Biuletyn Harakiri

Biuletyn Harakiri #1 2024

Styczniowy biuletyn zaczynamy przeglądem incydentów bezpieczeństwa z ostatnich tygodni 2023 roku. Trochę się działo, zatem jeśli nie śledziłeś doniesień branżowych na bieżąco, masz okazję nadrobić zaległości.

Twitter byłego ministra cyfryzacji zhackowany?

Michał Boni, były polski minister odpowiedzialny za cyfryzację, poinformował o nieautoryzowanym dostępie do swojego konta na Twitterze. Z jego profilu zostały retweetowane zdjęcia seksownej wegańskiej modelki. Minister wyparł się tego, twierdząc, że to nie jego działania. Mimo że nie ma powodów, by kwestionować jego słowa, to sytuacja, w której konto osoby tak związanej z cyfryzacją eksponuje niechciane treści, budzi pewne zaniepokojenie. Sytuacja ta rzuciła cień wątpliwości na poziom bezpieczeństwa cyfrowego, nawet wśród wysoko postawionych urzędników.

Toyota Financial Services zaatakowana przez hakerów: kradzież danych klientów i żądanie okupu

Toyota Financial Services, globalna firma finansowa obsługująca klientów marki Toyota, potwierdziła, że w listopadzie doszło do naruszenia bezpieczeństwa ich systemów w Europie, Afryce i Japonii. W szczególności, klienci z Niemiec zostali poinformowani o wycieku ich danych osobowych.

Dane, które wpadły w ręce przestępców, obejmują imię i nazwisko, adres zamieszkania, dane kontaktowe, informacje o zakupie lub finansowaniu oraz numer rachunku bankowego. Nie ma na razie potwierdzenia, czy wśród skompromitowanych danych znajdują się informacje dotyczące klientów z Polski, zwłaszcza tych, którzy dokonywali zakupów w Niemczech. Komunikaty firmy nie wspominają o potencjalnym wpływie incydentu na polskich klientów. Toyota zapowiedziała, że będzie kontaktować się z osobami, których dane mogły zostać wykradzione przez hakerów.

Z informacji podanych przez portal BleepingComputer wynika, że za atakiem stoi gang ransomware Medusa, który domaga się od Toyoty 8 milionów dolarów okupu, dając firmie 10 dni na zapłatę. W przypadku braku płatności, zagrożenie opublikowaniem danych klientów w Internecie jest realne. Według dziennikarzy, firma nie planuje negocjować z przestępcami ani płacić okupu, co jest postrzegane jako odpowiednia reakcja na takie żądania.

Atak hakerski na ukraińskiego operatora Kyivstar

W grudniu doszło do poważnego ataku hakerskiego na największego ukraińskiego operatora telefonii komórkowej, Kyivstar. Incydent ten spowodował przerwę w dostępie do usług telekomunikacyjnych dla około 24 milionów Ukraińców, co stanowi połowę populacji kraju. Z raportów Netblocks wynika, że dostępność sieci Kyivstar spadła do zaledwie 12%.

Obawy wykraczają jednak poza same problemy z połączeniami telefonicznymi. Analitycy podają, że atak mógł mieć wpływ na kluczowe systemy, takie jak ostrzegania przed bombardowaniami, sterowanie dronami, a także na ogólną komunikację wojskową, która częściowo opiera się na telefonii komórkowej. Ponadto, możliwe, że przesiadka abonentów Kyivstar na inne sieci operatorów ukraińskich mogła spowodować dodatkowe obciążenie tychże infrastruktur.

Za atak odpowiedzialność wzięła grupa Solntsepek, uznawana za powiązaną z rosyjską grupą Sandworm (GRU). Według ich oświadczenia w serwisie Telegram, uszkodzono 10 000 komputerów i 4000 serwerów Kyivstar, w tym ich backupy.

Mimo to, Kyivstar utrzymuje, że systemy z danymi klientów pozostały bezpieczne i nie były celem ataku. Dodatkowo, wkrótce po ataku na Kyivstar, doszło do przerw w działaniu ukraińskiego Monobanku. W tym przypadku, bank poinformował, że była to konsekwencja oddzielnego ataku DDoS.

Cyberatak na irańskie stacje benzynowe

Irański minister ropy naftowej, Javad Owji, potwierdził, że krajowe zakłócenia w funkcjonowaniu stacji benzynowych były wynikiem cyberataku. Informacje te zostały podane przez agencję Reuters. Zgłaszając odpowiedzialność za ten incydent, grupa z Izraela oświadczyła, że uzyskała dostęp do systemów płatniczych oraz do centralnych serwerów i systemów zarządzania stacjami benzynowymi w Iranie.

