, 2022/3/24
A kiberbiztonsági cégek tanácsokat és szolgáltatásokat nyújtanak az Ukrajnát célzó rosszindulatú szoftverek következményeinek megfékezésére. Órákkal azelőtt, hogy Oroszország február 24-én megkezdte ukrajnai invázióját, a Microsoft egy új kártevőcsomagot talált, amelyet "FoxBlade"-nek nevezett el.
Ahogy egyre több aggodalom terjedt el a háborúból származó rosszindulatú programok miatt, több kiberbiztonsági cég is bejelentette, hogy védelmi intézkedéseket tesz a potenciális áldozatok számára. A Microsoft Threat Intelligence Center (MSTIC) az inváziót megelőző órákban az ukrán digitális infrastruktúra ellen irányuló támadó és romboló kibertámadások újabb körét észlelte. A vállalat azonnal tájékoztatta az ukrán kormányt a helyzetről, és technikai tanácsokat adott a rosszindulatú programok sikerének megakadályozására irányuló lépésekről.
"A felfedezést követő három órán belül az új exploit felismerésére alkalmas szignatúrákat írtunk és adtunk hozzá a Defender rosszindulatú szoftverek elleni szolgáltatásunkhoz, ezzel segítve az új fenyegetés elleni védekezést" - közölte a Microsoft. "Az elmúlt napokban fenyegetettségi információkat és védelmi javaslatokat nyújtottunk az ukrán tisztviselőknek a különböző célpontok, köztük az ukrán katonai intézmények és gyártók, valamint számos más ukrán kormányzati ügynökség elleni támadásokkal kapcsolatban.
Ez a munka folyamatban van." Mivel Ukrajnában tovább fokozódik a kiberháború, a Surfshark litvániai kiberbiztonsági vállalat egy videót készített, amely rávilágít a kiberháború veszélyeire, és gyakorlati tanácsokat ad az embereknek a védekezéshez. A Vectra AI kiberbiztonsági cég egy sor ingyenes kiberbiztonsági eszközt és szolgáltatást kínál azoknak a szervezeteknek, amelyek úgy vélik, hogy a konfliktus miatt célpontok lehetnek. Az érdeklődőknek ezen az űrlapon kell megadniuk az információkat.
Az elmúlt napokban kibertámadások miatt banki honlapok és ATM-ek, valamint katonai számítógépes hálózatok is működésképtelenné váltak. Pánikot keltő dezinformációs kampányok terjedtek el a mobilhálózatokon. Ebben a háborúban bármilyen szervezeti formát érhet kibertámadás - figyelmeztetett a Vectra. "Az eszkalálódó kiberkonfliktus nem várt következményekhez fog vezetni" - mondta Hitesh Sheth, a Vectra AI elnök-vezérigazgatója. "Egyetlen állami vagy magánszervezet sem biztos, hogy csak egyszerű néző marad".
Mindenki veszélyben
A lehetséges kiberkockázatok eszkalálódása globálisan egyre fokozódik, erősítette meg Aleksandr Valentij, a Surfshark információbiztonsági vezetője. "Mióta Oroszország február 24-én megszállta Ukrajnát, a globális kiberháború fokozódott. A kibertámadások pontos régiókban történő megfékezése kihívást jelent, és mindig jelentős esélye van a járulékos károknak a bolygó szinte bármely országában" - mondta. Valentij minden számítógép-felhasználót arra buzdított, hogy kövesse ezeket a gyakorlati kárenyhítési intézkedéseket:
Kezeljenek sokkal komolyabban minden gyanús tevékenységet, különösen az adathalász kísérleteket. Továbbra is ez a leggyakoribb számítógépes bűncselekmény, mivel minden harmadik online bűncselekmény áldozata adathalász-támadás áldozatává válik;
Ne töltsön le fájlokat ismeretlen vagy nem biztonságos HTTP-oldalakról a rosszindulatú programok elkerülése érdekében;
Tartsa naprakészen az összes szoftverét;
Készítsen biztonsági másolatokat a legfontosabb adatokról, hogy megvédje magát a "törlő" típusú kibertámadások esetén. A közelmúltban fedeztek fel ehhez hasonló kártevőt, amelynek célja az ukrán pénzügyi szervezetek és kormányzati vállalkozók adatainak törlése volt.
