Tym razem nieco dłuższa przerwa, a zatem i biuletyn dużo obszerniejszy. Zapraszam do przeglądu incydentów, z którymi mieliśmy do czynienia w ostatnich 3 miesiącach.
Nowy sposób na przesyłanie niechcianych wiadomości przez popularne serwery pocztowe
W czerwcu 2023, Tim Longin i SEC Consult ujawnili metodę przemytu niechcianych wiadomości przez systemy pocztowe, znaną jako atak SMTP Smuggling, zauważoną po analizie systemu GMX, ale dotyczącą także innych usług jak Exchange Online.
Technika ta wykorzystuje luki w interpretacji końcowego ciągu znaków wiadomości przez serwery, umożliwiając dołączanie dodatkowych treści, które mogą być wykorzystywane do oszustw czy ataków phishingowych. Ta metoda inspirowana jest wcześniejszymi badaniami nad atakami HTTP Smuggling. SEC Consult opublikowało szczegóły techniczne, podkreślając, że problem ma korzenie w starych wersjach oprogramowania niespełniających nowoczesnych standardów bezpieczeństwa.
Kontrowersje wzbudziła reakcja producentów oprogramowania, z których niektórzy, jak Microsoft i GMX, szybko zareagowali, podczas gdy inni, jak Cisco, nie uznali problemu za błąd bezpieczeństwa.
W odpowiedzi, systemy pocztowe takie jak Postfix, Exim i Sendmail wprowadziły aktualizacje zabezpieczeń, wymagające od administratorów zmian konfiguracji.
Fałszywy konkurs z wizerunkiem Dody
Na Facebooku konta podszywającego się pod popularną piosenkarkę Dodę pojawił się live z jej udziałem. Prawdopodobnie był to skradziony filmik. W treści posta informacja o konkursie.
Jest to pułapka na nieświadomych użytkowników, którzy są przekierowywani na stronę, gdzie pod pretekstem odbioru nagrody mogą stracić pieniądze lub przekazać oszustom wrażliwe dane osobowe.
Doda, zwracając się do swoich fanów, nie kryła frustracji: „Mówiłam o tym sto razy, ale widocznie muszę powiedzieć po raz sto pierwszy”. Artystka podkreśliła, że to już nie pierwszy raz, kiedy oszuści wykorzystują jej wizerunek do przeprowadzania podejrzanych akcji. W przeszłości podobne sytuacje miały już miejsce, co czyni ją jedną z wielu celebrytów, których wizerunek został wykorzystany przez oszustów.
Apeluje do swoich fanów, by byli bardziej ostrożni i nie dawali się łatwo zwieść pozornie atrakcyjnym, ale fałszywym konkursom. Jej słowa są przestrogą dla wszystkich, aby z większą uwagą podchodzili do tego, co znajdują w sieci, szczególnie gdy w grę wchodzą ich dane osobowe.
Gigantyczny atak cybernetyczny paraliżuje ukraińskiego operatora GSM
W grudniu 2023 roku, Kyivstar, największy operator GSM na Ukrainie obsługujący około 24 miliony klientów, padł ofiarą bezprecedensowego cyberataku. Incydent spowodował poważne zakłócenia w komunikacji telefonicznej i dostępie do Internetu mobilnego. Atak, uznawany za profesjonalnie zaplanowany i wykonany, sparaliżował kluczowe elementy infrastruktury telekomunikacyjnej firmy.
Szczegółowe śledztwo wykazało, że przestępcy mieli dostęp do systemów IT Kyivstar co najmniej od maja 2023 roku, co pozwoliło na pełną eskalację w grudniu. Ostatecznie, cyberatak zniszczył znaczną część wirtualnych serwerów i komputerów, co Illia Vitiuk z ukraińskiej służby bezpieczeństwa określił jako jeden z pierwszych przypadków tak destrukcyjnego cyberataku w historii.
Całe zdarzenie podkreśla rosnące zagrożenie cybernetyczne na arenie międzynarodowej, z Rosją jako potencjalnym źródłem ataku.
Uniwersytet Zielonogórski zaatakowany przez hakerów
Uniwersytet Zielonogórski poinformował o poważnym incydencie bezpieczeństwa, który miał miejsce w pierwszych dniach stycznia 2024 roku. Z raportu opublikowanego przez uczelnię wynika, że w nocy z 5 na 6 stycznia doszło do zorganizowanego ataku cybernetycznego, który skierowany był na infrastrukturę Centrum Przetwarzania Danych. Następstwem tego zdarzenia jest całkowite wyłączenie z użytku serwisów internetowych, które są obsługiwane przez wirtualizowane środowisko Centrum Komputerowego na terenie uczelni.
Lista systemów, które zostały wyłączone, obejmuje między innymi Pocztę UZ – z planowanym terminem przywrócenia usługi na dzień 10 stycznia 2024, System Centralnego Druku, system do pobierania kluczy do sal wykładowych z depozytora oraz systemy biblioteczne. Mimo tej sytuacji, uczelnia zapewnia, że zajęcia kontynuowane są bez zakłóceń.
Fałszywe profile lotniska Chopina
Ekipa zarządzająca oficjalnym profilem Lotniska Chopina na Facebooku alarmuje o pojawieniu się fałszywych kont, które nieautoryzowanie wykorzystują jego nazwę. Te fałszywe konta reklamują możliwość zakupu bagażu za jedyne 13 złotych, podając to za część rzekomej akcji charytatywnej.
Nazwa fałszywego profilu – „Warsaw Chopin Airport”, na pierwszy rzut oka może wyglądać identycznie jak oficjalny, anglojęzyczny profil lotniska. Jednak fałszywy profil wyróżnia się niewielką liczbą polubień i obserwujących, co może być jednym z sygnałów ostrzegawczych, choć nie zawsze jednoznacznym.
Dla porównania, autentyczny, polskojęzyczny profil Lotniska Chopina cieszy się znacznie większym zainteresowaniem, posiadając ponad 123 tysiące polubień i 136 tysięcy obserwujących, co stanowi wyraźny kontrast do podejrzanej strony.
Fałszywa strona promuje link prowadzący do już zablokowanej przez CERT Polska strony. Warto zaznaczyć, że prawdziwe Lotnisko Chopina korzysta z portalu Linktree do katalogowania swoich oficjalnych profili w mediach społecznościowych, co stanowi dodatkowe źródło weryfikacji.
Nowa metoda oszustwa “na kryptowaluty”. Kobieta została oszukana dwa razy
Oszustwa inwestycyjne związane z kryptowalutami nie są niczym nowym, jednak policja z Brzegu zauważyła niepokojący trend w metodach działania cyberprzestępców. Opowieść jednej z ofiar rzuca światło na ewoluujące podejście oszustów, które przynosi im jeszcze większe zyski.
Kilka miesięcy temu, 57-letnia mieszkanka powiatu brzeskiego stała się ofiarą cyberoszustwa. Oszust, podając się za doradcę inwestycyjnego, przekonał kobietę do zainstalowania na jej telefonie aplikacji, która umożliwiła mu zdalną kontrolę nad urządzeniem. Następnie nakłonił ją do przekazania kodów autoryzacyjnych do przelewów. W rezultacie kobieta straciła ponad 70 000 złotych, wierząc, że inwestuje w kryptowaluty.
