Niebezpieczny robak przedostaje się przez pakiety oprogramowania

Nowe ustalenia z tego tygodnia pokazały, że błędnie skonfigurowana platforma używana przez Departament Bezpieczeństwa Krajowego spowodowała ujawnienie poufnych informacji dotyczących bezpieczeństwa narodowego – w tym danych związanych z inwigilacją Amerykanów – i udostępnienie ich tysiącom osób. Tymczasem w tym tygodniu 15 nowojorskich funkcjonariuszy zostało aresztowanych przez Służbę Imigracyjną i Celną oraz Departament Policji Nowego Jorku w okolicach budynku Federal Plaza 26 – gdzie ICE przetrzymuje osoby w warunkach uznanych przez sądy za niehigieniczne.

Rosja przeprowadziła głośne ćwiczenia wojskowe, testując pociski hipersoniczne w pobliżu granic NATO, podsycając napięcia w regionie po tym, jak Kreml niedawno wprowadził drony w przestrzeń powietrzną Polski i Rumunii. Oszuści dysponują nowym narzędziem do wysyłania spamu, znanym jako „SMS blastery ”, które może wysyłać do 100 000 SMS-ów na godzinę, omijając jednocześnie środki antyspamowe firm telekomunikacyjnych. Oszuści wykorzystują nielegalne wieże komórkowe, które oszukują telefony użytkowników, aby połączyć się ze złośliwymi urządzeniami, umożliwiając im bezpośrednie wysyłanie SMS-ów i omijanie filtrów. Ponadto, dwie luki w systemie zarządzania tożsamością i dostępem Entra ID firmy Microsoft, które zostały załatane, mogły zostać wykorzystane do uzyskania dostępu do praktycznie wszystkich kont klientów platformy Azure – co mogłoby doprowadzić do katastrofalnych skutków.

WIRED opublikował w tym tygodniu szczegółowy poradnik dotyczący zakupu i użytkowania telefonu na kartę , a także alternatyw, które zapewniają większą prywatność niż zwykły telefon, ale nie są tak pracochłonne jak prawdziwy telefon na kartę. Zaktualizowaliśmy również nasz poradnik dotyczący najlepszych sieci VPN.

Ale to nie wszystko! Co tydzień podsumowujemy wiadomości z zakresu bezpieczeństwa i prywatności, których sami nie omówiliśmy szczegółowo. Kliknij nagłówki, aby przeczytać pełne artykuły. I uważaj na siebie.

Świat cyberbezpieczeństwa, ku swojemu rosnącemu przerażeniu, doświadczył licznych ataków na łańcuchy dostaw oprogramowania , w których hakerzy ukrywają swój kod w legalnym oprogramowaniu, aby po cichu rozprzestrzenić go do wszystkich systemów korzystających z tego kodu na całym świecie. W ostatnich latach hakerzy próbowali nawet łączyć jeden atak na łańcuch dostaw oprogramowania z innym , znajdując wśród swoich ofiar drugiego programistę, który atakował kolejny element oprogramowania i uruchamiał kolejną rundę infekcji. W tym tygodniu nastąpiła nowa, niepokojąca ewolucja tych taktyk: pełnoprawny, samoreplikujący się robak atakujący łańcuch dostaw.

Szkodliwe oprogramowanie, nazwane Shai-Hulud od fremeńskiej nazwy potwornych robaków piaskowych z powieści science fiction „Diuna” (oraz nazwy strony w serwisie GitHub, na której złośliwe oprogramowanie opublikowało skradzione dane uwierzytelniające swoich ofiar), zainfekowało setki pakietów oprogramowania typu open source w repozytorium kodu Node Packet Management (NPM), używanym przez programistów Javascript. Robak Shai-Hulud został zaprojektowany tak, aby zainfekować system korzystający z jednego z tych pakietów oprogramowania, a następnie wyszukać w tym systemie kolejne dane uwierzytelniające NPM, aby uszkodzić kolejny pakiet oprogramowania i kontynuować rozprzestrzenianie się.

Według jednego z szacunków, robak rozprzestrzenił się na ponad 180 pakietów oprogramowania , w tym 25 używanych przez firmę zajmującą się cyberbezpieczeństwem CrowdStrike, choć CrowdStrike doprowadziła do ich usunięcia z repozytorium NPM. Według innego szacunków firmy zajmującej się cyberbezpieczeństwem ReversingLabs liczba ta jest znacznie wyższa i wynosi ponad 700 zainfekowanych pakietów kodu . To sprawia, że ​​Shai-Hulud jest jednym z największych ataków na łańcuchy dostaw w historii, choć cel masowej kradzieży danych uwierzytelniających pozostaje niejasny.

Zachodni orędownicy prywatności od dawna wskazują na chińskie systemy nadzoru jako potencjalną dystopię czekającą kraje takie jak Stany Zjednoczone, jeśli przemysł technologiczny i gromadzenie danych przez rząd nie będą kontrolowane. Jednak szeroko zakrojone śledztwo Associated Press podkreśla, że ​​chińskie systemy nadzoru podobno w dużej mierze opierają się na technologiach amerykańskich. Reporterzy AP znaleźli dowody na to, że chińska sieć nadzoru – od systemu policyjnego „Złota Tarcza”, którego pekińscy urzędnicy używają do cenzurowania internetu i zwalczania domniemanych terrorystów, po narzędzia służące do namierzania, śledzenia, a często i zatrzymywania Ujgurów i regionu Sinciang – najwyraźniej została zbudowana przy współudziale amerykańskich firm, takich jak IBM, Dell, Cisco, Intel, Nvidia, Oracle, Microsoft, Thermo Fisher, Motorola, Amazon Web Services, Western Digital i HP. W wielu przypadkach AP znalazła chińskojęzyczne materiały marketingowe, w których zachodnie firmy oferują aplikacje i narzędzia do nadzoru chińskiej policji i krajowym służbom wywiadowczym.

Scattered Spider, rzadki gang cyberprzestępców zajmujący się hakowaniem i wymuszeniami, działający głównie w krajach zachodnich, od lat rozpętuje chaos w internecie, uderzając w cele od MGM Resorts i Caesar's Palace po sieć sklepów spożywczych Marks & Spencer w Wielkiej Brytanii. Teraz dwóch domniemanych członków tej niesławnej grupy zostało aresztowanych w Wielkiej Brytanii: 19-letnia Thalha Jubair i 18-letni Owen Flowers, obaj oskarżeni o włamanie do systemu transportu publicznego Transport for London — rzekomo powodując ponad 50 milionów dolarów strat — wśród wielu innych celów. Sam Jubair jest oskarżony o włamania do 47 organizacji. Aresztowania są tylko najnowszymi z serii zatrzymań wymierzonych w Scattered Spider, który mimo to kontynuuje niemal nieprzerwaną serię naruszeń. Noah Urban, który został skazany za zarzuty związane z działalnością Scattered Spider, rozmawiał z więzienia z Bloomberg Businessweek, aby uzyskać długi profil swojej kariery cyberprzestępcy . 21-letni Urban został skazany na 10 lat więzienia.