av Mikael Winterkvist | mar 21, 2022 | Säkerhet
Frågan om hur utvecklare hanterar och kontrollerar bibliotek och andra delar som ingår i appar och program har ännu en gång hamnat i fokus sedan ett populärt Open Source-program visat sig innehålla destruktiv, farlig kod som en protest mot Rysslands krig mot Ukraina.
”node-ipc” är ett populärt programpaket som använda av flera andra utvecklare och paketet ingår i en rad olika lösningar. Programpaketet laddas ned över en miljon gånger per vecka vilket visar på hur utbrett användandet av ”node-ipc” är.
Protest
Den 7 mars lades kod in i programpaketet som raderar filer om datorn/utvecklaren är från Ryssland eller Belarus. detta som en protest mot Rysslands krig mot Ukraina.
Packetet-IPC-versionerna 10.1.1 och 10.1.2 är sårbara för inbäddad skadlig kod som infördes av utvecklaren. Den skadliga koden var avsedd att skriva över godtyckliga filer beroende på användar-IP-adressens geo-plats. Utvecklaren tog bort den skadliga koden i version 10.1.3.
Github
Ryska och Belarusiska utvecklare riskerar att få filer raderade och ersatta med ett textmeddelande – en protest mot Rysslands krig mot Ukraina.
I senare versioner av programpaketet så ska koden nu ha plockats bort.
Kontroll
Detta är ytterligare ett exempel på att många utvecklare har dålig eller ingen kontroll på de delar de använder i sina egna program, bibliotek, programpaket och andra funktioner.
Märklig konspirationsteori kan ligga bakom sabotaget av Open Source-program
av Mikael Winterkvist | mar 20, 2022 | Säkerhet
Anonymous har hackat Rysslands stora pipeline-bolag, Omega Company, och kommit över 79GB information (e-post) som nu publicerats på nätet.
Omega Company är ett dotterbolag till världens största pipeline-bolag, Transneft, med huvudkontor i Moskva. Omega är Transnefts analys och utvecklingsdel.
Informationen har efter intrånget lämnats över till DDoSecrets.
Känslig information
Vi släpper 79 gigabyte e-postmeddelanden från OMEGA Company, FoU-avdelningen för Rysslands statligt kontrollerade pipelineföretag, Transneft / Транснефть. Transneft är världens största oljeledningsföretag. E-postmeddelandena täcker kontots senaste aktivitet, inklusive efter införandet av amerikanska sanktioner den 25 februari 2022. . Vissa av e-postmeddelandena återspeglar några av effekterna av dessa sanktioner. Den 15 mars tillkännagav EU också nya sanktioner mot Transneft.
Av den information som delas av DDoSecrets så innehåller informationen innehåller uppgifter om e-postkontonuppgifter för företagets anställda. Här finns även känsliga filer som fakturor och produktleveransinformation – detaljerad information om andra företag.
Det finns även bildfiler som visar utrustningskonfigurationer för servrar och annan teknisk utrustning. I mängden data så finns epostmeddelanden så sent som från den 15 mars. DDoSecrets, som publicerat informationen, varnar också för att bilagorna skom skickats och som ingår i läckan kan innehålla skadlig kod.
av Mikael Winterkvist | mar 18, 2022 | Säkerhet
Det är nu tre veckor sedan hackarkollektivet Anonymous förklarade krig, digitalt, mot Ryssland och under de här veckorna så har ryska myndigheter, företag och organisationer utsatts för upprepade attacker vilket lett till att flera av Anonumoys mål inte går att nå utanför Ryssland.
Som alltid i krig, verkliga eller digitala, så är det ibland svårt att sortera ut vad som är överdriven propaganda och vad som faktiskt har hänt. Den digitala krigsföringen skiljer sig från den fysiska i det att den faktiskt går att kontrollera. Det går att kontrollera och verifiera Anonymous uppgifter och en sammanställning så här långt visar att de attacker, de lyckades attacker och intrång som Anonymous tagit på sig faktiskt också har inträffat.
https://twitter.com/YourAnonTV/status/1501942349550653443?s=20&t=y5C9hrjNbYujN3NtBenJng
Roskomnadzor är den ryska censurmyndigheten som bland annat styr den ryska delen av Internet. Här vet vi att ett intrång gjorts. Filerna finns nämligen utlagda på nätet i en databas – som vem som helat kan säga igenom.
