Nu har Apple fått nog och anfaller utvecklare av spionprogram på flera fronter

av Mikael Winterkvist | nov 24, 2021 | Säkerhet

Apple har nu fått nog av de som utvecklar spionprogram och som lägger miltals dollar på att utveckla program som sedan missbrukas av mindre nogräknade regimer. I ett först steg så har Apple stämt det israeliska bolaget NSO Groups som utvecklar det ökända spionprogrammet Pegasus. Apple kommer också att varna de som kan vara måltavla för statsstödda hackare. Kriget mot spionprogrammet förs på flera fronter.

Stämningen av NSOP Groups kan vid en första snabb anblick handla om att skrämmas bort NSO Groups från Apple plattform men stämningen innehåller flera inslag. Apple vill bannlysa NSO Groups från alla sina plattformar och ha ett domstolsbeslut i handen som stöd då utvecklare ska kastas ut, utvecklarkonton ska stängas ned och när Apple drar tillbaka utvecklingsverktyg för NSO Groups. Kan Apple vinna framgång i de amerikanska domstolarna så kan Apple kasta ut NSO Grpups och alla deras samarbetspartners från sin plattform och tillsammans med dem alla andra som utvecklar spionprogram.

Varningar

Apple kommer också varna enskilda som kan vara föremål för spionage och försök till att kapa deras konton och stjäla information – främst handlar det då om statsunderstödda hackare.

Apple threat notifications are designed to inform and assist users who may have been targeted by state-sponsored attackers. These users are individually targeted because of who they are or what they do. Unlike traditional cybercriminals, state-sponsored attackers apply exceptional resources to target a very small number of specific individuals and their devices, which makes these attacks much harder to detect and prevent. State-sponsored attacks are highly complex, cost millions of dollars to develop, and often have a short shelf life. The vast majority of users will never be targeted by such attacks.

If Apple discovers activity consistent with a state-sponsored attack, we notify the targeted users in two ways:

• A Threat Notification is displayed at the top of the page after the user signs into appleid.apple.com.
• Apple sends an email and iMessage notification to the email addresses and phone numbers associated with the user’s Apple ID.

These notifications provide additional steps that notified users can take to help protect their devices.

Sofistikerade attacker

I sammanhanget ska sägas att det här handlar om ytterst sofistikerade attacker som med mycket stor sannolikhet inte kommer att drabba de flesta användare. Här handlar det om utvalda offer, journalister, advokater, tjänstemän, politiker och andra i utsatta positioner. Det är enskilda som är av ett speciellt intresse för diktaturer och repressiva regimer. Det är inte heller fråga om en stor omfattande datainsamling utan om riktade attacker mot enskilda och just därför är de svåra att skydda sig mot och sett till antalet individer så handlar det om mycket stora belopp som läggs på utveckling och därför kostar också de här programmen mycket pengar.

Apples problem med de här utvecklarna ligger på flera plan. Till att börja med så hemlighåller de här företagen allvarliga buggar – för att kunna exploatera dem och attackera Apples produkter. Buggar som de köper in och betalar fantasisummor för. Den breda allmänheten undanhålls från att få viktiga buggfixar därför att kunskapen köps och säljs som vilken vara som helst. Det andra problemet är att företagen utnyttjar Apples utvecklingsverktyg för att exploatera och attackera. De av Apple utvecklade verktygen för att bygga appar och funktioner används för att bygga spionprogram som sedan missbrukas för att attackera demokratiaktivister och regimkritiker. Därför vill Apple kunna kasta ut alla de här bolagen och utvecklarna.

Vinna

Skulle Apple vinna stämningen av NSO Groups så innebär det att utvecklare av spionprogram kan hållas ansvariga för vad deras program ställer till med och hur de används. Det betyder inte nödvändigtvis att alla utvecklare måste ta ansvar för sina program och hur de används. Här handlar det om program som utvecklas för en enda sak – spionera på användare utan deras vetskap. Det är alltså inte vilka programs om helst och de som köper dem är inte heller vem som helst.

Apple

Världens farligaste botnet – Emotet – har startats upp igen

av Mikael Winterkvist | nov 18, 2021 | Säkerhet

Emotet, ett stort botnet, stängdes ned av polis och myndigheter tidigare i år efter att ha lyckats att smitta över en miljon Windows-datorer med skadlig kod. Nu varnar säkerhetsforskare för att Emotet startats upp igen.

Tidigt i våras så togs nätet ned, Emotet togs över av Europol i en samordnad insats. Då hade detta botnet, en stor samling av kapade enheter, smittat över en miljon Windows-datorer med skadlig kod. Nu ser det ut som att nätet har. börjat att aktiveras igen, nu med hjälp av andra program och ”bottar”.

