Базираната в САЩ изследователска група IPVM обвини китайската компания за оборудване за видеонаблюдение Hikvision, че е сключила договор за разработване на технология, която може да идентифицира мюсюлмански студенти, които постят по време на Рамазана, въз основа на записите им за хранене.

Hikvision използва страницата си в LinkedIn, за да потвърди, че е спечелила търга за проекта, но отрича, че нейните продукти могат да анализират видеопотоци, за да идентифицират етнически малцинства.

Компанията твърди, че „този проект никога не се е занимавал с разработването и внедряването на посочените функции“.

Hikvision добави, че „се обръща към нас, за да предостави разяснения по този въпрос“. Тя не съобщи до кого ще се обърне.

Но според правителственото съобщение китайският производител на оборудване за наблюдение е трябвало да изпълни изискванията на търга без изключение.

Договорът на стойност 9 млн. долара е изисквал да бъде изградена първата фаза на системата „Интелигентен кампус“ за университета Минцзян в провинция Фуцзян. Университетът отбеляза при ключването на договора през декември 2022 г.

В рамките на 600-страничния търг е описана системата, наречена „Асистиран анализ на студенти от етническите малцинства“, която е предназначена да подпомага „вземането на решения“ от администраторите и включва функция, която предупреждава администрацията за студенти, за които има съмнения, че постят, според IPVM.

Освен че знае дали даден ученик пости, проектът за интелигентен кампус на университета Миндзян проследява и предоставя на ръководството на училището обширна информация за ежедневните навици и живота на човека, според търга.

Това включва подробности за заемането на книги, дестинациите за почивка, използването на паспорти, дейностите на студентските клубове, информация за членовете на семейството и за това, къде се намира кандидатът за членство в Китайската комунистическа партия.

Въпреки че причините за спазването на постите могат да бъдат различни, репресиите на Пекин срещу мюсюлманите пораждат подозрения, че Китай иска да наблюдава уморените и гладни студенти, спазващи свещения месец Рамазан, по време на който вярващите се въздържат от ядене и пиене от изгрев до залез слънце.

Китай е достоверно обвиняван в извършване на нарушения на правата на човека срещу своите мюсюлмански малцинства, включително лишаване от свобода и принудителен труд.

На някои държавни служители е забранено да постят. Държавни служители, студенти и учители в провинция Синдзян, където мнозинството са мюсюлмани, също са получили подобни заповеди.

През юли миналата година Hikvision, както се твърди, е предоставила на китайското правителство технология, която може да идентифицира членове на мюсюлманското уйгурско население по друг договор на стойност 6 млн. долара.

Hikvision отрича доклада, като твърди, че функционалността за идентификация не е налична от 2018 г. насам. ®

Националният център за киберсигурност (NCSC) на Обединеното кралство отново изрази загриженост относно нарастващото ниво на заплаха за критичната национална инфраструктура (КНИ).

В своя годишен преглед, публикуван в полунощ в понеделник, той призна, че нивото на устойчивост на киберсигурността в най-критичните области на Обединеното кралство не е на необходимото ниво, но се опитва да „поддържа темпото“ и да продължи да работи за по-голяма сигурност, въпреки че на хоризонта се очертават все повече проблеми.

„Заплахата се развива. Въпреки че постигаме напредък в изграждането на устойчивост в най-критичните ни сектори, не сме там, където трябва да бъдем“, се посочва в доклада.

„Ще продължим да работим с партньорите от правителството, индустрията и регулаторните органи, за да ускорим тази работа и да сме в крак с променящата се заплаха, включително да проследяваме тяхната устойчивост в съответствие с целите, определени от заместник министър-председателя.“

Националните държави и свързаните с държавата участници – особено тези, които са свързани с Русия, Китай, Иран и Северна Корея – бяха посочени като основни заплахи за сигурността и интересите на Обединеното кралство. За нивото на киберзаплахите за британската КИС допринасят и продължаващият конфликт в Украйна, предизвикан от злощастното нахлуване на Русия, както и общото нарастване на агресивната кибердейност.

Последното предупреждение към операторите на CNI за това, което според NCSC е трайна и значителна заплаха, идва след година на сериозни атаки срещу критични услуги в Обединеното кралство.

