Πρόσφατα, οι υπεύθυνοι της κυβερνοεπίθεσης ανακοίνωσαν τη μαζικότερη συνεργασία χάκερ που έχει ποτέ καταγραφεί. Σύμφωνα με το RIA Novosti, 16 ομάδες φιλορώσικών χάκερ δήλωσαν ότι πραγματοποίησαν επιτυχημένες επιθέσεις εναντίον περισσότερων από 100 στόχων, σε μία μαζική επιχείρηση εναντίον “συνενοχών ουκρανικών επιθέσεων” στη Ρωσία. Ανάμεσα στους στόχους βρισκόταν και η βάση δεδομένων του υπουργείου εσωτερικών ζητημάτων της Λετονίας, μία χώρα της Βαλτικής.
Οι χάκερ ανέφεραν πως απενεργοποίησαν 127 πηγές πληροφοριών σχετικά με την Πολωνία και άλλες βαλτικές χώρες. Επιπλέον, δημοσίευσαν δήλωση που αναφέρει “ο πόλεμος θα τελειώσει μόνο όταν καταστραφεί και ο τελευταίος Ναζί.”
Κατά τη διάρκεια της επίθεσης, παραπέμφθηκαν τα κανάλια ανταλλαγής επίσημων μηνυμάτων κρατικών σωμάτων, ενώ επιβλήθηκε διακοπή στο τραπεζικό σύστημα κινητών τηλεφώνων και διαταράχθηκε η λειτουργία παρκόμετρων.
Επιπλέον, το υπουργείο εσωτερικών της Λετονίας ήταν ένας από τους κύριους στόχους των χακερ. Η επίθεση οδήγησε στη διαρροή αλληλογραφίας, πληροφοριών για τους υπαλλήλους, έγγραφα και προγράμματα διακοπών στο διαδίκτυο, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση σε αυτά.
Αυτή είναι η πρώτη φορά στην ιστορία του Διαδικτύου που τόσες πολλές ομάδες χάκερ συνεργάστηκαν και εκτέλεσαν τέτοια μαζική επίθεση. Σύμφωνα με τις δηλώσεις των χάκερ, στόχος των επιθέσεών τους αποτέλεσαν χώρες που υποστήριξαν την Ουκρανία σε πρόσφατες επιθέσεις της εναντίον ρωσικών στόχων.
Το μήνυμά τους είναι σαφές: σκοπεύουν να συνεχίσουν τις επιθέσεις υποστηρίζοντας την ειδική στρατιωτική επιχείρηση της Ρωσίας εναντίον της Ουκρανίας και του ΝΑΤΟ.
Αυτός ο συντονισμένος κυβερνοεπιθετικός συντονισμός αναδεικνύει τη σοβαρότητα της κυβερνοασφάλειας και την ανάγκη για αυξημένα μέτρα προστασίας στον ψηφιακό χώρο.
Αυτές οι επιθέσεις αποκαλύπτουν την εξαιρετική σημασία της διεθνούς συνεργασίας στον τομέα της κυβερνοασφάλειας, καθώς οι κυβερνήσεις και οι οργανισμοί αντιμετωπίζουν αυξανόμενες απειλές από κυβερνοεπιθέσεις. Η ανταλλαγή πληροφοριών και η συνεργασία σε διεθνές επίπεδο είναι κρίσιμες για την αντιμετώπιση αυτών των απειλών.
Η κυβερνοεπίθεση αυτή αποτελεί επίσης υπενθύμιση για όλους μας να είμαστε επιφυλακτικοί και προστατευμένοι στον ψηφιακό μας κόσμο. Η ασφάλεια των πληροφοριακών συστημάτων και των δικτύων μας είναι αναγκαία για την προστασία των ευαίσθητων πληροφοριών μας και τη διασφάλιση της εθνικής ασφάλειας.
Η Pizza Hut της Αυστραλίας προειδοποιεί 193.000 πελάτες για παραβίαση δεδομένων
Η Pizza Hut της Αυστραλίας, στέλνει ειδοποιήσεις παραβίασης δεδομένων στους πελάτες της, προειδοποιώντας ότι μια κυβερνοεπίθεση επέτρεψε σε χάκερς να αποκτήσουν πρόσβαση στις προσωπικές τους πληροφορίες.
Η ειδοποίηση προειδοποιεί ότι ο χάκερ απέκτησε μη εξουσιοδοτημένη πρόσβαση σε συστήματα της Pizza Hut Australia που αποθηκεύουν ευαίσθητες πληροφορίες για πελάτες που έκαναν online παραγγελίες, καθώς και επιμέρους οικονομικά δεδομένα και κρυπτογραφημένους κωδικούς πρόσβασης λογαριασμών.
