Cyber security news May 2022

This posting is here to collect cyber security news in May 2022.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

408 Comments

  1. Tomi Engdahl says:

    Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits
    https://www.bleepingcomputer.com/news/security/microsoft-sysrv-botnet-targets-windows-linux-servers-with-new-exploits/

    Microsoft says the Sysrv botnet is now exploiting vulnerabilities in the Spring Framework and WordPress to ensnare and deploy cryptomining malware on vulnerable Windows and Linux servers.

    Redmond discovered a new variant (tracked as Sysrv-K) that has been upgraded with more capabilities, including scanning for unpatched WordPress and Spring deployments.

    “The new variant, which we call Sysrv-K, sports additional exploits and can gain control of web servers” by exploiting various vulnerabilities, the Microsoft Security Intelligence team said in a Twitter

    “These vulnerabilities, which have all been addressed by security updates, include old vulnerabilities in WordPress plugins, as well as newer vulnerabilities like CVE-2022-22947.”

    As part of these newly added capabilities, Sysrv-K scans for WordPress configuration files and their backups to steal database credentials, later used to take over the webserver.

    As they observed, Sysrv is scanning the Internet for vulnerable Windows and Linux enterprise servers and it infects them with Monero (XMRig) miners and self-spreader malware payloads.

    To hack its way into these web servers, the botnet exploits flaws in web apps and databases, such as PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, and Apache Struts.

    After killing competing cryptocurrency miners and deploying its own payloads, Sysrv also auto-spreads over the network via brute force attacks using SSH private keys collected from various locations on infected servers (e.g., bash history, ssh config, and known_hosts files).

    Reply
  2. Tomi Engdahl says:

    Suomi valmistautuu kyberhyökkäyksiin – meillä on “supervoima”, jota muilla ei ole https://www.is.fi/digitoday/tietoturva/art-2000008809079.html
    Suomen verkoissa on paikkaamattomia haavoittuvuuksia, jotka avaavat oven verkkohyökkääjälle. Muualla maailmassa viranomaiset ja yrityskenttä eivät kuitenkaan kykene samanlaiseen yhteistyöhön kuin täällä. LIIKENNE- ja viestivirasto Traficomin Kyberturvallisuuskeskuksen poikkeamien hallinnan palvelukokonaisuuden johtaja Arttu Lehmuskallion mukaan teleoperaattorit ja muu elinkeinoelämä työskentelevät viranomaisten kanssa tavalla, joka on maailman mittakaavassa ainutlaatuinen. – Olen ihmetellyt muualla käytettävää termiä public private partnership (julkisen ja yksityisen sektorin yhteistyö). Se on supervoima, joka meillä Suomessa jo on, Lehmuskallio sanoo.

    Reply
  3. Tomi Engdahl says:

    Suomen Nato-hakemus voi johtaa Venäjän kyberhyökkäyksiin tällaisia ne ovat
    https://www.iltalehti.fi/tietoturva/a/8d64eacb-dd0e-4d31-93b1-8dbed19f1507
    Kyberturvallisuuskeskuksen ylijohtaja Sauli Pahlmanin mukaan ei ole syytä ajatella, että kyberuhkien määrä lientyisi lähitulevaisuudessa.
    Pahlman pitää mahdollisena, että Venäjä tulee kohdistamaan Suomeen enemmän kyberhyökkäyksiä Nato-hakemuksen lähettämisen jälkeen. – Mikäli Venäjä katsoisi Suomen Nato-jäsenyyden hakemisen toimena, joka kyberhyökkäyksien keinoin vaatisi protestin tai viestin lähettämistä, kyllähän se tarkoittaisi sitä, että kyberuhkatasossa nousu varmasti nähtäisi, hän kertoo. – Kaikki poikkeustilanteet herättävät rikollisten kiinnostuksen. Se on heidän näkökulmastaan otollinen aika iskeä. Hyökkäykset eivät välttämättä kohdistuisi vain valtionhallintoon, lisää Traficomin asiantuntija Jussi Eronen.

    Reply
  4. Tomi Engdahl says:

    Eternity malware kit offers stealer, miner, worm, ransomware tools https://www.bleepingcomputer.com/news/security/eternity-malware-kit-offers-stealer-miner-worm-ransomware-tools/
    Threat actors have launched the ‘Eternity Project, ‘ a new malware-as-a-service where threat actors can purchase a malware toolkit that can be customized with different modules depending on the attack being conducted. The malware toolkit is modular and can include an info-stealer, a coin miner, a clipper, a ransomware program, a worm spreader, and soon, also a DDoS (distributed denial of service) bot, each being purchase seperately. also:
    https://blog.cyble.com/2022/05/12/a-closer-look-at-eternity-malware/

    Reply
  5. Tomi Engdahl says:

    To predict the targets of Chinese malware, look at the target of Chinese laws https://www.theregister.com/2022/05/13/team_t5_china_regulation_malware_link/
    Around the time Beijing banned online gambling, RATs started targeting operators, say Taiwanese researchers. In a presentation about an emerging China-nexus modular trojan named “Pangolin8RAT”, Taiwan-based cybersecurity firm TeamT5′s Silvia Yeh noted that attacks on online gambling operators occurred around the same time that China announced action against such outfits. While Yeh said the timing could be coincidental – attacks on gambling and online gaming companies are not exactly new – Pangolin8RAT appears to be a weapon of choice for Chinese state-sponsored cyber operations.

