av Mikael Winterkvist | mar 5, 2022 | Säkerhet
Ukrainas upprop att samla frivilliga hackare för att attackera ryska intressen ute på nätet har samlat över 400 000 frivilliga, uppger talespersoner för den ukrainska regeringen skriver Bloomberg.
Ukraina gick ut med ett upprop på nätte för att samla frivilliga bland annat via appen och tjänsten Telegram. Via meddelande tjänsten samordnades attacker mot utvalda ryska webbplatser, däribland det ryska försvarsdepartementet och flera andra ryska myndigheter.
Ukrainas IT-arme och Anonymous släcker ned dussintals webbplatser
Kort efter det att attackerna inletts så stängdes flera ryska myndigheter ned för all trafik utanför Ryssland. Detta sedan webbplatserna dränkts med skräptrafik och varit omöjlig att nå.
Fullskaligt krig
Attackerna har en omfattning som säkerhetsforskare aldrig har sett tidigare. Enklare former av attacker, överbelastningsattacker, kombineras med mer sofistikerade attacker och försök till intrång. System som angrips kartläggs, alla delar analyseras och alla svagheter urtforskas på ett sätt som aldrig setts tidigare. Det är ett fullskaligt digitalt krig på alla fronter.
Kriget i Ukraina har framkallat en anstormning av cyberattacker av uppenbara frivilliga som inte liknar någon som säkerhetsforskare har sett i tidigare konflikter, skapat omfattande störningar, förvirring och kaos som forskare fruktar kan framkalla allvarligare attacker från nationalstatshackare, eskalera kriget mot mark eller skada civila.
”Det är galet, det är galet, det är utan motstycke”, säger Matt Olney, chef för hotintelligens på säkerhetsföretaget Cisco Talos. ”Detta kommer inte att bli enbart en konflikt mellan nationer. Det kommer att finnas deltagare som inte står under strikt kontroll av någon regering.”
New York Times
Krigets första offer är sanningen heter det och det här en regel som inte tillräckligt noga kan understrykas i all rapportering från krigsområden. Det är svårt att urskilja vad som är korrekt rapportering, vad som gör propaganda och vilken information som hamnar någonstans mitt emellan. Ha det i minnet, alltid, när du läser information om Rysslands krig mot Ukraina – och alla annan krigsrapportering. Magasin MACKEN försöker kontrollera all information med andra källor, med egna källor men det går inte att kontrollera all information fullt ut. Speciellt inte som MACKEN är beroende av andra och andras information för att kunna publicera texter.
av Mikael Winterkvist | mar 4, 2022 | Säkerhet
Kriget i Ukraina, Ryssland oprovocerade överfall syns ute på nätet, i brandväggar, säkerhetsfunktioner och i loggfiler. Vi är alla måltavlor i den digitala krigföringen och det propagandakrig som förs ute på nätet där antalet attacker nu ökat, dramatiskt.
Wordfence, en av flera säkerhetsplugins för WordPress, har noterat en kraftig ökning av attacker som kan kopplas till Rysslands anfallskrig mot Ukraina.
Det handlar om över 10 000 så kallade requests i timmen. En request kan liknas vid en begäran att visa en viss webbplats. Brandväggar och säkerhetslösningar är satta att blockera den typen av trafik då den kommer från ökända och blockerade IP-nummer.
Känna på dörren
Taktiken med att ”känna på dörren” har också ökat högt påtagligt ute på nätet. Det är en känd strategi där hackare med hjälp av script läser av vilken mjukvara som används, vilka plugins som är installerade och som ”känner på dörren” om det är låst eller inte. En kontroll av huruvida uppdateringar installerats, om portar är stängde korrekt och så vidare. Det kan sägas vara en förberedelse för en attack.
Det gäller även Magasin MACKEN. De senaste veckorna veckorna så har antalet blockerade ryska IP-nummer ökat dramatiskt. Det syns i våra loggfiler både vad gäller webbservrar och e-postservrar. Tolka nu inte detta som att den här bloggen skulle vara speciellt intressant för ryska intressen. Det är ett led i en ökad rysk aktivitet ute på nätet som innebär att automatiska script körs mot stora spann av IP-nummer för att kartlägga vad som finns uppkopplat och om de kan vara sårbara för kända attacker.