“Στις αρχές Σεπτεμβρίου αντιληφθήκαμε ένα περιστατικό κυβερνοασφάλειας, κατά το οποίο ένας μη εξουσιοδοτημένος τρίτος είχε πρόσβαση σε ορισμένα δεδομένα της εταιρείας”, αναφέρεται στην ειδοποίηση που εστάλη στους πελάτες.
“Επιβεβαιώσαμε ότι τα δεδομένα που επηρεάστηκαν αφορούν τα στοιχεία του αρχείου πελατών και τις συναλλαγές ηλεκτρονικών παραγγελιών που τηρούνται στη βάση δεδομένων πελατών της Pizza Hut Australia”.
Οι πληροφορίες που έχουν εκτεθεί στους εισβολείς του δικτύου περιλαμβάνουν τα εξής:
Ονοματεπώνυμο
Διεύθυνση αποστολής
Οδηγίες παράδοσης
Διεύθυνση ηλεκτρονικού ταχυδρομείου
Αριθμός τηλεφώνου
Δεδομένα πιστωτικών καρτών
Κρυπτογραφημένοι κωδικοί πρόσβασης για διαδικτυακούς λογαριασμούς
Η αλυσίδα εστιατορίων, η οποία λειτουργεί σε 260 τοποθεσίες στην Αυστραλία, αναφέρει ότι οι παραλήπτες των ειδοποιήσεών της “ενδέχεται να επιθυμούν να εξετάσουν” την ενημέρωση του κωδικού πρόσβασής τους παρά το γεγονός ότι είναι “μονόδρομος κρυπτογραφημένος” στη βάση δεδομένων.
Επιπλέον, η ειδοποίηση καλεί τους πελάτες να επαγρυπνούν για επιθέσεις phishing και ύποπτους συνδέσμους που τους αποστέλλονται μέσω μη ζητηθέντων επικοινωνιών.
Τελικά, η Pizza Hut αναφέρει ότι το περιστατικό επηρεάζει μόνο έναν μικρό αριθμό πελατών της και ότι το Γραφείο του Επιτρόπου Πληροφοριών της Αυστραλίας (OAIC) έχει ενημερωθεί πλήρως για την κατάσταση.
Ο ακριβής αριθμός των επηρεαζόμενων πελατών γνωστοποιήθηκε μέσω δήλωσης εκπροσώπου της Pizza Hut στον Guardian, ο οποίος ανέφερε ότι το περιστατικό επηρέασε 193.000 άτομα.
Προηγούμενα περιστατικά
Στις αρχές Σεπτεμβρίου 2023, το DataBreaches ανέφερε ότι ο διαβόητος μεσίτης δεδομένων “ShinyHunters” ισχυρίστηκε ότι έκλεψε τα δεδομένα 1 εκατομμυρίου πελατών της Pizza Hut Australia.
Ο φορέας απειλών ισχυρίστηκε ότι απέκτησε πρόσβαση μέσω ενός απροστάτευτου τελικού σημείου των Amazon Web Services (AWS) μεταξύ Ιουλίου και Αυγούστου 2023, αποκτώντας πρόσβαση σε μια βάση δεδομένων με 30 εκατομμύρια παραγγελίες.
Η Pizza Hut Australia δεν απάντησε ποτέ σε αυτούς τους ισχυρισμούς, οπότε δεν είναι σαφές αν τα δύο περιστατικά σχετίζονται με οποιονδήποτε τρόπο.
Νωρίτερα φέτος, τον Ιανουάριο του 2023, ο ιδιοκτήτης της Pizza Hut, η Yum! Brands, έγινε στόχος επίθεσης ransomware που ανάγκασε το κλείσιμο τριακοσίων τοποθεσιών στο Ηνωμένο Βασίλειο.
Τον Απρίλιο του 2023, η εταιρεία επιβεβαίωσε ότι οι απειλητές είχαν κλέψει πληροφορίες εργαζομένων από τα δίκτυά της, αν και δεν βρήκε στοιχεία ότι οι πελάτες επηρεάστηκαν από την παραβίαση δεδομένων.
Έκλεψαν κλειδιά SSH από ροή κακόβουλων πακέτων PyPI και npm
Μια σειρά κακόβουλων πακέτων npm και PyPi έχουν βρεθεί να κλέβουν ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγραμματιστές λογισμικού στις πλατφόρμες αυτές.
