Cyber security news November 2024

This posting is here to collect cyber security news in November 2024.

I post links to security vulnerability news to comments of this article.

You are also free to post related links to comments.

234 Comments

  1. Tomi Engdahl says:

    Karu totuus suomalaisista pankeista paljastui – Yle: Näin käy huijatuille suomalaisille
    Kansalaisten on lähes turhaa haikailla rahojensa perään rikollisen iskettyä, Ylen MOT selvitti.
    https://www.is.fi/digitoday/tietoturva/art-2000010840948.html

    Kun suomalainen menettää rahansa nettihuijarille, vahinko jää melkein aina hänen kärsittäväkseen. Näin selvisi, kun Ylen MOT-dokumentti Pankkihuijauksen jälkeen tutki aiemmin julkaisemattomia Suomen Pankin tilastoja.

    Pankit hyvittivät viime vuonna vain 4 prosenttia oikeudettomista tilisiirroista. Asiakkaiden vahingoksi jäi 92 prosenttia. Vielä vuonna 2022 osuudet olivat 8 ja 85 prosenttia. MOT ei selitä, mitä puuttumaan jäävät prosentit ovat.

    Selvityksen perusteella pankit vetoavat lähes aina maksupalvelulain kahteen poikkeukseen. Lain mukaan vastuussa on pankki, paitsi jos asiakas on itse hyväksynyt tilisiirron tai toiminut törkeän huolimattomasti.

    Jos pankki päättää olla korvaamatta vahinkoa, uhrille jää käytännössä kaksi vaihtoehtoa. Yksi on valittaa asiasta finanssialan organisaatio FINEn pankkilautakuntaan. FINE on riippumaton asiantuntija, joka ratkaisee riitoja pankkiasioissa maksutta.

    Toinen reitti on kuluttajariitalautakunta, jonka ratkaisut eivät FINEn tavoin ole sitovia, mutta joita myöskin yleensä noudatetaan.

    Asian voi viedä myös käräjäoikeuteen, mutta se on kuluttajalle raskas ja kallis vaihtoehto. Yksi tällainen tapaus eteni aina hovioikeuteen asti.

    Reply
  2. Tomi Engdahl says:

    Security plugin flaw in millions of WordPress sites gives admin access
    https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/

    A critical authentication bypass vulnerability has been discovered impacting the WordPress plugin ‘Really Simple Security’ (formerly ‘Really Simple SSL’), including both free and Pro versions.

    Reply
  3. Tomi Engdahl says:

    Saksan puolustus­ministeri: Itämeren kaapeli­vauriot vaikuttavat sabotaasilta
    Saksan puolustusministerin mukaan kahden Itämeren tietoliikennekaapelin katkeaminen vaikuttaa sabotaasilta.

    Saksan puolustusministeri: Itämeren kaapelivauriot vaikuttavat sabotaasilta
    https://www.is.fi/ulkomaat/art-2000010843930.html

    Reply
  4. Tomi Engdahl says:

    Kun Suomen ja muiden maiden kaapelit katkesivat, merellä oli Yi Peng 3
    Merikaapeleiden rikkoutumisen aikaan lähettyvillä on seilannut kiinalainen rahtialus, jonka reitissä on muutoksia.
    https://www.iltalehti.fi/ulkomaat/a/3c2e5759-4dfe-4162-b6c6-a81f1f4ed986

    Kiinalainen rahtialus Yi Peng 3 on kulkenut Suomenlahdella merikaapeleiden liepeillä samoihin aikoihin, kun kaksi eri merikaapelia rikkoutui. Kaapelit kulkevat Helsingin Santahaminasta Rostockiin sekä Ruotsista Liettuaan.

    Iltalehti selvitti asiaa laivojen meriliikennettä seuraavalta Marinetraffic-sivustolta.

    Myös Tanskan merivartioston alukset ovat seuranneet kyseistä alusta samana ajankohtana.

    Myös kiinalaisen Newnew Polarbear -aluksen viime vuoden kaasuputken rikkoutumiseen liittyviä liikkeitä tutkinut tiimi on nostanut esille epätavallisia Yi Peng 3- aluksen liikkeitä.

    Marinetrafficista selviää, että Yi Peng 3:n sijaintia seuraavaan AIS-järjestelmään on tullut katko sunnuntaina 17. marraskuuta iltapäivällä. Katko on jatkunut kello 22:41 (UTC) saakka. Alus on näihin aikoihin ollut merikaapelin rikkoutumiskohdan lähettyvillä.

    Julkisuuteen on kerrottu, että Suomen ja Saksan välinen C-Lion1-merikaapeli rikkoutui Suomen aikaan maanantain vastaisena yönä kello 4 (UTC aikaa kello 2).

    Myöhemmin maanantaiaamuna kello 8 (UTC) alus teki poikkeaman reitillä ja muutti hetkellisesti kurssiaan kohdassa, jossa Suomen merikaapeli ja Liettuan merikaapelit risteävät. Laiva pyöri alueella 1,5 tuntia, minkä jälkeen se jatkoi matkaansa. Liettuan ja Ruotsin välinen merikaapeli vaurioitui kuitenkin Liettuan median saamien tietojen mukaan jo sunnuntaiaamuna.

    Alus on lähtenyt Port Saidin satamasta Egyptistä kohti Suomenlahtea. Laiva on pysähtynyt Laukaansuun satamalla Venäjällä 10. marraskuuta.

    Reply
  5. Tomi Engdahl says:

    144 terabittiä sekunnissa poissa – Mitä se tarkoittaa?
    https://www.iltalehti.fi/kotimaa/a/68844b14-16a5-46e9-994d-075c71cf9edf

    Kriittisen infrastruktuurin valvontaan on suhtauduttu turhan leppoisasti, kyberturvallisuuden asiantuntija Tapio Frantti arvioi.

