av Mikael Winterkvist | jul 29, 2022 | Säkerhet
MacPaw, utvecklare av bland andra CleanMyMacX, lanserar nu SpyBuster, en app som kan upptäcka och varna för appar med kopplingar till Ryssland och Belarus. Funktionen har funnits sedan tidigare, inbyggt i CleanMyMacX, och kommer nu som en fristående app för iOS.
SpyBuster scannar appar efter kopplingar till Ryssland och Belarus. I scanningen kontrolleras beskrivningar, adresser och om det finns eventuella digitala kopplingar, anslutningar till servrar i de här två länderna. SpyBuster har som sagt funnits inbyggt i CleanMyMacX sedan tidigare och nu kommer en fristående app, för iOS och Android.
Antalet cyberattacker har ökat dramatiskt sedan Ryssland startade kriget i Ukraina i februari 2022, rapporterade CNBC. Tidigare har säkerhetsexperter på Microsoft kommit fram till att cirka 53 % av alla cyberattacker mellan juli 2020 och juni 2021 har sitt ursprung i Ryssland, enligt Microsoft Digital Defense Report.
Ryska attacker fokuserade på olika mål i USA, Ukraina, Storbritannien och NATO-allierade över hela Europa.
SpyBuster är ett förebyggande verktyg som hjälper dig att upptäcka och avsluta app- och webbanslutningar till servrar i Ryssland eller Vitryssland.
MacPaw
SpyBuster i App Store
SpyBuster för macOS
av Mikael Winterkvist | jul 28, 2022 | Säkerhet
Upptäckta buggar exploateras blixtsnabbt ute på nätet visar en ny studie av Palo Alto Networks . Nya buggar, så kallade zero-day exploits, kan komma att exploateras bara efter 15 minuter.
Till grund för undersökningen ligger en genomgång av drygt 600 säkerhetsincidenter det senaste året. Undersökningen visar också att attacker snabbt genomförs både av enskilda som får betecknas som mer professionella hackare likväl som mer okunniga amatörer.
Medan vissa hotaktörer fortsätter att förlita sig på äldre, ej åtgärdade sårbarheter, ser vi alltmer att tiden från sårbarhet till exploatering blir kortare. Faktum är att tiden praktiskt taget kan sammanfalla med avslöjandet om sårbarheterna i sig och tillgången som kan uppnås genom att utnyttja dem är tillräckligt betydande. Till exempel släppte Palo Alto Networks en Threat Prevention-signatur för F5 BIG-IP Authentication Bypass Vulnerability (CVE-2022-1388), och inom bara 10 timmar utlöstes signaturen 2 552 gånger på grund av sårbarhetsskanning och aktiva exploateringsförsök.
2022 Attack Surface Management Threat Report fann att angripare vanligtvis börjar söka efter sårbarheter inom 15 minuter efter att en CVE tillkännagavs.
Palo Alto Networks
Trenden är tydligt, menar Palo Alto Networks, tiden mellan det att en bugg hittas eller från det att information görs tillgänglig som informerar om en sårbarhet är allt kortare.
Organisationer som vant sig vid att det går en viss tid mellan offentliggörande och då sårbarheter måste åtgärdas måste tänka om menar Palo Alto Networks. Tiden från det att informationen blir känd tills dess att buggar åtgärdas måste kortas ned.
av Mikael Winterkvist | jul 28, 2022 | Säkerhet
Under sommaren 2021 så började ”Freedom Phone” att marknadsföras i högerkretsar i USA. Det påstods vara en säker telefon som skulle göra det möjligt att bryta sig loss från Googles och Apples kontroll. Telefonerna visade sig sedan vara billiga, kinesiska Android-telefoner vars skydd var allt annat än så bra som det påstods.
Då, backades telefonen upp av flera kända konservativa debattörer, Jack Posobiec och Candace Owens med flera. När telefonen sedan gicks igenom och analyserades av säkerhetsexperter så visade det sig vara en billig, kinesisk Androidtelefon.
Telefonen, en Umidigi A9 Pro, hade köpts in, givits ett annat namn och sedan har Googles appar ersatts med andra appar och Android har döpts om till FreedomOS. Bakom bolaget och telefonen, Freedom Phone, finns Erik Finman, som gjort sig en förmögen på bitcoin.