Jednak to nie koniec historii. Pod koniec roku oszust ponownie skontaktował się z kobietą. Tym razem podając się za pracownika kancelarii prawnej obiecał jej pomoc w odzyskaniu utraconych środków. Podczas kolejnej serii działań, w które oszust ją wmanewrował, na jej rachunku bankowym otworzono linię kredytową, a następnie z konta zniknęła kolejna znacząca suma – ponad 30 000 złotych.
To zdarzenie podkreśla, że oszuści nie tylko powracają do swoich ofiar z nowymi, wyrafinowanymi metodami, ale także że ich techniki są coraz bardziej zaawansowane i trudniejsze do szybkiego rozpoznania. Historia ta pokazuje również, jak ważna jest ciągła edukacja i świadomość zagrożeń płynących z cyberprzestrzeni, aby nie paść ofiarą podobnych oszustw.
Fałszywy wpis na X wpłynął na kurs Bitcoina
W niedawnym incydencie, profil amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC) stał się celem cyberprzestępców, co zaowocowało publikacją wpisu sugerującego, że Komisja zatwierdziła fundusze inwestycyjne oparte na Bitcoinie (Bitcoin ETF). Chociaż informacja ta wydawała się pochodzić z oficjalnego źródła, w rzeczywistości była efektem przejęcia konta przez osoby trzecie.
Zgodnie z raportem agencji Reuters, wpis był widoczny przez około 20 minut, ale to wystarczył, by wywołać znaczące turbulencje na rynku kryptowalut. Efektem fałszywej wiadomości był gwałtowny wzrost kursu Bitcoina do 48 000 dolarów, po czym równie szybko nastąpił spadek wartości do 45 000 dolarów.
Platforma X potwierdziła, że atakujący uzyskał dostęp do konta SEC przez numer telefonu powiązany z profilem, zauważając jednocześnie, że na koncie nie było aktywowanej funkcji dwuetapowej weryfikacji (2FA), która mogłaby potencjalnie zapobiec takiej sytuacji.
To zdarzenie podkreśla znaczenie zabezpieczeń kont w mediach społecznościowych, zwłaszcza dla instytucji o dużym wpływie na rynki finansowe. Ponadto, stanowi przypomnienie dla inwestorów i obserwatorów rynku o konieczności weryfikacji informacji pochodzących z mediów społecznościowych, zwłaszcza tych, które mogą mieć wpływ na decyzje inwestycyjne.
Ponowny Wyciek Danych Pacjentów z Laboratoriów ALAB
Najnowsze doniesienia ujawniają, że dane pacjentów korzystających z usług diagnostycznych sieci laboratoriów ALAB ponownie znalazły się w darknecie. Tym razem wyciek prezentuje się w bardziej niepokojący sposób.
Wcześniej informowaliśmy o dwóch wyciekach danych z laboratoriów ALAB, które okazały się jednymi z najpoważniejszych incydentów w branży medycznej w ostatnich latach. Pierwszy z nich miał miejsce pod koniec listopada i dotyczył danych tysięcy pacjentów. Za atakiem stała grupa przestępcza, która wykorzystała oprogramowanie ransomware, a następnie opublikowała dane osobowe pracowników ALAB.
Obecny wyciek, uznawany za trzecią fazę naruszenia bezpieczeństwa danych, został opublikowany w darknecie. Zawiera on uporządkowaną publikację danych, składającą się z katalogu oraz plików ZIP (2,8 GB) i tar.gz (1.9 GB).
Struktura wycieku jest alarmująca – zawiera on katalog o nazwie „pesel”, w którym znajduje się 1228 podkatalogów, zazwyczaj nazwanych czterema cyframi, co odpowiada początkowi numeru PESEL poszczególnych osób. W każdym z tych katalogów umieszczone są pliki XML z informacjami o przeprowadzonych badaniach diagnostycznych i ich wynikach. Tak szczegółowa organizacja danych znacznie ułatwia identyfikację i sprawdzenie danych konkretnych osób bez potrzeby pobierania ogromnych ilości danych przez sieć TOR.
Ponadto, w przeciwieństwie do wcześniejszych założeń, wyciek nie ogranicza się wyłącznie do danych z trzech przychodni. Analiza opublikowanych plików ujawnia, że dotyczą one również pacjentów z innych placówek z całej Polski, w tym z Poznania, Pułtuska, Krakowa, Grudziądza, czy Szczecinka, i obejmują wyniki analiz z lat 2015-2016.
Ta kolejna faza wycieku pokazuje, że informacje zostały zorganizowane w sposób, który maksymalizuje ryzyko naruszenia prywatności pacjentów, podkreślając powagę sytuacji i potrzebę ścisłego monitorowania swoich danych osobowych, zwłaszcza w kontekście usług medycznych.
Rozbita grupa oszustów SMS: Akcja CBZC
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), wspierane przez funkcjonariuszy Centralnego Biura Śledczego Policji (CBŚP) oraz innych formacji, przeprowadziło skoordynowaną akcję przeciwko grupie osób odpowiedzialnych za masowe wysyłanie SMS-ów z fałszywymi informacjami o konieczności dopłaty do paczki czy rachunku za prąd. Operacja, która objęła 23 lokale mieszkalne w 10 województwach, zaangażowała 90 funkcjonariuszy i zakończyła się zatrzymaniem 21 osób, w tym obywateli Ukrainy i Białorusi.
W wyniku działań, które obejmowały szeroko zakrojone przeszukania, zatrzymanym przedstawiono łącznie 161 zarzutów. Wśród oskarżonych pięć osób zostało tymczasowo aresztowanych. Całkowita kwota uzyskana z oszustw wynosiła 2,5 miliona złotych, co pokazuje skalę i zasięg działalności przestępczej tej grupy.
Akcja ta jest dowodem na to, że polskie służby są coraz skuteczniejsze w lokalizowaniu i rozpracowywaniu zorganizowanych grup cyberprzestępczych. Te działania nie tylko przyczyniają się do zwiększenia bezpieczeństwa cyfrowego obywateli, ale także podnoszą świadomość społeczną na temat zagrożeń płynących z cyberprzestrzeni.
Cyberataki na HP i Microsoft
Niedawne ataki na skrzynki pocztowe firm Hewlett Packard Enterprise (HPE) oraz Microsoft ujawniły, że nawet najbardziej zaawansowane korporacje mogą paść ofiarą cyberprzestępców. Grupa hakerska APT29, znana również jako Midnight Blizzard, uzyskała dostęp do poufnych informacji, co skutkowało poważnymi naruszeniami bezpieczeństwa.
W przypadku HPE, atak ujawniony został w oficjalnym dokumencie zgłoszonym do Amerykańskiej Komisji Papierów Wartościowych i Giełd. Odkryto, że cyberprzestępcy uzyskali dostęp do systemu pocztowego firmy już w maju 2023, wyprowadzając dane z wybranych skrzynek pocztowych, w tym z działu cyberbezpieczeństwa. Firma podjęła natychmiastowe działania, angażując zewnętrznych ekspertów w celu zabezpieczenia systemów i rozpoczęcia śledztwa.