Η εκστρατεία ξεκίνησε στις 12 Σεπτεμβρίου 2023 και ανακαλύφθηκε για πρώτη φορά από τη Sonatype, οι αναλυτές της οποίας ανακάλυψαν 14 κακόβουλα πακέτα στο npm.
Η Phylum αναφέρει ότι μετά από μια σύντομη διακοπή λειτουργίας στις 16 και 17 Σεπτεμβρίου, η επίθεση συνεχίστηκε και επεκτάθηκε στο οικοσύστημα PyPI.
Από την έναρξη της εκστρατείας, οι επιτιθέμενοι έχουν ανεβάσει 45 πακέτα στο npm (40) και στο PyPI (5), με παραλλαγές στον κώδικα που υποδηλώνουν ταχεία εξέλιξη της επίθεσης.
Κακόβουλα πακέτα
Ο πλήρης κατάλογος των κακόβουλων πακέτων που διανεμήθηκαν στο πλαίσιο αυτής της εκστρατείας βρίσκεται στο κάτω μέρος της έκθεσης της Phylum.
Ωστόσο, αξίζει να σημειωθεί ότι τα παρακάτω πακέτα χρησιμοποίησαν typosquatting για να μοιάζουν με νόμιμα δημοφιλή πακέτα, γεγονός που μπορεί να ξεγελάσει τους προγραμματιστές ώστε να τα εγκαταστήσουν:
shineouts και @dynamic-form-components/shineout – μιμούνται τη δημοφιλή βιβλιοθήκη React “Shineout”
apm-web-vitals – θα μπορούσε να περάσει ως “APM” (application performance monitoring) για τη βιβλιοθήκη “web-vitals” της Google που μετρά την απόδοση του ιστού
eslint-plugin-shein-soc-raw και @spgy/eslint-plugin-spgy-fe – προσποιούνται ότι είναι πρόσθετα ESLint
ssc-concurrent-log-handler & sc-concurrent-log-handler – προσποιούνται ότι είναι νόμιμα βοηθητικά προγράμματα καταγραφής
Σύμφωνα με τη Phylum, τουλάχιστον επτά διαφορετικά κύματα επίθεσης και αρκετές φάσεις περιείχαν τροποποιήσεις κώδικα για την ενίσχυση της μυστικότητας και την προσθήκη πιο συγκεκριμένης στόχευσης.
Τα πρώτα κύματα επιθέσεων εμφανίστηκαν μεταξύ 12 και 15 Σεπτεμβρίου, με τους απειλητικούς φορείς να ανεβάζουν καθημερινά νέα σύνολα πακέτων, φτάνοντας συνολικά τα 33 πακέτα.
Τα μεταγενέστερα κύματα επιθέσεων σημειώθηκαν στις 18 Σεπτεμβρίου (τρία πακέτα), στις 20 Σεπτεμβρίου (πέντε πακέτα) και στις 24 Σεπτεμβρίου (4 πακέτα).
Στα αρχικά κύματα, τα πακέτα διέθεταν σκληρά κωδικοποιημένες ρουτίνες συλλογής και διαφυγής δεδομένων, που περιείχαν εσωτερικά τον κώδικα συλλογής δεδομένων σε μορφή απλού κειμένου, γεγονός που τα καθιστούσε ευάλωτα στον εντοπισμό.
Οι μεσαίες επαναλήψεις εισήγαγαν πιο σύνθετους μηχανισμούς, όπως η ανάκτηση και η εκτέλεση του bash script συλλογής δεδομένων από έναν εξωτερικό τομέα.
Επίσης, οι συγγραφείς πρόσθεσαν ένα άγκιστρο “προεγκατάστασης” για την αυτόματη εκτέλεση κακόβουλων JavaScript κατά την εγκατάσταση.
Τα πιο πρόσφατα πακέτα χρησιμοποιούσαν κωδικοποίηση base64 για να αποφύγουν την ανάλυση, η οποία αργότερα αναβαθμίστηκε σε διπλή κωδικοποίηση base64.
Σε γενικές γραμμές, οι επιτιθέμενοι συμμετείχαν σε μια συνεχή διαδικασία δοκιμής και βελτίωσης του κώδικα και μάλιστα παρέδωσαν πακέτα που εξειδικεύονταν σε ορισμένες πτυχές της συλλογής δεδομένων περισσότερο από άλλες.
