av Mikael Winterkvist | mar 9, 2022 | Säkerhet
Kinesiska hackare har ställt sig på Rysslands sida och attackerar nu enskilda tjänstemän och EU-myndigheter med olika typer av attacker – främst det som kallas phishing-attacker.
Phishing, nätfiske, innebär att falska mail skickas ut i stor mängd mottagare med länkar eller filer som innehåller malware. Googles säkerhetsteam har hittat en stor mängd mail med bifogade filer av typen Situation at the EU borders with Ukraine.zip. Utskicken kan spåras tillbaka till Kina och till hackargruppen Mustang Panda.
Google rapporterade på måndagen att en kinesisk grupp vid namn Mustang Panda riktade in sig på europeiska enheter med beten relaterade till Rysslands invasion av Ukraina. Företagets Threat Analysis Group (TAG) upptäckte nätfiske-e-postmeddelanden med skadliga bifogade filer med namn som ”Situation vid EU:s gränser med Ukraine.zip”.
”Innehållet i zip-filen finns en körbar fil med samma namn som är en grundläggande nedladdare och när den körs, laddar ner flera ytterligare filer som laddar den slutliga programvaran. För att mildra skadan varnade TAG relevanta myndigheter om sina fynd”, skrev Google och tillade: ”Riktning mot europeiska organisationer är en förändring av Mustang Pandas tidigare mål i Sydostasien.”
Forbes
Attacker
Även säkerhetsföretaget Proofpoint har observerat en stor mängd riktade attacker av samma typ, från samma grupp och med digitala spår som pekar tillbaka mot Kina.
Proofpoint såg också RedDelta-hackare skicka nätfiske-e-postmeddelanden som innehöll ”spårningspixlar”, en liten bild i ett meddelande som talar om för angriparna att ett e-postmeddelande har öppnats och att mottagaren därför kan vara mer mottaglig för ytterligare sociala attacker. ”Det operativa tempot i dessa kampanjer, särskilt de mot europeiska regeringar, har ökat kraftigt sedan ryska trupper började samlas på gränsen till Ukraina”, skrev Proofpoint.
”Den fleråriga kampanjen mot diplomatiska enheter i Europa antyder ett konsekvent ansvarsområde som tillhör [RedDelta]. Detta mandat kan ha ökat mot enheter i Europa under den nuvarande perioden av geopolitiska konflikter och ekonomiska omvälvningar i Europa.”
Forbes
av Mikael Winterkvist | mar 7, 2022 | Säkerhet
Mozilla har skickat ut en mycket viktig säkerhetsuppdatering för webbläsaren Firefox som åtgärdar ett synnerligen allvarligt säkerhetshål.
Buggarna, det är två, är att betrakta som kritiska och allvarliga:
-
CVE-2022-26485: Use-after-free in XSLT parameter processing – Removing an XSLT parameter during processing could have lead to an exploitable use-after-free. We have had reports of attacks in the wild abusing this flaw.
-
CVE-2022-26486: Use-after-free in WebGPU IPC Framework – An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escape. We have had reports of attacks in the wild abusing this flaw.
I sin information om buggarna så skriver Mozilla att de har rapporter om att buggarna exploateras – aktivt ute på nätet.
av Mikael Winterkvist | mar 7, 2022 | Säkerhet
Anonymous har varit mycket aktiva under den gångna helgen – flera ryska streamingtjänster och tv-kanaler har hackats och fått sitt innehåll utbytt.
De två ryska streamingtjänsterna Wink och Ivi hackades natten mot lördag. Den senare kan liknas vid Netflix, inte lika stor dock och helt på ryska.
https://twitter.com/youranontv/status/1500558889678516224?s=21
https://twitter.com/youranoncentral/status/1500620947212013570?s=21
Nätsändningar
En rad andra, mindre tv-kanaler har fått sina hemsidor hackade och sina nätsändningar kapade under helgen – Russia 24, Channel One, ioch Moscow 24 hackades liksom den franska versionen av Russia Today, RT:
https://twitter.com/YourAnonTV/status/1500563074616594437?s=20&t=OYEOeq9zKk_Gk5LbzMQgPw
av Mikael Winterkvist | mar 7, 2022 | Säkerhet
Just nu florerar falska mail från Telia där det påstås att din senaste räkning betalats två gånger. Du uppmanas att klicka på en knapp för att få tillbaka dina pengar men mailet kommer inte från Telia även om deras logotyp finns med och även om mailet grafisk ser ut att komma från Telia.
Det finns flera inslag i brevet som gör att det är relativt enkelt att avslöja men har du bråttom, inte läser tillräckligt noga så kan bluffen fungera. Det handlar om att du kan får tillbaka pengar och du måste klicka på knappen inom 12 timmar annars kanske det inte blir några pengar.