Z kolei Microsoft doświadczył ataku metodą „password spraying”, co umożliwiło hakerom dostęp do starych kont mailowych niektórych pracowników, w tym tych z działu cyberbezpieczeństwa. Mimo że atak nie wpłynął na dane klientów ani na działalność produkcyjną firmy, stanowił on poważne ostrzeżenie dla całej branży technologicznej.
Oba przypadki pokazują, jak ważne jest ciągłe monitorowanie i aktualizowanie systemów bezpieczeństwa, a także przypominają o konieczności stosowania wieloetapowego uwierzytelniania. Ataki te podkreślają również zmieniającą się naturę zagrożeń cybernetycznych i konieczność szybkiego dostosowywania się do nich przez korporacje na całym świecie.
Grupa APT29, odpowiedzialna za te ataki, jest znana z zaawansowanych technik, ale też spear-phishingu i wykorzystywania znanych podatności. Jej działania, ukierunkowane głównie na instytucje rządowe i duże korporacje, mają na celu zdobycie wrażliwych informacji i wywieranie wpływu na globalną politykę i gospodarkę.
Te incydenty są przypomnieniem dla wszystkich organizacji o konieczności inwestowania w zaawansowane rozwiązania bezpieczeństwa i edukacji pracowników, aby zapobiegać przyszłym atakom i minimalizować ich skutki.
Producent laptopów ofiarą phishingu
Firmy na całym świecie nadal padają ofiarami zaawansowanych ataków phishingowych, a niedawne wydarzenia wokół Framework Computer Inc, znanego z produkcji modułowych i łatwo naprawialnych laptopów, potwierdzają, że nawet najbardziej innowacyjne przedsiębiorstwa nie są od nich wolne.
Na jednym z forów społecznościowych użytkownik o pseudonimie Crystalyne podzielił się mailową korespondencją, która ujawniła naruszenie bezpieczeństwa danych. Zdarzenie, do którego doszło niedawno, skutkowało nieautoryzowanym przekazaniem informacji o zamówieniach, w tym danych osobowych klientów takich jak imię, nazwisko, adres email oraz szczegóły płatności, przez pracownika księgowości bezpośrednio do rąk cyberprzestępców.
W odpowiedzi na te wydarzenia, Framework zlecił przeprowadzenie audytu bezpieczeństwa danych firmie Keating Consulting oraz zorganizował szkolenia dla swoich pracowników w celu zwiększenia świadomości na temat zagrożeń cybernetycznych.
Chociaż Polska nie należy do regionów obsługiwanych przez producenta, co ogranicza bezpośrednie skutki tego incydentu dla polskich konsumentów, to jednak przypadek ten stanowi ważne przypomnienie o nieustającej potrzebie czujności. Dane, które wyciekły, mogą być wykorzystane przez oszustów do przeprowadzenia dodatkowych ataków, na przykład wymuszając ponowne płatności od klientów.
Aby uniknąć podobnych pułapek, ważne jest, aby pracownicy byli świadomi różnych form ataków socjotechnicznych, od prostych prób phishingu po bardziej zaawansowane techniki jak SMTP Smuggling. Uświadomienie zagrożeń i odpowiednie szkolenia mogą skutecznie zabezpieczyć przed potencjalnymi atakami, nawet jeśli cyberprzestępcy dysponują czasem i zasobami, aby dostosować swoje metody.
Możliwy wyciek danych w Wojewódzkim Szpitalu Specjalistycznym we Włocławku
Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku poinformował o niepokojącym incydencie, który miał miejsce 11 stycznia 2024 roku. Szpital zgłosił utratę jednego z nośników danych, który z założenia był wykorzystywany jako terminal dostępowy do aplikacji, a nie do przechowywania danych osobowych. Jednakże, z powodu utraty tego urządzenia, obecnie nie można dokładnie zweryfikować, czy i jakie dane osobowe mogły zostać naruszone.
Szczególnie dotyczy to Oddziału Kardiologii, gdzie istnieje ryzyko, że poufność danych pacjentów mogła zostać naruszona. Aby zadbać o dobro pacjentów, szpital opublikował ostrzeżenie na swojej stronie internetowej, skierowane również do osób, których nie jest w stanie bezpośrednio powiadomić o zdarzeniu.
W dalszych informacjach wyjaśniono, że problem został odkryty podczas naprawy komputera z Oddziału Kardiologii, w którym stwierdzono brak dysku twardego. Ten komputer służył przede wszystkim do logowania się do systemów informatycznych szpitala, przechowywanych na serwerze zewnętrznym, a jego ograniczona pamięć uniemożliwiała przechowywanie dużych ilości danych. Niemniej jednak, brak możliwości dokładnej weryfikacji zawartości dysku rodzi obawy, czy nie zawierał on przypadkowo danych logowania czy plików tymczasowych, w tym potencjalnie wrażliwych danych pacjentów.
To zdarzenie rzuca światło na kilka kluczowych kwestii związanych z bezpieczeństwem danych w placówkach medycznych, w tym na konieczność stosowania szyfrowania dysków (FDE) oraz ryzyko związane z ewentualnym przechowywaniem na nich wrażliwych informacji, nawet w formie plików tymczasowych.
Bank Spółdzielczy w Zambrowie ofiarą ransomware
Bank Spółdzielczy w Zambrowie stał się celem cyberataku typu ransomware, co wywołało poważne zakłócenia w jego działaniu. Informacje o incydencie zaczęły napływać od zaniepokojonych klientów banku, którzy zauważyli problemy z dostępem do usług bankowych online.
Początkowo bank komunikował o problemach, określając je jako „awarię”, jednakże późniejsze szczegóły wyjaśniły, że 16 stycznia 2024 roku doszło do zaszyfrowania danych klientów. Bank szybko podjął kroki mające na celu zabezpieczenie systemów informatycznych i rozpoczął prace nad przywróceniem pełnej funkcjonalności swoich usług, zapewniając, że niezwłocznie poinformuje klientów o przywróceniu dostępu do bankowości elektronicznej.
Mimo poważnego charakteru ataku, bank zrzeszony w Grupie BPS, potwierdził, że incydent ma charakter izolowany i nie wpłynie na bezpieczeństwo danych w innych bankach spółdzielczych należących do zrzeszenia. Zaktualizowane informacje wskazują, że usługi bankowości elektronicznej zostały już przywrócone, a klientom umożliwiono korzystanie z kart płatniczych oraz wypłaty gotówki w bankomatach i oddziałach.
Wyższa Szkoła Gospodarki w Bydgoszczy ofiarą ransomware
Wyższa Szkoła Gospodarki w Bydgoszczy poinformowała swoich studentów o cyberataku, który miał miejsce 17 stycznia 2024 roku, co mogło narazić dane osobowe studentów. Uczelnia, choć nie podała szczegółów dotyczących rodzaju ataku, przyznała, że doszło do zablokowania możliwości odczytu danych z serwerów, co wskazuje na potencjalne użycie oprogramowania ransomware.