    Reply
  6. Tomi Engdahl says:

    Google to create security team for open source projects https://therecord.media/google-open-source-security-team-openssf/
    Google announced on Thursday that it is creating a new “Open Source Maintenance Crew” tasked with improving the security of critical open source projects. Google also unveiled two other projects Google Cloud Dataset from Open Source Insights designed to help developers better understand the structure and security of the software they use. “This dataset provides access to critical software supply chain information for developers, maintainers and consumers of open-source software, ”
    Google explained in a blog post. also:
    https://blog.google/technology/safety-security/shared-success-in-building-a-safer-open-source-community/

    Reply
  7. Tomi Engdahl says:

    Ukrainian sentenced to 4 years for selling hacked passwords https://therecord.media/ukrainian-sentenced-to-4-years-for-selling-hacked-passwords/
    A Ukrainian man was sentenced Thursday to four years in federal prison and ordered to pay back illegally obtained profits made by selling decrypted usernames and passwords online. The “Marketplace” website he used listed over 700, 000 compromised servers for sale, 150, 000 of them being from the U.S., which were advertised to criminals looking to conduct ransomware attacks and tax fraud. The victims of the scheme are global and range from government officials, healthcare systems, emergency operators, public transit employees, universities, and law firms, according to the DoJ’s press release.

    Reply
  8. Tomi Engdahl says:

    Password stealer now spreading from a GitHub link that uses NFT content as bait https://therecord.media/redline-stealer-youtube-github-fake-bot-binance-nft-mystery-boxes/
    Researchers have discovered a fresh campaign to spread the RedLine Stealer a low-cost password stealer sold on underground forums through a series of YouTube videos that take advantage of the global interest in NFTs.

    Reply
  9. Tomi Engdahl says:

    Anatomy of a campaign to inject JavaScript into compromised WordPress sites https://www.theregister.com/2022/05/13/wordpress-redirect-hack/
    A years-long campaign by miscreants to insert malicious JavaScript into vulnerable WordPress sites, so that visitors are redirected to scam websites, has been documented by reverse-engineers.

    Reply
  10. Tomi Engdahl says:

    Huhtikuun kybersää jatkui sateisena
    https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kybersaa_04/2022
    Keväiset sateet värittivät huhtikuun kybersäätä.
    Flubot-haittaohjelmakampanjan aktivoituminen on saanut runsaasti näkyvyyttä. Myös tavanomaiset huijaus- ja kalasteluviestit liikkuvat totuttuun tapaan. Kyberturvallisuuden saralla on saavutettu myös onnistumisia, sillä Digi- ja väestötietoviraston sekä Kyberturvallisuuskeskuksen yhteisessä hankkeessa kartoitettiin menestyksekkäästi kunta- ja sote -alan haavoittuvuuksia.

    Reply
  11. Tomi Engdahl says:

    Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits https://www.bleepingcomputer.com/news/security/microsoft-sysrv-botnet-targets-windows-linux-servers-with-new-exploits/
    Microsoft says the Sysrv botnet is now exploiting vulnerabilities in the Spring Framework and WordPress to ensnare and deploy cryptomining malware on vulnerable Windows and Linux servers. Redmond discovered a new variant (tracked as Sysrv-K) that has been upgraded with more capabilities, including scanning for unpatched WordPress and Spring deployments. “The new variant, which we call Sysrv-K, sports additional exploits and can gain control of web servers” by exploiting various vulnerabilities, the Microsoft Security Intelligence team said in a Twitter thread.

    Reply
  12. Tomi Engdahl says:

    Google Chrome updates failing on Android devices in Russia https://www.bleepingcomputer.com/news/security/google-chrome-updates-failing-on-android-devices-in-russia/
    A growing number of Android Google Chrome users in Russia are reporting errors when attempting to install the latest update for the web browser. The number of complaints is increasing every day but so far, the cause of the problem remains unknown and is still unsolved.

    Reply
  13. Tomi Engdahl says:

    Haittaohjelma on riivannut suomalaisia yli viikon ja leviää koko ajan
    - – näin kommentoi viranomainen
    https://www.is.fi/digitoday/tietoturva/art-2000008815109.html
    SUOMEEN nyt kolmannen kerran rantautunut FluBot-epidemia on riivannut suomalaisia viikon verran. Kyseessä on Android-puhelimiin tarttuva haittaohjelma, joka varastaa Gmail-tunnuksia ja kryptovaluuttalompakoiden salasanoja. On kuitenkin merkkejä, että tällä kertaa haittaohjelma voidaan saada kuriin nopeasti. Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus uskoo operaattorien pystyvän suodattamaan uudet haitalliset tekstiviestit tehokkaasti. Siitä huolimatta, että tällä kertaa viesteihin on ujutettu välilyöntejä sanojen keskelle ja lisäksi on lähetetty multimediaviestejä. – Mms-multimediaviestit olivat uusi muutos FluBotin leviämiselle, mutta sekään ei estä FluBotia jäämästä operaattoreiden haaviin, arvioi Kyberturvallisuuskeskuksen erityisasiantuntija Juha Tretjakov

    Reply
  14. Tomi Engdahl says:

    Mikko Hyppönen varoittaa uudenlaisesta kyberuhasta: “Metsästyskausi on alkanut”
    https://www.tivi.fi/uutiset/tv/17b29ae7-6c47-47e4-be74-b28f230200a7
    Cyber Security Nordic -kyberturvallisuustapahtumassa puhunut WithSecuren tutkimusjohtaja Mikko Hyppönen muistuttaa, että yhteysongelmat muodostuvat tulevaisuudessa entistäkin vakavammaksi.
    Hyppösen mukaan sähkökatkon vaikutukset näkyisivät yhteiskunnassamme heti, mutta internet-yhteyksien katkeaminen ei pysäyttäisi koko maan toimintaa. Lisääntyvä riippuvuus verkosta synnyttää myös täysin uudenlaista rikollisuutta. “Usein sanotaan, että rikos ei kannata. Se kuitenkin hyvin selkeästi kannattaa”, Hyppönen sanoo.

    Reply
  15. Tomi Engdahl says:

    Eurovision 2022 FinalRussian Hackers Say They Can Stop Ukraine Kalush Orchestra Win https://www.forbes.com/sites/daveywinder/2022/05/14/eurovision-2022-final-russian-hackers-say-they-can-stop-ukraine-kalush-orchestra-win/
    The same Russian threat actors that this week targeted Italian parliamentary and military websites and threatened to disrupt U.K.
    National Health Service (NHS) services, could now have the Eurovision Song Contest 2022 final in their crosshairs. The Killnet threat group has threatened to “send 10 billion requests” to the Eurovision online voting system and “add votes to some other country.”