Anonymous slår till mot rysk myndighet som kontrollerar den delen av ryska internet
Substack
Den stulna informationen
Underättelsetjänsten
Anonymous säger också ha slagit till mot flera ryska myndigheter, försvarsdepartementet, den ryska underrättelsetjänsten. I båda dessa fall så har det gått att verifiera att myndigheterna inte gick att nå och att det försvarar som ryssarna svarade med, vid tidpunkten, var att filtrera bort all trafik som kom utanför Ryssland. I sammanhanget kan också sägas att det handlade om en överbelastningsattack där myndigheterna dränks med skräptrafik tills de inte kan svara på riktiga, äkta anrop. Det är tekniskt sett en relativ enkel typ av attack som bygger på matematik – dränk målet med mer mer samlad trafik än vad offrets uppkoppling och servar klarar av att hantera. Det något anmärkningsvärda i sammanhanget är att det ryska IT-försvaret (ett sånt finns) inte klarat av att filtrera bort riktig trafik från skräptrafiken utan valt att stänga ned all trafik utanför landet. Tekniskt så är det inte en kapitulation men näst intill och det kan tolkas som att förutom att den ryska armén inte har den slagkraft och kapacitet som många antagit så är det ryska IT-försvaret kanske inte heller av riktigt i linje med vad som antagits.
90 procent hackade
Kort efter det att Anonymous deklarerade krig mot Ryssland så kom uppgifter om att närmare 90 procent av alla felkonfigurerade och sårbara databaser som tillhörde Ryssland hade hackats av Anonymous. Även den uppgiften har gått ett verifiera – och den har verifierats av tredje part. Website Planet har gått igenom en rad rapporter och kommit fram till siffran.
Det gäller även uppgifterna om att Anonymous har lyckats att hacka Russia Today, den statsägda tv-kanalen, streamingtjänster, radio och tv-kanaler samt en lång rad övervakningskameror inne i Ryssland. I de fallen så finns verifierade skärmbilder och videor som visar att intrången har begåtts och att de de har lyckats.Tilläggas kan att i flera fall så har offren bekräftat att de har hackats.
Attack
Jag har följt Anonymous under flera år och kan inte minnas ett enda enskilt fall där Anonymous har sagt sig lyckats med någon form av digital attack – och sedan i efterhand visat sig inte ha gjort det. Samma slutats har Jeremy Fowler, Website Planet, kommit fram till – Anonymous ljuger inte. I sammanhanget ska också tilläggas att sedan Anonymous förklarade krig mot Ryssland så har väl över 300 000 frivilliga anslutit sig till den digitala krigföringen. Ryssland och ryska intressen attackeras oavbrutet av en enorm skara enskilda och grupper med snart sagt alla upptänkliga medel och verktyg, digitalt. Det handlar om allt från enkla överbelastningsattacker till ett avancerat, sofistikerat letande efter sårbarheter och svagheter utförda av enskilda med djup spetskompetens.
Utifrån detta så kan vi dra slutsatsen att när Anonymous säger sig ha genomfört en lyckad attack – då har de också mycket riktigt gjort det. Därmed inte sagt att Anonymous påståenden inte ska kontrolleras.
Andra grupper
Den andra sidan däremot har gjort påståenden som är tveksamma eller som kunnat verifierats som oriktiga, falska. Gruppen AgainstTheWest som varit aktiva sedan oktober 2021 sade sig först ha lagt ned gruppen, efter det att Ryssland attackerat Ukraina, för att sedan hävda att de startat upp igen och att de nu ställt sig bakom Anonymous. AgainstTheWest hävdar att de har hackat den ryska statliga söktjänsten Yandex men bara presterat en skärmbild på en rad filer som tycks vara helt publika. Det gäller även flera andra av gruppen påstådda intrång. AgainstTheWest har också anklagat Anonymous för att ha tagit åt sig äran av gruppens lyckade attacker så de första indikationerna om att AgainstTheWest ställt sig bakom Anonymous får tas med en nypa salt, liksom påstådda intrång och attacker.
Checkpoint
Publik information
KelvinSecurity Team, en annan grupp och ett företag som säger sig vara hackare publicerade bilder och videor från den ryska myndigheter för kärnkraft. Bilderna och videorna sades vara från olika installationer i Ryssland och även om KelvinSecurity Team inte påstod det rakt ut så gavs intrycket av att installationerna skulle ha hackats. Så var nu inte fallet utan informationen visade sig vara publik sedan flera år tillbaka. Det var bilder och videor plockade från publika rapporter och genomgångar som bland annat ryska fortare gjort.
Flera pro-ryska grupper har också hävdat att de har lyckats att slå tillbaka mot Anonymous och att de har lyckats att hacka Anonymous – inte i något enskilt fall så har dessa uppgifter visat sig vara korrekta.
av Mikael Winterkvist | mar 15, 2022 | Säkerhet
Rysslands krig mot Ukraina märks på nätet. Det pågår ett digitalt krig, ett propagandakrig och det syn och märks i loggfilerna för alla de servrar som finns uppkopplade.