    Reply
  6. Tomi Engdahl says:

    Merikaapeleihin yhdistetty kiinalaisalus ja Tanskan vartiolaiva pysähdyksissä Tanskan edustalla
    https://www.iltalehti.fi/ulkomaat/a/52c435f4-2ecf-4598-8449-f4cabece278b

    Reply
  7. Tomi Engdahl says:

    Tämä tiedetään katkenneista kaapeleista – näin tapahtumat etenivät hetki hetkeltä
    https://www.is.fi/kotimaa/art-2000010845681.html8

    Reply
  8. Tomi Engdahl says:

    Jos yhteydet katkeavat keskiviikkona, kaikki tämä tapahtuu välittömästi
    Keskiviikolle on ennakoitu lumimyrskyä suureen osaan Suomea. DNA kertoo, millaisin toimin se huolehtii verkkoyhteyksien toimivuudesta ääriolosuhteissa.
    https://www.iltalehti.fi/digiuutiset/a/939ac943-3a93-44ca-8ba3-eb2b615d6082

    Ensimmäisenä selvitetään, miksi yhteys tai palvelu on pois käytöstä ja onko taustalla jonkin laitteen hajoaminen. Tavoitteena on saada yhteydet takaisin toimintaan mahdollisimman nopeasti.

    – Sähköverkon häiriötilanteessa jokainen tukiasema toimii akkujen varassa keskimäärin kolme tuntia tai jopa pidempään, minkä puitteissa valtaosa häiriöistä päästään korjaamaan, Urpelainen kertoo.
    Kilpailijat tekevät yhteistyötä

    Mikäli kyseessä on vakavampi ongelma, kuten vaikkapa maahan kaivetun kaapelin vaurioituminen, voi korjauksessa kestää jopa vuorokausi, jos routaista maata on ensin sulatettava. Mikäli lunta on tullut paljon, voi kohteeseen pääsykin olla vaikeaa. Oman lisämausteensa tuovat talvikausina kovat pakkaset.

    Urpelaisen mukaan operaattorit tekevät häiriötilanteissa yhteistyötä.

    Nykyisin operaattoreilla on häiriötilanteita varten erityinen ryhmä. Sen toimintaa koordinoidaan yhteistyössä, jotta varavirtaa saadaan nopeasti kaikkialle, missä sitä tarvitaan.

    – Myyntitilanteissa olemme verisiä kilpailijoita, mutta suurhäiriötilanteissa parhaita kavereita, Urpelainen sanoo tiedotteessa.

    Yhteistyötä tehdään vakavammissa häiriötilanteissa myös hätäkeskuslaitosten, pelastuslaitosten ja Traficomin kanssa.

    Urpelainen toivoo, että kovan myrskyn yllättäessä vikailmoituksia ei lähdettäisi tekemään liian nopeasti, vaikka oma älylaite putoaisikin verkosta. Näin voidaan välttää ilmoitusruuhka.

    Reply
  9. Tomi Engdahl says:

    CISA Director Jen Easterly to Step Down

    CISA told SecurityWeek that all appointees of the Biden-Harris administration will leave by noon on inauguration day.

    https://www.securityweek.com/cisa-director-jen-easterly-to-step-down/

    Reply
  10. Tomi Engdahl says:

    The Urgent And Critical Need To Prioritize Mobile Security

    Organizations that get serious about mobile risks will reduce business risk and boost trust and confidence in their employees, customers, business partners and investors.

    https://www.securityweek.com/the-urgent-and-critical-need-to-prioritize-mobile-security/

    Reply
  11. Tomi Engdahl says:

    Threat Actor Turns Thousands of IoT Devices Into Residential Proxies

    A threat actor tracked as Water Barghest has compromised over 20,000 IoT devices and monetizes them as residential proxies.

    https://www.securityweek.com/threat-actor-turns-thousands-of-iot-devices-into-residential-proxies/

    Reply
  12. Tomi Engdahl says:

    Cybersecurity Aphorisms: A Humorous and Insightful Look at the Industry’s Truths

    The aphorism is a valuable cultural phenomenon for spreading the wisdom of experience — and cybersecurity, with its complexities, nuances, contradictions, and perpetual stress, is a fertile field.

    https://www.securityweek.com/cybersecurity-aphorisms-a-humorous-and-insightful-look-at-industrys-truths/

    “Aphorisms are short, catchy phrases that give advice or share observations about life. They’re more than just clever sayings; they teach, pass down cultural wisdom, and influence how we think and feel,” says McKeown.

    Reply
  13. Tomi Engdahl says:

    Vulnerable Jupyter Servers Targeted for Sports Piracy

    Misconfigured instances of JupyterLab and Jupyter Notebook have been targeted by threat actors for sports stream ripping.

