Kaspersky Lab, alături de Novetta și alți parteneri din industria IT, își anunță contribuția la operațiunea Blockbuster. Obiectivul operațiunii este să întrerupă activitatea grupului Lazarus – o entitate foarte periculoasă, responsabilă de ștergeri de date, precum și de operațiuni convenționale de spionaj cibernetic împotriva a numeroase companii din toată lumea. Se crede că acești atacatori sunt în spatele acțiunii asupra Sony Pictures Entertainment din 2014 și al celei denumite DarkSeoul, care a vizat instituții media și financiare, în 2013.

După un atac devastator asupra celebrei case de producție de film Sony Pictures Entertainment (SPE) în anul 2014, echipa GReAT (Globa Research and Analysis Team) de la Kaspersky Lab și-a început investigația asupra mostrelor de programe malware Destover, semnalate în mod public că ar fi fost folosite în atac. Aceasta a dus la o cercetare mai amplă asupra unui hățiș de campanii de spionaj cibernetic, care vizau instituții financiare, stații media și companii de producție, printre altele.

Pe baza caracteristicilor comune ale diferitelor familii de programe malware, experții companiei au reușit să pună laolaltă zeci de atacuri izolate și să concluzioneze că toate aparțin aceleiași grupări, lucru confirmat și de ceilalți participanți la Operațiunea Blockbuster, în analiza lor.

Grupul Lazarus a fost activ și câțiva ani înainte de incidentul SPE și se pare că este încă activ. Kaspersky Lab și alte cercetări pe această temă confirmă legătura dintre programele malware folosite în diverse campanii, cum ar fi Operațiunea DarkSeoul împotriva unor bănci și instituții media din Seul, Operațiunea Troy, care vizează forțe militare din Coreea de Sud  și incidentul Sony Pictures.

În timpul investigației, cercetătorii Kaspersky Lab au făcut schimb de rezultate preliminare cu AlienVault Labs. În cele din urmă, experții celor două companii au decis să-și unească eforturile și să deruleze o investigație comună. Simultan, activitatea grupului Lazarus a fost investigată de multe alte companii și specialiști în securitate. Una dintre aceste companii, Novetta, a avut inițiativa de a publica cea mai mare parte dintre informațiile despre activitatea grupului Lazarus. Împreună cu Novetta, AlienVault Labs și alți parteneri, Kaspersky Lab publică rezultatele, în beneficiul publicului larg.

Un car cu fân plin de ace

Analizând mostre multiple de malware descoperite în diferite incidente de securitate cibernetică și stabilind anumite reguli pentru a le detecta, Kaspersky Lab, AlienVault și alți specialiști din Operațiunea Blockbuster au reușit să identifice o serie de atacuri ce au fost derulate de grupul Lazarus.

Indiciul din mostrele multiple ce ducea la un singur grup a fost descoperit în timpul analizei metodelor folosit de acest actor al amenințărilor. Mai exact, s-a descoperit că atacatorii re-foloseau coduri – împrumutau fragmente de cod de la un program malware pentru a-l folosi în altul.

În plus, cercetătorii au reușit să identifice asemănările în modul de operare al atacatorilor. În timp ce analizau dovezi din diferite atacuri au descoperit că așa-numitele “droppers” – fișiere speciale, folosite pentru a instala diferite variante ale unui program malware – își păstrau conținutul dăunător într-o arhivă ZIP protejată cu o parolă. Parola pentru arhive, folosită în diferite campanii a fost aceeași ca și codul de bază din interiorul dropper-ului. Protecția prin intermediul parolei a fost implementată pentru a evita ca sistemele automate să extragă și să analizeze conținutul, dar în realitate a ajutat cercetătorii să identifice grupul.

O metodă inedită folosită de infractori în încercarea de a-și șterge urmele dintr-un sistem infectat, împreună cu alte tehnici pentru a evita detecția din partea produselor anti-virus, a dat, de asemenea, cercetătorilor posibilități suplimentare să facă legătura între atacuri. În cele din urmă, zeci de atacuri cu țintă predefinită, cu autori considerați necunoscuți, au fost atribuite aceluiași actor.

Aria geografică a operațiunii

Analiza datelor din mostrele strânse a arătat că cea mai îndepărtată ar putea proveni din 2009, cu cinci ani înainte de atacul asupra Sony. Numărul de noi mostre a crescut constant din 2010. Acest lucru arată că grupul Lazarus este un actor stabil, cu experiență în peisajul amenințărilor cibernetice. În baza metadatelor extrase din mostrele cercetate, cele mai multe dintre programele malware folosite de grupul Lazarus par să fi fost alcătuite în timpul orelor de lucru din zone cu coordonate orare GMT+8 – GMT+9.