Απειλή για κλοπή πληροφοριών
Τα δεδομένα που εκλάπησαν από τα πακέτα περιλαμβάνουν ευαίσθητες πληροφορίες μηχανών και χρηστών.
Τα στοιχεία μηχανής και χρήστη που συλλέγονται περιλαμβάνουν το όνομα κεντρικού υπολογιστή, το όνομα χρήστη, την τρέχουσα διαδρομή, την έκδοση του λειτουργικού συστήματος, τις εξωτερικές και εσωτερικές διευθύνσεις IP και την έκδοση Python για τα πακέτα PyPI.
Αυτές οι λεπτομέρειες και οι ρυθμίσεις του Kubernetes που είναι αποθηκευμένες στα αρχεία kubeconfig και τα ιδιωτικά κλειδιά SSH στο ~/.ssh/id_rsa γράφονται σε ένα αρχείο κειμένου (ConceptualTest.txt) και αποστέλλονται στους διακομιστές των επιτιθέμενων.
Οι κλεμμένες πληροφορίες μπορούν να χρησιμοποιηθούν για την αποκάλυψη των πραγματικών ταυτοτήτων των προγραμματιστών και να δώσουν στους επιτιθέμενους μη εξουσιοδοτημένη πρόσβαση σε συστήματα, διακομιστές ή υποδομές που είναι προσβάσιμες μέσω των κλεμμένων ιδιωτικών κλειδιών SSH.
Εάν οι κλεμμένες διαμορφώσεις του Kubernetes περιέχουν διαπιστευτήρια πρόσβασης σε συστάδες, οι επιτιθέμενοι θα μπορούσαν να τροποποιήσουν τις αναπτύξεις, να προσθέσουν κακόβουλα containers, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στη συστάδα, να μετακινηθούν πλευρικά ή να εξαπολύσουν επίθεση ransomware.
Οι χρήστες των πλατφορμών διανομής κώδικα, όπως το PyPI και το npm, συνιστάται να είναι προσεκτικοί με τα πακέτα που κατεβάζουν και ξεκινούν στα συστήματά τους, καθώς υπάρχει συνεχής εισροή κακόβουλου λογισμικού σε αυτά τα οικοσυστήματα.
Πως θα βάλετε backdoor σε μια ιστοσελίδα με τη χρήση του Weevely
Συχνά, θα έχετε τη δυνατότητα να ανεβάσετε ένα αρχείο σε ιστότοπο, όπως ένα αρχείο Word, ένα PDF ή μια εικόνα όπως ένα αρχείο .jpg ή .png.
Πιθανόν έχετε ανεβάσει εικόνες σε κοινωνικά δίκτυα όπως το Facebook ή το Twitter και ίσως έχετε ανεβάσει έγγραφα DOC ή PDF στον ιστότοπο της εταιρείας ή του σχολείου σας. Αυτές οι μεταφορτώσεις μπορεί να αποτελέσουν μια κρίσιμη αδυναμία σε αυτούς τους ιστότοπους, εάν μπορείτε να μεταφορτώσετε κακόβουλο λογισμικό που θα εκτελεστεί στον ιστότοπο και θα σας παράσχει μια πίσω πόρτα στον ιστότοπο και στον υποκείμενο διακομιστή.
Weevely είναι σχεδιασμένο για να σας παρέχει ένα PHP web shell που μπορεί να αναρτηθεί σε έναν ιστότοπο και να εκτελεστεί, παρέχοντάς σας μια πίσω πόρτα. Φυσικά, λειτουργεί μόνο με ιστότοπους που χρησιμοποιούν PHP, αλλά υπάρχει ένας πολύ μεγάλος αριθμός ιστότοπων που χρησιμοποιούν PHP.
Το Weevely είναι ενσωματωμένο στη διανομή Kali, αλλά αν χρησιμοποιείτε άλλο λειτουργικό σύστημα, μπορείτε να το αποκτήσετε από το GitHub χρησιμοποιώντας την εντολή git clone, όπως παρακάτω:
kali > git clone https://github.com/eppina/weevely3
Εάν θέλετε να χρησιμοποιήσετε το Weevely στο Kali, θα ανοίξετε ένα τερματικό και θα πληκτρολογήσετε την εντολή “weevely”.