    Italian CERT: Hacktivists hit govt sites in Slow HTTP’ DDoS attacks https://www.bleepingcomputer.com/news/security/italian-cert-hacktivists-hit-govt-sites-in-slow-http-ddos-attacks/
    Italy’s Computer Security Incident Response Team (CSIRT) has disclosed recent DDoS attacks against crucial government sites in the country over the past couple of days. As part of the announcement, CSIRT explained that the attacks on the country’s government, ministry, parliament, and even army websites, used the so-called “Slow HTTP”
    technique. This method is based on sending one HTTP request at a time to webservers but sets the request at a very slow transmission rate or makes it incomplete, leaving the server waiting for the next request.

    Reply
  16. Tomi Engdahl says:

    CISA Temporarily Removes CVE-2022-26925 from Known Exploited Vulnerability Catalog https://www.cisa.gov/uscert/ncas/current-activity/2022/05/13/cisa-temporarily-removes-cve-2022-26925-known-exploited
    CISA is temporarily removing CVE-2022-26925 from its Known Exploited Vulnerability Catalog due to a risk of authentication failures when the May 10, 2022 Microsoft rollup update is applied to domain controllers. After installing May 10, 2022 rollup update on domain controllers, organizations might experience authentication failures on the server or client for services, such as Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP).

    Reply
  17. Tomi Engdahl says:

    Ransomware group strikes second U.S. health care system in the last two months https://www.cyberscoop.com/ransomware-us-hospital-system-healthcare/
    The attack on CHRISTUS Health marks the second health care system AvosLocker targeted in the last two months. Michigan-based McKenzie Health System began notifying customers this week that patients’
    personal data had been stolen from the company’s network in a “security incident” that “disrupted” some of its IT systems in March.
    The company did not identify the attacker, but AvosLocker posted purported McKenzie data to its dark web leak site April 6.

    Reply
  18. Tomi Engdahl says:

    Angry IT admin wipes employer’s databases, gets 7 years in prison https://www.bleepingcomputer.com/news/security/angry-it-admin-wipes-employer-s-databases-gets-7-years-in-prison/
    Han Bing, a former database administrator for Lianjia, a Chinese real-estate brokerage giant, has been sentenced to 7 years in prison for logging into corporate systems and deleting the company’s data.
    Bing allegedly performed the act in June 2018, when he used his administrative privileges and “root” account to access the company’s financial system and delete all stored data from two database servers and two application servers.

    Reply
  19. Tomi Engdahl says:

    Microsoft fixes new PetitPotam Windows NTLM Relay attack vector https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/
    A recent security update for a Windows NTLM Relay Attack has been confirmed to be a previously unfixed vector for the PetitPotam attack.
    During the May 2022 Patch Tuesday, Microsoft released a security update for an actively exploited NTLM Relay Attack labeled as a ‘Windows LSA Spoofing Vulnerability’ and tracked as CVE-2022-26925. An NTLM Relay Attack allows threat actors to force devices, even domain controllers, to authenticate against malicious servers they control.
    Once a device authenticates, the malicious server can impersonate the device and gain all of its privileges. These attacks are significant problems as they could allow a threat actor to gain complete control over the domain.

    Reply
  20. Tomi Engdahl says:

    Fake Pixelmon NFT site infects you with password-stealing malware https://www.bleepingcomputer.com/news/security/fake-pixelmon-nft-site-infects-you-with-password-stealing-malware/
    A fake Pixelmon NFT site entices fans with free tokens and collectibles while infecting them with malware that steals their cryptocurrency wallets. This site is almost a replica of the legitimate site, but instead of offering a demo of the project’s game, the malicious site offers executables that install password-stealing malware on a device.

    Reply
  21. Tomi Engdahl says:

    Critical Vulnerability Allows Remote Hacking of Zyxel Firewalls
    https://www.securityweek.com/critical-vulnerability-allows-remote-hacking-zyxel-firewalls
    Thousands of Zyxel firewalls could be vulnerable to remote attacks due to a vulnerability discovered recently by cybersecurity firm Rapid7. The vendor was quick to release a patch, but it did not immediately inform customers about it.
    The flaw, tracked as CVE-2022-30525, affects ATP, VPN and USG FLEX series firewalls. The vulnerability can be exploited by a remote, unauthenticated attacker for arbitrary code execution as the “nobody” user.
    The affected products are recommended for businesses and they provide VPN, SSL inspection, intrusion protection, web filtering and email security capabilities. The Shodan search engine shows more than 15,000 potentially affected devices that are exposed to the internet.
    The vulnerability found by Rapid7 has been described as an unauthenticated command injection issue that can be exploited through a device’s HTTP interface. The company has explained how an attacker could exploit the weakness to obtain a reverse shell.
    A Metasploit module that exploits the vulnerability has also been made available.

    Reply
  22. Tomi Engdahl says:

    Dimuthu Attanayake / Rest of World:
    Experts say the personal data leaked by Anonymous from various Sri Lankan government and other websites has put regular citizens at severe risk of cybercrimes

    Anonymous wanted to help Sri Lankans. Their hacks put many in grave danger
    https://restofworld.org/2022/anonymous-sri-lankans-hacks-danger/

    Leaked data by the hacker collective has put regular Sri Lankans at severe risk of cybercrime.

    As massive protests against Sri Lankan president Gotabaya Rajapaksa entered their eighth week, last month the hacktivist collective Anonymous stepped up to show support — in ways that have left cybersecurity experts and the general public alarmed and wondering whether the organization was doing more harm than good.

