Kübersõda ja häkkimine

[Fucs]

Rindelehe foorumist isand funker saatis hea lingi jagamiseks.

https://www.bleepingcomputer.com/news/s ... cry-clone/

* meil muideks vähemalt eilse seisuga oli endiselt suletud ka ehituse ABC

http://majandus24.postimees.ee/4160147/ ... k-oma-poed
http://majandus24.postimees.ee/4161615/ ... valt-kinni

[Fucs]

UKR meedia kajastused "Petja"-st

Вирус Petya был украден у Агентства нацбезопасности США и модернизирован перед применением в Украине

Компьютерный вирус, от которого в Украине пострадали частные и государственные пользователи сети интернет, является продуктом, украденным у Агентства национальной безопасности (АНБ) США и модернизированным злоумышленниками........

http://gordonua.com/news/worldnews/viru ... 95496.html

Hacks Raise Fear Over N.S.A.’s Hold on Cyberweapons
https://www.nytimes.com/2017/06/28/tech ... nu.cmle.ru

Twice in the past month, National Security Agency cyberweapons stolen from its arsenal have been turned against two very different partners of the United States — Britain and Ukraine.....

*

UKR keelne artikkel kanal24 lehel. Panen vene keeles siia.
Petya.A – це тільки початок, – експерт із кібербезпеки
18:01, 30 червня

Последствия двух последних кибератак - вирусами WannaCry и Petya.A - катастрофические. А все потому, что большинство компаний не понимает важности защиты своей сетевой инфраструктуры от атак.

Об этом сайту «24» сказал Андрей Назаренко, генеральный директор компании Group FS, которая исследует и предотвращает киберугрозами.

"Если не работать проактивно, то - сегодня" Петя ", завтра" Вова ". Есть несколько ключевых факторов для недопущения заражения. Речь идет, в первую очередь, о человеческом факторе - не стоит открывать ссылки и файлы от неизвестных пользователей и писем со спамом» , - считает эксперт.

Он отметил, что сотрудники, ответственные за информационную безопасность, все время должны владеть актуальной информацией и быть в курсе последних событий в индустрии, ведь один-два дня без новостей могут иметь катастрофические последствия.

"Мы с вами четко уже почувствовали масштабы и катастрофические последствия последних атак. Я могу уже разочаровать всех, кто думает, что все уже закончилось - на самом деле Petya - это только начало. Сейчас я объясню почему: в мае мир потряс WannaCry, что заразил более 500 000 компьютеров в 150 странах. Представьте сами масштабы заражения. в июне - Petya, который Ne Petya, масштабы инфицирования и причиненный ущерб от него только выясняется ", - отметил Андрей Назаренко.



По его словам, оба вируса используют 2 с 7 уязвимостей, которые стали известны миру после утечки секретных эксплойтов из Агентства национальной безопасности США.

"Так что нам следует ожидать новых атак, с новыми механизмами распространения и заражения, и к этому нужно готовиться уже сейчас, как мы и занимаемся", - подчеркнул директор Group FS.

Назаренко рассказал об одном из способов предотвратить такие атаки: "Наша система мониторинга собирает скомпрометированы IP-адреса, собирает их в так называемые" блэк-листы ", которые мы даем конечному пользователю". Имея такой список, системный администратор может с любым межсетевым экраном заблокировать доступ к указанным адрес из локальной сети своей компании, не позволит вирусу, связаться с управляющим сервером и зашифровать файлы или получить доступ к любой другой информации.

Напомним, 27 июня в Украине начал распространяться вирус-вымогатель Petya.A. Атаке подвергся и медиахолдинг ТРК "Люкс", в состав которого входит 24 Канал.

Впоследствии стало известно, что, кроме Украины и России, вирус распространяется по странам Европы, США и Азии.

http://24tv.ua/petyaa__tse_tilki_pochat ... ki_n836215

*

Symantec mõtles välja esmase kiire lahenduse vältimaks arvutite nakatumist
ІТ-шники знайшли простий і дієвий спосіб запобігти вірусу Petya
#Х-Files30.06.2017 22:00

Американская ИТ-компания Symantec знайша способ, который может спасти компьютер от вируса-вымогателя Petya. Секрет прост - сделать вид, что устройство уже заражены.