Grupa ta opublikowała również rzekome zrzuty ekranu z infrastruktury, która miała zostać zaatakowana. Na jednym ze zrzutów widać pulpit administratora systemu Windows Server 2012 w wersji ewaluacyjnej, z zainstalowanym Adobe Readerem oraz linkiem do oprogramowania do zarządzania stacją benzynową. Jednakże, trudno jest zweryfikować autentyczność tych informacji.

Ten incydent podkreśla rosnące zagrożenie cyberatakami na krytyczną infrastrukturę i systemy zarządzania w różnych krajach, oraz potencjalne konsekwencje takich działań wpływające na funkcjonowanie ważnych usług publicznych.

Dalszy ciąg historii z ALAB

W grudniu doszło do kolejnego etapu wycieku danych z firmy ALAB, związanej z branżą medyczną, co stanowi jedną z najpoważniejszych tego rodzaju sytuacji w ostatnich latach. Tym razem przestępcy ujawnili dane dotyczące pracowników i współpracowników ALAB, obejmujące około 100 GB informacji. Wśród opublikowanych danych znalazły się adresy, numery PESEL oraz szczegóły związane z zatrudnieniem tysięcy osób.

Wyciek obejmuje różne dokumenty i dane, w tym umowy, informacje kadrowe, księgowe, prawne, a także szczegółowe informacje o działalności ALAB, takie jak dane o inwestycjach i kosztach. Szczególnie niepokojące jest ujawnienie pliku z danymi kadrowymi (HR.tar), zawierającego dane adresowe, PESEL-e, informacje o pensjach, premiach i podwyżkach dotyczące kilku tysięcy osób.

Dodatkowo, wśród ujawnionych informacji znajdują się umowy zlecenia i inne dokumenty prawne, które zawierają wrażliwe dane osobowe, nieujawnione publicznie w rejestrach takich jak CEIDG.

Ponownie pojawiły się także pliki z danymi pacjentów, które mogą ułatwić identyfikację konkretnych osób na podstawie numeru PESEL oraz innych szczegółów. W tej fazie wycieku znalazły się również dane starsze, sięgające 2015 roku.

Wskazuje to na poważne naruszenie bezpieczeństwa danych w ALAB i podkreśla potrzebę wzmocnienia ochrony cyfrowej w sektorze medycznym.

Synevo potwierdza atak hakerski na Ukrainie

Na jednym z forów internetowych pojawiła się informacja dotycząca ataku hakerskiego na ukraiński oddział firmy Synevo, związanej z branżą medyczną. Dołączona do postu próbka danych wywołała niepokój wśród użytkowników. W odpowiedzi na zapytanie dotyczące szczegółów sytuacji, polski oddział Synevo oraz powiązana firma Medicover przekazały oficjalne stanowisko.

Z informacji przekazanych przez Synevo wynika, że na Ukrainie faktycznie doszło do cyberataku, jednak był to incydent z przeszłości, związany z ciągłymi rosyjskimi atakami na cywilne systemy informatyczne w tym kraju. Firma zapewnia, że żadne dane medyczne nie zostały naruszone. Atak dotyczył systemu komunikacyjnego z zewnętrznymi firmami ubezpieczeniowymi i obejmował ograniczone dane osobowe, takie jak imiona i nazwiska, adresy e-mail oraz numery telefonów.

Od czasu tego zdarzenia, Synevo podjęło znaczące działania mające na celu zwiększenie bezpieczeństwa IT, szczególnie w ukraińskich systemach informatycznych. Firma potwierdza również, że nie doszło do naruszeń w systemach IT poza Ukrainą. Synevo podkreśla, że przykłada dużą wagę do bezpieczeństwa danych i inwestuje znaczne środki finansowe oraz wysiłek w celu zapewnienia optymalnego poziomu ochrony.

W związku z zaistniałym atakiem, Synevo zdecydowało się na zwiększenie poziomu zabezpieczeń swoich systemów na całym świecie, mając świadomość, że przyszłe ataki mogą mieć szerszy zasięg, nie ograniczając się tylko do Ukrainy.

Podsumowując, choć doszło do wycieku danych, to nie miał on wpływu na systemy IT poza Ukrainą, a zdarzenie to miało miejsce wcześniej niż sugerowały pierwotne doniesienia.

