Kiberlaikapstākļi (NOVEMBRIS)
Pieejami kiberlaikapstākļi par 2021. gada novembri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Jauns krāpniecisku loteriju vilnis
Mēneša sākumā plašu izplatību ieguva krāpnieciskas loterijas gan Latvijas Pasts, gan Neste vārdā. Krāpnieki centās izvilināt lietotāju datus, piesolot naudas balvas. CERT.LV brīdināja lietotājus par iespējamām krāpniecībām, kurās izmantoti arī citi zīmoli vai mainīts ziņojuma saturs, un aicināja nevērt vaļā krāpnieciskās saites un nesniegt savu personīgo informāciju. Lai pārliecinātos par to, vai attiecīgais uzņēmums tiešām organizē konkrēto loteriju, iedzīvotāji tika aicināti vienmēr pārbaudīt informāciju uzņēmumu oficiālajās vietnēs.
Vairāk: https://twitter.com/certlv/status/1455841557140103171
Krāpnieciski e-pasti Latvijas Pasts vārdā
Tika saņemtas ziņas par krāpnieciskiem e-pastiem Latvijas Pasts vārdā, kuros saņēmēji it kā tika informēti par problēmām ar sūtījuma piegādi un tika aicināti veikt sūtījuma piegādes apmaksu, sekojot e-pastā iekļautajai saitei. Iedzīvotāji tika aicināti uzmanīties, aizdomīgas ziņas neatvērt un pirms jebkādas informācijas ievades pārliecināties par vietnes leģitimitāti.
Vairāk: https://twitter.com/latvijas_pasts/status/1457963457123323904
Krāpnieciskas īsziņas banku klientiem
Virkne iedzīvotāju saņēma krāpnieciskas īsziņas šķietami SEB bankas vārdā ar brīdinājumu par aizdomīgām darbībām kontā, kuru novēršanai nepieciešams sekot saitei. SMS saņēma arī tie lietotāji, kuri nebija SEB bankas klienti. Īsziņā norādītā saite lietotājus aizveda uz viltus vietni, kas paredzēta lietotāju datu izgūšanai. CERT.LV aicināja būt uzmanīgiem un šādas SMS dzēst. CERT.LV arī atgādināja, ka, verot saites vaļā telefonos, to pārskatāmība ir daudz ierobežotāka un prasa papildu modrību.
Vairāk: https://twitter.com/certlv/status/1458825054029070337
Ēsmas e-pastu izplatība
Pētnieki konstatējuši ēsmas e-pastu izplatības pieaugumu. Šie e-pasti parasti nesatur nedz kaitīgas saites, ne pielikumus. Lai arī dažreiz ēsmas e-pastos var tikt iekļauti vienkārši jautājumi, palielinot iespēju, ka kāds uz tiem atbildēs, bieži šādi e-pasti var būt vispār bez teksta. Ēsmas e-pastu mērķis ir: gūt apstiprinājumu tam, ka izvēlētā e-pasta adrese tiešām eksistē (e-pasts netiek atmests atpakaļ), pārliecināties, ka e-pasta adrese tiek aktīvi lietota, pārbaudīt saņēmēja attieksmi pret nepieprasītiem sūtījumiem (mēstulēm), kā arī notestēt automātisko spam filtru darbību, lai pēc izpētes veikšanas sagatavo atbilstošus pikšķerēšanas e-pastus ar mērķi iegūt lietotāju datus vai inficēt iekārtu. Ja tiek saņemts ēsmas e-pasts, aicinām uz to neatbildēt (atbilde paaugstina risku kļūt par uzbrucēju mērķi), un saņemto e-pastu dzēst (vēlams neatverot).
Jaunas krāpnieciskas kampaņas, kas vērstas pret Microsoft 365 lietotājiem
Konstatēti mēģinājumi iejaukties biznesa sarakstē, kuros izmantotas inovatīvas metodes, lai izvairītos no spam filtriem. E-pastu kampaņa vērsta pret Microsoft 365 lietotājiem ar mērķi piekļūt lietotāju e-pastiem un citai kontos atrodamajai informācijai. E-pasts saturēja tekstu, kas rakstīts, izmantojot pirmā izmēra rakstzīmes (font), kā arī saites tika ietvertas noformējumam paredzētajā informācijā (CSS). Tas būtiski apgrūtināja Microsoft e-pasta filtru darbību, kas izmanto dabiskās valodas atpazīšanu (Natural Language Processing, NLP).