Håll koll
För dig som användare så är rådet att hålla lite extra koll. Se över dina lösenord, byt om du inte gjort det på ett tag och framför allt – slå på och avnöp tvåfaktor-inloggningar överallt där det är möjligt och funktionen tillhandahålls.
https://www.macken.xyz/2022/02/darfor-ska-du-sla-pa-tvafaktor-inloggning-2/
av Mikael Winterkvist | mar 3, 2022 | Säkerhet
Den ryska hackargruppen Conti deklarerade nyligen att de tänkte försvara ryska intressen och försvara ryska webbplatser om de attackerades. Kort efter det uttalandet så läckte stora mängder information ut om gruppen, dokument, filer och inte mints flera år chattloggar där gruppens interna kommunikation avslöjades. Loggarna visar också att amerikanska NSA kan ha slagit till mot Contis interna datorsystem och slagit ut det.
Genomgången av den enorma mängden intern kommunikation avslöjar inte bara hur de här kriminella grupperna organiserar sin ”verksamhet” utan även hur de arbetar, vilka verktyg som används, samarbetspartners och hur de försöka undgå upptäckt.
Conti är en av de större grupperingarna och det finns beräkningar som säger att Conti omsätter runt 100 miljoner dollar årligen. Det är främst pengar som samlas in efter utpressning riktad mot företag, organisationer och enskilda (ransomware).
Twitter
Den 27 februari så publicerades ett kort meddelande på Twitter på ett nystartat konto:
https://twitter.com/ContiLeaks/status/1498030708736073734?s=20&t=gRjB3FaBYk-el4v17XqSdA
Innehållet skulle visa sig vara sensationellt – flera års kommunikation mellan olika medlemmar i gruppen, främst chat-meddelanden som samlats in och som lagrats. Nu publicerades allt material på nätet och filerna har snabbt samlats in av nätets alla säkerhetsforskare för vidare analys. Det har trotts, och sagts, att den som läckt informationen är en före detta medlem av gruppen men de uppgifterna tillbakavisas av Alex Holden, grundare av säkerhetsföretaget Holden Securities. Alex Holden är född i Ukraina och har mycket goda kontakter i landet. Informationen istället ska ha samlats in och publicerats av en säkerhetsforskare, i Ukraina, som valt att stanna kvar och arbeta i landet.
Glapp
En första genomgång av filerna visar att det finns glapp i kommunikationen. Perioder då det ser ut som att gruppen varit inaktiv och de perioderna stämmer väl överens med de perioder då gruppens olika verktyg och system oskadliggjorts tillfälligt. Det handlar då om internetleverantörer som kastat ut gruppens system och om åtgärder från teknikföretag som lyckats att slå ut och stänga end Contis olika system. Det är system som Conti använder i attackerna på företag, myndigheter, sjukhus och enskilda.
Krebs On Security har tidigare avslöjat att den amerikanska underrättelseorganisationen NSA sannolikt infiltrerat Contis system och stängt ned det. Den nu publicerade informationen ger ytterligare stöd för tidigare uppgifter. I den interna kommunikationen så skriver medlemmar i gruppen att deras system attackerats, infiltrerats och stängts ned. NSA ska även ha slagit ut den speciella återställningsfunktion som systemet ska ha innehållet. En funktion som Conti har kunnat använda i den händelse att systemen snabbt måste tas ned, rensas och sedan startas upp igen.
”Efter ett tag kommer de att ladda ner en ny konfiguration via emercoin, men de kommer inte att kunna tillämpa den här konfigurationen, eftersom den här sabotören har laddat upp konfigurationen med det maximala [version]-numret, och boten kontrollerar att den nya konfigurationen [versionen] antal] borde vara större än den gamla”, skrev Hof. ”Förlåt, men det här är jävligt. Jag vet inte hur jag ska få tillbaka dem.”
Det skriver en av de ledande medlemmarna inom Conti kort efter det att gruppens hela bärande infrastruktur stängts ned. Det tog Conti flera veckor att få igång sina attackverktyg igen.