    On April 20, Anonymous, the decentralized collective of internet activists, hit the websites of the Ceylon Electricity Board, the Sri Lanka Police, and the Department of Immigration and Emigration using distributed denial-of-service (DDoS) attacks. Twitter handles affiliated with Anonymous said the group had started the #OpSriLanka hashtag in support of the people and was “declaring cyberwar against the government.”

    Many Sri Lankans had been calling for the group to step in, using the hashtag #AnonymousSaveSriLanka on social media. But as part of the attack, Anonymous hackers publicly shared thousands of usernames, passwords, and email addresses from the database of Sri Lanka Scholar, a private portal that connects students to various higher education institutions and uses the official “.lk” domain. The hackers released similar information about the agents registered with the Sri Lanka Bureau of Foreign Employment (SLBFE).

    In addition to violating the privacy of regular Sri Lankans, the leaks also put them at risk of cybercrimes and phishing attacks, technology law specialist Ashwini Natesan told Rest of World.

    These people continue to be at risk because “unless fixed, another hacker can access the same database and collect the employees’ passport details and other personally-identifiable information, which can be sold on the dark web for about $50,” cybersecurity specialist Asela Waidyalankara told Rest of World. “These details can then be used for a number of cybercrimes, like impersonation.”

    In addition to the data leak, a Twitter handle affiliated with the Ghost Squad, a politically-motivated hacktivist team that’s part of Anonymous, shared strategies for attacking the state-owned National Savings Bank, semi-government mobile service provider Mobitel, and the digital platform provided by Sri Lanka Telecom for locals to get appointments with doctors. Waidyalankara said that luckily, these systems were not breached. “Had this taken place, it would have revealed sensitive medical data about individuals.”

    Sri Lanka is in economic shambles because foreign remittances have slowed, tourism revenue has suffered from the pandemic, high global oil and gas prices make daily life expensive, and the government faces difficulty borrowing from international lenders due to a massive outstanding external debt. The costs of essential goods have skyrocketed in the island nation, along with daily power cuts, resulting in ongoing anti-government protests around the country.

    Given these circumstances, the government may not have the means to prioritize cybersecurity, which may leave its citizens vulnerable to future threats, experts said. In March, the Sri Lankan parliament passed data protection legislation, which has yet to come into force. “The Data Protection Act provides for protecting personal data from misuse and abuse and has necessary notification processes in place. However, it has still not come into force and the Data Protection Authority has not yet been established under the Act,” Natesan said.

    The Sri Lankan Ministry of Technology “is continuously taking a lot of precautions against cyberattacks, and these will be further strengthened,” secretary Jayantha de Silva told Rest of World.

    If the government does prioritize cybersecurity, it will be using taxpayer money for damage control, “so, I do not see how this attack contributes to the general cause of the protests,” Waidyalankara said. The true impact of this cyberattack will be understood much later, Waidyalankara added. “If the country’s threat profile for cyberattacks was low to medium before this, now it would be somewhere between medium to high.”

    Meanwhile, Anonymous’ attack is being used by some to spread misinformation.

    Reply
  23. Tomi Engdahl says:

    Zyxel silently fixes critical RCE vulnerability in firewall products https://www.bleepingcomputer.com/news/security/zyxel-silently-fixes-critical-rce-vulnerability-in-firewall-products/
    Threat analysts who discovered a vulnerability affecting multiple Zyxel products report that the network equipment company fixed it via a silent update pushed out two weeks ago. More specifically, security researchers at Rapid7 found the flaw, which is now tracked as
    CVE-2022-30525 (CVSS v3 score: 9.8 critical), and disclosed it to Zyxel on April 13, 2022. As the technical details of the vulnerability have been released and it is now supported by Metasploit, all admins should update their devices immediately before threat actors begin to actively exploit the flaw. also:
    https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/

    Critical Vulnerability Allows Remote Hacking of Zyxel Firewalls
    https://www.securityweek.com/critical-vulnerability-allows-remote-hacking-zyxel-firewalls
    Thousands of Zyxel firewalls could be vulnerable to remote attacks due to a vulnerability discovered recently by cybersecurity firm Rapid7. The vendor was quick to release a patch, but it did not immediately inform customers about it.
    The flaw, tracked as CVE-2022-30525, affects ATP, VPN and USG FLEX series firewalls. The vulnerability can be exploited by a remote, unauthenticated attacker for arbitrary code execution as the “nobody” user.
    The affected products are recommended for businesses and they provide VPN, SSL inspection, intrusion protection, web filtering and email security capabilities. The Shodan search engine shows more than 15,000 potentially affected devices that are exposed to the internet.

    Reply
  24. Tomi Engdahl says:

    Hackers Can Make Siemens Building Automation Controllers ‘Unavailable for Days’
    https://www.securityweek.com/hackers-can-make-siemens-building-automation-controllers-unavailable-days
    A vulnerability affecting building automation controllers from Siemens can be exploited to disrupt a device for an extended period of time, according to OT and IoT cybersecurity firm Nozomi Networks.
    Nozomi researchers recently analyzed Siemens’ PXC4.E16, a programmable building automation system (BAS) of the Desigo family that is designed for HVAC and building service plants.
    They discovered that the device, specifically its ABT Site Engineering and Commissioning Tool, is affected by a vulnerability that can be exploited for denial-of-service (DoS) attacks.Siemens building controller vulnerability
    The vulnerability has a severity rating of “medium” based on its CVSS score, but cybersecurity experts have often warned that in industrial environments a DoS attack can have a major impact.
    The flaw, identified as CVE-2022-24040, is related to the use of the PBKDF2 key derivation function for securing user passwords. A malicious insider or an attacker who has “user profile access” privileges to the tool can create or update an account and cause a DoS condition by attempting to log in to that account.