Vairāk: https://threatpost.com/tiny-font-size-email-filters-bec-phishing/176198/
Ļaunatūra un ievainojamības
Uzņēmumu vārdā izplata vīrusu paroļu pārtveršanai
Krāpnieki, izliekoties par uzņēmumu SIA BRE un SIA MEKO un KO darbiniekiem, masveidā izsūtīja e-pastus ar LokiBot vīrusu pielikumā. Vīruss tika maskēts kā .zip fails un bija paredzēts paroļu izgūšanai no datorā izmantotajām programmmām un interneta pārlūkiem, kā arī kriptovalūtu maciņu un to piekļuves informācijas meklēšanai. Sūtītāja e-pasts, kaut arī izskatījās reāls, patiesībā bija viltots. CERT.LV aicināja, saņemot aizdomīgus sūtījumus no kāda uzņēmuma, sazināties ar šo uzņēmumu, izmantojot tā oficiālajā vietnē atrodamos kontaktus, un noskaidrot, vai uzņēmums tiešām šādu e-pastu ir sūtījis. CERT.LV norādīja arī uz nepieciešamību pievērst uzmanību neierastiem failu paplašinājumiem.
Vairāk: https://twitter.com/certlv/status/1460593589449285632
Bīstamas ievainojamības Palo Alto Networks iekārtu programmatūrā
Tika atklātas jaunas nozīmīgas ievainojamības (CVE-2021-3064, CVE-2021-3063) ugunsmūra Palo Alto Networks GlobalProtect portāla un vārtejas saskarnēs. Ievainojamības sniedza iespēju uzbrucējiem veikt patvaļīgu attālinātu koda izpildi, iegūstot piekļuvi ievainojamajai sistēmai (sensitīvai konfigurācijas informācijai, piekļuves datiem utt), kā arī, sagatavojot atbilstošu tīkla pieprasījumu, izraisīt kļūdu un apturēt iekārtas darbību. Ievainojamību novēršanai pieejami atjauninājumi.
Vairāk:
https://security.paloaltonetworks.com/CVE-2021-3064
https://security.paloaltonetworks.com/CVE-2021-3063
Atklātas nepilnības pirksta nospieduma kā drošības mehānisma izmantošanā
Pētnieki atklājuši iespēju viltot pirkstu nospiedumus, neizmantojot dārgas vai sarežģītas tehnoloģijas. Pirksta nospieduma izveidei ar parastu viedtālruni tika uzņemts pirksta nospieduma attēls, tika izveidots uzņemtā attēla negatīvs, izmantojot foto apstrādes programmatūru, iegūtais attēls tika izdrukāts, izmantojot lāzerprinteri, kas veic izdruku uz acetāta loksnēm (caurspīdīgs elastīgs materiāls ar plašu pielietojumu, izmanto apsveikumu kartītēm, stenciliem, savulaik arī prezentācijām uz kodoskopa), uz izdrukas tika uzklāta koka līme, kurai ļāva nožūt, lai pēcāk to izmantotu autentifikācijas vajadzībām. Viltotie pirkstu nospiedumi tika veiksmīgi izmantoti autentifikācijai mūsdienīgos pirksta nospieduma lasītājos, piemēram, MacBook Pro. Lai arī pirkstu nospiedums ir ērta biometriskā autentifikācijas metode, to nevajadzētu uztvert kā super-drošu un padarīt par vienīgo autentifikācijas mehānismu. Droši būtu izmantot pirkstu nospiedumu kā otro faktoru apvienojumā ar garu un unikālu paroli.
Giganta atgriešanās
Pēc desmit mēnešus ilguša klusuma vērojama Emotet botneta aktivitātes atjaunošanās. Daudzām ļaunatūrām Emotet nodrošināja iespēju nokļūt upura iekārtā, izpildot sākotnējo inficēšanas fāzi. Emotet grupējumam pārtraucot savu darbību, tādu ļaunatūru kā Qbot, TrickBot un Conti izplatīšanās kļuva apgrūtināta. Pētnieki brīdina par potenciālu Conti šifrējošā izspiedējvīrusa strauju izplatīšanos, spēlē atgriežoties Emotet, kas spēj nodrošināt efektīvu uzbrukuma sākumfāzes izpildi. Tīklu administratori tiek aicināti bloķēt Emotet komand- un kontrolcentru IP adreses, lai pasargātu iekārtas no iekļūšanas botnetā.