По словам специалистов, во время атаки на компьютер Petya ищет файл C: \ Windows \ perfc. Если он уже существует, то вирус завершает работу без заражения.
Что нужно сделать, чтобы не заразиться?

Специалисты компании советуют создать пустой файл с названием "perfc" в папке C: \ Windows и предоставить ему параметр "только для чтения", чтобы вирус не мог вносить в него изменения.

Файл можно создать в простом "Блокноте".

Это же решение обнародовал специалист по информационной безопасности израильской компании Cybereason Амит Серпер, сообщает Mashable.

"Учитывая то, что оригинальное имя dll это perfc.dll, создание файла в папке c: \ windows под названием perfc должно предотвратить работе вируса", - написал Серпер в Twitter.

Такой метод позволяет уберечь от вируса индивидуальные компьютеры, однако они остаются его носителями и могут заражать другие машины в своей сети.

http://socportal.info/2017/06/30/it_shn ... petya.html

[ruger]

Tõlgitud ülevaade viimasest küberintidendist(Petya lunarahaviirus), mis eriti suurelt tabas Ukrainas paiknevaid arvuteid. Kokkuvõte pärit Uudiseid Ukrainast FB lehelt.

Tehniline kirjeldus on saadaval https://issp.ua/issp_system_images/Pety ... P-Labs.pdf

PETYA- NIMELISE ARVUTIVIIRUSE SALADUS ON PALJASTATUD - SEE ON KÜBERRELV. ANALÜÜSIME KOODI
Kord räägiti mulle ühest arstist-onkoloogist, kes näitas oma tudengitele röntgenipilti vähkkasvajast ning hüüdis seejärel vaimustusest läkastades: "Te vaid vaadake, kuivõrd täiuslik kasvaja!"
Just sellised tunded valdavad mind, kui vaatan viiruse Petya A koodi, mis loetud päevad tagasi ründas algul Ukrainat ning hiljem kogu maailma infosüsteeme. Selle koodi tagasikruttimist ehk Reverse Engineering'ut teostasid firma ISSP ( Information Systems Security Partners) töötajad. Infoturbe spetsialistid võivad tolle koodiga tutvuda allpool lingil. Aga kõigi ülejäänute jaoks teen lühikokkuvõtte sellest, mida suudab teie arvutis teha Petya A.
Ilmselt avaldab paljudele muljet tema võimekus, mis avaldub kahes punktis:
1) selgitada välja, kas arvutisse on installitud Kaspersky, Nortoni või Symanteci viirusekaitse
2) lülitada see viirusekaitse välja
Aga küberturbe sfääris töötavaile professionaalidele see kindlasti erilist muljet ei avalda: nende jaoks pole ammu saladus, et kõiki tõsiseltvõetavaid kahjurrakendusi testitakse viirusetõrjele vastupidavuse suhtes. Seni, kuni immuunsus on saavutatud. Just seetõttu suudavad klassikalised viirusetõrjeprogrammid arvutit kaitsta ainult vana ja primitiivse pahavara vastu.
Spetsialiste üllatavad aga märksa enam Petya A muud võimekused.
Kuid enne nende juurde minekut täpsustan - nagu ma ka ründe esimesel päeval prognoosisin, nakatunud arvutite lahtišifreerimine ei õnnestu. Viirus kasutab assümmeetrilist krüptograafiat ehk siis iga nakatunud arvuti jaoks on oma unikaalne ehk private key. Need, kes krüptograafiast midagi jagavad, taipavad, mida see tähendab. Kõigile teistele ütlen, et Petya poolt šifreeritud arvuteid POLE võimalik lahti muukida. Võib olla ehk kunagi tulevikus - siis, kui kvantarvutid on reaalsuseks muutunud. Aga seni tuleb andmete haihtumisega leppida.
Niisiis, mis juhtub, kui Petya satub Sinu arvutisse?
Olles identifitseerinud ning välja lülitanud viirusekaitse, šifreerib Petya arvuti kõvakettal olevad andmed (failid laienditega ( .3ds .7z .accdb .ai. asp. aspx avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc), kustutab MBR (laadimisala) ning puhastab logi, et teha maksimaalselt keeruliseks arusaamine sellest, kuidas ta arvutisse üldse pääses. Ja alles siis, peale taaskäivitamist, toob kuvarile pildi nõudmisega lahtišifreerimise eest lunaraha ülekandmiseks.
Aga see pole veel kaugeltki kõik. Sattudes arvutisse, käivitab viirus utiliidi Mimikatz, mille abil õngitseb välja masinaga seotud teiste kohtvõrgu adressaatide andmed ning seejärel nakatab ka need. Nagu ettekande autorid arvavad, jättes nagu möödaminnes nakatatud arvutitesse backdoor'id ehk tagauksed (sissepääsud tulevasteks rünneteks).
Viiruse koodiga võite tutvuda aruande lehel. Kuid kõige huvitavam koorub välja siiski vast kokkuvõttest:
Ettekande autorid on kindlad, et Petya praegune modifikatsioon ei ole midagi muud, kui KÜBERRELV.
Ja sellel küberrelval on mitu peamist ülesannet.
1) Varjata eelnenud rünnete tagajärgi APT (Advanced Persistant Threat) tüübi järgi — tänaseni kõige võimsaimat, keerulisimat ning ka kõige ohtlikumat kahjurrakendust. Selle kohta kirjutan kunagi eraldi ettekande. Mis võib tähendada, et rünnatud arvutid olid ammu enne praegust küberrünnakut mingi pahavaraga nakatunud. Kuid mida too nimelt arvutis tegi ja missugust kahju põhjustas, seda ei saa keegi enam kunagi teada. Muuseas, kõikidel nendel organisatsioonidel ja ettevõttetel, kes ründe tagajärjel kannatada said, poleks paha endil piinliku hoolega kõigi oma masinate kõvakettad üle vaadata.
2) Kübervõimekuse demonstratsioon ja massiivse koordineeritud kübersissetungi korraldamisega seotud treening
3) Uue küberrelva ning küberturbe süsteemide toimimise tõhususe katsetused ning kontroll, eriti ründe alla sattunud süsteemide reageerimiskiiruse ning nende taastumisvõime testimine
4) Järgmisteks rünneteks või uue massiivse koordineeritud kübersissetungi ettevalmistamine
5) Treening massiivse koordineeritud kübersissetungi sidumiseks kombineeritud hübriidsõja teiste elementidega
Lõppkokkuvõtteks - nüüd me teame, mida kujutab endast Petya A.
See pole lihtsalt krimkade tööriist.
See on küberrelv.
Mis tähendab, et vältimatult tuleb ka uus küberlöök.
Petya B.
Tunduvalt tõsisem, kui eelmine.
Ja kogu meie käsutuses olev aeg tuleks ära kasutada uue ründe tõrjumise ettevalmistamiseks. Et see minimaalsete kaotustega tagasi lüüa.
Sergei NESTERENКО
ukraina küberspetsialist