    Reply
  25. Tomi Engdahl says:

    Suomen Nato-hakemus voi johtaa Venäjän kyberhyökkäyksiin – tällaisia ne ovat
    Suomen viranomaiset ovat varautuneet kyberturvallisuuden uhkien nousuun.
    https://www.iltalehti.fi/tietoturva/a/8d64eacb-dd0e-4d31-93b1-8dbed19f1507

    Haittaohjelmat, palvelunesto- ja verkkohyökkäykset lisääntyvät jatkuvasti. Ajankohtainen maailmanpoliittinen tilanne kiihdyttää rikollista toimintaa entisestään.

    Kyberturvallisuuskeskuksen ylijohtaja Sauli Pahlmanin mukaan ei ole syytä ajatella, että kyberuhkien määrä lientyisi lähitulevaisuudessa.

    Pahlman pitää mahdollisena, että Venäjä tulee kohdistamaan Suomeen enemmän kyberhyökkäyksiä Nato-hakemuksen lähettämisen jälkeen.

    – Mikäli Venäjä katsoisi Suomen Nato-jäsenyyden hakemisen toimena, joka kyberhyökkäyksien keinoin vaatisi protestin tai viestin lähettämistä, kyllähän se tarkoittaisi sitä, että kyberuhkatasossa nousu varmasti nähtäisi, hän kertoo.

    – Kaikki poikkeustilanteet herättävät rikollisten kiinnostuksen. Se on heidän näkökulmastaan otollinen aika iskeä. Hyökkäykset eivät välttämättä kohdistuisi vain valtionhallintoon, lisää Traficomin asiantuntija Jussi Eronen.

    Pelotteluviestejä verkkosivuilla

    Traficomin torstaina järjestetyssä kyberturvallisuusinfossa käytiin läpi, millä keinoin Venäjä on pyrkinyt vaikuttamaan Ukrainan kyberturvallisuuteen sodan aikana.

    Infossa tuli ilmi, että ennen Venäjän laajamittaista hyökkäystä maa pyrki vaikuttamaan kyberturvallisuuteen pelottelun keinoilla.

    – Niitä ovat esimerkiksi palvelunestohyökkäykset isoihin kohteisiin, kuten pankkeihin sekä pelotteluviestit paljon käytetyillä verkkosivuilla, Pahlman kertoo.

    Hänen mukaansa Venäjän Ukrainassa harjoittamaan pelotteluun on liittynyt oleellisesti informaatiovaikuttamista. Tämä voisi heijastua Nato-hakemuksen konkretisoitumisen jälkeen myös Suomeen.

    – Jos lähihistoria toistaa itseään ja Suomi jättää Nato-hakemuksen, voi olla, että Venäjän keinovalikoimassa olisi juuri tätä yleiseen mielipiteeseen vaikuttamista. Eli informaatiovaikuttamista nykyistä aktiivisemmin ja enemmän palvelunestohyökkäyksiä, Pahlman arvioi.

    Intensiivisessä konfliktitilanteessa Ukrainassa on nähty enemmän konkreettisia kyberhyökkäyksiä, jotka ovat kohdistuneet viestintäyhteyksiin.

    – Olemme oppineet Ukrainan sodasta, että vakavammassa tasossa Venäjä on ottanut kybersodankäynnissä käyttöön haittaohjelmia ja pyrkinyt vaikuttamaan esimerkiksi energiantuotantoon. Näyttää siltä, että esimerkiksi teleoperaattoreihin ja satelliittiyhteyksiin iskeminen on houkuttelevampi vaihtoehto sodan ollessa päällä.

    Näin suomalaiset operaattorit varautuvat Venäjän kyberhyökkäyksiin
    Kyberhyökkäykset ja vaikuttamisyritykset ovat operaattoreille arkea.
    https://www.iltalehti.fi/tietoturva/a/d0e6344e-3ecb-4f79-881d-c8f256c3379f

    Suomalaisorganisaatioita sekä yksittäisiä kansalaisia vastaan kohdistuu jatkuvasti erilaisia kyberhyökkäyksiä ja vaikuttamisyrityksiä. Pelkästään palvelunestohyökkäyksiä tapahtuu Suomessa kymmeniä tuhansia. Näkyvämmin ihmisten arjessa näkyvät luultavasti erilaiset huijausviestit, joita on ollut nyt liikkeellä todella paljon.

    Huijausviestit ovat valitettavasti vain jäävuoren huippu. Esimerkiksi operaattorit toimivat jatkuvasti yhteistyössä eri toimijoiden kanssa estääkseen suurempien hyökkäysten onnistumista ja näin jopa tärkeiden toimintojen halvaannuttamista.

    Telian turvallisuusjohtaja Kalle Kaasalainen kertoi yhtiön lehdistötilaisuudessa, että Telia on sekä velvoitettu että sitoutunut ylläpitämään kriittisiä palveluita myös poikkeustilaisuudessa. Tämä vaatii jatkuvaa työskentelyä aiheen parissa myös silloin, kuin päälle päin ei vaikutuksia näy.

    ”Hyökkäyksiä ja sabotaaseja”

    Kaasalainen mainitsi erilaisina uhkina järjestelmäpuolen haavoittuvuudet, hyökkäykset palveluita vastaan sekä huijaukset, jotka kohdistuvat sekä yksittäisiin ihmisiin, että yritysten henkilökuntaan. Kaasalaisen mukaan viimeisen puolen vuoden osalta näiltä osin on saatu paljon asioita parannettua ja valmistautumista tehostettu.

    – Vaikka asioita on saatu parannettua, se ei riitä. Vastaan voi tulla siitä huolimatta yllättäviä asioita, kuten hyökkäyksiä ja sabotaaseja. Kriiseihin varautuminen on kuitenkin jatkuvaa, ja tunnistamme kuitenkin hyvin, jos jotain tapahtuu. Kynnys reagoida ja tunnistaa uhkia on madaltunut ja tapahtumia käydään läpi enemmän kuin normaalioloissa, Kaasalainen kertoi.

