A SECTOR16 nevű (feltételezhetően) orosz hacktivista csoport 2025 januárjában jelent meg a nemzetközi kiberfenyegetettségi térképen, és gyorsan ismertté vált a kritikus infrastruktúrák, különösen az olaj-, gáz- és vízipari SCADA rendszerek elleni célzott támadásairól. Most éppen hazai rendszert találtak meg.
Vergiliustól kölcsönözve Ab uno ne omnes iudices – azaz egyből ne következtess mindre – mondhatnám az erőművek védelmére. Megjelent a YouTube-on egy urbexes srác videója arról, hogy jutott be egy „üzemelő” erőműbe, előbb kerítést mászva, majd később a kapun keresztül.
Az alábbiakban szeretnék reagálni a Csinos Tamás, a Clico Hungary Kft. képviselőjének 2023 novemberi, NIS2 és OT kiberbiztonság témájú előadására. Az előadást az IT-OT konvergencia folyamatokra károsnak tartom, mert tartalma pontatlanságoktól, illetve néhány esetben szakmai hibától terhes, az előadás stílusa pedig nem méltó az IT szakma jeles képviselőjéhez.
Egyre több részlet derül ki az előválasztási rendszer leállásával kapcsolatban. A sok találgatás után végre megszólalt az aHang is, akik a rendszer építéséért és üzemeltetésért felelnek.
A Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztályára tett feljelentésük után egy kiberbiztonsági céget is megbíztak a támadás elemzésével. Ennek a vizsgálatnak jelenleg még nincs eredménye, így az eddig kiszivárgott, szakértők által publikus adatokból elemzett, illetve a nyilatkozatok alapján vonhatunk le következtetéseket.
Mit vonhatunk? Mi csak ugatjuk a témát.
Szerencsére itt van nekünk is a neve elhallgatását nyomatékosan kérő Szöllősi Gábor - alias Szögi,- a szakértők szakértője, infrastruktúra expert, a Hundub réme, a tiszteletes két pej csikajának jókedvű abrakolója.
Vannak azok a klasszikus marketing sztorik, amelyek a szerencsétlen névválasztásokról szólnak.
Majdnem minden területen előfordul ilyesmi, talán a legismertebbek a gépjárművek névválasztásával kapcsolatos történetek. Sokan azt gondolják, hogy a marketingesek vicces cigarettákat, esetleg valami fehér porokat szippantgatnak munka közben, de lássuk be, az ő melójuk sem egyszerű!
Korábban persze rosszul tudtuk, de most javítom: Amit a dalai lámához hasonlóan világszerte sokan tudnak, az a hazai látogatók többsége előtt máig ismeretlen: Pilis Felcsút a Kárpát-medence energetikai szempontból kitüntetett helye, spirituális központja, őseink szerint az a pont, ahol "az Ég és a Föld összeér".
1 millió magyar állampolgár adatait árulják egy fórumban, célzatosan a 2022-es választást emlegetve. Az adatok között megtalálhatók a személyigazolvány számok, anyja neve, születési adatok, lakcímek.
Mondom magamban:
dasz iszt ein kubatov vagy mi a franc!
Az 1 millió rekord 50 ezer USD, a hüjének is megéri!
Szerencsére tett is ki samplet az illető, de asszem súlyos csalódás éri a privát kubatovvá lenni akarókat, mert szerintem ezek az adatok teljesen kamuk.
Legalábbis nagyon fura, hogy a néhány, mintának szánt adatban az érintett és az anyja neve is három névből áll, illetve egyik névvel kapcsolatban sem találtam még közösségi média profilt sem, ami elég meglepő mondjuk a születési dátumokat elnézve.
De perszer az is sokat elárul, hogy néhol az anyja neve teljesen zagyva, például kevéssé valószínű, hogy valakinek az édesanyját Borhala Elek Miklósnak, vagy Havasi Edina Albertnek hívnák, de a mai genderfluid világban bármi is elképzelhető.
De ilyen ez a POP3 szakma, ember embernek farkasa és a többi.
Azért csak birizgálja a kíváncsiságomat, hogy vajon teljesen random generált adatokról van-e szó, vagy pedig többféle breach dumpból kompilálták össze, mert akkor valahol valamilyen valós adatoknak kell lennie elfekvőben.
Itt főleg a személyigazolvány szám a legfontosabb kérdés, amelyet civilként ugye nemigen tudok ellenőrizni, bár létezik okmányellenőrző felület, azonban ott több adat megadása is szükséges, azaz a láthatóan kamu nevek és a bizonytalan azonosítók együttes megadása nemigen vezet sikerhez.
Ha a szigszámok esetleg validak és valami más forrásból lett a kamu adatokkal együtt összekompilálva, akkor érdekes felderítőmunka várhat a hivatásos kollégákra.
A szigszámok is kamuk, randomra generált cucc az egész - a sample legalábbis biztosan.
A Wordfence riportolta, hogy a kutatói kritikus sérülékenységet találtak a Fancy Product Designer modulban, amelyen keresztül jogosulatlan fájl feltötést lehet kezdeményezni.