Nielegalne koparki kryptowalut ukryte w budynku NSA – Interweniowała policja i ABW

W jednym z budynków Naczelnego Sądu Administracyjnego (NSA) odkryto ukryte komputery służące do wydobywania kryptowalut. Urządzenia te, zużywające znaczne ilości energii elektrycznej, były zamaskowane w kanale wentylacyjnym oraz pod podłogą techniczną. Sprawa ta jest aktualnie przedmiotem śledztwa prowadzonego przez prokuraturę, a o zdarzeniu została również powiadomiona Agencja Bezpieczeństwa Wewnętrznego.

Funkcjonariusze policji, którzy wkroczyli na miejsce, zdemontowali i zabezpieczyli cały ujawniony sprzęt elektroniczny. Z dodatkowych nieoficjalnych ustaleń wynika, że zabezpieczone komputery były wyposażone w modemy umożliwiające połączenie z Internetem.

Jedną z głównych kwestii, na którą zwrócono uwagę w tej sytuacji, jest problem znacznego zużycia energii elektrycznej przez urządzenia do wydobywania kryptowalut, zwane koparkami. W tym konkretnym przypadku, koszty związane z zużyciem energii były naliczane na rachunek NSA. Cała sytuacja zwraca uwagę na potrzebę zwiększonej czujności i bezpieczeństwa w instytucjach publicznych w kontekście potencjalnego nielegalnego wykorzystywania ich infrastruktury.

Największy bank w Chinach zaatakowany Ransomware

Industrial and Commercial Bank of China (ICBC), chińska potęga finansowa i trzeci co do wielkości bank na świecie pod względem kapitalizacji, znalazł się w centrum uwagi po ataku ransomware. Według najnowszych doniesień, atak został skutecznie wyizolowany, i obecnie trwa obsługa całego incydentu. Wskazuje się, że za atakiem stoi grupa Lockbit, kojarzona z Rosją, choć prawdopodobnie jej członkowie reprezentują różne narodowości.

Chociaż atak nie wpłynął na infrastrukturę całego banku i wydaje się być ograniczony, to spowodował pewne problemy operacyjne. Uczestnicy rynku, w tym fundusze hedgingowe i zarządzający aktywami, musieli zmieniać kierunki transakcji z powodu zakłóceń. Atak ten miał również pewien wpływ na płynność rynku obligacji skarbowych, jak wskazują źródła handlowe, ale nie zakłócił w znaczącym stopniu ogólnego funkcjonowania rynku.

Ten incydent rzuca światło na rzadkie przypadki realnej infekcji ransomware w tak dużych instytucjach finansowych. Podkreśla to konieczność stosowania środków ostrożności i zaawansowanych systemów bezpieczeństwa w tego typu organizacjach, zwłaszcza w obliczu rosnącego zagrożenia cyberatakiem.

Donald Tusk nieopatrznie ujawnił numer karty płatniczej

Donald Tusk niedawno udostępnił na swoim profilu na Facebooku filmik z wizyty w pizzerii w Jagodnie. Jednakże, nieświadomie naraził się na ryzyko finansowe, ponieważ w trakcie płatności kartą, której fragmenty numeru zostały przypadkowo ujawnione, zwiększył prawdopodobieństwo oszustwa.

Na filmie widoczna jest chwila płatności czerwoną kartą Visy, wydaną przez bank Pekao. Znawcy tematu zwracają uwagę, że numer karty płatniczej jest ustandaryzowany, co w połączeniu z widocznymi fragmentami numeru i zastosowaniem algorytmu Luhna, umożliwia wykrycie całego numeru karty, nawet jeśli nie wszystkie cyfry są wyraźnie widoczne.

Eksperci ostrzegają, że Tusk powinien niezwłocznie zablokować swoją kartę, aby uniknąć potencjalnych problemów związanych z nieautoryzowanymi transakcjami i procesami chargebacków. Podkreślają też, że samo ustawienie limitów transakcji dla typu „card not present” na zero złotych może być niewystarczające. Znajomość numeru karty może ułatwić nieuprawnione przejęcie konta poprzez atak na pomoc techniczną, a często do weryfikacji wymagane są jedynie ostatnie cztery cyfry karty.

Dodatkowym zagrożeniem jest fakt, że CVC/CVV2 karty nie jest zawsze wymagane do przeprowadzenia transakcji. Nawet włączenie mechanizmu 3DSecure dla karty nie zapewnia pełnego bezpieczeństwa, ponieważ oszustwa mogą być dokonywane w miejscach, które tego mechanizmu nie obsługują.

Donald Tusk ponownie na celowniku – tym razem ujawniony PIN do telefonu 

Donald Tusk znów znalazł się w niekomfortowej sytuacji związanej z bezpieczeństwem cyfrowym. Po niedawnym incydencie, w którym nieświadomie ujawnił szczegóły swojej karty płatniczej, teraz podczas posiedzenia Sejmu kamery uchwyciły moment, gdy odblokowywał swój telefon, przypadkowo ujawniając swój kod PIN.