    Reply
  14. Tomi Engdahl says:

    T-Mobile Also Targeted in Chinese Telecom Hacking Campaign

    T-Mobile has also been targeted by the Chinese group Salt Typhoon in a major espionage campaign targeting US telecom companies.

    https://www.securityweek.com/t-mobile-also-targeted-in-chinese-telecom-hacking-campaign/

    Reply
  15. Tomi Engdahl says:

    Sam Sabin / Axios:
    CrowdStrike finds another China-linked group breaching telecommunications networks, in SEA and Africa, since at least 2020, to spy on texts and call metadata

    Exclusive: New China-linked hacking group attacking telecommunications networks
    https://www.axios.com/2024/11/19/china-liminal-panda-telecom-breaches

    Reply
  16. Tomi Engdahl says:

    Tom Warren / The Verge:
    Microsoft debuts the Windows Resiliency Initiative to help avoid another CrowdStrike-like incident, and a Quick Machine Recovery feature for fixing PCs remotely

    Microsoft’s new Windows Resiliency Initiative aims to avoid another CrowdStrike incident
    / Microsoft is working on a new framework to move Windows security vendors out of the kernel for antivirus scanning.
    https://www.theverge.com/2024/11/19/24299873/microsoft-windows-resiliency-initiative-crowdstrike-incident

    Reply
  17. Tomi Engdahl says:

    Jonathan Greig / The Record:
    A US Government Accountability Office report says four of six cybersecurity recommendations the agency made to the TSA since 2018 have still not been addressed — Efforts by the Transportation Security Administration (TSA) to address cybersecurity issues faced significant criticism this week …

    TSA not monitoring transportation sector efforts to stop ransomware, watchdog says
    https://therecord.media/tsa-not-monitoring-transportation-ransomware-efforts-hearing-gao

    Reply
  18. Tomi Engdahl says:

    Tästä syystä merikaapeli lähtee sotilassaari Santahaminasta
    Cinian toimitusjohtaja Ari-Jussi Knaapila sanoo, että merikaapelin sijainti suljetulla sotilassaarella lisää sen turvallisuutta.
    https://www.iltalehti.fi/kotimaa/a/90015166-aa09-4b81-bef9-4097dbff0289

    Iltalehti kysyi Cinian toimitusjohtaja Ari-Jussi Knaapilalta, miksi maanantaina vaurioitunut Suomen ja Saksan välinen merikaapeli lähtee juuri Helsingin Santahaminasta. Merikaapelin lähtöpaikka on puolustusvoimilta vuokrattua tilaa.

    Kaapelien sijainnit kirjataan merikorttiin ”hyvinkin tarkasti, jotta alukset eivät vahingossa tai epähuomiossa laske ankkureitaan niiden päälle”, Knaapila sanoo.

    – Silloin, kun valittiin rantautumispaikkoja sekä täällä Suomen päässä että Saksan päässä, pyrittiin löytämään mahdollisimman hyvä rantautumispaikka siinä mielessä, että siellä on kohtuullisen vähän riskiä esimerkiksi pinta-alusten ankkuroinnissa ja toisaalta se on mahdollisimman lähellä maanpäällistä teleinfraa. Totta kai Santahaminassa oli vielä pienenä bonuksena varuskunta-alue ja sitä kautta vähemmän riskiä monenlaiselle turvattomuudelle.

    Santahaminan sotilassaari on suljettu heti sillan jälkeen tulevalta kulunvalvontapaikalta lähtien. Alueelle pääsee vain luvan kanssa.

    Eli se on nimenomaan turvallisuustekijä eikä turvallisuusriski, että se on sotilassaari?

    – Kyllä se varmasti turvallisuutta parantaa. Itse asiassa sattumalta Rostockin päässä on hyvin lähellä, muutaman kilometrin päässä Saksan puolustusvoimien tukikohta.

    Jyväskylän yliopiston kyberturvallisuuden työelämäprofessori Tapio Frantilla oli maanantaina oma arvauksensa, miksi merikaapeli menee juuri Santahaminaan, mutta ääneen hän ei halunnut sillä spekuloida.

    Reply
  19. Tomi Engdahl says:

    Merikaapelit vaurioituivat lähellä toisiaan – Cinia: Ei yhteistyötä
    Cinia Oy ei tee tutkimuksia merikaapelin katkeamisen syyn selvittämiseksi. Yhteistyötä Liettuan kaapelin omistajan kanssa ei ole nähty tarpeelliseksi.
    https://www.iltalehti.fi/kotimaa/a/28453525-ee85-4f5f-81a4-81a3296a2e92

    Liettuan ja Ruotsin välinen merikaapeli ja Suomen ja Saksan välinen C-Lion-1-merikaapeli eivät ole suorassa yhteydessä toisiinsa.

    Kaapelit risteävät ja kulkevat arviolta 10 metrin päästä toisistaan. Molemmat merikaapelit vaurioituivat sunnuntain ja maanantain aikana.

    C-Lion-1-kaapelin omistajan Cinia Oy:n liiketoiminnanjohtaja Hannu Muikku kertoo, että Cinia ei ole ollut yhteydessä Liettuan ja Ruotsin välisen kaapelin omistajiin. Kaapeleiden korjaustyöt hoidetaan itsenäisesti.

    Muikku ei ota kantaa siihen, ovatko kaapeleiden katkeamiset yhteydessä toisiinsa. Cinian antamien tietojen mukaan C-Lion-1-kaapeli ei vaurioitunut kaapeleiden risteyskohdassa.

    – Tietenkin samalla suunnalla ja samoihin aikoihin on mennyt poikki kaapeleita, että siellä voi olla yhteinen tekijä tai sitten voi olla olematta, hän kommentoi.

    Ei aiempia katkoksia

    Saksan puolustusministeri kutsui C-Lion-1-kaapelin katkeamista sabotaasiksi. Muikku ei halua ottaa kantaa siihen, onko tapauksessa viitteitä sabotaasista eikä kommentoi alueella liikkuneiden laivojen yhteyttä asiaan.

    – Katkeamisen aiheuttaja ei ole meillä tiedossa, hän sanoo.

    – C-Lion-1-kaapelissa ei ole aikaisemmin ollut vaurioita. Se on ollut käytössä vuodesta 2016 asti ja siinä ei ole aikaisemmin ollut minkäänlaisia katkoksia, hän täsmentää.

    Teoriassa kaapeli voisi vaurioitua luonnonilmiön seurauksena, jos se liikkuisi paikoiltaan ja esimerkiksi hankautuisi kalliota vasten, mutta Muikku ei pidä tätä todennäköisenä.