A sérülékenységet kihasználó támadónak lehetősége van PHP kódot tartalmazó állományt feltölteni a várt PDF fájl helyett, így ez lehetőséget biztosít kártékony kód (például reverse shell) feltöltésére, távoli kódfuttatás megvalósítására és a teljes site kompromitálására.
A sérülékenység a Fancy Product Designer 4.6.9 verzióját érinti és sajnos bizonyos esetekben akkor is kihasználható, ha maga a modul deaktiválásra került, ezért a Wordfence az azonnali frissítést javasolja megoldásként.
A Fancy Product Designer plugint legalább 17 ezer Wordpress-alapú oldal használja, köztük sajnos hazai weboldalak is.
Mindenképpen erősen javasolt, hogy aki használ ilyen modult, az ellenőrizze a verziót és ha az érintett verziót használja, akkor mielőbb végezze el a javítást. Alighanem elindult a sérülékenységet automata eszközökkel kihasználó támadási kampány, nem kellene megvárni, amíg hozzánk is elér a hullám.
Részletek itt.
Nemrég jelent meg az általam egyébként rendkívül sokra tartott Charaf Hassan, a BME VIK dékánjának interjúja, amelyben azt mondta a dékán úr, hogy:
“Diploma nélkül nem informatikus az informatikus, legfeljebb kékgalléros asszisztens.”
Elsőre ezen igen felhúztam magam, aztán eszembe jutott, hogy bmeg, nem is vagyok informatikus egyébként se, merhogy büszke bölcsész lennék, vagy mi a franc!
Március végén jelentette be az egyik legnagyobb autóalkatrész-forgalmazóként ismert UNIX Autó, hogy ransomware támadás érte a rendszereit, és „Sajnos rendszereink nagyon mélyen sérültek, a pusztítás gyakorlatilag totális volt, de mivel a mentéseink rendelkezésre álltak, így újra tudtuk építeni a rendszert”. Most érdekes levél érkezett a UNIX Autó nevében, amelyet természetesen nem ők küldtek.
Nemrég továbbítottak nekem egy furcsa levelet.
A levél feladója a UNIX HR-nek mondta magát, a levél pedig egy válaszlevélnek tűnt, amelyhez egy ZIP fájlt csatoltak.
Ami miatt ez különösen érdekes, hogy a „Tisztelt” alatti szöveg egy olyan levél, amelyet korábban maga a címzett küldött a UNIX egyik közös használatú, nem nevesített postafiókjára - még 2019-ben.
Szóval az illető kapott egy választ s.mahmoud@aramandhagop.com alias UNIX HR-től a 2019-ben írt korábbi levelére (benne az eredeti levéllel), amelyhez egy kártékony kódot tartalmazó fájl volt csatolva.
Azt addig tudni lehetett, hogy durva ransomware támadásból kellett a UNIX-nak helyreállítania, de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy honnan került elő a korábban megírt levél, amely elvileg a UNIX egyik közös használatú postafiókjában volt, és hogyan válaszolhatott arra Mahmoud barátunk?
A malware egyébkén makrós Excel, a megnyitás után kéri a makrófuttatás engedélyezését.
Ha a makró elindul, akkor a cucc megpróbálja letölteni a payloadot, bár ez szerintem nem sikerül neki, mert elképzelhető, hogy a kért fájl már nem elérhető.
A 190.14.37.46 IP cím viszonylag jól ismert, láthatóan régebben is használták adathalászat és malware terítés céljára.
Sajnos a payloadot nemigen tudom letölteni, pedig jó lett volna látni, hogy mit is csinál pontosan.
Lehet, hogy irni kene s.mahmoud@aramandhagop.com-nak, hogy küldje meg a payloadot is?
A postafiók létező cím, mivel a levelező szolgáltatás rosszul van konfigurálva (Directory Harvest lehetőség), ezért a postafiók létezése ellenőrizhető.
Látható, hogy a tutinincs@aramandhagop.com címre a szerver a No such user here-el válaszol, Mahmoud címére pedig OK üzenettel jelzi, hogy létező postafiók.
Szóval tessék odafigyelni, ha a UNIX nevében hasonló levél érkezik, mert nem feltétlenül ők küldték.
Az mindenképpen keltsen gyanút, hogy egy magyar cég mi a fenének kér megerősítést angolul – ha már esetleg a levelezőben nem tűnik fel a levél furcsa feladója.
Nehezíti a dolgot, hogy a levél tárgya egy „RE: xxx” válasz egy korábbi levélre, így első ránézésre tök valid is lehetne (ha nem lenne angol blokk benne) – szóval sanszos, hogy néhányan már csak kíváncsiságból is megnyitják a ZIP-ben érkező Excel fájlt.
A teljes riport elérhető itt.
Aki esetleg játszani akar vele, az a malware mintát le tudja innen tölteni, de jelszóvédetté tettem, hogy csak az kezdjen el játszani vele, aki tudja is, hogy mit csinál. A jelszót juszt se mondom meg, aki szokott ilyennel játszani, az tudja, hogy mi szokott a default jelszó lenni a sample fájloknál :) Legyen ez a beugró :)
Ja, értem! Pár napja írtam a posztot, csak nem publikáltam, akkor még ez nem jött elő - ezek szerint akkor nem csak ransomware eseményről beszélhetünk.
