A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetéhez az elmúlt időszakban több megkeresés is érkezett a jól bevált gyakorlatokkal kapcsolatban. A kérdések sokszínűsége és a téma komplexitása miatt az NKI elkészítette a „Közigazgatási Kibervédelmi Eszköztár” című Fehér Könyvét (White Paper), melynek célja, hogy hogy segítséget nyújtson a felhasználóknak, az informatikai üzemeltetőknek és vezetőknek, annak érdekében, miként növelhetik a meglévő biztonsági szintet, csökkenthetik a kockázatoknak való kitettséget, illetve milyen elvárt magatartásformát javasolt követniük.
A "Fehér Könyv" letölthető innen:
[[https://support.kozinformatika.hu/attachments/download/43409/NKI_White_Paper.pdf]]
A „Fehér Könyv” összeállítása során az NKI incidenskezelési tevékenysége során feldolgozott magas, vagy kritikus kockázati besorolású incidensek vizsgálati eredményei kerültek felhasználásra. A legmagasabb kockázati besorolású incidensek körébe olyan célzott támadások szerepelnek, melyeknek a célpontjai a közigazgatási szervek, különböző minisztériumok, valamint azok háttérintézményei. Az NKI szakértői ezen incidenseket alapul véve határozták meg azoknak a fenyegetéseknek a körét, melyek szerepet kaptak a kiadásra kerülő Fehér Könyvben. Ezeket a fenyegetéseket egyenként megcélozva a szakértők javaslatokat, jól bevált gyakorlatokat gyűjtöttek, melyek – az NKI reményei szerint – segítséget nyújthatnak mind a felhasználók, mind az informatikai üzemeltetők és döntéshozók, illetve az Informatikai Biztonsági Felelősök számára, hogy az üzletileg fontos rendszerek, adatok és eszközök biztonsága az elvárt szinten tartható legyen. A „Fehér Könyvben” egyenként felsorakoztatásra kerülnek az NKI által összegyűjtött fenyegetések, majd az adott fenyegetéshez tartozó, különböző szintű biztonsági kontrollokra vonatkozó javaslatok.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet tájékoztatót ad ki elektronikus levél útján
terjedő zsaroló levelekről.
Az elmúlt egy év során több online szolgáltatás estében történt olyan adatszivárgás, amelynek következtében
a felhasználók azonosítói és a hozzá tartozó jelszavaik kompromittálódtak, és a kompromittálódott
adatbázisok nyíltan, bárki számára elérhetővé váltak. Intézetünk az elmúlt napok során számos olyan
bejelentést fogadott, amely kéretlen levél formájában terjedő, a levél címzettjeire vonatkozó kompromittáló
képekre hivatkozva a felhasználóktól pénzt követelő, zsaroló tevékenységről szólt.
A támadók, a nyíltan elérhető információk birtokában próbálnak nyomást gyakorolni az áldozatokra azzal a
hatásos bevezetővel, hogy az áldozatnak megküldik egy jelszavukat – egyes esetekben a telefonszámukat –,
ez által növelve a zsaroló levél hitelességét.
Intézetünk jelenlegi ismeretei szerint és korábbi tapasztalatai alapján, a kompromittáló képek és video
felvételeknek nincs valóságtartalma, ez csupán átverés, amely a felhasználók megtévesztésére fókuszál.
Intézetünk semmi esetre sem javasolja a zsaroló tevékenység során követelt díj kifizetését. Amennyiben Ön
is kapott ilyen típusú kéretlen levelet kérjük, kezelje kellő körültekintéssel.
Az esettel kapcsolatban javasoljuk, hogy:
1 változtassa meg jelszavait
2 javasolt a hosszú és összetett jelszó használata, amely tartalmaz kis- nagybetűt, számot, speciális karaktert
3 eltérő szolgáltatásokhoz javasolt eltérő jelszavak alkalmazása,
4 amennyiben van rá lehetőség engedélyezze a kétfaktoros azonosítást,
5 rendszeresen változtassa jelszavait.