    Sen sijaan todennäköistä on, että siihen on osunut jokin. Esimerkiksi pohjatroolaus tai ankkurin osuma voi vahingoittaa merikaapelia. Maakaapeleita katkeaa Suomessa huomattavasti useammin, sillä ne saavat osumia esimerkiksi kaivuutöissä.

    Ei omaa tutkintaa

    Cinia Oy ei tutki katkeamisen syytä. Sen sijaan se keskittyy vian korjaamiseen. Erinäisiin kaapelikatkoksiin varaudutaan pitämällä yllä korjausvalmiutta. Paraikaa laivaa valmistellaan Ranskassa, jotta se voi matkata vahinkopaikalle korjaamaan kaapelin.

    – Mitään muuta Cinian toimista tehtävää etukäteistutkimusta ei tehdä, vaan korjauslaiva menee paikalle ja aloittaa sitten korjaustyön.

    Keskusrikospoliisi ilmoitti tiistaina iltapäivällä saaneensa tutkintapyynnön kaapelin katkeamisesta. Krp on aloittanut tapahtumien selvittämisen.

    Muikku myöntää, että vahingon aiheuttajan selvittäminen kiinnostaa yhtiötä vahingonkorvausten takia, mutta erilliset tutkimukset toisivat yhtiölle lisää kuluja.

    Reply
  20. Tomi Engdahl says:

    Wired:
    An investigation reveals how 3B+ phone coordinates collected by a US data broker Datastream expose movements of US military and intelligence workers in Germany

    Anyone Can Buy Data Tracking US Soldiers and Spies to Nuclear Vaults and Brothels in Germany
    More than 3 billion phone coordinates collected by a US data broker expose the detailed movements of US military and intelligence workers in Germany—and the Pentagon is powerless to stop it.
    https://www.wired.com/story/phone-data-us-soldiers-spies-nuclear-germany/

    Reply
  21. Tomi Engdahl says:

    Kreml kommentoi kaapelivaurioita
    Kremlin mielestä Venäjää syytetään ilman todisteita.
    https://www.is.fi/kotimaa/art-2000010846584.html

    Venäjä kiistää osallisuuden Itämeren kaapelivaurioihin.

    Dmitry Peskovin mukaan Venäjää syytetään kaikesta ilman todisteita, ja hän kuvailee väitteitä ”absurdeiksi”.

    Suomen ja Saksan välisessä tietoliikennekaapelissa sekä Liettuan ja Ruotsin välisessä merikaapelissa on havaittu vaurioita viime päivinä. Vauriokohtien lähellä on liikkunut kiinalainen rahtialus, mutta viranomaiset eivät ole vahvistaneet laivan mahdollista yhteyttä vaurioihin.

    Ruotsin viranomainen kuitenkin tutkii vaurioituneita kaapeleita epäiltynä sabotaasina. Molempien kaapeleiden vioittuneet kohdat sijaitsevat Ruotsin talousalueella. Liettuan syyttäjänvirasto tutkii kaapelivaurioita puolestaan terrorismina.

    Suomessa tapahtumia tutkii keskusrikospoliisi. Krp:n apulaispäällikkö Timo Kilpeläinen kertoi aiemmin tiedotustilaisuudessa, että Suomesta on otettu yhteyttä Ruotsiin ja todennäköisesti käynnistetään yhteinen tutkintaryhmä.

    Kaapelin läheisyydessä liikkunut Yi Peng 3 -kiinalaisalus on yhdistetty merenalaisten kaapeleiden vioittumiseen.

    Tällä hetkellä alus on pysähtynyt Tanskan vesille.

    Rikkoutuneiden kaapeleiden lähistöllä liikkunut kiinalaisalus on ollut tiistain ja keskiviikon välisenä yönä tuntien ajan pysähdyksissä Tanskan rannikolla. Asia selviää Marinetraffic-palvelusta.

    Viime vuoden lokakuussa Itämerellä hajosi Viron ja Suomen välinen Baltcconnector-kaasuputki.

    Hongkongissa toimiva South China Morning Post uutisoi tuolloin, että Kiina olisi myöntänyt honkongilaisen Newnew Polar Bear -konttialuksen rikkoneen kaasuputken.

    Sen sanottiin olleen vahinko.

    Reply
  22. Tomi Engdahl says:

    Tämä tiedetään katkenneista kaapeleista – näin tapahtumat etenivät hetki hetkeltä

    Yksityiskohtia kaapelin katkeamisesta on kerrottu pitkin alkuviikkoa. Olennaisin kysymys on yhä vailla vastausta.

    https://www.is.fi/kotimaa/art-2000010845681.html

    Reply
  23. Tomi Engdahl says:

    “To sum it up here are the “coincidences” of the last 2 days:
    - 2 underwater cables were cut (Finland/Germany and Lithuania/Sweden)
    - 2 nuclear reactors malfunctioned in Finland and were shut down, one on Sunday, the other on Monday
    - Norway’s Massive Johan Sverdrup Oilfield Shut by Power Outage
    - Support cable of the Louhunsalmi suspension bridge broke in Finland, leaving 2 Islands almost cut-off”

    Reply
  24. Tomi Engdahl says:

    https://www.facebook.com/share/p/eo1yXj1WD2PzARSF/

    via Dragos Ruiu

    D-Link tells users to trash old VPN routers over a bug too dangerous to identify. AKA Won’t Fix.

    Hopefully folks realize they should replace it with another vendor.