Z przeprowadzonej analizy nie wynika jednoznacznie, czy dane zostały wykradzione, jednak wśród potencjalnie narażonych informacji znajdują się takie dane jak imiona i nazwiska, adresy zamieszkania, adresy mailowe, numery PESEL, NIP, telefony oraz szczegóły dotyczące przebiegu edukacji. Po wykryciu zagrożenia, uczelnia szybko zareagowała, blokując dostęp do systemów informatycznych i informując o sytuacji odpowiednie instytucje, w tym organy ścigania i CERT Polska.
Systemy Anydesk zhackowane
W oświadczeniu od AnyDesk pojawiła się niepokojąca wiadomość o potencjalnym zagrożeniu bezpieczeństwa dotykającym ich systemów. Firma szybko zareagowała na otrzymane sygnały, przystępując do gruntownego przeglądu swoich zabezpieczeń. Wynik audytu był niepokojący – odkryto, że systemy produkcji padły ofiarą cyberataku.
W odpowiedzi na to odkrycie, AnyDesk podjęło natychmiastowe kroki, aby zaradzić sytuacji. Wszystkie certyfikaty związane z bezpieczeństwem zostały anulowane, a systemy poddane naprawie lub wymianie. Firma zapowiedziała również, że niedługo anuluje obecny certyfikat do podpisywania kodu swoich plików binarnych, jednocześnie rozpoczynając proces wprowadzenia nowego certyfikatu.
Rozmowa z portalem BleepingComputer ujawniła dodatkowe szczegóły – skradziono kod źródłowy oraz certyfikat służący do podpisywania binarek. Ta informacja nasuwa niepokojące przypuszczenia o możliwości, że pliki dostępne na stronie AnyDesk mogły przez pewien czas zawierać złośliwe oprogramowanie. Chociaż firma oficjalnie odcina się od tego scenariusza, to wydaje się, że podjęto szereg działań ostrożnościowych.
Dodatkowo, wszyscy użytkownicy portalu my.anydesk.com zostali poproszeni o zmianę haseł jako środek zapobiegawczy. Firma apeluje również do tych, którzy mają zwyczaj powtarzania haseł w różnych serwisach, aby również tam dokonali zmiany swoich danych dostępowych.
Chociaż cała sytuacja wydaje się być reakcją na bieżący kryzys, AnyDesk podkreśla swoje zaangażowanie w ochronę danych użytkowników i systematyczne wzmacnianie swoich systemów bezpieczeństwa.
Fałszywy rekruter
Podstępny atak zaczął się niewinnie – rozmowa na Twitterze, która szybko przerodziła się w kuszącą propozycję pracy. Oferta brzmiała niemalże bajecznie: staż z wynagrodzeniem $1500 tygodniowo za kilka godzin pracy, bez konieczności rezygnacji z obecnej posady. Aby podkreślić wiarygodność, konto oszusta było obserwowane przez znane osoby, co miało zwiększyć zaufanie ofiary.
Niestety, za tą atrakcyjną propozycją kryło się oszustwo. Po pierwszych wymianach zdań, kandydatowi zaproponowano podpisanie umowy o poufności (NDA), co samo w sobie nie jest niczym niezwykłym. Jednakże, do przeglądania dokumentu sugerowano pobranie specyficznej wersji czytnika PDF – Foxit Reader. Z pozoru niewinne polecenie miało ukryty motyw. Proponowana wersja programu zawierała luki bezpieczeństwa, które umożliwiały zainfekowanie komputera po samym otwarciu pliku PDF. Ten, choć wizualnie pusty, był zaprojektowany tak, by wprowadzić złośliwe oprogramowanie do systemu ofiary.
Fałszywe sklepy na polskim Facebooku
Ostatnio na polskim Facebooku pojawiła się fala fałszywych reklam i stron, wykorzystujących autentyczne logo i nazwy renomowanych sklepów takich jak Komputronik, x-kom, MediaMarkt czy Neonet. Pomimo licznych zgłoszeń od użytkowników, platformie nie udaje się skutecznie radzić z tym problemem. Fałszywe reklamy i strony nadal pozostają aktywne, często przez tydzień lub dłużej, prowadząc do oszustw finansowych i wyłudzania danych osobowych.
Schemat oszustwa jest prosty, ale skuteczny. Na fałszywych stronach Facebooka pojawiają się posty oferujące atrakcyjne rabaty na produkty. Jednak, aby skorzystać z „promocji”, użytkownicy są proszeni o podanie swoich danych osobowych oraz informacji o karcie płatniczej, co prowadzi do ich wyłudzenia.
Jeszcze bardziej zatrważające jest to, że system moderacji Facebooka nie wydaje się skutecznie reagować na zgłoszenia użytkowników dotyczące fałszywych treści. Często zgłaszający otrzymują odpowiedzi, że zgłoszony post „nie narusza zasad społeczności”, a czasem nawet dochodzi do sytuacji, gdzie usunięty zostaje post ostrzegający przed oszustwem, zamiast tego zawierającego fałszywą reklamę.
W obliczu takiego stanu rzeczy, ważne jest, aby podchodzić z dużą dozą ostrożności do wszelkich postów i reklam na Facebooku, które obiecują nieprawdopodobnie korzystne oferty. Zaleca się dokładne weryfikowanie autentyczności stron i profili, nawet jeśli na pierwszy rzut oka wydają się one wiarygodne. Nie należy podawać swoich danych osobowych ani informacji o kartach płatniczych, jeśli mamy jakiekolwiek wątpliwości co do źródła oferty.
Atak cybernetyczny na Ministerstwo Obrony Holandii
Z niedawnej analizy wynika, że ministerstwo obrony Holandii padło ofiarą znaczącego ataku cybernetycznego w 2023 roku. Cyberprzestępcy uzyskali dostęp do sieci ministerstwa, wykorzystując istniejącą lukę w zabezpieczeniach urządzeń Fortigate. Ta podatność, będąca rodzajem błędu przepełnienia bufora w SSL-VPN, umożliwiła im wykonanie kodu na urządzeniu bez potrzeby autoryzacji.
Co godne podkreślenia, problematyczna podatność została zidentyfikowana i naprawiona już w grudniu 2022 roku. Niemniej jednak, urządzenie pozostało niezabezpieczone aż do momentu ataku w roku następnym, co podkreśla znaczenie terminowej aktualizacji oprogramowania.
Atakujący zastosowali zaawansowane złośliwe oprogramowanie, które charakteryzuje się zdolnością do unikania wykrycia, a także do utrzymania obecności w systemie nawet po restarcie urządzenia czy aktualizacji oprogramowania systemowego. Jest to szczególnie niepokojące, gdyż nawet urządzenia z najnowszym firmware mogą być zainfekowane.
Raport zawiera również instrukcje, jak zidentyfikować i trwale usunąć złośliwe oprogramowanie, podkreślając przy tym, że malware utrzymuje komunikację z kontrolerami poprzez zabezpieczone połączenie SSL.
Za atakiem prawdopodobnie stoi grupa hakerska powiązana z rządem Chin. Szybkość ich działania jest godna uwagi – są w stanie wykorzystać nowo odkryte luki niemal natychmiast po ich ujawnieniu. Jednakże, dzięki skutecznej segmentacji sieci wewnątrz ministerstwa, możliwe było ograniczenie rozprzestrzeniania się ataku. Ta strategia okazała się kluczowa w minimalizowaniu skutków incydentu.
