Íránská kyberšpionáž (a možný postranní shon APT).
Fortinet popisuje spearphishingové úsilí proti jordánským diplomatickým cílům, které evidentně vedl Írán. Návnadou je známé „potvrďte prosím přijetí tohoto dokumentu“, ale užitečné zatížení je sofistikovanější než obvyklé phishingové útoky. Makro Excel v phish hooku mohlo být doprovázeno funkcemi antianalýzy. Samotný malware by spal šest až osm hodin a útočníci používali tunelování DNS pro příkaz a kontrolu. Jejich tři servery pro velení a řízení byly také používány neobvykle inteligentně: dva z nich byly "pevně řízeny" a byly vychovány pouze v určitých časech. Třetí server byl zjevně použit k nesprávnému nasměrování, aby byla atribuce obtížnější. Fortinet si myslí, že kampaň řídila APT34 (také známá jako Helix Kitten), íránská vládní skupina pro hrozby.
Další íránská skupina hrozeb, APT35 (nebo Charming Kitten), hlásí Hacker News, aktivně provádí útoky ransomwaru. Seskupení aktivit je sledováno společností Secureworks jako Cobalt Mirage. Jsou hlášeny dvě série útoků, jeden používá BitLocker a DiskCryptor „pro finanční zisk“; druhý, i když také oportunisticky nasadil ransomware, je zaměřen především na získání přístupu k cílům špionáže a shromažďování informací od nich.
Zranitelnost Robloxu prochází aktivním využíváním.
Avanan uvádí, že trojský soubor „skrytý v legitimním skriptovacím enginu, který se používá pro cheat kódy“ ovlivňuje uživatele populární herní platformy Roblox. "Nástroj," Synapse X," nainstaluje spustitelný soubor, který instaluje soubory knihovny do systémové složky Windows, což dává programu potenciál prolomit aplikace, poškodit nebo odstranit data nebo odeslat informace zpět hackerovi." Synapse X má legitimní využití, ale v tomto případě slouží jako kapátko a jeden ze souborů, které zahazuje, jsou zadní vrátka. Zřejmým cílem je použít Roblox jako cestu do zájmových sítí; není to jen hack navržený tak, aby obtěžoval hráče.
CIA získává CISO.
Rick Baich, CISO v AIG, souhlasil s návratem do vládních služeb. Převezme povinnosti jako vrchní ředitel informační bezpečnosti Ústřední zpravodajské služby a ředitel Úřadu pro kybernetickou bezpečnost.
CISA vydává doporučení ICS.
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) včera vydala neobvykle velké množství doporučení pro průmyslový řídicí systém (ICS):
Následující části se přímo týkají kybernetických fází ruské hybridní války proti Ukrajině. Pokračující zpravodajství CyberWire o rozvíjející se krizi na Ukrajině naleznete zde.
Válečné zločiny ve fyzickém a kyberprostoru.
Ukrajinské úřady postavily zajatého ruského vojáka před soud za zastřelení civilisty v prvních dnech války. Deutsche Welle identifikuje obžalovaného jako Vadima Shishimarina. Jeho jednotka prchala z ukrajinských sil východně od Kyjeva. Jeho tank vyřazený, Shishimarin prý střílel, zastavil a ukradl civilní auto. Když odjížděli hledat bezpečí, Shishimarin údajně zastřelil dvaašedesátiletého muže, aby mu zabránil prozradit jejich polohu. Shishimarin údajně uznal zabití, ale ještě nepodal žalobu. "Dostal jsem rozkaz střílet," cituje agentura AP Shyshimarina. „Střelil jsem na něj jednu (kulu). On padá. A pokračovali jsme dál." Není známo, kdo mu nařídil střílet, ani jak byl tento rozkaz přijat.
Příležitostné vraždění civilistů je zjevně válečným zločinem a vedení agresivní války je uznávaným zločinem proti míru. A co kybernetické útoky? Za jakých podmínek může kybernetická operace představovat válečný zločin?
Wired uvádí, že Středisko pro lidská práva na Právnické fakultě UC Berkeley formálně požádalo Úřad prokurátora Mezinárodního trestního soudu (ICC) v Haagu, aby zvážil stíhání skupiny Sandworm GRU za válečné zločiny. Tyto zločiny však nebyly spáchány během současné války. Údajnými zločiny byly v prosinci 2015 zaměřené na elektrické společnosti na západní Ukrajině a v roce 2016 odstavení částí sítě v okolí Kyjeva. postihující stovky tisíc civilistů.
Centrum pro lidská práva má zájem o zařazení kyberprostoru do působnosti mezinárodního práva ao zajištění uznání kyberprostoru jako páté domény válčení. Dva kybernetické útoky GRU jsou pro tyto účely atraktivními případy, protože jsou dobře ověřené a jednoznačně přisuzované. Měly také jasný kinetický efekt: narušily distribuci energie v částech Ukrajiny. A konečně, a to je pro zákony ozbrojeného konfliktu nejdůležitější, útoky byly nerozlišující, nebyly namířeny proti vojenskému cíli, ale byly namířeny v podstatě proti civilnímu obyvatelstvu.
Cílem žádosti Centra pro lidská práva je rozšíření mezinárodního práva na kyberprostor a odstrašující účinek, který by to mohlo mít na další státní aktéry. Vzhledem k tomu, že hackeři Sandworm již byli obviněni podle vnitrostátního práva (včetně práva USA) a mají na hlavu postavené peníze, pokud jde o jednotlivé operátory, akce ICC by znamenala, že právní trosky odskočí, ale Centrum pro lidská práva se snaží zavést princip.