    This vuln was covered at DEF CON 32 by Sam Curry. TR-069 is an admin access protocol that lets DLink work with your router remotely (reset device, etc.). Bad actors use spoofed requests to change config data, read the MAC address, monitor traffic, and use them as botnets. TR-069 is an industry standard.

    Look up the link on The Register that Meta/Facebook won’t let me post in Canada. Search “dlink_rip_replace_router”

    Throw out your D-Link junk – all of it.

    Reply
  25. Tomi Engdahl says:

    D-Link tells users to trash old VPN routers over bug too dangerous to identify
    Vendor offers 20% discount on new model, but not patches
    https://www.theregister.com/2024/11/20/dlink_rip_replace_router/?fbclid=IwY2xjawGrnGtleHRuA2FlbQIxMQABHSmLXZcNcc7mwJvP1vCyDYACtgz8m27XLDAPJH-z8wpHwGM2EIQM48m_hA_aem_9SEVqqISf0UKw80b8l2fjQ

    Owners of older models of D-Link VPN routers are being told to retire and replace their devices following the disclosure of a serious remote code execution (RCE) vulnerability.

    Most of the details about the bug are being kept under wraps given the potential for wide exploitation. The vendor hasn’t assigned it a CVE identifier or really said much about it at all other than that it’s a buffer overflow bug that leads to unauthenticated RCE.

    Unauthenticated RCE issues are essentially as bad as vulnerabilities get, and D-Link warned that if customers continued to use the affected products, the devices connected to them would also be put at risk.

    Given that all the affected devices went end of life (EOL) and/or end of support (EOS) at various times – most in May 2024 but some as far back as 2015 – D-Link won’t be issuing patches for any of them.

    The vendor extended an olive branch to product owners in the form of a 20 percent discount on a new service router (DSR-250v2) that is not affected by the vulnerability. Affected devices (all hardware revisions) include:

    DSR-150 (EOL May 2024)

    DSR-150N (EOL May 2024)

    DSR-250 (EOL May 2024)

    DSR-250N (EOL May 2024)

    DSR-500N (EOL September 2015)

    DSR-1000N (EOL October 2015)

    Reply
  26. Tomi Engdahl says:

    Phillips Hue IoT critical vulnerability: unauthorized users with local access may disable power at the wall switch, resulting in denial of service to the device.

    Layer 1 problems like that are not under the purview of IT. Please contact the security company and install physical alarms and maybe hire armed guards

    Smart home critical vulnerability. Unauthorized users with local access to the breaker panel may disable your entire smart home system

    Unauthorized users with local access can just unplug it

    Reply
  27. Tomi Engdahl says:

    Putinin varjolaivat ovat alkaneet käyttäytyä entistä epäilyttävämmin
    Venäjä kiertää varjolaivastonsa avulla pakotteita, vakoilee ja toteuttaa hybriditoimia.
    https://www.iltalehti.fi/ulkomaat/a/ece5ca24-1e1e-4bee-8194-60f466c64667

    Se oli vain ajan kysymys. Ensimmäiset varoitukset Venäjän varjolaivastosta kuultiin noin kaksi vuotta sitten.

    Joulukuussa 2022 länsimaat asettivat hintakaton venäläiselle raakaöljylle. Tarkoituksena on varmistaa, että Venäjä ei saisi vuokrata käyttöönsä tankkereita, ellei myynti ole hintakaton mukaista.

    Varjolaivaston alukset eivät ole venäläisomistuksessa. Niiden omistussuhteet on häivytetty, ja kysymys on pikemmin länsimaiden ulkopuolella toimivasta yhtiöverkostosta, jonka lonkerot ulottuvat Venäjältä maailman merille.
    Itämeri

    Erityisen aktiivisesti varjolaivasto toimii Itämerellä.

    Viron edustalle on jopa muodostunut varjolaivaston epävirallinen parkkipaikka, jossa tankkerit odottavat pääsyään Venäjän öljysatamiin, kertoo Helsingin Sanomat.

    HS:n mukaan säiliöalukset kerääntyvät laivaväylien ulkopuolelle kansainväliselle merialueelle. Vaikka alue kuuluu Viron talousvyöhykkeeseen, ovat viranomaiset voimattomia, sillä laivojen toiminta on kansainvälisen merilain mukaista.

    Pakotteiden kiertäminen ei ole ainoa varjolaivastoon liitetty ongelma. Useat säiliöaluksista ovat kymmeniä vuosia vanhoja, huonokuntoisia ja vakuuttamattomia.

    Epäilyttäviä viestintävälineitä

    Ruotsin merivoimat raportoi huhtikuussa, että varjolaivastoon liittyy vielä eräs huolestuttava piirre.

    Useat aluksista on varustettu viestintävälineillä, joita tavalliset kauppa-alukset eivät milloinkaan tarvitse. Venäjän varjolaivasto näyttää toimivan myös vakoilulaivastona.

    – Havaitsemme kuinka merellä liikkuvilla on joskus ylimääräisiä tavoitteita toiminnassaan, kontra-amiraali Ewa Skoog Haslum sanoi. Hänen mukaansa alukset voivat olla osa Venäjän hybriditoimintaa Itämerellä.

    Lokakuussa havahtui myös Euroopan unioni.

    Euroopan parlamentissa hyväksyttiin viime viikolla päätöslauselma, jonka tavoitteena on rajoittaa Venäjän mahdollisuuksia käyttää varjolaivastoaan.

    Päätöslauselman mukaan Venäjä voi käyttää aluksia hybridioperaatioihin EU:n jäsenvaltioita vastaan.

    Kalastusaluksia

    Ilmiö ei kuitenkaan ole uusi eikä rajoitu pelkästään Itämerelle.

    Jo vuosien ajan Norjan aluevesillä olevissa kalastusaluksissa on havaittu viestintävälineitä, jotka ovat normaaleille kalastusaluksille tarpeettomia.