През януари „Роял мейл интернешънъл“ беше обект на сериозна атака от групата „ЛокБит“, а това се случи, след като набегът срещу доставчика на софтуер Advanced принуди Националната здравна служба отново да се върне към перото и хартията.

Далеч от Обединеното кралство сериозни атаки срещу CNI бяха извършени и на други територии, като например с ирландската Health Executive Service и фиаското на американския Colonial Pipeline, да не говорим за безбройните разрушителни атаки в Украйна.

В понеделник датската агенция за киберсигурност за CNI също публикува подробен отчет за най-голямата досега атака, с която са се сблъскали организациите от нейния ресор. Двуседмичната атака срещу повече от 20 цели на CNI показа колко бързо могат да се използват уязвимостите, за да се предизвикат широкомащабни смущения.

Обединеното кралство и неговите партньори в областта на разузнаването също така се опитаха да привлекат вниманието към киберзаплахата, пред която са изправени съюзническите CNI през изминалата година, включително чрез сигнали, обхващащи руския зловреден софтуер Snake, позволяващ кибершпионаж, и китайските атаки срещу американски организации.

„Този вид латентна дейност, свързана със заплахи, не може да бъде пренебрегвана и демонстрира интереса, който държавно спонсорираните актьори имат не само да компрометират мрежите на CNI, но и да продължат да съществуват в тях“, се казва в годишния преглед на британците.

В контекста на Китай отново беше разгърната фразата „епохално определящ“ – същата, която правителството на Обединеното кралство използва от известно време насам, за да опише технологичните възможности на Средното кралство. Опасенията от разрастването на Китай като технологична свръхсила са реални в правителството, както беше изразено от главния изпълнителен директор на NCSC Линди Камерън на CYBERUK 2023 по-рано тази година.

„Китай не само се стреми към равнопоставеност със западните държави, но и към техническо превъзходство“, каза тя. „Той ще използва своята техническа сила като лост за постигане на доминираща роля в световните дела. Какво означава това за киберсигурността? Откровено казано, не можем да си позволим да не сме в крак с времето, в противен случай рискуваме Китай да се превърне в доминираща сила в киберпространството.

„Някои може да отхвърлят това като пресилено или плашещо, но това е риск, който ви призовавам да приемете сериозно. Това просто не е нещо, към което някой от нас може да бъде самодоволен.“

Освен самите национални държави NCSC посочи и възхода на свързаните с държавата участници – предпочитаната от нея формулировка за това, което други биха нарекли хактивисти – и как те изразяват готовност да причиняват разрушения, а не типичното повреждане на уебсайтове или краткотрайни DDoS атаки.

„Считаме, че е малко вероятно без външна помощ тези групи да имат възможност умишлено да предизвикат разрушително, а не разрушително въздействие в краткосрочен план“, заяви NCSC. Но тези групировки могат да станат по-ефективни с течение на времето, предупреждава центърът в своя доклад.

„Въпреки че в момента не вярваме, че някой има както намерение, така и възможност да наруши значително инфраструктурата в Обединеното кралство, знаем, че не можем да разчитаме, че тази ситуация ще се запази за неопределено време“, заяви той.

Преодоляване на дисбаланса на приоритетите

Тъй като операторите на CNI в Обединеното кралство са разпределени както в частния, така и в публичния сектор, някои от тях са подложени на търговски натиск в допълнение към този, който им оказват кибератаките.

Тези от частния сектор са подчинени на акционерите и понякога могат да вземат решения в областта на киберсигурността, които не съвпадат с целите на правителството или на NCSC. Възможно е да им се наложи да дадат приоритет на печалбите и стойността за акционерите, а не на разходите за устойчивост на киберсигурността.

Дори и в публичния сектор, където няма такъв търговски натиск, NCSC заяви, че предоставянето на критични услуги може да бъде за сметка на киберустойчивостта.

Това е нещо, което трябва да направим заедно

Поради естеството на заплахата за ДНК, NCSC и правителството на Обединеното кралство работят заедно, за да гарантират, че във всички сектори на ДНК е задължително да се осигури адекватно ниво на устойчивост. До 2025 г. организациите на CNI ще имат цели за устойчивост, които трябва да изпълнят, с идеята всеки оператор да може да се защити от най-разпространените заплахи.

