Știrile săptămânii din cybersecurity (08.05.2019)
Backdoor al organizației Turla utilizat în atacuri asupra unor obiective din lumea întreagă
Turla este un grup rusesc de spionaj cibernetic (întâlnit și sub numele Waterbug, Snake, WhiteBear, VENOMOUS BEAR și Kypton), cunoscut pentru atacarea unor ținte din diverse industrii, cum ar fi armata, guvernul, ambasadele, educație, cercetare și farmaceutică din mai mult de 40 de țări.
Backdoor-ul operat de Turla (denumit LightNeuron) investigat de cercetătorii de la ESET este direcționat asupra serverelor de email Microsoft Exchange și poate fi controlat prin intermediul documentelor din atașement utilizând steganografia pentru ascunderea comenzilor.
LightNeuron funcționează la același nivel de încredere ca și aplicațiile de securitate, cum ar fi filtrele de spam, permițând citirea și modificarea tuturor e-mailurilor care trec prin serverul de email Microsoft Exchange compromis. Deasemenea, malware-ul poate compune și trimite email-uri și poate bloca email-uri trimise de utilizator.
Phishing pe Amazon: 100 de companii au suferit pierderi financiare
Un atac de tip phishing a fost descoperit recent de Amazon, incident care a afectat conturile a aproximativ 100 de companii care vând produse pe site-urile gigantului american. Aparent, acele conturi ale firmelor înregistrate pe platforma Amazon au fost compromise de atacatori prin acest tip de scam, angajații acelor companii fiind păcăliți să introducă datele de autentificare în medii nelegitime, cum ar fi site-urile care clonează identitatea vizuală a Amazon.
Un nou tip de înșelătorie prin e-mail amenință că va face publice materiale video compromițătoare
În noua campanie de înșelătorie prin e-mail, scammerii transmit email-uri în care declară că posedă materiale video care pot compromite destinatarul. În continuare, aceștia susțin că au profitat de neatenția acestuia și au furat toate parolele și listele de contacte și amenință că vor face publice imaginile compromițătoare dacă nu se plătește suma de 1500 de dolari în moneda bitcoin.
Ransomware-ul MegaCortex vizează rețelele informatice din corporații
Specialiștii de la Sophos au descoperit în luna ianuarie a acestui an un nou ransomware denumit MegaCortex. Ransomware-ul a fost identificat la clienți ai companiei Sophos din întreaga lume, înregistrându-se atacuri în Italia, Statele Unite, Canada, Olanda, Irlanda și Franța.
Mecanismul de răspândire a infecțiilor MegaCortex folosește atât componente automate, cât și componente manuale și pare să utilizeze un număr mare de automatizări pentru a infecta cât mai multe victime.
Experții au observat o creștere a numărului de atacuri de săptămâna trecută, când au fost detectate și oprite 47 de atacuri (din ianuarie, numărul total de atacuri bazate pe MegaCortex este de 76). Cercetătorii au găsit o corelație între atacurile MegaCortex și prezența în aceeași rețea a malware-ului Emotet și Qbot (alias Qakbot).
CMS-ul WordPress primește îmbunătățiri de securitate în versiunea 5.2
În ultima versiune WordPress care se va lansa pe 7 Mai 2019 vor fi prezente următoarele îmbunătățiri:
- semnarea digitală a tuturor update-urilor utilizând alogritmul Ed25519 de criptare asimetrică, scopul fiind de prevenire a atacurilor de tip supply chain;
- implementarea librăriei criptografice Libsodium pentru rezolarea tuturor operațiilor criptografice (criptare, decriptare, hashing parole și semnături digitale) pentru a se renunța la funcțiile criptografice standard PHP;
- adăugarea unei secțiuni „Site Health” în interfața de admin a platformei care include paginile „Site Health Status” și „Site Health Info”. Pe pagina „Site Health Status” sunt afișate rezultatele unor teste de securitate iar pe pagina „Site Health Info” sunt afișate informații despre website și setări ale serverului web.
- caracteristica „serverhappy” care constă în dezactivarea temelor și plugin-urilor WordPress atunci când sunt întâmpinate erori grave de PHP (astfel încât să i se permită adminstratorului să poată accesa interfața backend a site-ui pentru rezolvarea problemelor).
Bază de date a unui Smart City nesecurizată
Cercetătorul John Wethington a descoperit o bază de date nesecurizată Elasticsearch care integrată într-un sistem Smart City implementat în zona de est din Beijing. Baza de date conținea date utilizate de sistemele de recunoaștere facială, cum ar fi scan-uri faciale, vârstă aproximativă, scor de „atractivitate” și trăsături legate de etnie.
Baza de date era găzduită pe platforma cloud Alibaba și au fost indentificate referințe către aplicația ”AI-powered City Brain” realizată de Alibaba, însă compania a negat amestecul în această scurgere de date.
