Pro-iranska hackare attackerar websida för israeliskt oljeraffinaderi
Amerikanska militären drabbas av dubbla cyberattacker
Kinesisk hackergrupp misstänk vid attack mot östeuropeiska industriföretag
Fem italienska banker mål från ryska hackare
Websidan till Israels största oljeraffinaderi, vilken hanteras av BAZAN gruppen, lämnades oåtkomlig efter en attack från en iransk hacktivistgrupp vid namn Cyber Avengers. Webbsidan var otillgänglig under flertalet dagar då anslutningsförsök antingen blev nekade eller att svarstiden tog slut.
Trots att operationell teknologi verkat opåverkad kunde Cyber Avengers, som tagit på sig ansvaret, oroväckande nog läcka skärmbilder av BAZANs SCADA system som kontrollerar den tekniska utrustningen. Detta inkluderar kod och diagram för programmerbara logiska styrenheter (PLCs).
Som respons på det läckta materialet gick en talesman från BAZAN gruppen snabbt ut och avfärdade detta som ”helt och håller fabricerat”. Företaget har uttalat sig att dem aktivt undersöker incidenten och väljer att inte delge ytligare detaljer vid detta tillfälle.
Identifierat som en pro-iransk grupp, Cyber Avengers har annonserat att dem utnyttjade en svaghet i brandväggen för att göra intrång i BAZANs nätverk. Ett hotfullt meddelande följde på telegram vilket sa, ”Sen 2020 har vi angripit er mycket, men det värsta har inte hänt än”, vilket tyder på att flera attacker mot israeliska mål är planerade.
Den amerikanska staten konfronterar två seriösa cybersäkerhetsincidenter.
Kinesiska spioner misstänks ha planterat skadlig programvara i nödvändiga amerikanska IT system vilket potentiellt kan påverka vattenförsörjning, elnät och militär kommunikation. Den skadliga programvaran, möjligen kopplad till den Peking-backade Volt Typhoon gruppen, beskrivs som ”en tickande tidsbomb” som kan störa amerikanska system, en utveckling som följer tidigare rapporter om att gruppen siktar in sig på militär infrastruktur.
Den andra incidenten är att en US Air Force ingenjör är anklagad för att ha stulit 90,000 dollar värt av utrustning och äventyrat säkerhetsorienterad kommunikation från 17 militärfastigheter och möjligen FBI. En federal räd omhändertog USB:s med känslig information och administrativa lösenord.
Båda incidenterna understryker växande oro över säkerhetsrisker gällande nationens cybersäkerhetinfrastruktur och de pågående hoten både från statssponsrade och interna aktörer.
Incidenten med Air Force ingenjören understryker det hot från insidan är något alla organisationer måste möta, inte enbart militära eller statliga entiteter. Individer med privilegierad tillgång i känsliga system kan utnyttja detta till att stjäla information eller sabotera funktion. Läs mer om interna hot HÄR.
A statsbackad aktör med kopplingar till Kina misstänks ha orkestrerat en serie cyberattacker mot industriföretag i östra Europa förra året. Målet var att extrahera data från luftgapade system vilka är isolerade från osäkrade nätverk.
Cybersäkerhetsforskare kan med relativt hög säkerhet fastställa att intrången kan attribueras till hackergruppen APT31. Andra namn för denna grupp inkluderar Bronze Vinewood, Judgement Panda och Violet Typhoon (tidigare Zirconium). Anledningen till att dem antas ligga bakom är likheter med tidigare observerade taktiker.
Attackerna involverar användningen av över 15 unika implantat och deras varianter vilka kategoriseras i tre grupper efter dess funktion: etablering av vidhållande fjärråtkomst, samling av känslig information och överföring av data till infrastruktur kontrollerad av hackarna.
Forskarna beskriver en implantattyp som en sofistikerat utformad skadlig programvara designad för att profilera flyttbara enheter och infektera dessa med en mask vilken syftar på att exfiltrera data från det isolerade nätverken hos industriföretag i östra Europa. Ett annat implantat användes för att stjäla data från lokala datorer och skicka det till Dropbox med efterföljande implantat.
Tidigare denna månad upptäckte säkerhetsexperter attacker mot sydkoreanska företag där målet var att infektera maskiner med en bakdörr kallad Rekoobe som troligen iscensattes av samma motståndare.
Dessa incidenter markerar det pågående och utvecklande hotet från sofistikerade statsbackade aktörer med förmåga att komprimera både isolerade och kopplade system, vilket hotar industriell- och ekonomisk säkerhet på en global skala.
Italienska nationella myndigheten för cybersäkerhet (ACN) har rapporterat en serie distributed denial of service (DDoS) attacker där målen varit fem stora italienska banker.
Attackerna attribueras till den pro-ryska hackergruppen NoName057(16) och enligt gruppens krypterade telegramkanal började runt 05:00 ET på tisdagen. ACN reagerade hastigt och mitigerade påverkan vilket gjorde attacken blev kortlivad och påverkade inte mobil appfunktionalitet.
De påverkade bankerna omfattar Intesa Sanpaolo, Monte dei Paschi di Siena, BPER Banca, FinecoBank, och Banca Popolare di Sondrio. DDoS attacken kopplade temporärt ned bankerna hemsidor vilket begränsade kundanvändning. Två andra banker nämndes också av hackarna, Che Banca och Fideuram.
ACN säger att dem tror att attackerna av pro-ryska hackare är kopplade till Italiens ställning till konflikten i Ukraina, där andra nyliga mål omfattat kritisk infrastruktur i flera NATO medlemsländer och europeiska hamnar. NoNames aktivitet har eskalerat sen den ryska invasionen av Ukraina, och dem har även erbjudit cryptovaluta för att rekrytera frivilliga hackare.
If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation.
Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Join us in Dublin or London for the Security First 2022 conference. We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.