Освен че призовава за по-добро базово ниво на сигурност в цялата индустрия, NCSC заяви, че планира да продължи да формира международни отношения, за да гарантира, че данните за атаки и поуките се споделят, за да се изгради устойчивост въз основа на опита.

„Работата за ограничаване на въздействието на кибератаките срещу CNI на Обединеното кралство, особено на тези, извършвани от национални държави, е предизвикателство, но е постижима. Това е нещо, което трябва да направим заедно.“

Майкрософт повтори значението на обмена на информация в своя доклад за цифровата отбрана тази година, като заяви, че „от първостепенно значение е да се обменят сигнали за сигурност и разузнавателни данни за заплахите между правителствените организации и организациите от критичната инфраструктура в рамките на една държава, за да се осигури устойчивост“.

Той също така похвали различните мерки, предприети от регионите през изминалата година за повишаване на стандартите за киберсигурност на ДНК.

Така например TSA на САЩ повиши изискванията за киберсигурност за организациите в транспортния сектор, а CISA на Чичо Сам направи първите си стъпки към разработването на своите правила за докладване на киберинциденти за Закона за критичната инфраструктура от 2022 г.

ЕС също така въведе NIS2, CER и DORA – и трите се очаква да повишат значително киберустойчивостта в областта на CNI – докато Япония и Мексико също въведоха нови политики за регулиране на киберсигурността на операторите на CNI. ®

Набор от алгоритми за криптиране, използвани за защита на радиокомуникациите при спешни случаи, ще стане обществено достояние след промяна на решението на Европейския институт за стандарти в далекосъобщенията (ETSI).

Алгоритмите се използват от TETRA – съкращение от Terrestrial Trunked Radio protocol – и се експлоатират от правителства, правоприлагащи, военни и спешни организации в Европа, Обединеното кралство и други страни.

В средата на 2023 г. базираната в Нидерландия фирма за сигурност Midnight Blue разкри пет уязвимости, засягащи всички радиомрежи TETRA, които биха могли да позволят на престъпниците да декриптират и прихващат комуникации в реално време.

Грешките – и секретността на самите алгоритми – предизвикаха възмущение в общността по сигурността, която посочи, че патентованите алгоритми за криптиране означават, че изследователите от трети страни не могат да тестват кода, което затруднява откриването на грешки и защитата на мрежите.

Техническият комитет, отговарящ за стандарта TETRA, се събра през октомври, за да обсъди публикуването на секретните алгоритми. След това те гласуваха единодушно за отворен код на всички криптографски алгоритми на въздушния интерфейс на TETRA.

„Срещата беше много добре посетена и на нея присъстваха представители на широката общност на TETRA, включително оператори, потребители, производители и правителства“, се казва в изявлението на председателя на комитета на ETSI Брайън Мургатройд. „След публикуването на алгоритмите сме отворени за академични изследвания за независими прегледи.“

Органът по стандартизация не е определил дата за предоставяне на достъп до алгоритмите, заяви пред The Register говорителят на ETSI Клер Бойер.

TETRA включва оригинален набор от криптографски алгоритми за въздушния интерфейс: TEA 1, 2, 3 и 4. Някои от тях бяха разкрити от изследователския екип Midnight Blue, който откри петте уязвимости и оповести техническите подробности за тях на годишните конференции по сигурността Black Hat и DEF CON през август 2023 г.

Изследователите заявиха, че са изчакали година и половина, за да разкрият подробностите – вместо стандартното шестмесечно изчакване – поради чувствителния характер на мрежите и сложността на корекциите на недостатъците, които бяха наречени TETRA:BURST.

През 2022 г. ETSI добави три нови и предполагаемо квантовоустойчиви алгоритъма към семейството на TETRA, наречени TEA 5, 6 и 7. Алгоритмите имат за цел да се справят със заплахата, че в тревожно близко бъдеще квантовите компютри ще могат да разбиват съществуващите схеми за криптиране, като по този начин данните и комуникациите, защитени с досегашното криптиране, ще станат несигурни.

Според ETSI целият този набор от нови и стари алгоритми ще влезе в публичното пространство, заедно с TAA1 (оригиналната спецификация за удостоверяване и управление на ключове) и TAA2 (новата спецификация за удостоверяване и управление на ключове). ®

Директорът на ФБР Кристофър Рей отправи поредната си страстна молба към американските законодатели да отменят предложеното изискване за издаване на заповед за т.нар. „запитвания за лица от САЩ“ за данни, събрани чрез любимия инструмент за шпиониране на федералните служби – раздел 702 от FISA.