    Jantar on virallisesti luokiteltu merentutkimusalukseksi, jolla on vedenalaiset pelastusvalmiudet. Todellisuudessa sitä operoi Venäjän syvänmerentutkimuksen päähallinto GUGI.

    GUGI on Venäjän merivoimien tiedusteluvirasto, jonka toimialaa on muun muassa merenalainen sabotaasi.

    Jantar saatettiin pois Irlanninmereltä sen jälkeen, kun sen havaittiin pyörivän kriittiseen infrastruktuuriin liittyvien merikaapeleiden yläpuolella.

    Seuraavana päivänä Itämerellä hajosi kaksi tietoliikennekaapelia.

    Tanskan merivoimat on pysäyttänyt tapauksesta epäillyn kiinalaisen rahtialuksen, joka oli matkalla Venäjän Laukaansuun eli Ust Lugan satamasta kohti Egyptiä.

    Venäjä on kiistänyt väitteet Venäjän osallisuudesta kaapelivaurioihin. Kremlin tiedottajan Dmitri Peskovin mukaan väitteet ovat absurdeja.

    Skoog Haslumin mukaan viranomaisten keinot puuttua sellaisten alusten toimintaan, jotka naamioituvat siviilialuksiksi ovat erittäin rajalliset.

    Kansainvälinen merioikeus sallii niin sanotun viattoman kauttakulun, jonka nojalla ulkomaisella aluksella on oikeus kulkea rantavaltiolta lupaa pyytämättä sen aluemerellä, edellyttäen ettei se uhkaa rantavaltion turvallisuutta.

    Uhan toteamiseksi viranomaisten olisi noustava laivaan, minkä Venäjä tai Kiina tulkitsisivat provokaatioksi, Skoog Haslum sanoo.

    Reply
  28. Tomi Engdahl says:

    Surf Security Adds Deepfake Detection Tool to Enterprise Browser

    Surf Security has released Deepwater, a deepfake detection tool integrated into the company’s enterprise browser.

    https://www.securityweek.com/surf-security-adds-deepfake-detection-tool-to-enterprise-browser/

    Reply
  29. Tomi Engdahl says:

    D-Link Warns of RCE Vulnerability in Legacy Routers

    Six discontinued D-Link router models are affected by a remote code execution (RCE) vulnerability that will not be patched.

    https://www.securityweek.com/d-link-warns-of-rce-vulnerability-in-legacy-routers/

    Reply
  30. Tomi Engdahl says:

    The Urgent And Critical Need To Prioritize Mobile Security

    Organizations that get serious about mobile risks will reduce business risk and boost trust and confidence in their employees, customers, business partners and investors.

    https://www.securityweek.com/the-urgent-and-critical-need-to-prioritize-mobile-security/

    Reply
  31. Tomi Engdahl says:

    GitHub Launches Fund to Improve Open Source Project Security

    GitHub has launched a $1.25 million fund to be invested in improving the security of 125 open source project

    https://www.securityweek.com/github-launches-fund-to-improve-open-source-project-security/

    Code-hosting platform GitHub on Tuesday announced a new effort to improve the security and sustainability of open source projects through financial help, education, certification, and more.

    The Microsoft-owned platform is now accepting applications for the GitHub Secure Open Source Fund, which launches with $1.25 million to be invested in 125 projects, and will leave applications open until January 7, 2025.

    The purpose of the fund, GitHub says, is to build a security-minded community of maintainers and funders that have shared objectives, and which will lead to the improved security of the open source ecosystem.

    “We’re taking an ecosystem approach because we believe a dependency graph is more than just connected software. It is the underlying people that underpin the success and sustainability of open source,” GitHub notes.

    As part of the program, project maintainers will receive financial support, security education, certification, mentorship, tooling, promotion, and bi-annual security health reports.

    Reply
  32. Tomi Engdahl says:

    CISA Warns of Progress Kemp LoadMaster Vulnerability Exploitation

    CISA is warning organizations that CVE-2024-1212, a Progress Kemp LoadMaster OS command injection vulnerability, is being exploited in attacks

    https://www.securityweek.com/cisa-warns-of-progress-kemp-loadmaster-vulnerability-exploitation/

    Reply
  33. Tomi Engdahl says:

    Rod McGuirk / Associated Press:
    Australia introduces a bill in Parliament to ban children younger than 16 from social media; companies would face fines of up to AU$50M for violations

    A social media ban for children younger than 16 is introduced in Australia’s Parliament
    https://apnews.com/article/australia-social-media-children-ban-e02305486cb44aa07dcaf2964bec4e3d

    MELBOURNE, Australia (AP) — Australia’s communications minister introduced a world-first law into Parliament on Thursday that would ban children younger than 16 from social media, saying online safety was one of parents’ toughest challenges.

    Michelle Rowland said TikTok, Facebook, Snapchat, Reddit, X and Instagram were among the platforms that would face fines of up to 50 million Australian dollars ($33 million) for systemic failures to prevent young children from holding accounts.

    “This bill seeks to set a new normative value in society that accessing social media is not the defining feature of growing up in Australia,” Rowland told Parliament.

    “There is wide acknowledgement that something must be done in the immediate term to help prevent young teens and children from being exposed to streams of content unfiltered and infinite,” she added.