“government-grade”
Nu har liknande telefoner (identiska) dykt upp igen men under namnet ”Unplugged” och nu uppges det vara en samling appar som ska erbjuda samma skydd. Ett skydd som beskrivs som ”government-grade” vilket är en hittills okänd säkerhetsklassning. Bakom unplugged finns Eric Prince, grundare av det privata militära säkerhetsföretaget Blackwater.
I reklammaterialet för ”Unplugged”, som nu sägs ha operativsystemet LibertOS, används skärmbilder plockade från iOS, trots att en iPhone inte kan använda LibertOS och trots att ”Unplogged” uttryckligen skriver att ”Unplugged” kräver Android. Det påstås vidare att bolaget finns på Cypern och som bevis för säkerhets finns även en analys gjord av EY.
Tredje telefon
Det finns även tredje telefon, Liberty Ghost Phone, som ser ut att i princip vara samma telefon. Även Liberty Ghost Phone använder uttrycket ”government-grade” som beteckning på vilken säkerhetsnivå deras telefon uppnår. Igen – det finns ingen sådan beteckning.
Liberty Ghost Phone hävdar att deras telefoner inte tillverkats i Kina:
Our phones are never made in China. In an age of rampant government abuse, big tech censorship, and unethical data harvesting, get a phone designed from its core to protect your privacy and secure your data.
Så här har vi tre telefoner med egna versioner av Android, som döpts om. En av tillverkarna hävdar bestämt att telefonerna inte tillverkats i Kina och att deras telefon ska vara lösningen på i stort sett alla säkerhetsproblem relaterade till Googles eller Apples kontroll likväl som eventuella försök från myndigheter eller andra att komma åt information i telefonerna eller när de används. Det ska vara mycket säkra telefoner.
Matt Blaze är en känd säkerhetsexpert:
https://twitter.com/mattblaze/status/1552390595804626944?s=20&t=C-rBtXO_bM_jvL6YMaB7zw
Oroväckande uppgifter
Det finns även andra uppgifter runt de individer som ligger bakom de här bolagen, förutom då att Erik Prince finns med, grundare av Blackwater ett bolag som bland annat anklagas för att ha skjutit 14 obeväpnade civila irakier i Bagdad 2007. Här finns tydliga kopplingar till underrättelsekretsar vars primära uppgift är att smala in data om olika intressanta mål. Det är det en underrättelsetjänst gör och frågan är då om det är klokt att köpa en telefon, med okänt ursprung, med en egenhändigt hopplockad version av Android från tillverkare med sådana kopplingar?
Lägg sedan till att det är oklart om du som kund och användare kommer att kunna ladda ned nya versioner, få uppdateringar eller hur länge tillverkarna garanterar att deras telefoner är säkra.
Intelligence Online
Tilläggas kan att Unplugged gått ut med uppgiften att den kände journalisten Glenn Greenwald skulle medverka vid en äskrejstkonfersns å deras vägnar. Detta som något slags stöd för Unplugged. Greenwald förnekar att han har någon helst koppling till Unplugged och att han skulle delta vid någon konferens –
When I reached out to the PR contact on the invitation, they declined to comment, even about whether they are working for Unplugged. But in an emailed comment, Greenwald told me he has “no fucking idea why the PR firm is claiming this”, further elaborating that he has “not agreed to speak at DEF CON, nor have I scheduled any meeting with these phone people, nor have I been paid anything nor entered into any contract with anyone about any of this.” He acknowledges the “phone people asked if I’d be willing to meet with them to hear about this phone” and was offered a speaking gig by the company, but denies any further involvement with Unplugged or its products.
Länkar
av Mikael Winterkvist | jul 28, 2022 | Säkerhet
En av grundarna av den ryska hackargruppen Killnet lämnar nu gruppen, skriver Anonymous på nätet.
Killnet bildades i mars 2022, sannolikt som en motreaktion mot den globala uppmaningen att stödja Ukraina i det digitala kriget mot Ryssland. Under våren och sommaren 2022 så har gruppen tagit på sig ansvaret för en rad attacker riktade i huvudsak mot olika länders myndigheter.
https://twitter.com/cyberknow20/status/1552351173541130241?s=21&t=y-n2XxzV0g1fuq-2Eebh6A
Enkla attacker
I huvudsak så har attackerna handlat om relativt enkla överbelastingsattacker, DDoS, där webbplatser dränks med skräptrafik tills de blir omöjliga att nå fram till. En överbelastningsattack är, teknisk, ingen särskilt avancerad typ av attack. Det handlar i grunden om enkel matematik – dränk offret/måltavlan för attacken (webbplatsen) med mer skräptrafik än webbplatsen klarar av att hantera.