Ten przypadek stanowi ważne przypomnienie o nieustannej potrzebie monitorowania i aktualizacji systemów bezpieczeństwa w celu ochrony przed podobnymi zagrożeniami cybernetycznymi. Skuteczna segmentacja sieci oraz szybka reakcja na nowe podatności mogą znacząco ograniczyć potencjalne szkody wynikające z ataków hakerskich.
Alarmujący Raport: Przygotowania do Cyberataków na USA przez Chiny
Niedawno opublikowany raport rzuca światło na działania cybernetyczne sponsorowane przez rząd Chińskiej Republiki Ludowej. Dokument wskazuje, że chińscy hakerzy celowo infiltrują sieci IT w Stanach Zjednoczonych, przygotowując grunt pod potencjalne zakłócenia lub destrukcyjne cyberataki na amerykańską infrastrukturę krytyczną, na wypadek poważnego kryzysu lub konfliktu z USA.
Grupa hakerska określana jako Volt Typhoon, jak wynika z raportu, potrafiła pozostać niezauważona w sieciach nawet przez pięć lat. Zaatakowane sektory obejmują telekomunikację, energetykę, transport oraz gospodarkę wodną. Przestępcy dążą do uzyskania kontroli nad sieciami przemysłowymi (OT) poprzez początkową penetrację sieci IT.
Przed atakiem, Volt Typhoon prowadzi gruntowny rekonesans celów, dostosowując swoje techniki ataku w oparciu o zgromadzone informacje. Używają przy tym narzędzi takich jak FOFA, Shodan i Censys do pasywnego rekonesansu, starając się jednocześnie minimalizować ryzyko wykrycia poprzez działania takie jak unikanie ataków w godzinach pracy ofiary.
Atakujący uzyskują dostęp do celów wykorzystując luki zero-day w popularnych systemach, takich jak VPNy, firewalle i routery.Po przejęciu kontroli nad kontrolerem domeny, hakerzy kradną i crackują dane uwierzytelniające, zachowując przy tym ostrożność, aby nie zwrócić na siebie uwagi i pozostać w ukryciu do momentu finalnego ataku.
Ciekawym aspektem strategii Volt Typhoon jest tunelowanie ruchu do ich centrum kontrolnego za pomocą zhackowanych urządzeń IoT i przejętych VPSów, co dodatkowo utrudnia śledzenie ich działań.
Raport zawiera również rekomendacje dla organizacji na wypadek wykrycia infekcji lub podejrzenia ataku, zalecając między innymi aktualizacje oprogramowania, zwiększenie bezpieczeństwa, przeprowadzanie testów penetracyjnych, oraz odpowiednią higienę przechowywania haseł. Dodatkowo, podkreślono znaczenie segmentacji sieci i skutecznego monitorowania bezpieczeństwa infrastruktury, aby zabezpieczyć się przed tego rodzaju zagrożeniami.
Ten raport stanowi ważne przypomnienie o rosnącym zagrożeniu cybernetycznym i konieczności ciągłej czujności oraz proaktywnych działań w celu ochrony infrastruktury krytycznej przed potencjalnymi atakami.
Cyberataki rosyjskich grup na polskie organizacje wspierające Ukrainę
Konflikt na Ukrainie rozszerzył swoje pole działania także do cyberprzestrzeni, gdzie zaobserwowano wzmożoną aktywność grup hakerskich, zwłaszcza tych powiązanych z Rosją. Oprócz ataków na wojskowe i krytyczne infrastruktury, te grupy skupiają się również na organizacjach oferujących wsparcie Ukrainie.
Cisco Talos ujawnia działania grupy Turla, znanej również pod nazwami ATK13, Blue Python, czy UNC4210, aktywnej od dłuższego czasu i odpowiedzialnej za cyberatak na różne cele na terenie USA, Unii Europejskiej, oraz Azji. Najnowsze odkrycie Talos, we współpracy z CERT.NGO, dotyczy kampanii wymierzonej w polskie organizacje pozarządowe, trwającej potencjalnie od listopada poprzedniego roku. Użyte w atakach oprogramowanie, choć podobne do wcześniejszych wersji wykorzystywanych przez Turlę, zostało zaktualizowane i nazwane TinyTurla-NG (NG oznacza Next Generation).
Hakerzy wykorzystują przejęte instancje WordPress jako serwery C2 (command and control), konfigurując podatne strony za pomocą skryptów kontrolnych z rozszerzeniem „.old.php”. Każda próbka złośliwego oprogramowania zawiera konfigurację dwóch serwerów C2. TinyTurla-NG, działając jako współdzielona biblioteka DLL i uruchamiana przez svchost.exe jako usługa, wykorzystuje obiekty Event do synchronizacji i po zidentyfikowaniu wersji PowerShella oraz systemu operacyjnego, rejestruje się na wyznaczonym serwerze C2.
Po początkowym etapie, malware czeka na polecenia z serwera C2, wykonując je przy pomocy PowerShella lub cmd.exe. Komunikacja z C2 odbywa się za pośrednictwem zapytań HTTP, a oprogramowanie może otrzymywać zadania do wykonania lub pliki wykonywalne do uruchomienia na zainfekowanych systemach. Dodatkowo, TTNG uniemożliwia zapisywanie historii poleceń w PowerShellu, aby utrudnić śledzenie swoich działań.
Na serwerach C&C zaimplementowano system logowania komend, wiadomości od malware oraz komunikacji z beaconem, co pozwala na dokładniejsze monitorowanie działalności złośliwego oprogramowania. Grupa Turla stosuje także technikę COM Hijacking, aby utrzymać dostęp do przejętych systemów, eksfiltrując dane. Głównym celem działań wydają się być poświadczenia dostępu do baz danych i managerów haseł, a zebrane dane są przesyłane do serwerów C2.
Chociaż nie ujawniono, które dokładnie organizacje zostały zaatakowane, Talos opublikował listę wskaźników kompromitacji (IOC) na GitHubie, co może pomóc w identyfikacji i ochronie przed podobnymi zagrożeniami w przyszłości.
Podłączył koparkę kryptowalut do transformatora – nietypowa sytuacja na Dolnym Śląsku
Historia, która przykuła uwagę policji w Głogowie, to niecodzienny przypadek wykorzystania energii elektrycznej. Sprawca, dysponując zaawansowanym sprzętem w postaci koparek kryptowalut oraz routera internetowego, zdecydował się na bezpośrednie podłączenie tych urządzeń do lokalnego transformatora. Działanie to, omijające standardowe mierniki elektryczne oraz główny wyłącznik, zostało wykonane przy użyciu specjalnych bezpieczników mających na celu ochronę urządzeń przed potencjalnymi uszkodzeniami.
Chociaż router internetowy sam w sobie nie jest znaczącym odbiornikiem energii, to koparki kryptowalut należą do sprzętów o bardzo wysokim zapotrzebowaniu na prąd. Za tą nielegalną instalacją stał 48-letni mieszkaniec Głogowa, posiadający odpowiednie kwalifikacje umożliwiające mu profesjonalne przeprowadzenie całej operacji w taki sposób, aby uniknąć wykrycia przez dostawcę energii.