“Așa cum am anticipat, numărul de atacuri de tip wiper crește semnificativ. Această categorie de malware se dovedește o armă cibernetică eficientă. Puterea de a ”șterge” mii de computere prin apăsarea unui singur buton reprezintă un premiu valoros pentru o echipă care exploatează rețele de calculatoare și al cărei scop este de a dezinforma și de a crea o ruptură într-o companie vizată. Este un experiment interesant și care se află mult mai aproape de realitate decât ne-ar plăcea. Acesta face parte dintr-un război hibrid care folosește atacurile de tip wiper în combinație cu atacuri kinetice pentru a paraliza, efectiv, infrastructura unui stat. Împreuna cu partenerii noștri din industrie, suntem mândri să punem o piedică în calea acestori actori fără scrupule, care utilizează astfel de tehnici devastatoare,” spune Juan Guerrero, senior security researcher, Kaspersky Lab.

”Acest actor are aptitudinile și determinarea necesare pentru a executa operațiuni de spionaj cibernetic, cu scopul de a sustrage date sau de a provoca pagube. Îmbinând aceste tactici cu tehnici de dezinformare și de înșelăciune, atacatorii au reușit să lanseze cu succes câteva operațiuni în ultimii ani,” spune Jaime Blasco, chief scientist, AlienVault. ”Operațiunea Blockbuster este un exemplu al modului în care colaborarea și schimbul de informații la nivelul întregii industrii pot opri operațiunile unui actor periculos.”

”În cadrul operațiunii Blockbuster, Novetta, Kasperky Lab și partenerii noștri și-au continuat eforturile de a institui o metodologie pentru oprirea operațiunilor unor grupuri de atac importante la nivel global și pentru evitarea unor pagube viitoare,” a spus Andre Ludwig, senior technical director, Novetta Threat Research and Interdiction Group. ”Astfel de analize tehnice în profunzime sunt rare, la fel fiind și schimbul de informații pe care l-am realizat cu partenerii din industrie. La final, cu toții am beneficiat de o mai bună înțelegere a situației.”

Hackerii care au accesat sistemele biroului federal de Office of Personnel Management și au furat amprentele a 5,6 milioane de oameni.

Au fost de cinci ori mai multe decât estimarea inițială – au declarat oficialii miercuri.

Urmările deturnărilor, deja printre cele mai grave care au lovit Statele Unite, au continuat să crească odată ce anchetatorii de securitate informatică au căutat prin sisteme pentru a determina ce a mers prost scrie securityinfowatch.com.

Cele mai recente estimări a prejudiciului vin după ce personalul OPM și Departamentul Apărării au identificat noi înregistrări care nu au fost anailizate până acum, a spus purtătorul de cuvânt al OPM Samuel Schumach. În timp ce guvernul nu crede că amprentele sustrase sunt că utile acum, oficialii spun că schimbarile din tehnologie ar putea permite să fie utilizate în mod abuziv.

În general, înregistrările de personal pentru 21,5 de milioane de persoane au fost compromise.

Guvernul nu a făcut public cine este responsabil pentru atac, dar guvernul chinez a reieșit a fi suspectul principal. Înregistrările aprentelor pot fi folosite pentru a construi o bază de date cu angajați din guvern și serviciile de securitate americane.

OPM și Departamentul Apărării lucrează la anunțarea persoanelor afectate, iar victimelor le vor fi furnizate servicii de monitorizare.

Fiscul american, IRS (Internal Revenue Service), crede ca hackerii care au furat datele personale ale 100.000 de contribuabili din SUA ar proveni din Rusia.

Atacurile au avut loc pe o perioada de patru luni si autoritatile au descoperit ca ar fi vorba de niste criminali cibernetici din tara condusa de Vladimir Putin, arata sursele CNN, informeaza Reuters.

Institutia nu a facut niciun comentariu oficial legat de aceasta posibilitate.

Hackerii au pus mana pe date de identificare precum date de nastere, adrese, situatia platilor, CNP, pe care le-au folosit apoi pentru a accesa informatii financiare detaliate.

Din cele 200.000 de incercari, ei au reusit sa sparga filtrele in 50% din cazuri.

