Még az is sejthető volt, hogy a vele kapcsolatba hozható hackercsoportok nem is Észak-Koreából indítják a támadásaikat, hanem számos egyéb országból. Mindezt most az FBI, illetve a US-CERT is megerősítette.
A szakértők arra a következtetésre jutottak, hogy az észak-koreai kormánynak dolgozó támadók legalább 2016 óta egy FALLCHILL nevű trójai programmal (RAT) igyekeznek kiemelt célpontokat támadni "Hidden Cobra" (magyarul Rejtett Kobra) fedőnév alatt. Eddig a légierő, valamint egyes telekommunikációs és pénzügyi vállalatok kerültek a támadások középpontjába. Ezeket az akciókat számos helyről hajtották végre. Az eddigiekben érintett IP-címeket az FBI összegyűjtötte, és megtette az ilyenkor szokásos védelmi intézkedéseket a címek mögött meghúzódó kiszolgálók, rendszerek blokkolása érdekében.
A Hidden Cobra keretében a FALLCHILL mellett egyéb károkozók is szerephez jutottak, de minden esetben elmondható, hogy ezek a malware-ek vagy trójai letöltő programok vagy megtévesztett felhasználók révén kerültek be a kiszemelt infrastruktúrákba. A FALLCHILL legfontosabb jellemzője, hogy egy meglehetősen kifinomult kommunikációs rendszert használ, amelyet korántsem könnyű lefülelni. A fertőzött rendszerek és a támadók szerverei közötti adatforgalom legalább két proxy-n keresztül halad át, mire célba ér. Ráadásul számos esetben mindez titkosítottan történik. A károkozó a vezérlőszervereiről nem kizárólag parancsokat fogad, hanem adatokat is képes kiszivárogtatni azokra. Mindezek mellett alkalmas fájlok és folyamatok kezelésére, de akár a saját kódjainak (nyomainak) eltüntetésére is.
Forrás: US-CERT
Volgmer trójai
A US-CERT egyúttal a szintén észak-koreai támadásokhoz köthető Volgmer trójairól is beszámolt. Ez a károkozó 2013 óta létezik, és kormányzati szerveket, pénzügyi cégeket, autógyártókat, illetve médiabirodalmakat is ostromolt már. Általában célzott adathalász támadások során kerül fel a rendszerekre, amelyeken egyebek mellett az alábbi műveleteket képes végrehajtani:
- rendszerinformációk összegyűjtése és kiszivárogtatása
- a regisztrációs adatbázis manipulálása
- fájlok letöltése és feltöltése
- fájlműveletek
- folyamatok kezelése.
A károkozó általában a 8080-as vagy a 8088-as TCP portokon keresztül kommunikál a vezérlőszervereivel, és néhány modulja esetében SSL alapú titkosítást is használ. A biztonsági szakemberek azt is megvizsgálták, hogy melyek azok az országok, amelyekből a Volgmer a legtöbbször útnak indul. Ezáltal ugyanis lehet következtetni arra, hogy az Észak-Koreához köthető hackercsoportok hol működnek. E tekintetben kiderült, hogy a kártékony program leggyakrabban indiai, iráni, pakisztáni, szaúd-arábiai és tajvani kiszolgálókkal kommunikál.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.