Ett exempel:
Är webbplatsen ansluten till en uppkoppling med en kapacitet på 100/100 Mb/s så skicka mer än 100 Mb/s så kommer webbplatsen till slut att inte klara av inkommande trafik och bli omöjlig att nå. Attacken i sig skadar ingen data, det görs inget intrång men webbplatsen går inte att nå.*
Rumänen, Italien, Norge, Tjeckien, Litauen och Lettland har utsatts för attacker iscensatta av Killnet. Den kanske mest kända och omtalade överbelastningsattacken gjordes mot Eurovision under Ukrainas uppträdande i maj i år. Attacken slogs till stora delar tillbaka och enligt Eurovision så kunde röstningen i tävlingen genomföras utan störningar.
* De flesta webbplatser har naturligtvis betydligt bättre trafikkapacitet än 100/100. Det är ett räkneexempel.
av Mikael Winterkvist | jul 26, 2022 | Säkerhet
Det amerikanska utrikesdepartementet har höjt belöningarna som betalas ut till alla som ger information om medlemmar av nordkoreanskt sponsrade hotgrupper till 10 miljoner dollar.
Det är en dubblering av den tidigare utfästa belöningen på fem miljoner dollar.
”Om du har information om några individer som är associerade med de nordkoreanska regeringskopplade skadliga cybergrupperna (som Andariel, APT38, Bluenoroff, Guardians of Peace, Kimsuky eller Lazarus Group) och som är inblandade i att rikta in sig på amerikansk kritisk infrastruktur i strid med Computer Fraud and Abuse Act, kan du vara berättigad till en belöning.”
https://twitter.com/RFJ_USA/status/1551915545288663041?s=20&t=G5KhAHmeZon-Y4iCxk0gOQ
Stölder
Stölder och spionage riktade mot finansiella institutioner och digitala valutaväxlingsfunktioner har tidigare tillskrivits flera nordkoreanska hackningsgrupper.
”De utvecklar och distribuerar ett brett utbud av skadlig programvara runt om i världen för att möjliggöra dessa aktiviteter och har blivit allt mer sofistikerade”, har det amerikanska utrikesdepartementet sagt i tidigare kommentarer.
Tre medlemmar i Lazarus Group åtalades i USA i februari 2021 för att ha stulit 1,3 miljarder dollar i attacker mot banker, underhållningsindustrin, kryptovalutaföretag och andra organisationer världen över. Under 2019 sanktionerade det amerikanska finansdepartementet tre nordkoreanska hackningsgrupper (Lazarus Group, Bluenoroff och Andariel) för att ha överfört finansiella tillgångar som de stulit i cyberattacker stödda av den nordkoreanska regeringen.
av Mikael Winterkvist | jul 22, 2022 | Säkerhet
Googles säkerhetsteam varnar nu för falska appar som utger sig för att stödja Ukraina. Apparna innehåller skadlig kod, en trojan, och just nu så distribueras dessa appar för Android-enheter utanför den officiella butiken Google Play.
En av apparna, CyberAzov, lovar att ”hjälpa till att stoppa rysk aggression mot Ukraina” genom att distribuera Denial of Service (DoS)-attacker mot utvalda ryska mål, enligt den falska webbplatsen. I verkligheten skickar appen en enda GET-förfrågan, vilket inte räcker för att starta en effektiv attack och den innehåller sannolikt en trojan.
Turla, a group publicly attributed to Russia’s Federal Security Service (FSB), recently hosted Android apps on a domain spoofing the Ukrainian Azov Regiment. This is the first known instance of Turla distributing Android-related malware. The apps were not distributed through the Google Play Store, but hosted on a domain controlled by the actor and disseminated via links on third party messaging services. We believe there was no major impact on Android users and that the number of installs was miniscule.
Google
Appen och de flaska hemsidor antas kunna kopplas till den ryska underrättelsetjänsten, FSB.
Inspirationen till Turla CyberAzov-appen kana vara en annan app som tros skapas av pro-ukrainska utvecklare. Den appen, kallad StopWar, laddar ned en lista över ryska mål för DoS-attacker. Appen skickar kontinuerliga förfrågningar till webbplatserna tills appen stängs av.