Guvernul german a anuntat ca mai multe dintre site-urile sale, inclusiv cel al Cancelariei, au fost victimele unui atac cibernetic de amploare, care a fost revendicat de o grupare pro-rusa din Ucraina.

Informatia a fost facuta publica de un purtator de cuvant al Executivului, Steffen Seibert, informeaza Reuters.

Printre site-urile afectate se numara cel al Bundestag-ului (www.bundestag.de), dar si ce al Cancelariei de la Berlin (www.bundeskanzlerin.de), care nu s-au incarcat incepand cu ora locala 10.00.

Mai mult, grupul de hackeri pro-rusi din Ucraina CyberBerkut a revendicat atacul, precizand ca acesta are legatura cu vizita in capitala Germaniei a premierului de la Kiev, Arseni Iateniuk.

Ei au cerut nemtilor sa nu sustina financiar “actiunile criminale” ale prim-ministrului ucrainean.

Departamentul de Stat american și-a deconectat în weekend reţeaua informatică neconfidenţială, în urma unor suspiciuni cu privire la un atac al unor hackeri.

Departamentul a invocat vineri o operaţiune de mentenanţă “de rutină” la principala sa reţea neconfidenţială, afectând traficul e-mailurilor şi accesul pe site-uri publice.Însă potrivit unor informaţii de presă, un hacker este suspectat că a spart anumite bariere de securitate ale sistemului care gestionează e-mailuri neclasificate, scrie Mediafax.

Potrivit unui oficial de rang înalt, s-a constatat o “activitate îngrijorătoare”, dar niciunul dintre sistemele confidenţiale nu a fost atins.În cazul în care va fi confirmat, acest atac informatic vizând Departamentul de Stat va fi ultimul dintr-o serie de atacuri cibernetice contra unor organisme publice americane.

Săptămâna trecută, Poşta americană (USPS) a anunţat că hackeri au furat informaţii despre angajaţii săi şi anumiţi clienţi.

Până la 800.000 de persoane remunerate de Poşta americană, inclusiv subcontractori, ar putea să fi fost afectaţi de atac, potrivit unui purtător de cuvânt al coampniei publice.

Hackerii ar fi pătruns în sistemul de plată al birourilor de poştă online, ceea ce ar implica şi clienţi, potrivit USPS. FBI a anunţat că a deschis o anchetă.

Casa Albă a făcut şi ea, luna trecută, obiectul unei “pătrunderi” în reţeaua informatică neconfidenţială.

Procurorii  Direcţiei de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism (D.I.I.C.O.T.) – Structura Centrală şi polițiștii Direcţiei de Combatere a Criminalității Organizate (D.C.C.O.) au neutralizat activitatea infracţională a persoanelor care, în repetate rânduri, au accesat fără drept sistemele informatice ale unor instituţii şi autorităţi publice autohtone, alterând integritatea datelor informatice.

Din materialul probatoriu administrat în cauză rezultă suspiciunea rezonabilă că  doi tineri  – unul în vârstă de 18 ani, din Galaţi, care este membru al comunităţii de hackeri autointitulată „Anonymous România”, şi celălalt în vârstă de 17 ani, din Bucureşti – au executat atacurile informatice derulate în perioada septembrie – octombrie asupra site-ului Poliţiei Române şi asupra unui număr mare de subdomenii (site-urilor unui număr de douăzeci de Inspectorate Judeţene de Poliţie din ţară), precum şi asupra site-ului unei unităţi administrativ teritoriale (site-ul primăriei comunei Vlădeşti, judeţul Galaţi),  atacuri prin care au fost afectate atât disponibilitatea cât şi integritatea conţinutului datelor informatice stocate în cadrul respectivelor infrastructuri informatice.

Procurorii D.I.I.C.O.T. – Structura Centrală şi poliţiştii D.C.C.O. au efectuat astăzi, 19 noiembrie 2014, două percheziţii domiciliare, una pe raza judeţului Galaţi şi cealaltă pe raza municipiului Bucureşti, în imobilele în care locuiesc cei doi suspecţi.

Au fost puse în executare două mandate de aducere, cei doi suspecţi urmând să fie audiaţi la sediul DIICOT – Structura Centrală.

La percheziţii au participat şi poliţişti din cadrul Brigăzii de Combatere a Criminalităţii Organizate Galaţi.

Cazul a fost instrumentat cu suportul tehnic şi de specialitate al Direcţiei Operaţiuni Speciale şi al Serviciului Român de Informaţii.