KrebsOnSecurity
av Mikael Winterkvist | mar 3, 2022 | Säkerhet
Anonymous har aktiverat sin anonyma armé och anfaller ryska organisationer, myndigheter och företag med full kraft. Samtidigt så försvarar ukrainska hackare det egna landets myndigheter, företag och organisationer. Det digitala kriget som pågår ute på nätet har intensifierats och Ukraina har noterat att attackerna mot viktiga system ökat tiofalt.
Anonymous styrka ligger inte främst i spetskompetens och stora kunskaper utan att den löst sammansatta gruppen kan anfalla brett och kombinera en rad olika typer av attacker. Det ryska försvarsdepartementet har tvingats att stänga ned all trafik som kommer utanför Ryssland. Detta sedan den officiella webbplatsen stängts ned av omfattande DDoS-attacker – överbelastningsattacker. Det är en enkel typ av attack där en webbplats dränks med skräptrafik. Anonymous har även lyckats att hacka ryska tv-kanaler:
https://twitter.com/YourAnonTV/status/1497678663046905863?s=20&t=PxMJtywZusIxvTxchmVZPQ
https://twitter.com/YourAnonCentral/status/1497744022659493891?s=20&t=gu_Q4Hk-MPA3fQaYt8phPw
Intrång
Anonymous hävdar även att de har lyckats att hacka de ryska Nuclear Institute och kommit över en stor mängd data som just nu översätts för att kunna ta reda på om informationen innehåller något av värde.
https://twitter.com/YourAnonNews/status/1498242200332906500?s=20&t=7ig1K-Y7Oc5YerwDfB75hA
Gruppen hävdar även att de har lyckats att ta sig in i den Belarusiska vapentillverkaren Tetraedr datorsystem. Även här har en stor mängd data, bland annat en stor mängd e-post, stulits som nu håller på att översättas.
Försvar
Samtidigt som Anonymous och andra attackerar ryska intressen så pågår även ett försvar av Ukrainska webbplatser. Ukrainska myndigheter noterar att antalet attacker ökat tiofalt sedan Ukraina anfölls av Ryssland.
Wordfence är ett skydd och säkerhetsfunktion för webbplatser (WordPress) som används av många av de hemsidor vi har ute på nätet. I sitt nät så har Wordfence noterat en snabb, markant ökning av antalet attacker mot Ukrainska webbplatser.
Cyberarmé
Ukraina har värvat ihop en cyberarmé, frivilliga som hjälper styret att attackera ryska intressen och försvara Ukrainska webbplatser.
Från och med måndagen, fem dagar efter att stridsvagnar flyttade in i Ukraina, fungerade fortfarande Internet och annan viktig ukrainsk infrastruktur, den utskjutna ukrainska militären samordnade fortfarande effektivt och Rysslands omtalade desinformationsförmåga misslyckades med att övertyga ukrainarna om att motstånd är meningslöst.
”Vi föreställde oss detta orkestrerade utlösande av våld i cyberrymden, denna balett av attacker som slår Ukraina i vågor, och istället för det har vi ett slagsmål. Och inte ens ett mycket följdriktigt bråk ännu, säger Jason Healey, en före detta anställd inom Vita huset för infrastrukturskydd och underrättelsetjänst som nu är forskare om cyberkonflikter vid Columbia University.
Washington Post
av Mikael Winterkvist | mar 1, 2022 | Säkerhet
Nvidia inledde nyligen en undersökning av ett befarat intrång i företaget datorsystem. Undersökningen pekade mot att det var en sydamerikanska grupp hackare som tagit sig in och som stals över 1TB med data. Nvidia svarade med att hacka hackarna och kryptera den stulna informationen.
Nvidias utredning pekade mot att det var hackargruppen LAPSU$ som var skyldiga till intrånget. Intrånget gjordes mot Nvidias mailservrar vilket möjliggjorde ställ av mycket stora mängder data. När Nvidia upptäckte vilka som var skyldiga så svarade Nvidia med samma mynt.
https://twitter.com/vxunderground/status/1497484483494354946?s=20&t=r5kE9WIyVZpmkNQK8KQNpw
Nvidia sägs nu ha hackat hackarna och sedan släppt loss ett ransomwareprogram i LAPSU$ datorer som ska ha krypterat den stulna informationen. LAPSU$ hävdar å sin sida att de hade en säkerhetskopia av informationen.
