Кіберновини на 25 травня
В Україні
Невидимий фронт. Україна створила потужну армію з 300 ІТ-фахівців
«Україна здобула унікальний досвід використання кіберпростору під час війни. Ми створили досить потужну IT-армію. Зараз близько 300 тис. учасників цієї IT-армії. Наша держава об’єднала українських та міжнародних професіоналів. Усі кіберсолдати приєднались до цієї місії добровільно, тож я певен, що кібербезпека – це основа для цифрової держави, яку ми будували від дня заснування Міністерства», -повідомив міністр цифрової трансформації Михайло Федоров під час International Diia Summit Brave Ukraine [1].
ПриватБанк попереджає про чергову шахрайську схему під приводом виплат держдопомоги
За даними служби безпеки банку, 23 травня шахраї почали розповсюдження через соцмережі фейкове повідомлення про термінову «перевірку карток» під приводом виплати допомоги від держави. У повідомленні шахраї пропонують клієнтам для «перевірки» картки перейти за посиланням на фішинговий сайт для крадіжки фінансових даних. Банк звернувся до правоохоронних органів щодо зупинки роботи та ліквідації цього та подібних шахрайських ресурсів [2].
У росії
«RIP Killnet». Anonymous оголосили кібервійну російським хакерам
Хакерська група Anonymous офіційно оголосила кібервійну російським хакерам Killnet, які здійснюють кібератаки проти України. Зокрема, «анонімуси» вже поклали сайт угруповання Killnet. З початку війни Anonymous підтримують Україну, зливають бази даних з російських структур та ламають їхні сайти [3]. Anonymous зламали електронну пошту учасників руху Killnet. Підсумком став злив даних про кіберзлочинців. Цю інформацію оприлюднили українські хакери на спеціально створеному сайті [4].
У світі
Погані новини від Google. Урядові хакери відразу кількох країн отримали доступ до вразливостей Chrome та Android
Компанія Google повідомила, що хакерам з Греції, Сербії, Єгипту, Вірменії, Іспанії, Індонезії, Мадагаскару та Кот-д’Івуару вдалося отримати доступ до чотирьох вразливостей Chrome та однієї – Android. За словами компанії, у зливі даних підозрюється компанія Cytrox із Північної Македонії. Їй вдалося розробити шкідливу програму Predator, за допомогою якої хакери кількох країн отримали доступ до так званих «уразливостей нульового дня». Цей термін означає слабкі місця безпеки ПЗ, про які не знає сам розробник. Google веде підрахунок та фіксацію цих вразливостей з 2014 року, відстежуючи та виправляючи їх за можливості. У числі наданих хакерам уразливостей Cytrox дала доступ і до виправлених, що означає, що користувачі не оновлювали ПЗ. Google Threat Analysis Group активно відстежує понад 30 постачальників з різним рівнем складності та публічності, які продають експлойти або можливості спостереження особам, які підтримуються державою. Фахівці TAG пишуть, що нещодавно злиті уразливості системи було розроблено приватними компаніями [5].
Кіберзлочинці використовують виконуваний файл Eset, щоб приховати активність шкідливої програми ArguePatch
Компанія Eset повідомляє про виявлення вдосконаленої версії завантажувача шкідливих програм, який раніше використовувався групою Sandworm під час атак загрози Industroyer2 на енергетичний сектор в Україні. Оновлений завантажувач отримав назву від CERT-UA – ArguePatch. Тепер це шкідливе ПЗ застосовується для запуску програми CaddyWiper з функціоналом знищення даних, яка використовувалася для атак на українські організації. Нова версія завантажувача є виправленою версією легітимного компонента програмного забезпечення Hex-RaysSA IDA Pro, а саме віддаленого сервера налагодження IDA (win32_remote.exe). У версію додано код для розшифрування та запуску CaddyWiper із зовнішнього файлу. Щоб приховати активність ArguePatch, група Sandworm обрала офіційний виконуваний файл Eset. Його було позбавлено цифрового підпису, а код перезаписано. Доданий код досить схожий у попередній та новій версії завантажувача, але тепер він містить функцію для запуску наступного етапу атаки в певний час. Таким чином зловмисники замінюють необхідність налаштування запланованого завдання Windows для запуску коду. Ймовірно, це є способом уникнути виявлення за допомогою відомих TTP [6].