    Reply
  34. Tomi Engdahl says:

    Mika Aaltola: Näin Suomi voisi vastata kaapeleiden katkomiseen – “Venäjälle tavattoman tärkeä”
    Mika Aaltolan mukaan Suomen kautta kulkeva, Venäjälle elintärkeä tietoverkkokaapeli ”voitaisiin laittaa vaikka remonttiin”.
    https://www.iltalehti.fi/ulkomaat/a/9b167284-564c-448e-8483-c075c6e66e83

    Europarlamentaarikko Mika Aaltolan mukaan Venäjä aiheuttaa Euroopassa ja Suomessa tällä hetkellä laajamittaista haittaa muun muassa erilaisilla kyberoperaatioilla. Ulkopoliittisen instituutin johtajanakin työskennelleen asiantuntijan mukaan hyökkäykset saattavat olla hyvinkin yksinkertaisia palvelunestohyökkäyksiä, tai vaihtoehtoisesti myös monimutkaisempia takaporttioperaatioita, joihin liittyy lisäksi vakoilua.

    – Venäjän läsnäolo haitallisessa, sotkevassa ja häiritsevässä mielessä on selkeästi osa tätä Venäjän laajempaa sodankäyntiarsenaalia, Aaltola kertoo Iltalehden haastattelussa.

    – Siihen liittyvät myös fyysisen maailman sabotaasit, Aaltola jatkaa ja viittaa eilen uutisoituihin, Itämeren pohjassa kulkeviin datakaapeleihin ja niiden vaurioihin.

    Aaltola painottaa, ettei ole tietoinen siitä, kuka kaapeleihin on käynyt käsiksi. Europarlamentaarikon mukaan erityisesti Suomen ja Saksan välinen, suora datakaapeli on Suomelle tärkeä, sillä se takaa nopean tietoliikenteen muun maailman kanssa. Nyt katkennutta kaapelia paikkaavat muun muassa yhteydet Ahvenanmaan kautta Ruotsiin sekä Suomenlahden ali Viroon.

    Viestipalvelu X:ssä julkaisemassaan päivityksessä europarlamentaarikko muistuttaa Venäjän Suomen kautta kulkevasta dataliikenteestä ja vihjaa, että kyseisen liikenteen mahdollistava kaapeli voitaisiin tarvittaessa sulkea.

    Aaltola kertoo, että kaapeli, johon hän päivityksessäänkin viittaa, on historiansa aikana vastannut toisinaan jopa 60–70 prosentista kaikesta Venäjän dataliikenteestä.

    – Se on Venäjälle tavattoman tärkeä kaapeliyhteys, eli Venäjä on tässä yhteydessä Suomesta tavattoman riippuvainen, Aaltola täsmentää Iltalehdelle.

    Aaltola sanoo, että mikäli Venäjä osoittautuisi olevan sekä lähes päivittäisten kyberhyökkäysten ja -häirinnän, kuten myös kaapeleiden fyysisten katkomisen takana, voisi Suomi harkita vastatoimia.

    – Tietysti voisi olla aika, että se kaapeli laitettaisiin vaikkapa remonttiin, Aaltola sanoo.

    Oleellisempana kysymyksenä Aaltola pitää sitä, kuinka Suomen kautta kulkeva venäläisdata helpottaa itänaapurin toimien tiedustelemista.

    – Saamme tietää Venäjän asioista, koska sitä dataa siellä liikkuu, Aaltola sanoo.

    Suomen uusikin tiedustelulaki on kuitenkin rajallinen, ja tapahtuvan datatiedustelun pitää olla tiettyihin toimijoin kohdistettua. Esimerkiksi massavalvontaa Suomen lainsäädäntö ei mahdollista.

    Suomea datan kauttakulkumaana käyttämällä Venäjä ohittaa kuitenkin Ruotsin paljon tiukemman tiedustelun, Aaltola kertoo.

    – Ruotsi on tavallaan kuudes silmä tässä niin sanotussa viiden silmän klubissa, jotka tarkkailevat maailman datavirtoja, Aaltola sanoo.

    – Kyberin ja tietenkin fyysisen infrastruktuurin geopolitiikka on aika tärkeää, ja Suomen kannattaa pitää huolta siitä, että Venäjä ei liikaa lähde katkomaan kaapeleita. Jos Venäjä on nyt takana tässä. Sitä kun ei tiedetä, eikä todennäköisesti koskaan saada tietääkään, Aaltola sanoo.

    Riippuvuus Itämerestä

    – Suomi on itämeririippuvainen, meidän kaapelimme kulkevat siellä Itämeren pohjassa ja niiden suojaaminen on vaikeaa, Aaltola korostaa.

    Ratkaisuksi Aaltola ehdottaa esimerkiksi meren pohjassa kulkevia valvontadrooneja, jotka vartioisivat kaapeleiden läheisyydessä liikkuvia aluksia ja sukellusveneitä. Lisäksi esimerkiksi Nokia valmistaa kaapeleita, joissa on sensoreita, jotka havaitsevat ympärillään tapahtuvan liikkeen. Tällöin tekojen tekijät saataisiin paremmin kiinni.

    Aaltolan mukaan on hyvin vaikea sanoa, onko Venäjä nyt katkenneiden kaapeleiden tihutöiden takana.

    – Venäjällä on motiivi, sillä on kyky, ja sillä on myös tilaisuus, Aaltola sanoo.

    Reply
  35. Tomi Engdahl says:

    Exploitation Attempts Target Citrix Session Recording Vulnerabilities

    Exploitation attempts seen for two recently patched Citrix Session Recording vulnerabilities tracked as CVE-2024-8068 and CVE-2024-8069.

    https://www.securityweek.com/exploitation-attempts-target-citrix-session-recording-vulnerabilities/

    Reply
  36. Tomi Engdahl says:

    Cyberattack at French hospital exposes health data of 750,000 patients
    https://www.bleepingcomputer.com/news/security/cyberattack-at-french-hospital-exposes-health-data-of-750-000-patients/?fbclid=IwY2xjawGsaw9leHRuA2FlbQIxMQABHRQelZ1x1ky1UNqHjiTxuo3wJS326O_2GvvW73-2WbZXMapO-xv8ZaqNkw_aem_ZggWTLD27IHDs6i-uHc0sA

    A data breach at an unnamed French hospital exposed the medical records of 750,000 patients after a threat actor gained access to its electronic patient record system.