Det är inte Nvidias första gång på rodeon heller. Chiptillverkaren, tillsammans med en lista över stora företag, inklusive Intel, blev offer för SolarWinds-hacket 2020.
Ändå är det inte varje dag som man ser företag ta saken i egna händer eftersom majoriteten av offren lämnar över ärendet till myndigheterna. Å andra sidan var Nvidia påstås mer proaktiv och lanserade en cyberattack mot hackare. Tyvärr, om gruppens påstående om att ha en säkerhetskopia är giltigt, kan Nvidias ansträngning ha varit förgäves.
Toms Hardware
av Mikael Winterkvist | mar 1, 2022 | Säkerhet
Sedan Anonymous förklarat krig mot Ryssland och ryska webbplatser och sedan Ukraina värvat en IT-armé med fokus på att attackera ryska intressen, digitalt, så har drygt ett dussin stora viktiga ryska webbplatser släckts ned.
I första hand handlar det om överbelastningsattacker där bland annat det ryska försvarsdepartementets officiella webbplats har haft stora problem sedan attacken mot Ukraina inleddes. Webbplatsen har varit svår eller omöjlig att nå periodvis samtidigt som företrädare för ryska myndigheter hävdar att de inte vare sig attackerats eller har några problem.
Samordnas
Attackerna samordnas bland annat via Telegram där uppgifterna nu översätts även till engelska för att nå en större grupp IT-kunniga.
Ligger nere
Attackerna har stört ryska företag, myndigheter och organisationer. Den ryska sökmotorn Yandex har exempelvis legat nere stora delar av tiden sedan uppmaningen att attackera ryska intressen gick ut. Även om företrädare för de ryska myndigheterna förnekar att attackerna är framgångsrika så går det inte att nå en rad av de webbplatser som finns med på listan ovan. Det ryska försvarsdepartementet exempelvis ligger nere för trafik utifrån.
Detsamma gäller Gazprombank, Sberbank och Lukoil och myndigheters webbplatser – Moscow State Services och Försvarsdepartementet.
Anonymous
Hackarkollektivet Anonymous har gått ut med en deklaration och förklarat krig mot Putin och Ryssland.
https://youtu.be/cO4uRCkuJVg
Attacken mot det ryska försvarsdepartementet kan sannolikt tillskrivas Anonymous som samordnat från flera platser, globalt, vräker skräptrafik över ryska myndigheter. En tekniskt enkel typ av attack men svår att skydda sig mot och även effektiv för att stänga ned webbplatser med.
Läcka
Även Ryssland engagerar hackare i den digitala striden ute på nätet men läckor inom dessa grupper har lett till att medlemmar avslöjats och intern hemlig kommunikation inom grupperna har läckt ut på nätet. En av medlemmarna i den huvudsakligen ryska hacklargrouppen Conti har fått en stor mängd information, förband interna chatmeddelanden publicerade på nätet sedan mängder av information har läckts.
Bland innehållet i de läckta meddelanden som hittills har identifierats finns:
- Meddelanden som visar Contis relation med TrickBot och Emotet malware-grupper. Där de ofta hyrt åtkomst till infekterade datorer för att distribuera sin skadliga programvara.
- Meddelanden som bekräftar att TrickBot-botnätet hade stängts ned tidigare denna månad.
- Meddelanden som innehåller förhandlingar om lösen och betalningar från företag som inte hade avslöjat ett intrång eller lösenprogram.
- Bitcoin-adresser där Conti-gänget tagit emot betalningar, vilket skulle är användbart för brottsbekämpande myndigheter för att spåra gruppernas pengar.
- Meddelanden som visar att Conti-gruppen försökte sätta upp demos med säkerhetsföretag som CarbonBlack och Sophos i ett försök att testa deras verktyg och hitta metoder för att undvika upptäckt.
Flera ryska företag, organisationer och myndigheter har nu tvingats att helt stänga ned all trafik utifrån, utanför Ryssland, för att kunna göra sina webbplatser tillgängliga.
Länkar
