☰

Kiberlaikapstākļi (JŪLIJS)

Pieejami kiberlaikapstākļi par 2020. gada jūliju. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Krāpšana

Aktivizējas telefonkrāpnieki, kas uzdodas par banku darbiniekiem

Vairākas bankas brīdināja savus klientus par telefonkrāpniekiem, kas veic zvanus krievu valodā, uzdodoties par banku darbiniekiem. Viltus banku darbinieki lūdza sniegt internetbankas piekļuves datus, lai it kā novērstu nesankcionētas darbības klienta kontā. Bankas vairākkārtēji atgādināja, ka banku darbinieki nekad klientiem nelūgs atklāt internetbankas piekļuves informāciju. Bankas arī aicināja šādus zvanus pārtraukt un atzvanīt bankai uz mājas lapā norādīto telefona numuru, lai pārliecinātos, vai tiešām zvanījusi banka, kā arī lai informētu par krāpšanas mēģinājumu.

Vairāk: https://twitter.com/certlv/status/1286530816592551936

Krāpnieciski telefona zvani un aicinājumi investēt

Tika saņemti ziņojumi par krāpniekiem, kas zvanīja un uzdevās par Bloomberg pārstāvjiem un piedāvāja investēt, izmantojot finanšu platformas. Krāpnieki sazinājās krievu valodā. CERT.LV rekomendēja neiesaistīties piedāvātajos darījumos un telefona sarunu pēc iespējas ātrāk pārtraukt. Ar informāciju par licencētiem finanšu pakalpojumu sniedzējiem Latvijā iespējams iepazīties Finanšu un kapitāla tirgus komisijas tīmekļa vietnē https://www.fktk.lv/.

Vairāk: https://www.fktk.lv/klientu-aizsardziba/bridina-par-krapniekiem-kas-censas-izvilinat-datus/

Šokējošu paziņojumu izmantošana sociālo tīklu piekļuves datu izkrāpšanā

Sociālajos tīklos, galvenokārt Facebook, uzdarbojās ļaundari, kas ar uzlauztu kontu palīdzību dažādās tematiskās grupās (piem., lietu apmaiņas vai māmiņu grupā) publicēja ierakstu par kādu nelaimes gadījumu (ugunsgrēku, avāriju), kurā it kā ir bojā gājušie, un lasītāji tika aicināti sekot saitei, lai “atpazītu” upurus. Saite lasītāju nogādāja uz sociālā tīkla lapas kopiju, kurā tika lūgts atkārtoti autorizēties. Gadījumā, ja piekļuves dati tika ievadīti, tie tika nosūtīti krāpniekiem. CERT.LV atgādināja par nepieciešamību rūpīgi pārbaudīt vietnes adresi pirms jebkādas personīgās informācijas ievadīšanas, un ziņot portālam un grupas administratoram par kaitnieciskiem ierakstiem.

Vairāk:
https://twitter.com/Stradina_slimn/status/1280773937081864193
https://www.facebook.com/certlv/posts/3129382887098783

Ļaunatūra un ievainojamības

Atklāta īpaši bīstama Windows DNS servera ievainojamība – SigRed

Ikmēneša atjauninājumos Microsoft publicēja arī ielāpu kritiskai ievainojamībai, kurai piešķirts identifikācijas numurs CVE-2020-1350, kibertelpā tā pazīstama arī kā SigRed. Ievainojamības novērtējums pēc CVSS (Common Vulnerability Scoring System) bija 10 balles, kas ir augstākais bīstamības līmenis šajā skalā. Ievainojamība skāra Microsoft Windows DNS, domēna vārdu sistēmas pakalpojumu Windows operētājsistēmās un servera programmatūru. Ievainojamību īpaši bīstamu padara tas, ka tā sniedz iespēju ļaunatūrai izplatīties no vienas ievainojamas iekārtas uz citu bez mijiedarbības ar lietotāju, tā apdraudot visu organizācijas datortīklu. Lai pasargātu savā pārvaldījumā esošās iekārtas, CERT.LV aicina pēc iespējas ātrāk veikt iekārtu atjaunināšanu.

Vairāk: https://cert.lv/lv/2020/07/atklata-ipasi-bistama-windows-dns-servera-ievainojamiba-sigred

Kampaņveidīgi ļaunatūras izplatīšanas mēģinājumi

Tika novērotas vairākas viltotu e-pastu izplatīšanas kampaņas, kurās e-pasti tika izsūtīti kāda pazīstama uzņēmuma vai organizācijas vārdā, piemēram, Latvijas Universitātes vai DHL. E-pastu pielikums saturēja vīrusu, kas paredzēts sensitīvas informācijas (lietotājvārdi, paroles u.c.) iegūšanai no upura iekārtas. CERT.LV aicināja e-pasta serveru uzturētājus serveru konfigurācijā izmantot atbilstošas aizsardzības metodes (SPF, DKIM, DMARC), lai pasargātu lietotājus no viltotu e-pastu saņemšanas, kā arī organizāciju no organizācijas vārdā izsūtītu viltotu e-pastu izplatības.