Mężczyzna ten został zatrzymany przez funkcjonariuszy Wydziału Kryminalnego. Czeka go odpowiedzialność karna za kradzież energii elektrycznej, której wartość szacuje się na co najmniej 10.000 zł. Dodatkowo, w świetle dokonanych czynów, sprawca prawdopodobnie straci swoją pracę.
Ten incydent przypomina o innym przypadku nieautoryzowanej kopalni kryptowalut, która została odkryta kilka miesięcy temu w siedzibie polskiego Narodowego Funduszu Ochrony Środowiska i Gospodarki Wodnej w Warszawie. Oba te zdarzenia rzucają światło na rosnącą kreatywność osób poszukujących sposobów na nielegalne wydobycie kryptowalut przy jednoczesnym unikaniu kosztów związanych z zużyciem energii.
Producent kamer przypadkowo udostępnił prywatne nagrania użytkowników
Popularne kamery Wyze, cenione przez użytkowników za ich estetykę, prostotę instalacji i łatwość obsługi, stały się przedmiotem niepokojącego incydentu bezpieczeństwa. Problem rozpoczął się w pewien piątkowy wieczór, gdy liczni klienci zaczęli zgłaszać trudności z logowaniem i łączeniem się z ich urządzeniami. Wkrótce po tym, producent ujawnił, że przyczyną kłopotów był jeden z partnerów – AWS. Chociaż usługi zostały stopniowo przywrócone tego samego dnia wieczorem, Wyze szybko uświadomiła swoim użytkownikom, że przerwa w dostawie usług była połączona z poważniejszym problemem bezpieczeństwa, skutkującym tymczasowym wyłączeniem możliwości przeglądania zapisanych zdarzeń w aplikacji.
Niewielki odsetek kamer, około 0,25%, znalazł się w centrum uwagi, gdy około 13 tys. użytkowników otrzymało możliwość wglądu w miniaturki nagrań należących do innych osób. 1504 osoby zdecydowały się kliknąć te miniaturki. Choć w większości przypadków akcja ta skutkowała jedynie powiększeniem obrazka, istniała możliwość odtworzenia prywatnych filmów z domów lub posesji innych użytkowników.
Firma Wyze podjęła natychmiastowe działania, informując o zdarzeniu swoich klientów poprzez serię maili, kierowanych do różnych grup zależnie od stopnia zaangażowania w incydent. Jak wyjaśniono, do problemu doszło na skutek niedopracowania nowo zintegrowanej biblioteki klienta pamięci podręcznej, która nie była gotowa na nagły wzrost obciążenia. To z kolei spowodowało pomyłkę w identyfikatorach urządzeń i użytkowników w momencie masowego przywracania usług.
Aby zapobiec podobnym incydentom w przyszłości, Wyze wdrożyła dodatkową warstwę weryfikacji dostępu do nagrań i zapowiedziała przeprowadzenie intensywniejszych testów obciążeniowych nowych bibliotek. Firma zaznaczyła również, że kontynuuje inwestowanie w bezpieczeństwo, prowadząc programy nagród za znalezienie luk, pentesty oraz audyty, co świadczy o jej zaangażowaniu w ochronę prywatności swoich klientów.
Problemy z uprawnieniami w PUE-ZUS: Ostrzeżenie dla pracodawców i pracowników
Niedawne wydarzenia związane z systemem Platformy Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (PUE-ZUS) ujawniły poważny problem, dotyczący zarządzania uprawnieniami do dostępu. Dotyka on nie tylko BNP Paribas Group Service Center (GSC), ale może dotyczyć każdego pracodawcy w Polsce, niezależnie od wielkości firmy czy statusu pracowniczego osób zatrudnionych.
Problem polega na tym, że jeśli pracodawca przyzna pracownikowi dostęp do systemu PUE-ZUS, a następnie zakończy z tą osobą współpracę, bez odpowiedniego odebrania uprawnień, były pracownik nadal ma dostęp do poufnych danych. Co więcej, może dotyczyć to nie tylko informacji o samych pracownikach, ale również o członkach ich rodzin.
Jeszcze bardziej niepokojące jest to, że w przypadku odkrycia, iż na liście osób upoważnionych do dostępu znajduje się ktoś, kto już nie pracuje w firmie, i chęci sprawdzenia, czy ta osoba nie wykorzystywała swojego dostępu, ZUS nie jest w stanie udzielić konkretnej odpowiedzi. Brak logów uniemożliwia ustalenie, czy dane logowanie miało charakter prywatny, czy służbowy.
W lutym ujawniono, że BNP Paribas GSC miała do czynienia z takim incydentem ochrony danych. Były pracownik przez niemal osiem miesięcy miał potencjalnie dostęp do danych osobowych zatrudnionych. Firma poinformowała Urząd Ochrony Danych Osobowych (UODO) o incydencie oraz podjęła próbę ustalenia, czy doszło do wykorzystania tego dostępu. Niestety ZUS nie potrafił stwierdzić, co dokładnie oglądał były pracownik w systemie.
To zdarzenie podkreśla istotną lukę w zabezpieczeniach systemu PUE-ZUS i ogólnie w polityce zarządzania dostępem w wielu firmach. Wymaga to zwiększonej świadomości i odpowiedzialności ze strony wszystkich stron: pracodawców, pracowników oraz instytucji takich jak ZUS.
Spółka BNP Paribas GSC podjęła środki zaradcze, ale to wydarzenie powinno posłużyć jako ostrzeżenie dla innych firm, by regularnie sprawdzały i aktualizowały listę osób upoważnionych do dostępu do systemów zawierających dane osobowe. Wymaga to również, aby instytucje, takie jak ZUS, zrewidowały swoje procedury i wprowadziły bardziej szczegółowe logowanie działalności użytkowników w swoich systemach.
Ostatecznie, ten incydent rzuca światło na szerszą problematykę ochrony danych osobowych w Polsce, podkreślając znaczenie odpowiednich procedur zarządzania uprawnieniami i monitorowania dostępu do systemów zawierających wrażliwe informacje.
USA: Wykorzystanie podatności w systemie aukcyjnym
Evan Coker, uczestnik licznych aukcji w Stanach Zjednoczonych, znalazł lukę w systemie płatności online po wygraniu licytacji na różne przedmioty, takie jak samochody czy biżuteria, przejęte przez służby. Coker wylicytował pojazdy, między innymi Ford pickup F550 za 9000 dolarów oraz Chevrolet C4500 za 22700 dolarów, po czym, korzystając z podatności systemu płatności, zmniejszył kwotę do zaledwie 1 dolara. Wystarczyło mu do tego manipulacja wartością w żądaniu HTTP.
Dzięki temu zabiegowi, system aukcyjny zarejestrował płatności jako zrealizowane, umożliwiając Cokerowi przejęcie przedmiotów za symboliczną kwotę. „Płatnościowy Hacker”, jak został nazwany, zdołał w ten sposób wygrać 19 aukcji, za każdą płacąc tylko 1 dolara. Niektóre z przedmiotów próbował następnie odsprzedać, defraudując w ten sposób około 150 tysięcy dolarów.