Όπως μπορείτε να δείτε, το Weevely εμφανίζει ένα σφάλμα, αλλά παρέχει βασικές πληροφορίες για το Weevely. Για να λάβετε ακόμη περισσότερες πληροφορίες, εκτελέστε το Weevely με την επιλογή –help.
weevely --help
Με αυτήν την εντολή, θα λάβετε περισσότερες λεπτομέρειες σχετικά με τις διαθέσιμες επιλογές και τη χρήση του Weevely. Αυτό είναι χρήσιμο για να κατανοήσετε πώς να προσαρμόσετε τη χρήση του εργαλείου σύμφωνα με τις ανάγκες σας.
Όπως μπορείτε να δείτε από την οθόνη βοήθειας (help screen), το Weevely λειτουργεί σε τρεις καταστάσεις:
terminal
session
generate
Βήμα #2: Δημιουργία Backdoor
Στη συνέχεια, θα δημιουργήσουμε μια πίσω πόρτα (backdoor) με το Weevely. Για να το κάνουμε αυτό, θα χρησιμοποιήσουμε την ακόλουθη σύνταξη: weevely generate <password> <output.php>
Στην εντολή αυτή, αντικαταστήστε το <password> με τον κωδικό πρόσβασης που θέλετε να χρησιμοποιήσετε για την πίσω πόρτα και το <output.php> με το όνομα αρχείου που θα δημιουργηθεί για την πίσω πόρτα (π.χ., backdoor.php).
Μετά την εκτέλεση αυτής της εντολής, θα δημιουργηθεί ένα αρχείο backdoor.php που θα λειτουργεί ως πίσω πόρτα με τον καθορισμένο κωδικό πρόσβασης. Αυτό το αρχείο μπορείτε στη συνέχεια να ανεβάσετε σε έναν ιστότοπο για να χρησιμοποιήσετε την πίσω πόρτα που δημιουργήσατε.
Βήμα #3: Δοκιμή του backdoor μέσα απο το Damn Vulnerable Web Application (DVWA)
Για να δοκιμάσουμε το backdoor που δημιουργήσαμε, θα το κάνουμε μέσα απο το DVWA. Το DVWA είναι ενσωματωμένο στο Metasploitable, αλλά μπορείτε να το εγκαταστήσετε σχεδόν σε οποιοδήποτε λειτουργικό σύστημα.
Ανοίξτε έναν περιηγητή και μεταβείτε στο DVWA. Αν χρησιμοποιείτε το Metasploitable, πλοηγηθείτε στη διεύθυνση IP του συστήματός σας και επιλέξτε το DVWA. Όταν το κάνετε, θα εμφανιστεί ένα παράθυρο σύνδεσης όπως το παρακάτω.
Τα στοιχεία πρόσβασης για το DVWA είναι “admin” και “password”.
Στη συνέχεια, κάντε κλικ στην καρτέλα “Upload” στο αριστερό μέρος της οθόνης.
Θα σας κάνει ανακατεύθυνση σε μια σελίδα στην οποία μπορούμε να ανεβάσουμε το αρχείο μας.
Κάντε κλικ στο κουμπί “Browse” και επιλέξτε το backdoor που δημιουργήσαμε παραπάνω με το Weevely.
Και πατήστε στο upload
Όταν το κάνετε, θα εμφανίσει τη διαδρομή όπου έχει ανέβει το backdoor σας. Φυσικά, στον πραγματικό κόσμο, η εφαρμογή δεν θα σας πει πού έχει ανέβει το αρχείο. Θα πρέπει να κατανοήσετε την αρχιτεκτονική της ιστοσελίδας για να ξέρετε πού ανεβαίνουν τα αρχεία, αλλά το DVWA το καθιστά ευκολότερο για τον αρχάριο χάκερ.
Βήμα #4: Εκτέλεση του backdoor μας
Τώρα που έχουμε το αρχείο μας, χρειαζόμαστε να το εκτελέσουμε.
Αυτό το κάνουμε πληκτρολογώντας την εντολή weevely, στη συνέχεια την ακριβή διεύθυνση URL του backdoor, και τέλος τον κωδικό πρόσβασης. Στην περίπτωσή μας εδώ, θα ήταν:
kali > weevely http://192.168.1.109/dvwa/hackable/uploads/backdoor.php password
Βήμα #5: Χρήση του Weevely
Ας ξεκινήσουμε εισάγοντας την εντολή “help” για να δούμε τι μπορεί να κάνει το Weevely. Σημειώστε ότι οι εντολές του Weevely ξεκινούν πάντα με άνω τελεία (:).
:help
Ας πάρουμε μερικές πληροφορίες για τον server με την εντολή system_info
Αυτό ειναι μια γεύση απο την χρήση του Weevely.. μπορείτε να κάνετε πολλά περισσότερα…!!|