Un server al JP Morgan a fost spart de hackeri prin intermediul unei parole a unui angajat al băncii, aceştia accesând datele a 76 de milioane de familii şi a 7 milioane de companii mici.

JPMorgan, cea mai mare bancă din Statele Unite, a explicat amploarea atacului care a ieşit pentru prima oară la iveală în luna august, dând asigurări clienţilor că nu există dovezi că parolele şi conturile lor ar fi fost compromise, chiar dacă numele şi datele lor de contact au fost expuse, scrie Mediafax.

Banca a făcut eforturi pentru a limita pagubele, de la producerea incidentului, şi a precizat că datele de contact ale unor persoane care s-au conectat la anumite site-uri sau aplicaţii mobile au fost furate.

Potrivit JPMorgan, pericolul este în prezent de phishing, sistem prin care infractorii încearcă să păcălească oamenii să dea informaţii valoroase, cum ar fi ID-urile şi parolele.

“Dacă găsesc un director de companie, infractorii ştiu că acea persoană valorează mulţi bani şi vor încerca să o atace, chiar dacă nu este simplu”, a declarat Jeff Tjiputra, preşedinte de program pentru securitate cibernetică la University of Maryland University College.

Unii dintre cei afectaţi de atacurile hackerilor sunt din afara SUA, a spus Patricia Wexler, purtător de cuvânt al JPMorgan.

Ea a arătat că pe lângă datele de contact, hackerii au obţinut date interne, cum ar fi identificarea clienţilor pe categorii, respectiv dacă sunt clienţi ai diviziei de private banking, de credite ipotecare, auto sau de carduri de credit.

Wexler a spus că nu există dovezi că ar fi fost accesate, vizualizate sau achiziţionate informaţii referitoare la conturi, precum numărul conturilor, parolele sau ID-urile.

Site-ul Poliţiei Române a fost spart de o grupare de hackeri care a afişat, la secţiunea Ştiri, un mesaj cu titlul “Salutări din partea ciumpalacilor”.

Pe prima pagină a site-ului Inspectoratului General al Poliţiei Române (IGPR), la secţiunea Ştiri, a fost postat vineri un mesaj care ar avea ca autor “Anonymous România“.

“Vă salutăm domnilor. Noi suntem Anonymous. Noi suntem Legiunea. Noi suntem POPORUL ROMÂN sau desigur ciumpalacii. România, trezeşte-te!”.

Poliţia Română spune că pe site-ul instituţiei a apărut, vineri, o postare neautorizată, care a afectat doar interfaţa acestuia, nu şi conţinutul, ofiţerii de la combaterea criminalităţii informatice demarând o anchetă în acest caz, scrie Mediafax.

Site-ul IGPR conţine numai date şi informaţii publice, nefiind conectat la bazele de date ale Poliţiei Române, a precizat sursa citată.

Poliţia Română a menţionat că hackerii nu au reuşit să modifice sau să sustragă informaţii.

Ofiţerii specializaţi în combaterea criminalităţii informatice au început o anchetă pentru identificarea celor care au comis atacul informatic.

După scandalul din jurul iCloud de la începutul lunii, un grup de hackeri a publicat online 5 milioane de utilizatori şi parolele aferente de Gmail.

De cele mai multe ori, serviciile online ale celor de la Google par destul de sigure. Destul de rar citim detalii despre un scandal digital cu gigantul din Mountain View, dar asta până acum. Fără a se şti exact mijlocul prin care au fost sustrase respectivele informaţii, în ultimele 24 de ore au fost publicate pe un forum rus de Bitcoin 5 milioane de nume de utilizatori şi parolele aferente de Gmail , scrie PlayTech.ro .

Deşi s-a stabilit deja că respectivele informaţii nu sunt foarte recente, se pare că peste 60% dintre ele continuă să fie de actualitate. Partea cea mai interesantă constă în faptul că s-ar putea ca nici măcar să nu provină din Google.

Cel mai probabil, stufoasa colecţie de nume de utilizatori şi parole are ca provenienţă un website terţ care invita odinioară vizitatorii să se autentifice cu aceleaşi date ca pe Gmail. Ca urmare, la baza listei de aproximativ cinci milioane de conturi se află de fapt un scenariu de phishing foarte bine executat.

Nu a trecut mult timp din momentul în care aceste date au ajuns online, doar ca în secunda următoare să fie comparate cu alte victime de hacking din aceeaşi perioadă. Ca urmare, dacă nu aţi făcut-o deja, activaţi-vă prin intermediul smartphone-ului personal posibilitatea autentificării în doi paşi.