С един поглед.
Nerbian RAT излезе.
Proofpoint описва, в доклад, публикуван тази сутрин, описва нов, OS-агностичен RAT, написан на все по-популярния език Go. Изследователите го наричат "Nerbian" и казват, че той "използва множество анти-аналитични компоненти, разпределени на няколко етапа, включително множество библиотеки с отворен код."
Експлоатирани зависимости на NPM, но с каква цел?
Reversing Labs вчера писа в блог за объркване на зависимостта на NPM, което наскоро беше използвано при атаки срещу големи германски фирми. „Новите npm пакети, открити миналата седмица от ReversingLabs, изглежда са насочени към голям германски медиен конгломерат, както и към голям железопътен и логистичен оператор. Пакетите са подобни на тези, открити от изследователи от фирмата Snyk и разкрити в края на април.“ Не е ясно кой стои зад атаките, какви са били техните цели или дори колко успешни са били, но изглежда ясно, че NPM атаките са по-разпространени, отколкото се смяташе досега. jFrog, който също проследява инцидентите, вижда подобна двусмисленост и смята, че атаките може да са дело или на сложен актьор за заплаха, или на необичайно агресивен тестер за проникване.
Съвети от CISA и нейните партньори.
Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) вчера публикува шест съвета за сигурност на системите за индустриален контрол (ICS). Консултациите включват Adminer in Industrial Products, Eaton Intelligent Power Protector, Eaton Intelligent Power Manager Infrastructure, Eaton Intelligent Power Manager, AVEVA InTouch Access Anywhere и Plant SCADA Access Anywhere и Mitsubishi Electric MELSOFT GT OPC UA.
CISA също така добави две уязвимости към своя каталог с известни експлоатирани уязвимости: Microsoft Windows LSA Spoofing Vulnerability (която „съдържа фалшива уязвимост, при която атакуващият може да принуди домейн контролера да се удостовери с помощта на NTLM“) и F5's BIG-IP Missing Authentication Уязвимост (която „съдържа липсващо удостоверяване в уязвимост на критична функция, която може да позволи отдалечено изпълнение на код, създаване или изтриване на файлове или деактивиране на услуги“). Гражданските федерални агенции на САЩ имат срок до 1 юни да се справят с първото, а с второто - до 31 май. Институтът SANS публикува по-подробно проучване на проблема с BIG-IP, който F5 разгледа в актуализация миналата седмица.
И, загрижени за нарастващата заплаха за доставчиците на управлявани услуги (MSP), Петте очи издадоха съвместно предупреждение със съвети към MSP и техните клиенти за предотвратяване и реагиране на кибератаки, организирани срещу и чрез MSP.
The following section pertains directly to the cyber phases of Russia's hybrid war against Ukraine. CyberWire's continuing coverage of the unfolding crisis in Ukraine may be found here.
Повече приписване на кибератаката на Viasat на Русия.
Вчера видяхме, че Европейският съюз официално приписа на Русия кибератаката срещу мрежата KA-SAT на Viasat, която се случи час преди началото на бойните действия срещу Украйна. Други съюзнически правителства побързаха да подкрепят това приписване.
Държавният департамент на САЩ каза, след като привлече вниманието към руската употреба на злонамерен софтуер wiper в своята киберподготовка, „Днес, в подкрепа на Европейския съюз и други партньори, Съединените щати споделят публично своята оценка, че Русия е предприела кибератаки в края на февруари срещу комерсиални сателитни комуникационни мрежи, за да наруши украинското командване и контрол по време на инвазията, и тези действия имаха странични въздействия в други европейски държави. Дейността деактивира терминали с много малка апертура в Украйна и в цяла Европа. Това включва десетки хиляди терминали извън Украйна, които , наред с други неща, поддържат вятърни турбини и предоставят интернет услуги на частни граждани."
Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) актуализира своето предупреждение от 17 март (AA22-076A) „Укрепване на киберсигурността на доставчиците и клиентите на мрежата на SATCOM“, за да обясни, че заплахата за мрежите на SATCOM, за която те предупредиха, наистина е руска заплаха.
Приписването, предложено от британския NCSC, е по-конкретно: то нарича „руското военно разузнаване, ГРУ, като организация, отговорна за кибератаките. Естония е също толкова конкретна: „Може да се твърди с голяма сигурност, че ГРУ стои зад тези атаки." Британското правителство също вижда, както обяснява Telegraph, кибератаките срещу германския сектор на вятърните турбини като странична полза от подготвителния огън, насочен срещу интернет на Украйна. И британският външен министър, и държавният секретар на САЩ подчертаха това безразборно аспект на руската кибератака.
Канада в съвместно изявление на министрите на външните работи, националната отбрана и обществената безопасност осъди руското нападение. „Канада смята, че руската армия стои зад този инцидент. Незаконното нахлуване на Русия в Украйна, нейната злонамерена кибернетична дейност и нейните крещящи кампании за дезинформация са неприемливи и трябва да спрат." Министрите добавиха кратък урок по история, за да поставят атаката в контекста на това, което Държавният департамент на САЩ нарече "руската игра": "Този най-скорошен инцидент подчертава модел на разрушителна кибернетична дейност, която демонстрира многократно пренебрегване на базирания на правила международен ред. Тази дейност също демонстрира желанието на Русия да използва своите кибернетични възможности безотговорно."
Австралийските министри на външните работи, отбраната и вътрешните работи се съсредоточиха върху използването на кибератаки от страна на Русия като подготовка за бойно пространство: „Днес ние се присъединяваме към САЩ и ЕС в приписването на руското правителство на следната дейност... Тези неприемливи дейности са допълнителни примери за Безразборният подход на Москва към кибероперациите и крещящото незачитане на ефектите от такива операции върху обществеността, включително чрез търговския сектор. Изявлението добавя ясно напомняне към Москва: „Австралия се ангажира да наложи разходи на базирани в държавата или спонсорирани от държавата злонамерени участници, които се стремят да подкопаят отворено, безплатно, безопасно и сигурно киберпространство.“
Това, че по-нататъшни атаки трябва да се считат поне за възможни, може би вероятни, е заключение, което може да се направи от отразяването на MIT Technology Review на кибератаката срещу терминалите на Viasat. Руснаците използваха чистачките AcidRain срещу системите, а AcidRain е поразителен с адаптивността си за общо предназначение. Technology Review цитира изследователя на SentinelOne Андрес Гереро-Сааде, който казва: „Това, което е много тревожно за AcidRaid, е, че те са премахнали всички проверки за безопасност. С предишните чистачки руснаците внимаваха да изпълняват само на определени устройства. Сега тези проверки за безопасност ги няма и те са груби. Те имат възможност, която могат да използват повторно. Въпросът е каква атака по веригата за доставки ще видим следващата?“