Wordfence, utvecklare av säkerhetslösningar och plugins för WordPress, världens mest använda lösning för hemsidor och webbutiker noterar en kraftig ökning av IP-nummer som blockerats ut på nätet – IP-nummer som tillhör Ukraina och Ryssland.
Siffrorna som anges är antalet blockerade IP-nummer och antalet blockerade försök till attacker eller intrång. Statistiken ovan är plockad från en mindre webbplats, helt på svenska, och som skriver och rapporterar om Rysslands angreppskrig. Anledningen till att Ryssland förekomma två gånger är att Wordfence identifierat två olika uppsättningar IP-nummer, innanför och utanför den ryska brandväggen.
Attacker
Den här typen av attacker pågår hela tiden, dygnet runt. Det är ett automatiserat sökande efter svagheter och kan liknas vid att någon går tunt i ett bostadsområde och känner på alla dörrar för att se om det finns några dörrar som är olåsta. Med hjälp av script så kontrolleras olika funktioner, huruvida plugins är uppdaterade eller inte och om det finns kända buggar som inte har åtgärdats. Skulle svagheter hittas så lagras den informationen och därefter kommer ofta den riktiga attacken. Därför blockeras regelmässigt IP-nummer som används för den här typen av scanningar och sökande efter svagheter.
När saker händer i omvärlden så brukar det ge att avtryck ganska snabbt i loggfilerna ute i nätets servrar. Nu syns Rysslands krig mot Ukraina och hamrandet mot webbservrar, e-postservrar och andra servrar pågår varje timme, dygnet runt.
av Mikael Winterkvist | mar 15, 2022 | Säkerhet
På måndagens slogs flera israeliska myndigheters webbplatser ut av en samordnad, massiv överbelastningsattack, möjligen den största attacken i Israels historia. Hälsomyndigheten, Inrikesmyndigheten och Justitiemyndigheten webbplatser slogs ut helt eller delvis.
Webbplatserna har nu återställts och fungerar igen meddelar den israeliska National Cyber Directorate:
Ett antal israeliska myndigheters webbplatser gick ner på måndagen i en uppenbar cyberattack. Den israeliska cybermyndigheten bekräftade att attacken var en DDos (Digital-denial of service)-attack som hade blockerat åtkomsten till statliga webbplatser och att alla webbplatser var online igen.
Hemsidorna för inrikes-, hälso-, justitie- och välfärdsministerierna hade tagits offline, liksom premiärministerns kansli.
Haaretz
Iran
Myndigheterna pekar inte ut någon speciell grupp eller speciellt land men säger att de anser sig ha identifierat var attacken kommer ifrån och vem och vilka som iscensatt den. Uppgifterna i israeliska medier pekar ut iranska grupper som det sägs ska ha tagit på sig ansvaret för attacken.
av Mikael Winterkvist | mar 14, 2022 | Säkerhet
Kort efter det att Ukraina vädjade om stöd i kriget mot Ukraina och uppmanade världens alla hackare att hjälpa till att störa ryska datorsystem. försvara Ukrainska system och attackera ryska webbplatser så lanserades en app – Liberator som visats sig innehålla en trojan.
Appen utger sig för att vara ett verktyg i kampen mot de ryska angriparna men appen innehåller en trojan, ett farligt dataprogram enligt en rapport från Cisco.
I en av dessa nya utvecklingar ser vi cyberbrottslingar dra fördel av konflikten genom att utnyttja omedvetna användare som söker verktyg för att utföra sina egna cyberattacker mot ryska enheter. En mängd av dessa verktyg marknadsförs som sätt att rikta in sig på ryska eller pro-ryska webbplatser och har snabbt spridits på olika sociala medieplattformar under de senaste dagarna i takt med att intresset för crowdsourcing-attacker växer. En enkel sökning efter ”Ukraina” eller ”Ryssland” på några populära plattformar med öppen källkod ger ett brett utbud av resultat. De flesta av verktygen som har släppts hittills är avsedda att störa olika statligt anslutna mål genom distribuerade denial-of-service (DDoS)-attacker. Men att ladda ner något av dessa verktyg kan vara riskabelt. Utöver de uppenbara potentiella juridiska konsekvenserna av att genomföra en självstyrd cyberattack, finns det inget sätt att veta vilka andra dolda funktioner som verktyget kan ha eller om det kommer att fungera på sitt annonserade sätt.
Cisco
Telegram
Appen distribueras bland annat via kanaler på Telegram och det finns flera program som används på samma sätt – de påstås vara verktyg för matt angripa ryska webbplatser men de innehåller trojanska hästar – farliga och destruktiva program.