Listorna

I kartläggningen av nätet så har listorna på de datorer (kapade) som används uppdaterats och det är en lista som nu växer, flera enheter läggs till i nätet.

Fresh, active Emotet botnet C2 servers are now being pushed to Feodo Tracker 💪🛡️

👉 https://t.co/TvIJyqHYVs

We urge you to *BLOCK* these C2 servers and regularly update your block list to receive the maximum protection!

👉 https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb

— abuse.ch (@abuse_ch) November 15, 2021

Så här långt så har Emotet inte använt i några attacker, inte skickat ut spam eller attacker mot andra och andras datorsystem. Däremot finns det tecken på att nättet byggts ut och att fler kommandon har lagts till:

While in the past Emotet installed TrickBot, the threat actors are now using a method that the Cryptolaemus group calls ”Operation Reacharound,” which rebuilds the botnet using TrickBot’s existing infrastructure

Emotet expert and Cryptolaemus researcher Joseph Roosen told BleepingComputer that they had not seen any signs of the Emotet botnet performing spamming activity or found any malicious documents dropping the malware.

This lack of spamming activity is likely due to the rebuilding of the Emotet infrastructure from scratch and new reply-chain emails being stolen from victims in future spam campaigns.

Cryptolaemus has begun analyzing the new Emotet loader and told BleepingComputer that it includes new changes compared to the previous variants.

”So far we can definitely confirm that the command buffer has changed. There’s now 7 commands instead of 3-4. Seems to be various execution options for downloaded binaries (since its not just dlls),” Cryptolaemus researchers told BleepingComputer.

Länkar

• ZDNet
• Bleeping Computer

Den som hackade FBIs servrar har identifierats – av offret för spamkampanjen

av Mikael Winterkvist | nov 17, 2021 | Säkerhet

Nyligen skickades en mycket stor mängd falska mail ut av en av FBIs servrar. Breven, spam, varnade för påhittade nätattacker och den skyldige påstods vara Vinny Troia, en känd hackare som återfinns på rätt sida lagen (White Hat).

Vinny Troia är säkerhetsexpert och han hackar bland annat system, anlitad av ägarna till samma system, för att hitta svagheter. I de falska breven utpekades han för att vara medlem av hackargruppen The Dark Overlord. Till saken hör att Vinny Troias bolag, Night Lion, just då höll på och utredde The Dark Overlords  olagliga attacker och aktiviteter ute på nätet.

Smutskastning

Det är inte heller första gången som Vinny Troia är måltavla för smutskastning och utpekanden. Tidigare så har falska uppgifter spridits om honom där det påstås att Troia namngivits som pedofil, hans konto å Twitter har hackats och han har utsatts för en rad nätattacker. Vinny Troia är hackare på rätt sida lagen och han attackeras av det skälet av hackare på andra sidan om den lagliga gränsen. Inför den nu avslöjade spam-kampanjen så fick Troia en varning via Twitter:

Rapport

Den här digitala pajkastningen startade efter det att Vinny Troias bolag publicerat en rapport, efter en längre utredning av the Dark Overlords förehavanden ute på nätet. I rapporten så har gruppens aktiviteter kartlagts liksom flera av gruppens medlemmar – deras riktiga namn och pseudonymer som de uppträder bakom ute på nätet. I den kartläggningen finns även Popmpompurin med – namngiven med sitt riktiga namn, hävdar Vinny Troia.

This all started about a year ago when we initially published our cybercrime report naming Christopher Meunier, 22, of Calgary, Canada, as the alleged mastermind behind several major hacking groups including The Dark Overlord, Gnostic Players, and Shiny Hunters.

The report also went on to mention that under his leadership (and impressive hacking skills), his groups were responsible for nearly 40% of all non-credit card-related data breaches over the past 4 years.

Vinny Troia

Spåren

Genom att följa de spår, digitala, som lämnats i samband med olika attacker, intrång, domänregistreringar, e-postadresser och olika former av kommunikation så pusslas ett mönster samman som leder tillbaka till den ett år gamla rapporten. Samma spår, samma ledtrådar och samma pussel återkommer – och samma namn.

I detta pussel är olika chat-konversationer viktiga bitar. Trots att hackaren försökt hemlighålla sin identitet så lyckas Vinny Troia locka ur honom små bitar av information, personliga uppgifter, med sina frågor. Genom att jämföra tidigare kommunikation, plocka ut vissa bitar, ställa nya frågor vid nästa tillfälle så har även ett personligt pussel kunnat läggas med information om enskilda individer.

Detta pusslande leder nu tillbaka till en och samma person som flera gånger tidigare attackerat Vinny Troia, en 22-åring kanadensisk medborgare.

Här kan du läsa Night Lions rapport om the Dark Overlord.