Vairāk:
https://www.bleepingcomputer.com/news/security/emotet-botnet-comeback-orchestrated-by-conti-ransomware-gang/
https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/
Ļaundabīgas spēles 9 miljonos Android iekārtu
Ļaundabīgs kods (Android.Cynos.7.origin) tika atklāts 190 dažādās spēlēs, kas tika piedāvātas lejupielādei Huawei AppGallery un bija galvenokārt paredzētas bērnu un jauniešu auditorijai. Ļaunatūras mērķis bija ievākt datus par iekārtu un tās atrašanās vietu, pieprasot plašas piekļuves tiesības (piemēram, piekļuvi zvaniem un sms), lai, galvenokārt, demonstrētu lietotājam reklāmas. Atsevišķos gadījumos ļaunatūra bija paredzēta maksas sms izsūtīšanai un citu lietotņu lejupielādei iekārtā. Kaitīgās lietotnes lejupielādētas vairāk nekā 9 300 000 Android iekārtu.
Vairāk: https://threatpost.com/9m-androids-malware-games-huawei-appgallery/176581/
Ielaušanās un datu noplūde
30% Android viedtālruņu pakļauti noklausīšanās riskam
Vairākas ievainojamības (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663, CVE-2021-0673) MediaTek ražotajos mikroprocesoros sniedza uzbrucējiem iespējas noklausīties Android viedtālruņu lietotāju sarunas. MediaTek ir viens no lielākajiem pusvadītāju ražotājiem pasaulē, nodrošinot ar mikroprocesoriem 43% no visiem viedtālruņiem. Novembrī tika publicēti drošības ielāpi šo ievainojamību novēršanai. Android lietotāji aicināti uzstādīt iekārtu atjauninājumus.
Lietu internets
Jauns drauds maršrutētājiem un citām tīkla iekārtām
Atklāta jauna ļaunatūra BotenaGo, kas izmanto vairāk nekā 30 dažādus mūķus (exploits), lai inficētu maršrutētājus un citas lietu interneta (IoT) iekārtas. Ļaunatūra ir izveidota, izmantojot Golang (Go) programmēšanas valodu, kas uzbrucēju vidū iemantojusi popularitāti, jo ļauj izstrādāt ļaunatūru, kuru ir gan grūti pamanīt, gan analizēt. BotenaGo jau ir inficējusi 2 miljonus iekārtu, iekļaujot tās botnetā. Lai pasargātu iekārtas no uzbrukumiem, aicinām regulāri uzstādīt atjauninājumus, kā arī rūpīgi pārdomāt, vai tiešām iekārtai nepieciešama piekļuve no interneta, vai arī pilnīgi pietiks, ja tā būs pieejama tikai iekšējā tīklā, izmantot piekļuvei drošu paroli.
Ietekmētas veselības aprūpes iekārtas
Tika atklātas 13 ievainojamības Nucleus reāllaika operētājsistēmā (RTOS), kas skar Siemens ražotās automatizācijas, medicīnas, industriālā un kosmiskās aviācijas sektora iekārtas. Ievainojamības sniedza uzbrucējam iespējas veikt attālinātu koda izpildi, panākt iekārtas nepieejamību (DDoS), kā arī iegūt sensitīvu informāciju. Siemens ir publicējis atjauninājumus, kas novērš Nucleus ievainojamības. Potenciālo apdraudējumu mazināšanai, piemēram, veselības aprūpes iekārtām, iesakāms padarīt iekārtas nepieejamas no interneta, iekārtu aizsardzībai izmantot ugunsmūri, kā arī ievietot iekārtas atsevišķā tīklā. Ja tomēr attālināta piekļuve ir nepieciešama, izmantot atjauninātu VPN (virtuālu privāto tīklu).
Pakalpojuma pieejamība
Būtiski incidenti netika reģistrēti.