    Kaasalainen pohti tilaisuudessa myös sitä, että ollaanko nyt ”myrskyn edellä” -tilanteessa eli Venäjän katse on vielä muualla kuin Suomessa, mutta muun muassa Nato-keskustelun myötä tilanne voi muuttua.

    – Nato-prosessin ympärillä voidaan odottaa (Venäjän) toimia Suomea kohtaan. Olemme pyrkineet varautumaan tähän niin hyvin kuin pystymme, ja varmistamaan, että palvelut toimivat ja pysyvät pystyssä, Kaasalainen sanoi.

    – Vastuu kyberturvasta on loppupeleissä yrityksillä, eivätkä ne voi ulkoistaa täysin riskienhallintaa, vaan loppupeleissä yrityksen johto kantaa sen. Tämä on ollut suuri ajattelutavan muutos, ja olen huomannut heräämistä siinä nyt keväällä.
    Kaikkea ei laiteta yhden käden varaan

    Myös DNA:n tekninen johtaja Ville Virtanen nosti yhtiön tiedotteessa samoja aiheita esille. Hän kävi läpi sitä, kuinka hyvin verkkoyhteydet on suojattu Suomessa. Poikkeustilanteisiin on varauduttu ja tärkeintä on jatkuvuuden varmistaminen siitäkin huolimatta, että verkkoyhteyksiin tulisi katkos.

    Virtanen kertoi, että tukiasemien rikkoontumiseen ja sähkölinjojen katkeamiseen on varauduttu.

    – Sähköverkon häiriötilanteessa jokainen tukiasema toimii akkujen varassa useita tunteja, minkä puitteissa valtaosa häiriöistä päästään korjaamaan. Jos sähköverkkoyhtiöt eivät näytä saavan virtaa palautetuksi tarpeeksi nopeasti, kriittisiin kohteisiin kuljetetaan generaattoreita tai muita varavoimakoneita, joilla taataan sähkönsaanti.

    Virtanen nosti esille ydin-, runko- ja alueverkon tuplavarmistuksen, eli ne on rakennettu kaksi kuiduin sekä kaksin reitein. Vaikka joku kaapeleista kärsisikin, jatkavat palvelut toimimista toisen fyysisen kaapelin kautta.

    Virtanen kertoo, että ydinverkkoja palvelevia laitetiloja ei ole keskitetty, vaan niitä on useissa sijainneissa eri puolella Suomea, mikä parantaa toimintavarmuutta häiriö- ja kriisitilanteissa.

    Myös kansalaiset voivat varautua Virtasen mukaan häiriötilanteisiin.

    Paras tapa mielenrauhan lisäämiseksi on tehdä tuplavarmistus myös henkilökohtaisella tasolla, eli hankkia kotiin useampi kuin yksi päätelaite ja useampi kuin yksi verkkoyhteys. Yrityksille on tarjolla SLA-palvelutasoisia yhteyksiä, joissa palvelun saatavuutta varmentavat sekä kiinteä että mobiiliyhteys, Virtanen neuvoo.

    Kohdistettuja hyökkäyksiä

    Palvelunestohyökkäykset ovat uhka, joka voi kaataa palvelut pitkiksikin ajoiksi. Myös DNA nosti nämä hyökkäykset esille. DNA:n mukaan palvelunestohyökkäyksiä ei voida estää sataprosenttisella varmuudella, mutta ennakoivilla toimenpiteillä niiden vaikutuksia voidaan pienentää merkittävästi.

    Reply
  26. Tomi Engdahl says:

    Kännykkä ja some mullistivat sodankäynnin
    https://etn.fi/index.php?option=com_content&view=article&id=13566&via=n&datum=2022-05-13_16:50:47&mottagare=30929

    Onnittelut tulevasta NATOon liittymisestä. Ikävä kyllä sillä ei ole niin isoa merkitystä enää, sanoi Viron entinen presidentti Toomas Hendrik Ilves eilen Helsingin messukeskuksessa Cyber Security Nordic -tapahtuman avainpuheessaan. Toki Ilves sen jälkeen perusteli laajasti, miksi NATOon liittyminen ei ole niin iso juttu kuin miksi se on meillä ymmärretty.

    Syynä on sodankäynnin muuttuminen. – Sodasta on tullut digitaalista. Oikeastaan vuoteen 2000 asti sotateknologiassa oli kyse kineettisen voiman tai nopeuden kasvattamisesta. Tietokoneen käyttö aseena muutti sotia olennaisesti, Ilves perusteli.

    Toki kineettinen vaikuttaa yhä, sen näemme Venäjän hyökkäyssodan uutiskuvissa. Mutta nykysodassa digitaalisuus on tullut yhä tärkeämmäksi. Se huomattiin Virossa vuonna 2007, kun he löysivät venäläisen madon sotilasjärjestelmistään. Virolaiset riensivät näyttämään löydöstään NATOlle, joka totesi vain ”Ai se on teilläkin”.

    Tämä on länsimaisille liberaaleille valtioille iso ongelma. Data ei tunne valtioiden rajoja, palvelunestohyökkäykset eivät pysähdy tulleihin, joten tiedustelutiedonkaan ei pitäisi pysähtyä rajoille. Tämän Ilves näkee tulevaisuudessa isoksi kehitysalueeksi EU:n tasolla.

    - Kuvaavaa on, että EU:n suurissa data-asetuksissa DMA ja DSA (Digital Markets Act ja Digital Services Act) ei puhuta sanallakaan kyberturvallisuudesta.

    Reply
  27. Tomi Engdahl says:

    ‘IceApple’ Post-Exploitation Framework Created for Long-Running Operations
    https://www.securityweek.com/iceapple-post-exploitation-framework-created-long-running-operations

    CrowdStrike has detailed a new post-exploitation framework that could be the work of a state-sponsored threat actor, one likely linked to China.

    Dubbed IceApple and targeting Microsoft Exchange servers, the framework is an in-memory-only tool designed to evade detection and provide long-time access to the compromised environments. The framework can also run on Internet Information Services (IIS) web server software.