Ataki na Glovo, Uber, Bolt i innych dostawców
W ostatnim czasie użytkownicy aplikacji AppJobs, współpracujący z popularnymi firmami dostawczymi jak Bolt, Glovo, Uber, czy Wolt, stanęli przed poważnym problemem. Aplikacja, mająca na celu ułatwienie zarządzania umowami i dostępem do różnych zleceń, stała się źródłem nieautoryzowanego dostępu do wrażliwych danych tysięcy dostawców. Za całe zamieszanie odpowiedzialny jest prawdopodobnie były pracownik AppJobs.
AppJobs.Work to narzędzie stworzone z myślą o kurierach i kierowcach, pozwalające im na łatwe zarządzanie umowami z różnymi serwisami dostaw w jednym miejscu. Oznacza to jednak, że aplikacja gromadziła duże ilości danych osobowych i finansowych swoich użytkowników. Informacje te zostały niedawno wykradzione.
Kurierzy otrzymali od twórców aplikacji wiadomości ostrzegające przed atakami phishingowymi. Mimo zapewnień, że systemy AppJobs nie zostały bezpośrednio zaatakowane, mała czcionka w tych komunikatach zwiastowała znacznie poważniejsze problemy. Wyciek objął m.in. imiona i nazwiska, dane kontaktowe, numery PESEL, informacje o pojazdach, a nawet numery rachunków bankowych i dane o wynagrodzeniach.
Sytuacja wywołała obawy o możliwość wyłudzeń i kradzieży tożsamości. Dodatkowo, na skutek phishingu, kurierzy otrzymywali fałszywe maile z prośbą o potwierdzenie danych bankowych.
Z badań firmy wynika, że za całe zdarzenie odpowiedzialny może być były pracownik, który nadużył swojego dostępu do wewnętrznych systemów. To on, dysponując wiedzą i danymi, mógł przeprowadzić atak phishingowy i zebrać informacje o użytkownikach.
W odpowiedzi na incydent, AppJobs podjęło szereg działań mających na celu wzmocnienie bezpieczeństwa danych. Zawiadomiono organy ścigania, ograniczono dostępy do systemów, a użytkowników poinformowano o konieczności zabezpieczenia swoich danych. Firma rozważa również przeprowadzenie audytu bezpieczeństwa IT, aby zwiększyć ochronę przed podobnymi zagrożeniami w przyszłości.
Masowa infekcja repozytoriów na GitHubie
Narasta problem związany z bezpieczeństwem repozytoriów kodu na popularnej platformie GitHub. Według ostatnich raportów, ponad 100 000 repozytoriów padło ofiarą infekcji przez złośliwe oprogramowanie, a eksperci są zdania, że faktyczna liczba może oscylować w granicach milionów. Cyberprzestępcy opracowali zautomatyzowany proces klonowania oryginalnych repozytoriów, do których następnie dodają złośliwy kod. Te zainfekowane kopie, pod takimi samymi nazwami co prawdziwe repozytoria, są potem masowo rozmieszczane na platformie.
Co gorsza, atakujący nie zatrzymują się na samym GitHubie – linki do zainfekowanych repozytoriów rozsiewane są na forach internetowych oraz w serwerach Discord, wykorzystując techniki socjotechniczne do zwabienia niczego nieświadomych użytkowników.
GitHub podejmuje działania mające na celu wyeliminowanie tego zagrożenia, jednak z powodu ciągłego pojawiania się nowych, zainfekowanych repozytoriów, walka z tym problemem okazuje się wyjątkowo trudna.
Alarmujący trend nasilił się szczególnie od połowy 2023 roku, kiedy to cyberprzestępcy zaczęli wykorzystywać zmodyfikowaną wersję złośliwego projektu znanego jako BlackCap-Grabber. Ze względów bezpieczeństwa, szczegóły dotyczące tego projektu nie zostały udostępnione publicznie.
Autorzy raportu podkreślają znaczenie ostrożności przy pobieraniu kodu z GitHuba. W raporcie wskazane są także tzw. IoC (Indicators Of Compromise), czyli wskaźniki kompromitacji, które mogą pomóc w identyfikacji potencjalnie niebezpiecznych repozytoriów.
To przypomnienie dla wszystkich użytkowników platformy o potrzebie zachowania szczególnej ostrożności i krytycznego podejścia do źródeł, z których pobierają kod.
Uwaga na fałszywe SMS-y od „BNP Paribas”!
Polacy stają się celem cyberprzestępców, którzy podszywają się pod znany bank BNP Paribas. Oszuści rozsyłają fałszywe SMSy, alarmując o konieczności weryfikacji tożsamości. Treść SMS-a brzmi następująco:
„BNP Paribas: zweryfikuj swoją tożsamość w przeciwnym razie Twoje konto zostanie tymczasowo zablokowane [LINK]”
Kliknięcie w link zawarty w wiadomości prowadzi niczego nieświadome ofiary na stronę, która na pierwszy rzut oka może wydawać się autentyczną stroną banku BNP Paribas. Jednak w rzeczywistości jest to doskonale zaprojektowana fałszywka, mająca na celu wyłudzenie danych. Podanie swoich informacji na takiej stronie może zakończyć się utratą środków z konta bankowego.
Północnokoreańscy hakerzy celują w producentów półprzewodników
Bleeping Computer przekazało ostrzeżenie Narodowej Służby Wywiadowczej Korei Południowej dotyczące wzmożonej aktywności północnokoreańskich cyberprzestępców. Ich celem są firmy produkujące półprzewodniki, niezbędne w rozwoju technologii AI i przetwarzania danych. Druga połowa 2023 roku przyniosła nasilenie ataków szpiegowskich, skupiających się na serwerach o znanych podatnościach, co otwierało drogę do sieci korporacyjnych.
Po infiltracji, hakerzy koncentrowali się na kradzieży wrażliwych danych, w tym poufnych dokumentów. Wykorzystywana przez nich taktyka „living off the land” polega na używaniu preinstalowanych na urządzeniach programów (w tym standardowych komponentów systemu operacyjnego) do przeprowadzania ataków, co utrudnia ich wykrycie.
Narodowa Służba Wywiadowcza zidentyfikowała co najmniej dwa znaczące ataki – jeden w grudniu 2023 roku, drugi w lutym 2024 roku, które mogły skutkować wyciekiem danych technicznych, w tym rysunków konstrukcyjnych i zdjęć produktów. Choć nie ujawniono, które dokładnie firmy zostały zaatakowane, jasne jest, że cyberprzestępcy mogli zdobyć wartościowe informacje.
Zdaniem NIS, działania te mogą być częścią przygotowań Korei Północnej do uruchomienia własnej produkcji półprzewodników, niezbędnych dla rozwoju technologii wojskowych, w obliczu międzynarodowych sankcji utrudniających dostęp do tych komponentów.
W odpowiedzi na te zagrożenia, NIS zaleca firmom stałe aktualizacje oprogramowania i wdrażanie skutecznych systemów uwierzytelniania, aby zabezpieczyć się przed nieautoryzowanym dostępem.