Használjon vírusirtó, VPN és tűzfal megoldásokat az online böngészés biztonsága érdekében;
Próbálja meg nem túlságosan igénybe venni a kommunikációs csatornákat, mivel azok hajlamosak lehetnek összeomlani ebben a nehéz időszakban;
Tartsa hidegvérrel a fejét, és ne essen pánikba. Ahogy a propaganda felszínre kerül, legyen szkeptikus mindennel szemben, amit az interneten lát.
"Jó példa egy hasonló esetre a 2016-os Petya malware támadás. Bár elsősorban Ukrajna ellen irányult, világszerte pusztítást végzett" - tette hozzá Valentij.
Ingyenes szolgáltatások
A jelenlegi vészhelyzetben történő azonnali segítségnyújtás érdekében a Vectra AI a következő szolgáltatásokat nyújtja ingyenesen:
A Microsoft Azure AD és M365 környezetek vizsgálata támadási tevékenységekre utaló jelek után;
Az AWS-infrastruktúra figyelése aktív támadások jeleinek kimutatására, valamint észlelési és reagálási eszközök biztosítása mind az AWS-fiókok hálózati és vezérlési síkjára vonatkozóan;
A hálózati infrastruktúra felügyelete mind a felhőben, mind a helyben lévő infrastruktúrában a támadás jeleiért, beleértve a Vectra érzékelők telepítését, amelyeket kifejezetten a rosszindulatú viselkedés észlelésére fejlesztettek ki;
A múltbeli metaadatok megőrzésének támogatása az incidensekre adott támadási variánsok veszélyeztetettségi mutatói (IOC) alapján történő vizsgálat segítése érdekében. A Microsoft szerint a közelmúltbeli és folyamatban lévő kibertámadások pontosan célzottan történtek. A vállalat kártevőkeresői nem tapasztalták a 2017-es NotPetya-támadás során az ukrán gazdaságban és a határokon túl is elterjedt, válogatás nélküli kártevőtechnológia alkalmazását.
"De továbbra is különösen aggasztanak bennünket az ukrán civil digitális célpontok, köztük a pénzügyi szektor, a mezőgazdasági ágazat, a sürgősségi segélyszolgálatok, a humanitárius segítségnyújtási erőfeszítések, valamint az energiaszektor szervezetei és vállalkozásai ellen a közelmúltban elkövetett kibertámadások. "Ezek a polgári célpontok elleni támadások komoly aggodalmakat vetnek fel a Genfi Egyezmény értelmében" - írta Brad Smith, a Microsoft elnökhelyettese a vállalat hétfői blogjában.
Az oroszok támadása előtt a kutatók észleltek néhány tesztnek tűnő támadást, mielőtt fejlettebbeket indítottak volna - jegyezte meg Hank Schless, a Lookout felhőbiztonsági cég biztonsági megoldásokért felelős vezető menedzsere. "Bár nagyon keveset osztottak meg a FoxBlade-ről, úgy hangzik, mintha a Microsoft azt sugallná, hogy a fejlesztés mögött álló szereplők azzal a céllal hozták létre, hogy kritikus infrastruktúrát célozzanak meg Ukrajnában" - mondta a TechNewsWorldnek.
Rosszindulatú trójai
A FoxBlade egy rosszindulatú trójai, amelyet azért telepítenek a rendszerekre, hogy lehetővé tegyék az elosztott szolgáltatásmegtagadási (DDoS) támadásokat. Ez a pont nem egyértelmű a Microsoft blogjában, tisztázta Nathan Einwechter, a Vectra biztonsági kutatási igazgatója. A kártevő nem a célzott környezetekben van telepítve. A lehető legtöbb lehetséges célpontra telepítik.
"Amint elegendő rendszer kerül az irányításuk alá, a fertőzött gépeket kollektívan lehet irányítani, hogy a tényleges célpontot (azaz az ukrán kritikus infrastruktúrát) kiiktassák az internetről azáltal, hogy a nyilvános hálózati kapcsolataikat több forgalommal árasztják el, mint amennyit kezelni tudnak" - mondta a TechNewsWorldnek.
Az orosz állami fenyegetőcsoportok közismerten az ehhez hasonló támadásokat, illetve zsarolóvírus-támadásokat használnak figyelemelterelésként, hogy elrejtsék a célrendszerek feltörésére irányuló közvetlenebb kísérleteket. Másrészt egy olyan ellenfél, amely nem képes betörni egy célpont hálózatába, DDoS-támadásokhoz folyamodhat, hogy a támadás teljes időtartama alatt befolyásolja célpontja működési képességét - magyarázta Einwechter.