Kod, składający się z sześciu cyfr, może wydawać się bezpieczniejszym wyborem niż czterocyfrowy PIN, jednakże internauci zwracają uwagę, że jego długość nie jest wystarczająca do zapewnienia pełnego bezpieczeństwa. Jest to szczególnie istotne, ponieważ kody takie jak ten ujawniony przez Tuska, są często pierwszymi, które są sprawdzane przez narzędzia do łamania kodów dostępu, a także są stosowane w dziedzinie computer forensics przez specjalistów i biegłych sądowych.

Ten incydent rzuca światło na trwający problem z niedostateczną świadomością w zakresie bezpieczeństwa cyfrowego wśród polityków. Podkreśla to, jak ważne jest, aby osoby na eksponowanych stanowiskach stosowały bardziej złożone metody zabezpieczeń, aby chronić swoje dane osobowe i zawodowe.

Wyciek danych osobowych w Powiatowej Stacji Sanitarno-Epidemiologicznej w Policach

Powiatowa Stacja Sanitarno-Epidemiologiczna w Policach poinformowała o poważnym incydencie związanym z utratą danych osobowych. Do zdarzenia doszło, gdy znaleziono poza terenem stacji pamięć USB (pendrive) zawierającą wrażliwe dane pochodzące z tej instytucji.

Na pendrivie zapisane były szczegółowe dane osobowe, w tym imiona i nazwiska, numery PESEL, serie i numery dokumentów tożsamości, numery telefonów, adresy zamieszkania lub pobytu, a także informacje dotyczące stanu zdrowia, w tym wyniki badań. Poza tym, na nośniku znalazły się dokumenty związane z prowadzonymi przez Stację sprawami, takie jak protokoły kontroli, decyzje, pisma, zawierające dodatkowe informacje o przedmiocie postępowania oraz adresy email. Dane te obejmują okres od roku 2015 do końca maja 2021.

Skala incydentu, choć nie jest szeroka, dotyka 352 osób, w większości mieszkańców Polic i kilku osób ze Szczecina. Jest to znaczący wyciek danych, który budzi poważne obawy o bezpieczeństwo informacji przechowywanych przez instytucje publiczne.

Ten przypadek podkreśla potrzebę stosowania środków ostrożności w zakresie przechowywania i zabezpieczania danych osobowych przez instytucje publiczne. Obejmuje to nie tylko zabezpieczanie danych w systemach informatycznych, ale również odpowiedzialne zarządzanie nośnikami danych, takimi jak pendrive’y, które mogą zawierać wrażliwe informacje.

Powiatowa Stacja Sanitarno-Epidemiologiczna w Policach podjęła już kroki w celu minimalizacji skutków tego incydentu i zapobiegania podobnym zdarzeniom w przyszłości. Jednakże, ten incydent służy jako przypomnienie o konieczności ciągłego ulepszania procedur bezpieczeństwa oraz edukacji pracowników w zakresie ochrony danych osobowych.

Gamaredon i Rosyjski Malware LitterDrifter – zagrożenie rozszerza się poza Ukrainę

Firma Checkpoint donosi o nowych osiągnięciach grupy APT (Advanced Persistent Threat) z Rosji, znanej jako Gamaredon. Szczególną uwagę zwraca nowy malware o nazwie LitterDrifter, który wykazuje rosnącą aktywność poza granicami Ukrainy, w tym w Polsce.

LitterDrifter to robak napisany w języku VBS (Visual Basic Script), który charakteryzuje się dwoma głównymi funkcjami: automatycznym rozprzestrzenianiem się za pośrednictwem dysków USB oraz komunikacją z rozległym i elastycznym zestawem serwerów C&C (Command and Control). Te funkcje są zaimplementowane w sposób, który jest zgodny z celami grupy Gamaredon, skutecznie utrzymując trwały kanał C2 (command and control) w szerokim zakresie celów. LitterDrifter jest uważany za ewolucję wcześniej zgłoszonej aktywności tej grupy, która wiązała ją z rozprzestrzeniającym się robakiem USB Powershell.

Raport Checkpoint wskazuje, że malware może być nieco poza kontrolą twórców, ponieważ choć głównym celem zdaje się być Ukraina, zgłoszenia dotyczące LitterDrifter zaczęły pojawiać się z różnych krajów, w tym z Polski.