    CrowdStrike’s researchers have been tracking IceApple since late 2021, with the observed attacks spanning across the technology, academic and government sectors in multiple geographies. The observed activity, they say, aligns with China’s information gathering interests.

    IceApple, the researchers note, is a highly sophisticated IIS post-exploitation framework focused on increasing an adversary’s visibility of the target environment, without offering exploitation or lateral movement capabilities.

    https://www.crowdstrike.com/wp-content/uploads/2022/05/crowdstrike-iceapple-a-novel-internet-information-services-post-exploitation-framework.pdf

    Reply
  28. Tomi Engdahl says:

    EU haluaa suojella lapsia, ja se asettaa vaakalaudalle viestipalveluiden päästä-päähän-salauksen – ”tehkää mahdoton, saatte itse päättää miten”
    https://www.tivi.fi/uutiset/tv/b14f5325-66bc-4511-ac91-7d8becad6369

    “War upon end-to-end encryption”: EU wants Big Tech to scan private messages
    Services may have to scan encrypted messages for child abuse images and grooming.
    https://arstechnica.com/tech-policy/2022/05/war-upon-end-to-end-encryption-eu-wants-big-tech-to-scan-private-messages/

    Reply
  29. Tomi Engdahl says:

    Certifried: Active Directory Domain Privilege Escalation (CVE-2022–26923)
    https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4

    In this blog post, we’ll dive into a recently patched Active Directory Domain Privilege Escalation vulnerability that I reported through ZDI to Microsoft.

    In essence, the vulnerability allowed a low-privileged user to escalate privileges to domain administrator in a default Active Directory environment with the Active Directory Certificate Services (AD CS) server role installed. At Institute For Cyber Risk, we see AD CS environments on almost every engagement. It’s rare that we see large and medium-sized Active Directory environments without AD CS installed. The vulnerability was patched as part of the May 2022 Security Updates from Microsoft.

    https://www.zerodayinitiative.com/

    Reply
  30. Tomi Engdahl says:

    https://hackaday.com/2022/05/13/this-week-in-security-f5-twitter-poc-certifried-and-cloudflare-pages-pwned/
    TLStorm 2

    Are you running Aruba or Avaya hardware? Time to check for firmware updates, as Armis just released the TLStorm 2 disclosure. It’s similar to the earlier problems found in APC battery backups. Once again, the nanoSSL library is embedded in device firmware, and there are flaws both in the library and the integration. In both brands, the flaws allow for pre-auth RCE, but thankfully these interfaces aren’t normally exposed to the open internet.

    TLStorm 2 – NanoSSL TLS library misuse leads to vulnerabilities in common switches
    https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches

    Armis has discovered five vulnerabilities in the implementation of TLS communications in multiple models of Aruba and Avaya switches. The vulnerabilities stem from a similar design flaw identified in the TLStorm vulnerabilities (discovered earlier this year by Armis) and expand the reach of TLStorm to potentially millions of additional enterprise-grade network infrastructure devices.

    In March 2022, Armis disclosed TLStorm – a set of critical vulnerabilities in APC Smart-UPS devices. The vulnerabilities allow an attacker to take control over Smart-UPS devices from the internet with no user interaction and make the UPS literally go up in smoke. The root cause for these vulnerabilities was a misuse of NanoSSL, a popular TLS library by Mocana.

    Reply
  31. Tomi Engdahl says:

    Nasty Zyxel remote execution bug is being exploited
    https://www.zdnet.com/article/nasty-zyxel-remote-execution-bug-is-being-exploited/#ftag=RSSbaffb68
    Shadowserver says it can see over 20, 000 Zyxel firewalls vulnerable to unauthenticated remote code execution via CVE-2022-30525.

    Reply
  32. Tomi Engdahl says:

    Suositun valmistajan palomuurituotteissa vakava haavoittuvuus päivitä heti https://www.tivi.fi/uutiset/tv/4af6a733-d77b-48a6-8dcf-f44e270c54bb
    Reitittimiä valmistavan Zyxelin palomuurituotteissa on havaittu kriittinen haavoittuvuus. Yhtiö on julkaissut korjaavia päivityksiä, jotka olisi syytä asentaa mahdollisimman pian. Traficomin mukaan rikolliset käyttävät haavoittuvuutta jo hyväkseen. myös:
    https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_8/2022

    Reply
  33. Tomi Engdahl says:

    Hämärä taho rekisteröi suosittujen sivujen kaltaisia verkkotunnuksia uhreina ainakin Iltalehti ja Yle
    https://www.tivi.fi/uutiset/tv/e386f99f-0594-4e73-a791-674e51eb2ba7
    Toukokuun aikana on rekisteröity useita verkkotunnuksia, jotka muistuttavat Iltalehden, Ylen, Helsingin yliopiston sekä ulkoministeriön verkkosivujen osoitteita. Käyttäjä voi päätyä huijaussivustolle esimerkiksi kirjoitettuaan väärin tunnetun organisaation nettiosoitteen. Johtava asiantuntija Juhani Juselius Traficomista kertoo Tiville, että verkkotunnusten välittäjä on poistanut Iltalehteä muistuttavat tunnukset. Juseliuksen mukaan taustalla on vahva epäily siitä, että tunnuksia olisi käytetty tietojenkalasteluun.

    Reply
  34. Tomi Engdahl says:

    Apple emergency update fixes zero-day used to hack Macs, Watches https://www.bleepingcomputer.com/news/security/apple-emergency-update-fixes-zero-day-used-to-hack-macs-watches/
    Apple has released security updates to address a zero-day vulnerability that threat actors can exploit in attacks targeting Macs and Apple Watch devices.

    Reply
  35. Tomi Engdahl says:

    Tietoturvaguru herättelee Suomea Viron strategiaan “Tekninen hajautus on aina fiksua” [TILAAJILLE]
    https://www.tivi.fi/uutiset/tv/ffade436-e6f8-4546-a005-d2e761fa7998
    WithSecuren tietoturvallisuusjohtaja Erka Koivunen kehottaa suomalaisia ottamaan mallia Virosta. Tiedon keskittäminen kotimaahan on turvallisuusriski. Koivusen neuvo valtionhallinnolle ja suomalaiselle yhteiskunnalle on se, että internetin syrjästä pidetään viimeiseen asti kiinni, viestintämahdollisuudet turvataan mahdollisemman laajalle joukolle kriisioloissa, ja tietokantoja hajautetaan. “Tekninen hajautus on aina fiksua”, hän sanoo.

    Reply
  36. Tomi Engdahl says:

    Fake Mobile Apps Steal Facebook Credentials, Cryptocurrency-Related Keys https://www.trendmicro.com/en_us/research/22/e/fake-mobile-apps-steal-facebook-credentials–crypto-related-keys.html
    We recently observed a number of apps on Google Play designed to perform malicious activities such as stealing user credentials and other sensitive user information, including private keys. Because of the number and popularity of these apps – some of them have been installed over a hundred thousand times – we decided to shed some light on what these apps actually do by focusing on some of the more notable examples.

    Reply
  37. Tomi Engdahl says:

    Researchers warn of REvil return after January arrests in Russia https://therecord.media/researchers-warn-of-revil-return-after-january-arrests-in-russia/
    The notorious REvil ransomware group has made yet another reemergence on the cybercrime scene, according to several security researchers tracking attacks. The group shut down operations for the second time in October after claiming in a message posted on an underground hacking forum that they lost control over their TOR-based domains. Law enforcement officials from multiple countries eventually revealed that they were involved in disrupting the ransomware gang’s operation. But three weeks ago, researchers discovered that REvil ransomware’s servers in the TOR network were back up and running. The group’s blog also returned. It’s now up with no error.

    Reply
  38. Tomi Engdahl says:

    Ransomware gang threatens to overthrow’ new Costa Rica government, raises demand to $20 million https://therecord.media/ransomware-gang-threatens-to-overthrow-new-costa-rica-government-raises-demand-to-20-million/
    The ransomware group behind an attack on several Costa Rican government ministries levied several violent warnings against the country this weekend, raising the ransom demand to $20 million and threatening to “overthrow” the government of new President Rodrigo Chaves. In two messages posted to their leak site on Saturday, the Conti ransomware group – which has already leaked 97% of the 670 GB they stole from their attacks – claimed the U.S. government was “sacrificing” Costa Rica and that the country’s government should pay for the decryption keys to unlock their systems.

    Reply
  39. Tomi Engdahl says:

    Operation RestyLink: APT campaign targeting Japanese companies https://insight-jp.nttsecurity.com/post/102hojk/operation-restylink-apt-campaign-targeting-japanese-companies
    Our SOC observed APT campaign targeting Japanese companies starting from mid of April 2022. We think that this campaign had already started in March 2022 and related attack might have performed around October 2021. It implies that this campaign is not temporary nor intensive, and it could continue from here forward.. In this article, we report the detailed analysis on this campaign and discuss the attributes of the attacking group.

    Reply
  40. Tomi Engdahl says:

    SharePoint RCE bug resurfaces three months after being patched by Microsoft https://portswigger.net/daily-swig/sharepoint-rce-bug-resurfaces-three-months-after-being-patched-by-microsoft
    Fortunately, the flaw can only be exploited by authenticated adversaries and when the application is in a configuration that turned off by default. “Luckily, this bug doesn’t exist in a SharePoint with default configuration, ” Jang said. “It requires a user with Create Sub-site’ privilege and the State-Service in the target server must be enabled.”. Microsoft patched the bug (CVE-2022-29108) in May’s Patch Tuesday release.

    Reply
  41. Tomi Engdahl says:

    Russian cyber attack on Eurovision foiled by Italian authorities https://www.bitdefender.com/blog/hotforsecurity/russian-cyber-attack-on-eurovision-foiled-by-italian-authorities/
    The day after the contest Reuters reported that Italian police had “thwarted attacks by pro-Russian groups” during the Eurovision semi-final on May 10, and the ultimate final on Saturday. Police say that they infiltrated pro-Russian hacker Telegram channels to gather information, help prevent attacks against network infrastructure being used by Eurovision, and identify the geographic location of attacks.

    Reply
  42. Tomi Engdahl says:

    Researchers warn of APTs, data leaks as serious threats against UK financial sector https://www.zdnet.com/article/researchers-warn-of-apts-data-leaks-as-serious-threats-against-uk-financial-sector/
    On Monday, KELA’s security team published a report examining the cybersecurity issues and attacks that surfaced in 2021 and early 2022, specifically focused on the United Kingdom’s banks and other financial services. Report (PDF):
    https://ke-la.com/wp-content/uploads/2022/05/KELA-UK-Financial-Sector-Threat-Intelligence-Report-1.pdf

    Reply
  43. Tomi Engdahl says:

    Researchers Find Way to Run Malware on iPhone Even When It’s OFF https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html
    A first-of-its-kind security analysis of iOS Find My function has demonstrated a novel attack surface that makes it possible to tamper with the firmware and load malware onto a Bluetooth chip that’s executed while an iPhone is “off.”. The mechanism takes advantage of the fact that wireless chips related to Bluetooth, Near-field communication (NFC), and ultra-wideband (UWB) continue to operate while iOS is shut down when entering a “power reserve” Low Power Mode (LPM).

    Reply
  44. Tomi Engdahl says:

    Parker Hannifin reveals cyber-attack exposed sensitive employee data https://portswigger.net/daily-swig/parker-hannifin-reveals-cyber-attack-exposed-sensitive-employee-data
    Parker Hannifin, the Fortune 500 engineering giant, has revealed that the personal data of employees and their dependents may have been compromised after its networks were breached.

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

*

*