Eesti keelde tõlkinud Heino Vimberg

https://www.facebook.com/uudisedukraina ... 9048206818

[Puurija]

Ukraina julgeolekuteenistus SBU: ,,Saadavalolevad andmed, sealhulgas koostöös rahvusvaheliste viirusetõrje ettevõtetega saadud andmed, annavad meile põhjuse uskuda, et ründe häkkimisgruppideks olid samad grupid, kes ründasid 2016. aasta detsembris TeleBots ja BlackEnergy abil Ukraina raha-, transpordi- ja elektrivõrku. See kinnitab Vene Föderatsiooni eriteenistuste seotust praeguse ründega."
http://www.reuters.com/article/us-cyber ... SKBN19M39P

Küberrünnakuga nakatunud Ощадбанкi makseterminal Kiievis 27. juunil.

download.jpeg (29.76 KiB) Vaadatud 5031 korda

Ukraina sõjaväelise operatsiooni pressikeskuse esindaja Anton Mõronovõtš: ,,Vene-meelsete ebaseaduslike relvarühmituste eilne katse hõivata Kamjanka lähistel niinimetatud hallis tsoonis uus positsioone kukkus läbi. Vaenlane kandis elavjõus ja tehnikas suuri kaotusi ja taandus esialgsetele positsioonidele."
https://www.facebook.com/anton.myronovy ... 3437446552

[Kriku]

Liigutasin üldise kübersõja teema ka siia. "Konfliktid ja sõjad täna" on kindlasti vale foorum olulise sõjapidamisviisi kui sellise arutamiseks.