Ciekawym aspektem jest to, że malware nie uruchamia się automatycznie w magiczny sposób z pendrive’a, ale wykorzystuje podstęp, tak jak na przykładzie zaprezentowanym w raporcie, gdzie użytkownik jest kuszony możliwością poznania czyjegoś hasła do Twittera.

Raport zawiera również bogaty zasób szczegółów technicznych dotyczących całego malware. Zaskakujące może być, że infrastruktura serwerowa tego malware została namierzona dość łatwo, ponieważ jest hostowana w całości w Rosji i to w domenie .ru.

Ten przypadek podkreśla rosnące zagrożenie ze strony zorganizowanych grup cyberprzestępczych, które nie ograniczają się do jednego kraju, a ich działania mogą mieć globalny zasięg. Podkreśla to również konieczność ciągłego podnoszenia świadomości i umiejętności w zakresie cyberbezpieczeństwa, zarówno wśród użytkowników indywidualnych, jak i organizacji.

NXP – holenderski gigant technologiczny zaatakowany przez hakerów 

Holenderski gigant w branży technologicznej, NXP, z przychodem wynoszącym 13 miliardów dolarów w 2022 roku, stał się celem zaawansowanego ataku cybernetycznego. Według dostępnych informacji, włamanie do systemów firmy nastąpiło poprzez wykorzystanie danych pracowników, które zostały odnalezione w publicznie dostępnych wyciekach danych z innych serwisów internetowych, takich jak LinkedIn czy Facebook.

Atakujący uzyskali dostęp do kont pracowników NXP, prawdopodobnie używając metod brute force do odgadnięcia haseł. NXP zabezpieczyła swoje systemy dodatkowym kodem dostarczanym telefonicznie, jednak hakerzy ominęli to dwuskładnikowe uwierzytelnianie (2FA), zmieniając numery telefonów w profilach użytkowników. VPN firmy był zabezpieczony przez wysyłanie jednorazowego hasła (OTP) SMS-em na podstawowy lub alternatywny numer telefonu użytkownika. Hakerzy wykorzystali możliwość skonfigurowania alternatywnego numeru telefonu w firmowym portalu, przejmując w ten sposób kody 2FA.

Hakerzy mieli dostęp do infrastruktury NXP od końca 2017 roku aż do początku 2020. Aby ukryć transfer dużej ilości danych z firmy, wykorzystywali znane usługi chmurowe, takie jak Google Drive, które są powszechnie używane przez normalnych użytkowników, co nie wzbudziło podejrzeń w systemach monitorujących infrastrukturę.

Ten incydent jest ostrzeżeniem dla firm na całym świecie o znaczeniu ochrony danych osobowych pracowników i potrzebie stosowania zaawansowanych środków bezpieczeństwa, aby uniknąć podobnych ataków. Pokazuje również, jak ważne jest regularne aktualizowanie haseł i środków uwierzytelniania, a także monitorowanie infrastruktury IT pod kątem nieautoryzowanego dostępu czy niezwykłych aktywności.

CISA ostrzega przed cyberatakami na systemy wodociągowe – instytucje przechodzą na ręczne sterowanie

Cyberbezpieczeństwo w sektorze dostawy i oczyszczania wody stało się obiektem poważnych obaw, zwłaszcza po ostrzeżeniu wydanym przez Cybersecurity and Infrastructure Security Agency (CISA) w Stanach Zjednoczonych. Zgodnie z informacjami CISA, doszło do aktywnej eksploitacji programowalnych sterowników logiki (PLC) firmy Unitronics, wykorzystywanych w sektorze wodociągów i oczyszczania ścieków.

Cyberprzestępcy celowali w PLC związane z obiektami wodociągowymi, w tym w identyfikowany sterownik PLC Unitronics, wykorzystywany w jednym z amerykańskich zakładów wodociągowych. W odpowiedzi na wykryty atak, odpowiednia władza wodna natychmiast wyłączyła system i przeszła na ręczne sterowanie operacjami. Na szczęście, nie stwierdzono ryzyka dla jakości wody pitnej ani dla całego systemu zaopatrzenia w wodę.

Jednym z zaatakowanych komponentów jest Unitronics Vision Series PLC + Human Machine Interface (HMI), którego domyślna konfiguracja nie zapewnia odpowiedniego poziomu bezpieczeństwa – na przykład, domyślne hasło to „1111”. W związku z tym, CISA w swoich rekomendacjach podkreśliło, że komponentów takich jak HMI nie należy udostępniać do publicznego internetu oraz zaleciło stosowanie silniejszych haseł i środków bezpieczeństwa.

***

Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.

Poprzednie wydania biuletynu znajdziesz tutaj.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.