E-mail címek lehetséges kompromittálódásának ellenőrzésére a „have i been pwned” weboldal nyújthat
segítséget (https://haveibeenpwned.com/).
A Nemzeti Kibervédelmi Intézet hazai színtéren is szerepet vállal a felhasználók informatikai biztonsági
tudatosításában. Ennek érdekében minden héten egy tájékoztató, figyelem felhívó Nemzetközi IT-biztonsági
sajtószemlével4 jelentkezik, valamint tudatosító anyagokat5 tesz közzé honlapján (https://itbiztonsag.govcert.hu/).
1 [[https://itbiztonsag.govcert.hu/files/dokumentumok/8/1_Mindennapi-jelszavaink.pdf]]
2 [[https://eszkoztar.govcert.hu/jelszo]]
3 [[https://itbiztonsag.govcert.hu/files/dokumentumok/8/1_Mindennapi-jelszavaink.pdf]]
4 [[https://itbiztonsag.govcert.hu/dokumentumok/sajtoszemle]]
5 [[https://itbiztonsag.govcert.hu/dokumentumok/kiadvanyok]]
A Nemzeti Kibervédelmi Intézet riasztást ad ki a Microsoft és az Adobe szoftvereit érintő kritikus
kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek
széleskörű elterjedtsége miatt.
A Microsoft kiadta a 2019. január havi biztonsági frissítéseit. Az újonnan elérhető frissítések több
Microsoft szoftverben javítanak kritikus biztonsági hibákat, amelyek jellemzően távoli kódfuttatást,
jogosultság-kiterjesztést, biztonsági előírás megkerülést, memória korrupciót,valamint jogosulatlan
információszerzést tesznek lehetővé.
Érintett szoftverek: Microsoft Edge, Internet Explorer, Microsoft .NET Framework, Microsoft Excel,
Microsoft Outlook, Microsoft Word, Microsoft PowerPoint, Windows DNS server, Adobe Acrobat és Reader.
A megoldás a Microsoft és az Adobe által kiadott biztonsági frissítések telepítése, amelyek elérhetőek
az automatikus frissítésen keresztül, valamint manuálisan is letölthetőek és telepíthetőek.
A Nemzeti Kibervédelmi Intézet a sérülékeny verziók haladéktalan frissítését javasolja.
További információ:
http://tech.cert-hungary.hu/vulnerabilities/CH-14533
https://portal.msrc.microsoft.com/en-us/security-guidance
https://helpx.adobe.com/security.html
A Nemzeti Kibervédelmi Intézet tájékoztatót ad ki Információszerzésre irányuló fokozott kibertevékenységgel kapcsolatban. 2019. január 2-án az amerikai Szövetségi Nyomozó Iroda (FBI) technikai riasztást tett közzé [1]. A riasztásban az FBI a kínai APT 10 néven ismertté vált kiberkémkedési csoport Egyesült Államokbeli és azon kívüli, kereskedelmi és kormányzati szereplőket célzó adatszerzési tevékenységével kapcsolatos információkat osztott meg.
A csoport APT10, Cloud Hopper, menuPass, Stone Panda, Red Apollo, CVNX és POTASSIUM néven is ismert. Célpontjaik között felhő szolgáltatók kereskedelmi- és kormányzati ügyfelei, illetve fegyveripari beszállítók is megtalálhatóak. A felhőszolgáltatást igénybevevők mellett az APT csoport többek között az alábbi területek szereplőit támadja:
autóipar
elektronikai ipar
fegyveripar
pénzügyi szolgáltatások
kormányzati intézmények
telekommunikációs szolgáltatások
Az APT10 csoport egyedi fejlesztésű eszközöket használ a támadás fázisaihoz, többek között:
REDLEAVES –távoli elérést biztosító trójai,
UPPERCUT/ANEL – spear phishing kampányokhoz használt trójai,
CHCHES – C2 szerverekkel kommunikáló RAT.