LISATUD: ühendasin sellega 6 varasemat teemat erinevatest alamfoorumitest nii küberrünnakute kui ka NATO küberkaitsekeskuse kohta.

[ambur123]

Küberrrünnak Petya tuli ilmselt Venemaalt
http://majandus24.postimees.ee/4164425/ ... -Venemaalt

Küberturvalisuse analüütikute sõnul näitavad kümnetele ettevõtetele kahju teinud küberrünnaku Petya taktika, tehnika ja selle läbiviimine, et rünnakut orkestreeriti ühest riigist ning see oli ilmselt Venemaa.

Rünnak oli näiliselt juhuslik, hõlmates erinevaid ettevõtteid ja organisatsioone 60 riigist alates Taani meretranspordigigandi Maerski ja lõpetades USA farmaatsiakompanii Merckiga.
«See oli nagu mõrvar oleks maskeerinud ennast inimrööviga,» kirjeldas Financial Timesile maailma suurima küberkaitseettevõtte FireEye globaalse küberluureoperatsioonide juht John Watters. «Me oleme üsna veendunud, et see võis olla Venemaa,» lisas ta.
Wattersi sõnul baseerub nende arvamus tervel real tunnustel alates rünnaku infrastruktuuri tehnilistest andmetest, sihtmärkidest ja lõpetades pahavara koodidega.
«Sellel on palju tunnuseid, mis viitavad Venemaale,» toonitas Watters.
Samale asjaolule viitas majanduslehele ka Suurbritannia Rahvusliku küberkaitse kõrge ametnik, kelle sõnul ei olnud rünnaku eesmärk rahateenimine.
«Meie arvates on tegemist riigiga,» ütles anonüümsust palunud ametnik, kelle sõnul on peamine kahtlusalune Venemaa ehkki mööndes, et päris kindel see ei ole.
Ehkki rünnak näis juhuslik, mis viitas amatööridele, see nii ei olnud ja tõendid viitavad, et rünnaku sihtmärk oli Ukraina. Kaks kolmandikku rünnaku ohvritest oli Ukrainas ning selle levimine mujale toimus välisettevõtete tütarettevõtete kaudu.

[Kriku]

"Postimees" refereerib Kaspersky kohta avaldatut: http://tehnika.postimees.ee/4177041/sal ... ne-luurega

[Puurija]

Küberturbe firma FireEye: ,, Juuli esimesel nädalal leidis aset terve laine küberrünnakuid, mis kõik sihtisid erinevate hotellide võrke vähemalt seitsmes erinevas Euroopa riigis ja ühes Lähis-Ida riigis. Küberrünnakute taga on kuritegelik rühmitus, mis kannab sageli nime APT28 ja kes on otseselt või kaudselt seotud Vene sõjaväeluure GRU-ga. Rünnakute käigus üritati ligi pääseda hotellides peatuvate valitsusametnike arvutitele, kes olid ühendanud ennast kohalikku Wi-Fi võrku. Lõppeesmärgiks oli usutavasti läbi nakatunud arvutite pääseda nimetatud inimeste töökohtade võrkudesse, mis võisid olla hoopis mõnes teises riigis. Rünnakutes kasutati USA riikliku julgeolekuagentuuri NSA poolt loodud küberrelva EternalBlue, mille varastas neilt selle aasta alguses häkkerite rühmitus Shadow Brokers, kes omakorda lekitasid selle tumeveebi. Viimast kasutati ka WannaCry ja Petya levitamiseks. APT28 oli ka Hillary klintoni e-kirjade häkkimise taga 2016. aasta USA presidendivalimistel. 2016. aasta sügisel toimus erinevate hotellide vastu sarnane rünnakute laine ja tõenäoliselt oli ka selle taga sama grupp. Viimase käigus pääseti ka ühe USA valitsusametniku arvutisse, kes läks koju tagasi ja mille järel õnnestus häkkeritel saada sisse ühe valitsusasutuse võrku. Kurjategijatel ei õnnestunud hiljutises rünnakute laines õnneks siiski ühtegi arvutisse sisse saada."
https://www.fireeye.com/blog/threat-res ... ector.html

[kuido20]

12 moodust kuidas ära tunda (Twitteri) botte
https://medium.com/dfrlab/botspot-twelv ... dc7d9c110c

[Puurija]

