Hackeri získali vyše 40 000 prihlasovacích údajov do vládnych systémov vo viac ako 30 krajinách

40 000 prihlasovacích údajov do vládnych portálov viac ako 30 krajín. To je výsledok vyšetrovania Medzinárodnej spoločnosti Group-IB, ktorá sa zaoberá prevenciou proti kybernetickým útokom.

Spoločnosť uverejnila informácie, že pomocou forenznej analýzy malvérových vzoriek zistila, že sa pomocou rôznych techník doposiaľ nešpecifikovaným útočníkom podarilo získať prihlasovacie údaje do vládnych systémov a portálov od vyše 40 000 používateľov v asi 30 krajinách. Tieto dáta sú v nezašifrovanej, čistej podobe.

Prihlasovacie údaje boli získané najmä z vládnych portálov Európskych krajín. Medzi zasiahnuté krajiny patrí Taliansko, Portugalsko, Rumunsko, Poľsko, Bulharsko, Švajčiarsko, Gruzínsko, Nórsko, mimo Európy Izrael a Saudská Arábia.

Technické detaily

Pre získanie dát útočníci použili phishingové e-maily a niekoľko typov malvéru, konkrétne Pony Formgrabber, AZORult a Qbot (Qakbot). Momentálne je však nejasné, či k infekcii prišlo na pracovných počítačoch vládnych zamestnancov alebo či boli infikované ich osobné počítače a uniknuté údaje pochádzajú od zamestnancov, ktorí sa do vládnych systémov prihlasovali mimo svojho pracoviska.

Phishing bol zameraný nielen na služobné, ale aj na osobné e-mailové kontá a malvér v nich bol distribuovaný ako legitímny súbor. Po otvorení tohto súboru bol škodlivý kód nainštalovaný do systému používateľa a začal prehľadávať systém a hľadal citlivé informácie.

Malvér Pony sa dokáže zamerať na viac ako 70 programov, pričom vyhľadáva prihlasovacie údaje, konfiguračné súbory, databázy a skryté úložiská. Ak zozbiera údaje, posiela ich na riadiaci server útočníka.

AZORult sa zameriava na získavanie hesiel z webových prehliadačov a taktiež na dáta súvisiace s kryptomenami. Tento trojan má široké využitie, od možností sťahovania ďalšieho škodlivého kódu do zariadenia obete alebo distribúcie ransomvéru.

Qbot, taktiež známy ako QakBot alebo PinkSlip je bankový trojan, ktorý útočníci používajú už skoro 10 rokov. Tento typ malvéru dokáže získavať údaje o navštívených webových stránkach, získavať cookies a webové certifikáty. Takisto obsahuje možnosť zaznamenávania klávesnice (keylogging) za účelom získavania prihlasovacích údajov.

Podľa spoločnosti, ktorá tieto zistenia odhalila, existuje vysoký predpoklad, že útočníci, ktorí údaje získali, tieto ďalej predávajú. Nie je vylúčené, že útočníci využijú tieto údaje na získavanie ďalších citlivých alebo utajených informácií vo vládnych systémoch.

Odporúčania

Národná jednotka SK-CERT v súvislosti s týmito informáciami odporúča používateľom nielen v rámci vládnych sietí vykonávať tieto preventívne opatrenia:

Pre používateľov:

  • ak je vám doručený podozrivý e-mail, neotvárajte jeho prílohy a neklikajte na odkazy
  • ak priamo v e-maily od vás niekto žiada vaše prihlasovacie údaje, v žiadnom prípade ich nikomu neposkytujte
  • oznámte správcovi vašej siete alebo poskytovateľovi internetu, že ste prijali takýto podozrivý e-mail. E-mail zatiaľ nemažte, nakoľko detaily z neho môžu pomôcť pri riešení kybernetického bezpečnostného incidentu
  • ak vaša organizácia využíva služby niektorej z CSIRT jednotiek, kontaktujte ju. Takisto môžete kontaktovať aj Národnú jednotku SK-CERT
  • používajte silné heslá. Na každý systém alebo službu, do ktorej pristupujete, používajte rôzne heslá. Ak máte hesiel veľa, môžete použiť bezpečné a šifrované aplikácie – správca hesiel
  • pravidelne aktualizujte svoj operačný systém a počítačové programy, ktoré používate. Aktualizácie sťahujte iba z overených zdrojov výrobcu
  • používajte dodatočné formy ochrany ako antivírové a antimalvérové programy, softvérové alebo fyzické firewally, mailovú ochranu pred spamom a podobne
  • pri riešení incidentu sa riaďte pokynmi správcu siete a jednotky CSIRT

Pre administrátorov:

  • zapnite čo najpodrobnejšie logovanie na poštových serveroch a pracovných staniciach
  • pri výskyte podozrivých e-mailov
    • blokujte e-mailové adresy a/alebo IP adresy odosielajúcich serverov na perimetri
    • vyhľadajte linky y e-mailu v logoch proxy servera alebo inom bezpečnostnom prvku, ktorý je schopný sledovať komunikáciu smerom do Internetu. Linky nenavštevujte
    • Preverte, ktorí používatelia otvorili podozrivý e-mail, klikli na linku, otvorili prílohu
  • ak používatelia e-mail otvorili, stiahli z neho prílohu, klikli na odkaz v ňom alebo odpovedali, aktivujte plány riešenia kybernetického bezpečnostného incidentu vo vašej organizácii
  • dodržujte všetky zásady patch managementu
  • robte pravidelné zálohy takým spôsobom, aby v prípade bezpečnostného incidentu nemohlo dôjsť k strate alebo zmene záloh

Pre manažment:

  • zaveďte v organizácii bezpečnostné politiky zamerané na ochranu informačných aktív a prevenciu kybernetických bezpečnostných incidentov
  • vykonávajte aktivity manažmentu rizík
  • nadviažte spoluprácu s CSIRT jednotkou

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy