.
Infosec em resumo Em um caso surpreendentemente semelhante às acusações recentemente reveladas contra o ex-presidente dos Estados Unidos, Donald Trump, uma ex-analista do FBI foi presa por levar para casa material confidencial confidencial.
Assim como Trump, Kendra Kingsbury foi acusada de acordo com a Lei de Espionagem. Em caso de Kingsburyforam duas acusações de retenção ilegal de documentos relacionados à defesa nacional, que a levaram a uma sentença de 46 meses de prisão e três anos de liberdade supervisionada.
Kingsbury se declarou culpada das acusações, que alegavam que ela levou documentos para casa ao longo de seus 12 anos de trabalho no FBI, onde possuía uma autorização de segurança Top Secret/SCI.
O Departamento de Justiça disse que Kingsbury removeu um total de 386 documentos confidenciais de sua casa, que incluíam informações confidenciais de segurança nacional que, segundo o DoJ, poderiam “revelar alguns dos métodos mais importantes e secretos do governo para coletar informações essenciais de segurança nacional” de maneira errada. mãos.
Kingsbury armazenou documentos em várias formas de mídia eletrônica pertencentes a uma série de atividades de inteligência – incluindo contraterrorismo e defesa contra ameaças cibernéticas, disse o DoJ.
Kingsbury também reteve informações relacionadas à Al Qaeda na África e terroristas individuais associados a ela, bem como “lacunas de inteligência em relação a serviços de inteligência estrangeiros hostis e organizações terroristas e as capacidades técnicas do FBI contra alvos de contra-espionagem e contraterrorismo”, de acordo com o DoJ.
Quanto ao motivo pelo qual ela fez isso, o DoJ disse que sua investigação apenas revelou “mais perguntas e preocupações do que respostas”.
As autoridades encontraram uma série do que descreveram como “ligações suspeitas” para números de telefone associados a assuntos de funcionários antiterroristas – alguns dos quais até ligaram de volta para Kingsbury. O DoJ disse que não conseguiu descobrir por que essas ligações foram feitas e que Kingsbury se recusou a compartilhar quaisquer detalhes.
Quanto a o homem da Flóridaele é esperado no tribunal para contestar as acusações, que ele nega, em meados de agosto.
Vulnerabilidades críticas: edição do roteador ASUS
Há muitas vulnerabilidades críticas e patches associados para apontar esta semana. Mas o destaque fica por conta da ASUS, que lançou um número considerável de atualizações de firmware para 19 de seus roteadores. Entre os problemas corrigidos estavam nove CVEs, diversos crítico – incluindo um que é cinco anos de idade.
Também abordado nesta semana:
- VMware lançado atualizações para vCenter Server e Cloud Foundation que corrige um quinteto de CVEs com pontuações de gravidade tão altas quanto um CVSS 8.1 que pode causar corrupção de memória no vCenter Server.
- A Fortinet lançou um patch para CVE-2023-33299CVSS 9.6, que aborda um bug de desserialização de dados não confiáveis no FortiNAC que pode levar à execução de código ou comando não autorizado.
A CISA identificou duas novas vulnerabilidades críticas do ICS:
- CVS 9.8 – Múltiplos CVEs: a ferramenta de monitoramento de roteador da Advantech, R-SeeNet, contém credenciais codificadas e permite que usuários de baixo privilégio acessem e carreguem conteúdo de arquivos locais, ambos os quais podem dar acesso a um usuário não autorizado.
- CVS 9.8 – Múltiplos CVEs: o software controlador de tráfego EOS da Econolote usa um hash fraco e não requer senha para acesso somente leitura a arquivos confidenciais. Se explorado, isso pode ser usado para assumir o controle dos semáforos.
A CISA também detectou três vulnerabilidades críticas sendo exploradas na natureza esta semana:
- CVS 9.8 – CVE-2023-20877: o Aria Operations for Networks da VMware contém uma vulnerabilidade de injeção de comando.
- CVS 9.8 – CVE-2021-44026: O serviço de webmail Roundcube, especificamente as versões anteriores a 1.3.17 e v.1.4.x anteriores a 1.4.12, são propensas a injeção de SQL via search e search_params.
- CVS 9.8 – CVE-2020-12641: Na segunda menção da semana do Roundcube, seu arquivo rcube_image.php em versões anteriores a 1.4.4 permite que invasores executem código arbitrário explorando as configurações de metacaracteres do shell.
Dole admite que criminosos de ransomware pegaram um pedacinho de PII de funcionários
Após sofrer um “incidente de cibersegurança” que identificado como ransomware em fevereiro, a empacotadora de frutas Dole está enviando cartas aos funcionários para informá-los de que algumas coisas confidenciais foram roubadas.
De acordo com Informação Dole forneceu ao procurador-geral do Maine, um total de 3.885 funcionários dos EUA tiveram dados – incluindo nomes, informações de emprego, SSN, endereço, número de telefone, informações de passaporte e outros detalhes confidenciais – roubados no assalto de fevereiro.
A Dole observou que as informações roubadas variam de acordo com o indivíduo e que não acredita que os dados “estevem ou estarão sujeitos a qualquer uso fraudulento”, que em linguagem corporal equivale a “não se preocupe – pagamos o resgate e confiamos totalmente nesses hackers em sua palavra.”
A Dole não disse se pagou o resgate ou quanto os criminosos não identificados exigiram, mas disse em seu Demonstrativo financeiro do primeiro trimestre de 2023 [PDF] que os “custos diretos relacionados ao incidente foram de $ 10,5 milhões, dos quais $ 4,8 milhões relacionados a operações contínuas”.
Exército dos EUA diz que mistério não solicitado do smartwatch está em andamento
Nem é preciso dizer, mas se você receber um dispositivo eletrônico não solicitado pelo correio, não o ligue. Isso vale duplamente para os membros das Forças Armadas, que recentemente receberam smartwatches misteriosos pelo correio, disse a Divisão de Investigação Criminal do Exército dos EUA (CID) esta semana.
“Esses smartwatches, quando usados, se conectam automaticamente ao Wi-Fi e começam a se conectar a telefones celulares sem solicitação, obtendo acesso a uma infinidade de dados do usuário”, disse o CID avisou.
Os investigadores dizem que os relógios “podem” conter malware, mas é difícil ver o objetivo do esquema de outra forma – especialmente se o resultado final for um dispositivo comprometido pertencente a alguém com autorização de segurança. O CID disse que os relógios misteriosos também podem fazer parte de um golpe de “escovação”, no qual os vendedores enviam mercadorias – geralmente lixo barato – para pessoas aleatórias, a fim de falsificar críticas positivas em sites de comércio eletrônico.
Independente disso – soldado, marinheiro, aviador, fuzileiro naval ou civil – não o ligue. Se você estiver nas forças armadas, o CID pede que você relate os dispositivos à contra-espionagem local ou ao gerente de segurança.
Tsunami de malware atinge servidores Linux SSH
Os malfeitores estão conduzindo uma campanha para infestar servidores SSH mal gerenciados com uma variedade de malware, de acordo com pesquisadores do AhnLab Security Emergency response Center (ASEC).
Os cibercriminosos atacam o SSH porque o protocolo permite login seguro em máquinas remotas – uma facilidade obviamente útil para criminosos. Segundo os pesquisadores da ASEC, a ferramenta costuma ser mal gerenciada e, portanto, atrai ataques. Em março de 2023, a ASEC detectou ataques ao SSH pelo grupo de ameaças ChinaZ que instalou vários bots DDoS. Em 2022, Fortinet detalhado outro ataque em servidores Linux SSH, na ocasião com um malware chamado “RapperBot” que forçava seu caminho em dispositivos IoT.
A campanha atual detectada pela ASEC viu criminosos instalarem o Tsunami – também conhecido como Kaiten – malware que permite o controle remoto total de um computador infectado. Esta campanha às vezes também envolve a instalação do ShellBot – um botnet DDoS desenvolvido usando a linguagem de programação Perl – o minerador de moedas XMRig Monero e malware de escalonamento de privilégios no Formato Executável e Linkável (ELF) para obter o controle do sistema visado, escreveram os pesquisadores da ASEC em a relatório.
O MIG Logcleaner v2.0 também está instalado e seu nome explica o porquê – o malware é usado para excluir ou modificar logs específicos em arquivos, tornando mais difícil para os analistas detectar e rastrear o ataque.
O código-fonte do Tsunami está disponível publicamente e os grupos de ameaças irão modificá-lo e adicionar recursos para atender às suas necessidades. Na campanha que a ASEC explorou, os invasores usaram uma variante chamada Ziggy.
Embora o SSH permita que os administradores façam login remotamente em um sistema, eles precisam de credenciais para fazer isso.
“Se credenciais de conta simples [like user IDs and passwords] são usados em um sistema Linux, um agente de ameaça pode entrar no sistema por meio de força bruta ou um ataque de dicionário, permitindo que executem comandos maliciosos”, escreveram os pesquisadores.
Isso inclui a varredura da Internet em busca de servidores Linux SSH expostos publicamente e o uso de credenciais de contas conhecidas para executar os ataques e fazer login, seguido pela execução de um comando para baixar o malware. Os invasores também foram vistos escrevendo novas chaves SSH públicas e privadas para garantir o acesso contínuo ao sistema infectado.
O Tsunami também garante a persistência no sistema comprometido, gravando-se no arquivo “/etc/rc.local” para que continue a ser executado mesmo após a reinicialização do sistema.
Uma vez dentro, o Tsunami pode não apenas executar ataques DDoS, mas também outras tarefas, incluindo coletar informações do sistema e baixar cargas adicionais, enquanto se comunica com seu servidor de comando e controle (C&C) por meio do protocolo IRC, um protocolo de bate-papo na Internet com décadas de existência. .
“Além disso, informações como o endereço C&C e a senha do canal são criptografadas e salvas. O Tsunami descriptografa e recupera as strings necessárias durante sua execução”, escreveu a ASEC. “Existem dois endereços de servidor C&C e o Tsunami seleciona aleatoriamente um deles para tentar uma conexão.”
Para proteger os sistemas contra esses ataques, os pesquisadores reiteraram a necessidade de senhas de contas difíceis de adivinhar que são alteradas periodicamente e de manter os patches do sistema atualizados. As empresas também devem empregar firewalls. ®
.