Riigikogu EKRE fraktsiooni esimees Martin Helme: ,,Kui on olemas selge võimalus, et Vene eriteenistused kas jooksutavad terved valimised kokku paar päeva enne valimisi või massiliselt võltsivad tulemusi või muudavad seda tulemust, siis on täiesti vastutustundetu suruda edasi, et teeme seekord ikkagi e-valimised ära, äkki midagi ei juhtu."
http://www.err.ee/617050/ekre-kaalub-va ... -kaebamist

[asiootus]

Võtame nüüd selle 66-aastase tankist-invaliidi Ljubov Genrihsoni juhtumi, temal oli nt. kolm erinevat identiteeti, isikukoodi, ID-kaarti, tema sai e-valimistel anda nähtavasti kolm häält...

Kas me teame palju selliseid mitme häälega Ljubov Genrihsone meie seas veel ringi liigub ja kas see on nende suhtes aus, kes saavad valimistel anda ainult ühe hääle?

Kas me ei või aga ühel heal päeval nõndaviisi avastada, et oleme omariikluse sellisel moel rahvusvaheliselt delegitimiseerinud?

[Roamless]

Võtame nüüd selle 66-aastase tankist-invaliidi Ljubov Genrihsoni juhtumi......

Muig, antud case-i massiliseks minek tuleks väga kiiresti välja. Kui näiteks Vene häkkeritel oleks võimalik tekitatada elektrooniliselt ala 20 000 ID kaardi omanikku juurde, siis jääksid nad kiirelt vahele. Sellised juhtumid saavad reaalselt eksisteerida ikka nii ühikuliselt 10-tes, mitte sadades või tuhandetes ehk valimisite tulemusi niiviisi vaevalt eriti mõjutada saaks. Lihtsalt kahtluse korral taustakontroll paljastaks kiirelt sedasorti ID kaardi omanikud.

[kangelaspioneer]

Võtame nüüd selle 66-aastase tankist-invaliidi Ljubov Genrihsoni juhtumi, temal oli nt. kolm erinevat identiteeti, isikukoodi, ID-kaarti, tema sai e-valimistel anda nähtavasti kolm häält...

Kas me teame palju selliseid mitme häälega Ljubov Genrihsone meie seas veel ringi liigub ja kas see on nende suhtes aus, kes saavad valimistel anda ainult ühe hääle?

Kas me ei või aga ühel heal päeval nõndaviisi avastada, et oleme omariikluse sellisel moel rahvusvaheliselt delegitimiseerinud?

Mis takistaks sellel inimesel oma erinevate identiteetide alusel erinevates jaoskondades hääletamas käia?

[Gideonic]

Mis takistaks sellel inimesel oma erinevate identiteetide alusel erinevates jaoskondades hääletamas käia?

Mul tekkis täpselt sama mõte, aga näeh, ette jõudsid

[asiootus]

Muig, antud case-i massiliseks minek tuleks väga kiiresti välja. Kui näiteks Vene häkkeritel oleks võimalik tekitatada elektrooniliselt ala 20 000 ID kaardi omanikku juurde, siis jääksid nad kiirelt vahele. Sellised juhtumid saavad reaalselt eksisteerida ikka nii ühikuliselt 10-tes, mitte sadades või tuhandetes ehk valimisite tulemusi niiviisi vaevalt eriti mõjutada saaks. Lihtsalt kahtluse korral taustakontroll paljastaks kiirelt sedasorti ID kaardi omanikud.

Sa tood 20 000 kohe väga äärmuslikke näiteid aga vajalikul hetkel piisab isegi võibolla mõnesajast lisahäälest, et sobiv inimene panna paika sinna kuhu vaja ja samas proua Genrihson tegutses oma kolme identiteediga ikka päris pikki aastaid, ei tule need asjad nii lihtsalt välja midagi, see avastati siiski juhuslikult.

Mis takistaks sellel inimesel oma erinevate identiteetide alusel erinevates jaoskondades hääletamas käia?

Ei takistaks aga see oleks märgatavalt tülikam, hetkel võivad suvalised Genrihsonid oma hääled sobivale kandidaadile ära laduda suvalisest Venemaa kolkast, ilma, et peaks valimiskastide juurde roomama ja oma passi ette näitama aga kas see siis ongi meie e-valimiste eesmärk?