A saját eszközökön túl a csoport szabadon elérhető eszközöket is igénybe vesz (pl. QUASAR RAT).
Védekezés, megelőzés
A támadások során egyaránt kihasználnak már ismert és nem még nem publikált (zero-day) sérülékenységeket is, ezért a rendszerek folyamatos frissítése alapvető fontosságú a támadásokkal szembeni védekezésben.
Javasoljuk az alábbi sérülékenység leírások áttekintését (https://www.cvedetails.com/), az abban foglalt frissítések telepítését:
CVE-2018-8477
CVE-2018-8514
CVE-2018-8580
CVE-2018-8595
CVE-2018-8596
CVE-2018-8598
CVE-2018-8616
CVE-2018-8621
CVE-2018-8622
CVE-2018-8627
CVE-2018-8637
CVE-2018-8638
CVE-2018-8373
CVE-2018-8174
CVE-2017-8759
CVE-2017-1182
CVE-2017-0199
Az [1] hivatkozáson elérhető eredeti dokumentum tartalmazza a vonatkozó indikátorokat (IoC).
[1]https://www.waterisac.org/system/files/articles/%28U%29%20FBI%20FLASH%20-%20%20Chinese%20APT10%20intrusion%20activities%20target%20-%2020190102.pdf
A Kormányzati Eseménykezelő Központ tájékoztatót ad ki bombafenyegetési, zsarolási kampányról.
2018. december 13-án több száz amerikai és kanadai vállalkozásnak, közintézménynek és iskolának küldtek bombafenyegetést tartalmazó zsaroló email-t, mely szerint a címzett épületében bombát rejtettek el és $20.000 kifizetését követelték egy bitcoin számlára, különben felrobbantják a szerkezetet. A forrás IP címek visszakövetése során a nyomozók Moszkváig jutottak, azonban magasabb rangú tisztviselők szerint digitálisan meghamisíthatták azt. Különböző közösségi oldalakon a rendőrség felhívta a figyelmet a zsaroló levelekre, melyre így a lakosság gyorsan reagálhatott.
A fenyegetések miatt megelőzésként kiürítettek egy torontói metróállomást, egy helyi újság irodáját illetve több iskolát a 12 érintett nagyvárosban.
Néhány órával azt követően, hogy Észak-Amerikán végigsöpört a bombafenyegetést tartalmazó e-mail, helyi hírforrások szerint Új-Zélandon és Ausztráliában is észlelték a zsaroló kampányt. Az új-zélandi rendőrség azt javasolta az érintetteknek, hogy ne válaszoljanak a levélre, illetve ne vegyék fel a küldővel a kapcsolatot, semmiképp ne fizessen váltságdíjat, az e-mailt pedig őrizzék meg bizonyítékként a bűnüldöző szervek részére.
A közelmúltban egy brit tinédzsert hasonló félelemkeltés miatt három évre ítéltek: hamis bombafenyegetések küldése, különböző DDoS támadások végrehajtása, valamint, hogy leveleiben azt állította a légitársaságoknál, hogy egy repülőgépüket elrabolták vádak alapján.
A Nemzeti Kibervédelmi Intézet nemzetközi kapcsolatokon keresztül validálta a nyílt forrásban megjelent értesüléseket. Hasonlót Magyarországon nem tapasztaltunk, vélhetően annak köszönhetően, hogy ezidáig csak angol nyelvterültre ért el a fenyegetési hullám.
Hivatkozások:
https://www.reuters.com/article/us-usa-bomb-threats/bitcoin-bomb-threats-sweep-u-s-canadabut-lack-credibility-idUSKBN1OC2PV
https://www.nzherald.co.nz/northernadvocate/news/article.cfm?c_id=1503450&objectid=11595436
https://latesthackingnews.com/2018/12/13/british-teenager-gets-3-year-sentence-for-ddos-and-false-bomb-threats/
3 KÖZINFORMATIKA Támogatás:
Közigazgatási Kibervédelmi Eszköztár
