Yhdellä silmäyksellä.
Nerbian RAT on ulkona.
Proofpoint kuvaa tänä aamuna julkaistussa raportissa uutta, OS-agnostista RAT:ta, joka on kirjoitettu yhä suositummalla Go-kielellä. Tutkijat kutsuvat sitä "Nerbiaksi" ja sanovat, että se "hyödynnä useita anti-analyysikomponentteja useissa vaiheissa, mukaan lukien useita avoimen lähdekoodin kirjastoja".
NPM-riippuvuuksia hyödynnettiin, mutta mihin tarkoitukseen?
Reversing Labs kirjoitti eilen blogissaan NPM-riippuvuussekaannuksesta, jota on viime aikoina käytetty hyväkseen hyökkäyksissä suuria saksalaisia yrityksiä vastaan. "ReversingLabsin viime viikolla löytämät uudet npm-paketit näyttävät kohdistuvan suureen saksalaiseen mediaryhmittymään sekä suureen rautatie- ja logistiikkaoperaattoriin. Paketit ovat samanlaisia kuin Snykin tutkijoiden löytämät ja huhtikuun lopulla julkistetut paketit." On epäselvää, kuka oli hyökkäysten takana, mitkä olivat niiden tavoitteet tai jopa kuinka onnistuneita ne olivat, mutta näyttää selvältä, että NPM-hyökkäykset ovat yleisempiä kuin tähän mennessä uskottiin. jFrog, joka on myös seurannut tapauksia, näkee samanlaisen epäselvyyden ja uskoo, että hyökkäykset voivat olla joko hienostuneen uhkatoimijan tai epätavallisen aggressiivisen läpäisytestaajan työtä.
CISA:n ja sen kumppaneiden neuvoja.
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) julkaisi eilen kuusi teollisuuden ohjausjärjestelmän (ICS) turvallisuusneuvotusta. Neuvoa ovat muun muassa Adminer in Industrial Products, Eaton Intelligent Power Protector, Eaton Intelligent Power Manager Infrastructure, Eaton Intelligent Power Manager, AVEVA InTouch Access Anywhere ja Plant SCADA Access Anywhere sekä Mitsubishi Electric MELSOFT GT OPC UA.
CISA on myös lisännyt kaksi haavoittuvuutta tunnettujen hyödynnettyjen haavoittuvuuksien luetteloonsa: Microsoft Windows LSA -huijaushaavoittuvuuden (joka "sisältää huijaushaavoittuvuuden, jossa hyökkääjä voi pakottaa toimialueen ohjaimen tunnistautumaan hyökkääjälle NTLM:n avulla") ja F5:n BIG-IP-puuttuvan Authen-IP:n. Haavoittuvuus (joka "sisältää puuttuvan todennuksen kriittisen toiminnon haavoittuvuudesta, joka voi mahdollistaa koodin etäsuorittamisen, tiedostojen luomisen tai poistamisen tai palveluiden poistamisen käytöstä"). Yhdysvaltain liittovaltion siviilivirastoilla on kesäkuun 1. päivään asti aikaa käsitellä edellistä ja 31 päivään toukokuuta jälkimmäiseen. SANS-instituutti on julkaissut yksityiskohtaisemman tutkimuksen BIG-IP-ongelmasta, jota F5 käsitteli päivityksessä viime viikolla.
Ja koska Five Eyes on huolissaan hallittujen palveluntarjoajien (MSP) kasvavasta uhasta, Five Eyes on julkaissut yhteisen varoituksen, joka sisältää neuvoja MSP:ille ja heidän asiakkailleen MSP:itä vastaan ja niiden kautta toteutettujen kyberhyökkäysten ehkäisemisestä ja niihin vastaamisesta.
The following section pertains directly to the cyber phases of Russia's hybrid war against Ukraine. CyberWire's continuing coverage of the unfolding crisis in Ukraine may be found here.
Lisää Viasatin kyberhyökkäyksen syyksi Venäjälle.
Näimme eilen, että Euroopan unioni oli muodollisesti katsonut Venäjän syyksi Viasatin KA-SAT-verkkoon kohdistuneen kyberhyökkäyksen, joka tapahtui tuntia ennen taisteluiden alkamista Ukrainaa vastaan. Muut liittoutuneiden hallitukset tukivat nopeasti tätä tunnustusta.
Yhdysvaltain ulkoministeriö totesi kiinnitettyään huomiota venäläisten pyyhinhaittaohjelmien käyttöön kybervalmistelussaan: "Yhdysvallat jakaa tänään Euroopan unionin ja muiden kumppaneiden tukemiseksi julkisesti arvionsa siitä, että Venäjä aloitti kyberhyökkäyksiä helmikuun lopulla. kaupallisia satelliittiviestintäverkkoja vastaan häiritäkseen Ukrainan komentoa ja valvontaa hyökkäyksen aikana, ja näillä toimilla oli heijastusvaikutuksia muihin Euroopan maihin. Toiminto esti hyvin pieniaukkoiset terminaalit Ukrainassa ja kaikkialla Euroopassa. Tämä koskee kymmeniä tuhansia Ukrainan ulkopuolella olevia päätteitä, jotka tukee muun muassa tuulivoimaloita ja tarjoaa Internet-palveluita yksityisille kansalaisille."
Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) päivitti 17. maaliskuuta antamansa varoituksen (AA22-076A) "SATCOM-verkkopalvelujen tarjoajien ja asiakkaiden kyberturvallisuuden vahvistaminen" selittääkseen, että heidän varoittamansa SATCOM-verkkoihin kohdistuva uhka oli todellakin Venäjän uhka.
Ison-Britannian NCSC:n tarjoama ominaisuus on tarkempi: se kutsuu "Venäjän sotilastiedustelua, GRU:ta, kyberhyökkäyksistä vastaavana organisaationa. Viro on yhtä tarkka: "Voidaan todeta suurella varmuudella, että GRU oli takana. Nämä hyökkäykset." Britannian hallitus näkee myös, kuten Telegraph selittää, kyberhyökkäykset Saksan tuuliturbiinialaa vastaan sivuhyötynä Ukrainan Internetiin kohdistuneesta valmistelutulesta. Sekä Britannian ulkoministeri että Yhdysvaltain ulkoministeri korostivat tätä mielivaltaista osa Venäjän kyberhyökkäystä.
Kanada tuomitsi Venäjän hyökkäyksen ulkoasiain-, maanpuolustus- ja yleisen turvallisuuden ministerien yhteisessä lausunnossa. "Kanada arvioi, että Venäjän armeija oli tämän tapauksen takana. Venäjän laiton hyökkäys Ukrainaan, sen ilkeä kybertoiminta ja räikeät disinformaatiokampanjat eivät ole hyväksyttäviä, ja ne on lopetettava." Ministerit lisäsivät lyhyen historian oppitunnin asettaakseen hyökkäyksen sen kontekstiin, mitä Yhdysvaltain ulkoministeriö kutsui "Venäjän pelikirjaksi": "Tämä viimeisin tapaus korostaa häiritsevän kybertoiminnan mallia, joka osoittaa toistuvaa sääntöihin perustuvan kansainvälisen järjestyksen piittaamattomuutta. Tämä toiminta osoittaa myös Venäjän halukkuuden käyttää kyberkykyjään vastuuttomasti."
Australian ulko-, puolustus- ja sisäministerit keskittyivät siihen, miten Venäjä käyttää kyberhyökkäyksiä taistelutilan valmisteluna: "Tänään liitymme Yhdysvaltojen ja EU:n tavoin Venäjän hallitukselle seuraavan toiminnan... Nämä ei-hyväksyttävät toimet ovat lisäesimerkkejä Moskovan mielivaltainen lähestymistapa kyberoperaatioihin ja räikeä piittaamattomuus tällaisten toimien vaikutuksista yleisöön, myös kaupallisen sektorin kautta." Lausunto lisää Moskovalle terävän muistutuksen: "Australia on sitoutunut määräämään kustannuksia valtion tai valtion tukemille ilkeätoimijoille, jotka pyrkivät heikentämään avointa, vapaata, turvallista ja turvallista kyberavaruutta."
MIT Technology Review:n Viasatin terminaaleihin kohdistunutta kyberhyökkäystä koskevasta kattauksesta voidaan vetää johtopäätös, että uusia hyökkäyksiä on pidettävä ainakin mahdollisina, kenties todennäköisinä. Venäläiset käyttivät AcidRain-pyyhkijää järjestelmiä vastaan, ja AcidRain on hämmästyttävä yleiskäyttöisyydessään. Technology Review lainaa SentinelOne-tutkijaa Andres Guerrero-Saadea, joka sanoo: "AcidRaidissa on erittäin huolestuttavaa, että he ovat poistaneet kaikki turvallisuustarkastukset. Aiemmilla pyyhkijillä venäläiset olivat varovaisia suorittamaan vain tietyillä laitteilla. Nyt nuo turvatarkastukset ovat poissa, ja ne ovat raakoja. Heillä on kyky, jota he voivat käyttää uudelleen. Kysymys kuuluu, minkä toimitusketjun hyökkäyksen näemme seuraavaksi?