    A threat actor using the nickname ‘nears’ (previously near2tlg) claimed to have attacked multiple healthcare facilities in France, alleging that they have access to the patient records of over 1,500,000 people.

    The hacker claims they breached MediBoard by Software Medical Group, a company offering Electronic Patient Record (EPR) solutions across Europe.

    Softway Medical Group has confirmed that hackers have compromised a MediBoard account. However, it noted that this was not the result of a software vulnerability or misconfiguration on their part, but rather through the use of stolen credentials used by the hospital.

    Selling access to hospitals
    This all unfolded after the threat actor began selling what they claimed was access to the MediBoard platform for multiple French hospitals, including Centre Luxembourg, Clinique Alleray-Labrouste, Clinique Jean d’Arc, Clinique Saint-Isabelle, and Hôpital Privé de Thiais.

    This access allegedly would let the buyer view the hospitals’ sensitive healthcare and billing information, patient records, and the ability to schedule and modify appointments or medical records.

    Reply
  37. Tomi Engdahl says:

    Fintech For 45 Of 50 Top Banks Confirms Data Breach
    https://www.forbes.com/sites/larsdaniel/2024/11/20/global-fintech-giant-finastra-investigating-data-breach/

    Finastra, a global leader in financial technology that serves 45 of the world’s top 50 banks, has confirmed a major data breach impacting its internal file transfer system. The London-based firm, which facilitates vital banking and wire transfers for over 8,100 financial institutions worldwide, detected the breach on Nov. 7.

    The breach targeted Finastra’s internally hosted Secure File Transfer Platform, or SFTP, which was exploited using stolen credentials—essentially, a username and password. The attacker claims to have leveraged IBM Aspera, a high-speed file transfer tool to exfiltrate data from Finastra’s systems.

    The cybercriminal, known by the alias “abyss0,” first advertised the stolen data for sale on BreachForums, a notorious online marketplace for cybercrime, on October 31. Initially priced at $20,000, the data’s asking price was later halved to $10,000.

    The data breach at Finastra resulted in the theft of approximately 400 gigabytes of compressed information.

    Although the full scope of the compromised data is still being investigated, early findings suggest that the breach included:

    Client Data: Files containing sensitive information from major banking clients, which may include transaction details and financial records.
    Internal Documents: Confidential materials related to Finastra’s operations and services

    Reply
  38. Tomi Engdahl says:

    Andy Greenberg / Wired:
    SpyCloud researchers say Chinese black market operators are openly recruiting insiders working for government surveillance agencies to sell their access online
    https://www.wired.com/story/chineses-surveillance-state-is-selling-citizens-data-as-a-side-hustle/

    Reply
  39. Tomi Engdahl says:

    Vain sadan metrin tähden! Ovatko viran­omaiset voimattomia kaapeli­rikkoihin liitetylle kiinalais­alukselle?

    Kaapelirikkoihin liitetty Yi Peng 3 on ankkuroitu juuri ja juuri Tanskan aluevesien ulkopuolelle, jonne lain kirjaimet eivät ulotu.

    https://www.is.fi/ulkomaat/art-2000010849750.html

    Reply
  40. Tomi Engdahl says:

    https://hackaday.com/2024/11/15/this-week-in-security-hardware-attacks-iot-security-and-more/

    This week starts off with examinations of a couple hardware attacks that you might have considered impractical. Take a Ball Grid Array (BGA) NAND removal attack, for instance. The idea is that a NAND chip might contain useful information in the form of firmware or hard-coded secrets.

    The question is whether a BGA desolder job puts this sort of approach out of the reach of most attackers.

    Speaking of looking for those vulnerabilities, let’s talk about glitching. We’ve talked about some interesting techniques in the past, like using a peizo element from a lighter. This coverage takes the opposite technique, shorting pins to ground during code runtime. [Maurizio Agazzini] takes a look at glitching technique on the ESP32.

    The S in IOT Stands for Security

    Claroty’s Team82 took aim at the OvrC cloud platform, an IoT remote management solution, and found some problems. And when I say “some problems”, I really mean that every device connected to the cloud controller could be fully pwned. Starting with an easy enumeration using MAC Addresses, every device could be mapped and determined if it was claimed or not. The nutty part here is that users that opted out of cloud control were just considered unclaimed devices, making takeover even easier.

    Claiming a device was intended to require both the MAC Address and a unique serial number. A URL endpoint on the platform actually skipped verifying the serial number, allowing for easy claiming of any unclaimed device with only a MAC address.

    BinaryFormatter is Insecure and Can’t Be Made Secure

    That title isn’t the sort of thing you want to hear from your upstream vendor, about a function call you’re using in your code. Here we have Watchtowr, in their gloriously snarky style, detailing a deserialization flaw in Citrix’s Virtual Apps and Desktops. This is one of those thin client solutions, where the read hard work is done on a central machine in the server room.

    Bits and Bytes

    I’m not sure if it’s more insulting or less insulting to fall to a ransomware attack where it’s just Windows Bitlocker that’s doing the encryption. Apparently the criminals behind ShrinkLocker have taken the approach that there’s no reason to bother actually writing encryption code for their ransomware, since Microsoft has perfectly serviceable encryption already.

    Reply

Leave a Reply to Tomi Engdahl Cancel reply

Your email address will not be published. Required fields are marked *

*

*