Vairāk:
https://twitter.com/certlv/status/1280392264108462080
https://twitter.com/certlv/status/1285576986929356801

Uzbrukumu draudiem pakļauts plaši lietotais Microsoft SharePoint

Tika atklāta jauna kritiska ievainojamība Microsoft SharePoint (CVE-2020-1147). Tā sniedza iespēju uzbrucējam pat ar ierobežotām piekļuves tiesībām veikt attālinātu koda izpildi uz ievainojamā servera. SharePoint ir plaši lietota dokumentu apmaiņas un sadarbības platforma izmantošanai iekšējā tīklā. CERT.LV aicināja nekavējoties veikt atjauninājumus.

Vairāk: https://srcincite.io/blog/2020/07/20/sharepoint-and-pwn-remote-code-execution-against-sharepoint-server-abusing-dataset.html

Kritiska ievainojamība SAP sistēmā

Tika atklāta kritiska ievainojamība SAP sistēmā (CVE-2020-6287, CVSS novērtējums 10 no 10). SAP ir uzņēmumu resursu pārvaldības sistēma, kas tiek izmantota finanšu, klientu, darbinieku, loģistikas un cita veida informācijas pārvaldībai. Ievainojamība sniedza uzbrucējiem iespēju iegūt sensitīvu informāciju, dzēst datus, izpildīt patvaļīgu kodu, veikt sabotāžu u.c. ļaunprātīgas darbības. SAP ir izstrādājis drošības ielāpu ievainojamības novēršanai. CERT.LV aicināja nekavējoties uzstādīt atjauninājumus.

Vairāk: https://threatpost.com/critical-sap-bug-enterprise-system-takeover/157392/

Atklāta kritiska ievainojamība drošības risinājumā BIG-IP

Kompānijas F5 izstrādātajā drošības risinājumā BIG-IP tika atklāta kritiska ievainojamība (CVE-2020-5902). Tā sniedza uzbrucējam vai jebkuram lietotājam, kurš varēja attālināti piekļūt administrācijas rīkam TMUI (Traffic Management User Interface), iespēju attālināti izpildīt sistēmā dažādas komandas. F5 publicētajā brīdinājumā uzsvēra nepieciešamību atjaunināt risinājumu pēc iespējas ātrāk. Ja risinājuma administrācijas rīks TMUI tiek eksponēts internetā un nav uzstādīti atjauninājumi, jāpieņem, ka sistēma ir tikusi kompromitēta, un jāseko iekšējai incidentu risināšanas procedūrai.

Vairāk: https://www.f5.com/services/support/big-ip-vulnerability-cve-2020-5902

Ielaušanās un datu noplūde

Uzlauzts tehnoloģiju forums

Tika saņemta informācija par ziņu portāla boot.lv tehnoloģiju foruma (Latvijas lielākais IT forums) uzlaušanu un iespējamu dalībnieku datu nopludināšanu. Uzlauzēji piedāvāja jebkuram interesentam lejuplādēt MySQL Invision Power Services datubāzes fragmentus ar lietotāju datiem. Portāls aicināja lietotājus nomainīt paroles un gatavojās vērsties ar iesniegumu policijā.

Vairāk: https://boot.ritakafija.lv/forums/index.php?/topic/177045-vai-v%C4%93l-k%C4%81dam-%C5%A1is-ir-vajadz%C4%ABgs/

Nopludināta darbinieku sarakste

Publiski izskanēja informācija par iejaukšanos kāda uzņēmuma darbībā, iegūstot un pēcāk padarot pieejamas internetā uzņēmuma darbinieku e-pasta sarakstes. Par notikušo tikusi informēta Datu valsts inspekcija un Valsts policija.

Vairāk: https://twitter.com/bottija/status/1278710734168432647

Lietu internets

Šifrējošais izspiedējvīruss paralizē Garmin darbību

Navigācijas un fitnesa ierīču ražotājs Garmin cieta šifrējošā izspiedējvīrusa WastedLocker uzbrukumā. Uzbrukuma rezultātā lietotājiem nebija pieejams Garmin Connect mākoņpakalpojums, kas ļauj lietotājiem sinhronizēt, piemēram, fitnesa aproču datus. Traucēta tika arī aviācijā izmantoto Garmin produktu, kas tiek lietoti lidaparātu pozicionēšanai un navigācijai, darbība.

Vairāk: https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/

Pakalpojuma pieejamība

Elektrības traucējumi apgrūtina mobilos sakarus

Elektropadeves traucējumu dēļ VAS LVRTC (Latvijas valsts radio un televīzijas centrs) visā Latvijā jūlija sākumā īslaicīgi bija apgrūtināti mobilie sakari Tele2 un Bite klientiem. Aptuveni 30 minūtes nebija pieejami datu pārraides pakalpojumi, tāpat tika ietekmēta portāla eParaksts.lv darbība.

Vairāk: https://www.tvnet.lv/7011547/lvrtc-elektribas-padeves-traucejumu-del-tele2-un-bite-klientiem-visa-latvija-islaicigi-apgrutinati-mobilie-sakari

Skat. arī Garmin incidentu sadaļā Lietu internets.