Avslöjande
Till att börja med så är avsändaren inte Telia vilket enkelt går att kontrollera genom att kontrollera avsändaren i adressfältet.
Brevets innehåll är inte heller korrekt formulerat. Det är slarvigt grammatiskt och dessutom felstavat.
Telia lär inte heller beslagta dina pengar och vägra att betala tillbaka dem – om du verkligen skulle ha betalat fakturan två gånger. Det kan inget företag göra nämligen.
Avsändaren
Klickar du på att du vill se mailets hela innehåll, alla så kallade ”headers” så kan du även avslöja var mailet egentligen kommer ifrån.
Slutligen så kan du hålla markören över knappen och länken (klicka inte) så visas vart länken går.
Inloggningsuppgifter
Slutligen – vare sig Telia eller något annat företag skulle agera på detta sätt. De behöver inte dina inloggninsguppgifter en gång till och de skulle aldrig be dig att lämna ifrån dig dina kontouppgifter
av Mikael Winterkvist | mar 6, 2022 | Nyheter, Säkerhet
Säkerhetsforskare har hittat säkerhetsbrister i krypteringsfunktionen i över 100 miljoner Galaxy-modeller. Det är Samsungs implementering och användande av krypteringsnycklar som har allvarliga brister, konstaterar säkerhetsforskare i en rapport.
Enligt rapporten så har Samsung använt en fullgod krypteringen fullgod lösning men implementerat den på ett så bristande sätt att Samsung Samsung Galaxy S8, S9, S10, S20, och S21 har allvarliga säkerhetsbrister. Forskarna har också visat att de aktuella modellerna är sårbara för flera typer av attacker:
In this work, we expose the cryptographic design and implementation of Android’s Hardware-Backed Keystore in Samsung’s Galaxy S8, S9, S10, S20, and S21 flagship devices. We reversed-engineered and provide a detailed description of the cryptographic design and code structure, and we unveil severe design flaws. We present an IV reuse attack on AES-GCM that allows an attacker to extract hardware-protected key material, and a downgrade attack that makes even the latest Samsung devices vulnerable to the IV reuse attack. We demonstrate working key extraction attacks on the latest devices. We also show the implications of our attacks on two higher-level cryptographic protocols between the TrustZone and a remote server: we demonstrate a working FIDO2 WebAuthn login bypass and a compromise of Google’s Secure Key Import.
Rapporten
Översättning:
I det här arbetet exponerar vi den kryptografiska designen och implementeringen av Androids maskinvarubaserade nyckellager i Samsungs flaggskeppsenheter Galaxy S8, S9, S10, S20 och S21. Vi har reversed-engineered och ger en detaljerad beskrivning av den kryptografiska designen och kodstrukturen, och vi avslöjar allvarliga designfel. Vi presenterar en IV-återanvändningsattack på AES-GCM som gör att en angripare kan extrahera hårdvaruskyddat nyckelmaterial, och en nedgraderingsattack som gör även de senaste Samsung-enheterna sårbara för IV-återanvändningsattacken. Vi visar fungerande nyckelextraktionsattacker på de senaste enheterna. Vi visar också implikationerna av våra attacker på två kryptografiska protokoll på högre nivå mellan TrustZone och en fjärrserver: vi visar en fungerande FIDO2 WebAuthn-inloggningsförbikoppling och en kompromiss med Googles Secure Key Import.
Misstag
Sammanfattningsvis så visar forskarna Alon Shakevsky, Eyal Ronen och Avishai Wool vid universitetet i Tel-Aviv att Samsungs flaggskeppsmodeller år sårbara en rad attacker på grund av uppenbart misstag av Samsungs designers.
av Mikael Winterkvist | mar 5, 2022 | Säkerhet
EU-tjänstemän attackeras nu med malware i en attack som har stora likheter med tidigare attacker som styrts från Belarus. Avsikten tycks vara att störa hjälp till ukrainska flyktingar.
Attackerna riktas mot enskilda tjänstemän, datorsystem som används för att hjälpa ukrainska flyktingar i vad som ser ut att vara försökt störa och förstöra hjälpen.
I rapporten så pekas inte Belarus direkt ut för att ligga bakom attackerna men det sägs att liknande attacker, tidigare, som följt samma mönster har visat sig vara statsunderstödda hackare från Belarus.
”Proofpoint har identifierat en trolig nationalstatssponsrad nätfiskekampanj genom att använda en eventuellt komprometterad ukrainsk militärtjänstmedlems e-postkonto för att rikta in sig på europeisk regeringspersonal som är involverad i att hantera logistiken för flyktingar som flyr från Ukraina”, sa forskare i ett inlägg på företagets webbplats.
I ett e-postmeddelande sa Vitrysslands ambassad i London att dess regering ”inte hade något att göra med fakta” som beskrivs i rapporten.
Reuters