Krytyczne systemy USA pod ostrzałem cyberataków
Ostatnie doniesienia wskazują na poważne naruszenia bezpieczeństwa, dotyczące wykorzystania podatności w oprogramowaniu VPN firmy Ivanti, znanej wcześniej jako Pulse Secure. Ataki te skupiły się na exploitacji luk, które umożliwiały zdalny nieautoryzowany dostęp do systemów operacyjnych urządzeń.
Zgłoszono, że dwa kluczowe systemy padły ofiarą ataków i zostały natychmiast odłączone od sieci w celu zapobiegania dalszym naruszeniom. Agencja Cyberbezpieczeństwa i Ochrony Infrastruktury (CISA) nie ujawniła bezpośrednio, które systemy zostały skompromitowane, jednak dziennikarze z Recorded Future otrzymali informacje wskazujące na to, że ataki dotyczyły Infrastructure Protection Gateway oraz Chemical Security Assessment Tool (CSAT). Pierwszy z nich przechowuje dane o wzajemnych zależnościach infrastruktury krytycznej w USA, a drugi zawiera plany bezpieczeństwa chemicznego.
Zwraca uwagę fakt, że ataki na oprogramowanie VPN Ivanti mogą utrzymywać się nawet po fabrycznym resecie urządzenia, co pozwala atakującym zachować dostęp do systemów na najwyższym poziomie uprawnień. Dodatkowo, odkryto, że narzędzie dostarczane przez producenta, mające na celu sprawdzenie, czy system został skompromitowany, również posiadało istotne luki.
Sytuacja ta podkreśla rosnące zagrożenie dla krytycznej infrastruktury i systemów bezpieczeństwa, wynikające z nieustannie ewoluujących technik cyberprzestępców i podkreśla potrzebę ciągłej weryfikacji oraz wzmacniania zabezpieczeń kluczowych komponentów sieciowych.
Wtyczki ChatGPT jako narzędzie cyberprzestępców
Firma Salt-Labs ujawnia niepokojące informacje na temat bezpieczeństwa wtyczek do ChatGPT, wskazując na poważne luki, które mogą służyć cyberprzestępcom do kradzieży danych. W dobie dynamicznego rozwoju ekosystemu ChatGPT, podobne zagrożenia mogą przypominać te znane z rozszerzeń przeglądarek internetowych. Co alarmujące, zdobycie dostępu do wrażliwych informacji może odbywać się poprzez pozornie niewinną rozmowę z chatem.
Wtyczki do ChatGPT, oferujące integracje z różnymi zewnętrznymi usługami, stały się celem badań bezpieczeństwa przeprowadzonych przez Salt-Labs. Wśród odkrytych problemów znalazła się możliwość tworzenia złośliwych wtyczek, które mogą być instalowane na kontach użytkowników bez ich wiedzy poprzez nadużycie mechanizmu uwierzytelniania OAuth. Takie działanie umożliwia nie tylko instalację wtyczki, ale również dostęp do poufnych informacji użytkownika.
Jedno z najpoważniejszych zagrożeń dotyczy potencjalnego przejęcia kont użytkowników na zewnętrznych serwisach, takich jak GitHub, bez jakiejkolwiek interakcji z ich strony. Błąd wykryty w frameworku PluginLab, wykorzystywanym do tworzenia wtyczek dla ChatGPT, pozwalał na uzyskanie dostępu do prywatnych repozytoriów na GitHubie, wykorzystując wtyczkę AskTheCode.
Salt-Labs zwraca uwagę na konieczność dokładniejszego sprawdzania przez OpenAI, kto rozpoczyna instalację wtyczki, a także na potrzebę starannego wdrożenia uwierzytelniania OAuth przez deweloperów. Problem nie ogranicza się jednak tylko do jednego narzędzia – podobne luki bezpieczeństwa mogą występować w innych wtyczkach i ekosystemach AI.
Wyciek danych osobowych w Fujitsu
Fujitsu, globalny gigant technologiczny, znany z produkcji półprzewodników i sprzętu komputerowego, a także z działalności w obszarze usług i badania oraz rozwoju (R&D), stanął w obliczu poważnego cyberataku. Firma wydała niedawno oświadczenie, informując o wykryciu złośliwego oprogramowania na niektórych komputerach należących do przedsiębiorstwa.
W wyniku przeprowadzonego wewnętrznego dochodzenia ujawniono, że hakerzy mogli uzyskać dostęp do wrażliwych danych, w tym informacji osobowych klientów Fujitsu. W swoim skąpym komunikacie firma zapewniła, że podjęła standardowe procedury reakcji na incydenty, w tym wzmocnienie monitorowania firmowego sprzętu.
Szczegółowe okoliczności ataku wciąż są przedmiotem dochodzenia. Fujitsu poinformowało również Komisję ds. Ochrony Danych Osobowych o możliwym naruszeniu bezpieczeństwa. Na obecnym etapie przedsiębiorstwo nie posiada informacji na temat ewentualnego nielegalnego wykorzystania skradzionych danych.
To wydarzenie stanowi kolejny przypadek w serii cyberataków dotykających wiodące firmy technologiczne na całym świecie, podkreślając ciągłe zagrożenie dla bezpieczeństwa informacji w erze cyfrowej.
Wyciek danych pacjentów w DCG Centrum Medyczne
DCG Centrum Medyczne, wcześniej znane jako Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny, stanęło w obliczu poważnego wycieku danych osobowych swoich pacjentów. Placówka poinformowała, że złośliwe oprogramowanie zainstalowane na firmowych komputerach pozwoliło cyberprzestępcom na kradzież i ujawnienie danych na forum.
W przesłanej pacjentom wiadomości, centrum przyznało, że wyciek obejmuje szereg danych osobowych, w tym imiona i nazwiska, płeć, daty urodzenia, numery PESEL, adresy zamieszkania, adresy e-mail oraz numery telefonów. Nie wyklucza się również, że mogły zostać ujawnione dane medyczne, takie jak opisy przebiegu leczenia i diagnostyki.
W odpowiedzi na incydent, DCG Centrum Medyczne zgłosiło przestępstwo do organów ścigania. Firma zaleca pacjentom zastrzeżenie numeru PESEL i zachowanie szczególnej ostrożności wobec kontaktów niewiadomego pochodzenia.
Dodatkowe informacje ujawnione przez DCG Centrum Medyczne wskazują, że wyciek dotyczył danych zgromadzonych przez dostawcę oprogramowania AURERO – firmę Medily sp. z o.o. – i obejmował dane osobowe i medyczne pacjentów, informacje o umówionych wizytach, a także dane pracowników placówki. Według spółki Medily, ujawnione dane pochodziły z archiwalnego środowiska testowego i zostały już usunięte z sieci.
W następstwie tego incydentu, DCG Centrum Medyczne oraz Medily podjęły szereg działań mających na celu wzmocnienie bezpieczeństwa danych i zapobieganie podobnym wyciekom w przyszłości, w tym zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych i zobowiązanie do trwałego usunięcia danych.
***
Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.
Poprzednie wydania biuletynu znajdziesz tutaj.