Ирански кибершпионаж (и възможен страничен трафик на APT).
Fortinet описва усилие за фишинг срещу йордански дипломатически цели, което очевидно е било извършвано от Иран. Примамката е познатото „моля, потвърдете получаването на този документ“, но полезният товар е по-сложен от обичайния криминален фишинг. Макросът на Excel във фиш куката може да е бил придружен от функции за анти-анализ. Самият злонамерен софтуер щеше да спи в продължение на шест до осем часа, а нападателите използваха DNS тунелиране за командване и контрол. Техните три командно-контролни сървъра също бяха използвани необичайно интелигентно: два от тях бяха „строго контролирани“ и бяха активирани само в определени моменти. Третият сървър очевидно е бил използван за погрешно насочване, за да се затрудни приписването. Fortinet смята, че кампанията е била управлявана от APT34 (известен също като Helix Kitten) управлявана от иранското правителство група за заплахи.
Друга иранска заплашителна група, APT35 (или Charming Kitten), според Hacker News, активно провежда атаки с ransomware. Клъстерът на активността се проследява от Secureworks като Cobalt Mirage. Съобщава се за две серии от атаки, Едната използва BitLocker и DiskCryptor „за финансова печалба;“ другият, въпреки че също използва рансъмуер опортюнистично, е насочен главно към получаване на достъп до и събиране на разузнавателна информация от цели за шпионаж.
Уязвимости на Roblox, подложени на активна експлоатация.
Avanan съобщава, че троянски файл, „скрит в легитимна скриптова машина, която се използва за код за измама“, засяга потребителите на популярната платформа за игри Roblox. „Инструментът Synapse X инсталира изпълним файл, който инсталира библиотечни файлове в системната папка на Windows, като дава на програмата потенциала да счупи приложения, да повреди или премахне данни или да изпрати информация обратно на хакера.“ Synapse X има легитимни употреби, но в този случай той служи като капкомер и един от файловете, които изпуска, е задна врата. Очевидната цел е да се използва Roblox като път към мрежи от интереси; това не е просто хак, предназначен да дразни геймърите.
ЦРУ получава CISO.
Рик Баич, CISO в AIG, се съгласи да се върне на държавна служба. Той ще поеме задължения като главен служител по информационна сигурност на Централното разузнавателно управление и директор на Службата за киберсигурност.
CISA издава съвети за ICS.
Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) вчера издаде необичайно голям брой съвети за системи за индустриален контрол (ICS):
Следващите раздели се отнасят пряко за кибер фазите на хибридната война на Русия срещу Украйна. Продължаващото отразяване на CyberWire за разгръщащата се криза в Украйна може да бъде намерено тук.
Военни престъпления във физическото пространство и киберпространството.
Пленен руски войник беше изправен пред съда от украинските власти за стрелба по цивилен в първите дни на войната. Deutsche Welle идентифицира подсъдимия като Вадим Шишимарин. Частта му бягаше от украинските сили източно от Киев. Неговият танк е повреден и Шишимарин е стрелял, спрял и откраднал цивилен автомобил. Докато се отдалечаваха, търсейки спасение, се казва, че Шишимарин е застрелял и убил шестдесет и две годишен мъж, за да му попречи да разкрие позицията им. Говори се, че Шишимарин е признал убийството, но все още не е внесъл вината си. „Бях наредено да стрелям“, цитира АП думите на Шишимарин. „Изстрелях един (заряд) в него. Той пада. И продължихме.” Не е известно кой му е наредил да стреля, нито как е получена заповедта.
Случайното убийство на цивилни е очевидно военно престъпление, а воденето на агресивна война е признато престъпление срещу мира. Какво ще кажете за кибератаките? При какви условия една кибероперация може да представлява военно престъпление?
Wired съобщава, че Центърът по правата на човека към Юридическия факултет на Калифорнийския университет в Бъркли официално е поискал от Прокуратурата на Международния наказателен съд (МНС) в Хага да обмисли преследването на групата Sandworm на ГРУ за военни престъпления. Тези престъпления обаче не са извършени по време на настоящата война. Предполагаемите престъпления бяха нападението през декември 2015 г. на електрическите компании в Западна Украйна и премахването през 2016 г. на части от мрежата около Киев. засягащи стотици хиляди цивилни.
Центърът за правата на човека се интересува от поставянето на киберпространството в обхвата на международното право и от осигуряването на признаването на киберпространството като пета област на война. Двете кибератаки на ГРУ са привлекателни случаи за подобни цели, защото са добре засвидетелствани и недвусмислено приписани. Те също имаха ясен кинетичен ефект: те нарушиха електроразпределението в части от Украйна. И накрая, и това е най-важното за законите на въоръжените конфликти, атаките бяха безразборни, не насочени срещу военна цел, а вместо това насочени срещу основно цивилно население.
Разширяването на международното право към киберпространството и възпиращият ефект, който това може да има върху други държавни участници, са целите на искането на Центъра за човешки права. Като се има предвид, че хакерите на Sandworm вече са обвинени съгласно вътрешното законодателство (включително законодателството на САЩ) и имат цена за главите си, що се отнася до отделните оператори, действието на ICC би се равнявало на отхвърляне на законните развалини, но Центърът за правата на човека се стреми да установи принцип.