Това спорно изменение на Закона за наблюдение на чуждестранното разузнаване ще изтече в края на декември, освен ако Конгресът не го утвърди отново. Тъй като крайният срок наближава и реформата се очертава, ФБР и други правоприлагащи агенции се опитват да убедят законодателите да дадат зелена светлина на раздел 702, без да внасят никакви промени в инструмента за шпиониране – и особено без изисквания за издаване на съдебни заповеди.

Раздел 702 позволява на федералните служби да шпионират без съдебна заповед комуникациите на чужденци извън Съединените щати в името на предотвратяването на престъпления и терористични атаки.

Тя обаче също така събира телефонни разговори, текстови съобщения и имейли на лица от САЩ – ако чужденецът общува с или за тези лица от САЩ – и цялата тази информация се съхранява в огромни бази данни, които ФБР, ЦРУ и АНС могат да претърсват без съдебна заповед.

Действително се случватмилиони злоупотреби с тези правомощия за шпионаж и понякога чужденците стават мишена за следене на американците или постоянно пребиваващите в страната, с които общуват.

Миналата седмица двупартийна група сенатори и представители представиха мащабен законопроект, наречен Закон за реформа на правителственото наблюдение, който ще поднови действието на раздел 702 за още четири години – но с нови ограничения на правителственото наблюдение, включително изисквания за издаване на заповеди за наблюдение на комуникациите на американски лица, данни за местоположението и превозните средства, история на сърфирането в интернет и записи от търсения.

Както обикновено, законопроектът допуска някои изключения от изискването за заповед. Те включват отбранителни цели в областта на киберсигурността или други извънредни ситуации – като например намиране и спасяване на заложници в чужбина – които представляват „непосредствена заплаха от смърт или сериозни телесни повреди“.

С други думи: ако правоприлагащите органи не разполагат с достатъчно време, за да попълнят документите за заповедта и да накарат съдията да я подпише предварително, работата си върви както обикновено.

Но това не е достатъчно за ФБР или Белия дом, които миналата седмица нарекоха изискването за заповед „червена линия“.

По време на днешното изслушване Рей удвои обичайната си реторика по член 702. В предварително подготвените си бележки той заяви пред представителите, че „загубата на тази жизненоважна разпоредба или нейното повторно утвърждаване в стеснен вид ще доведе до дълбоки рискове“.

По-конкретно, Рей е загрижен за изискването за заповед за запитване на американски лица.

„Изискването за издаване на заповед би било равносилно на фактическа забрана, тъй като заявките за запитвания или няма да отговарят на правния стандарт, за да получат одобрение от съда; или защото, когато стандартът може да бъде изпълнен, това ще стане само след изразходване на оскъдни ресурси, представяне и разглеждане на дълги правни документи и изтичане на значително време – с което в света на бързо развиващите се заплахи правителството често не разполага“, каза Рей.

Той се спря на по-ранните злоупотреби на ФБР с член 702 за шпиониране на протестиращи, спонсори на предизборни кампании и дори на избрани служители.

„За да бъда сигурен, никой не споделя по-дълбоко от мен загрижеността на членовете на ЕП относно предишни нарушения на ФБР, свързани с FISA, включително правилата за търсене на информация по раздел 702, като се използват идентификатори на лица от САЩ“, каза Рей.

Той добави, че ФБР е „реагирало стриктно“ на тези нарушения и това вече е „драстично“ намалило търсенията по 702 за американски лица, добави той.

„Освен това, както публично обявихме през юни, ФБР прилага допълнителни мерки както за по-нататъшно подобряване на спазването на правилата, така и за търсене на отговорност от нашите служители за злоупотреба с раздел 702 и други разпоредби на FISA, включително чрез ескалираща схема за отчетност на служителите, включително дисциплинарна и завършваща с възможно уволнение.“ ®

Изследователи разкриха нови слабости в Google Workspace, които могат да доведат до атаки с цел получаване на откуп, ексфилтриране на данни и декриптиране на пароли.

Изследователите от Bitdefender казват, че методите могат да се използват и за достъп до Google Cloud Platform (GCP) с персонализирани разрешения и могат да се преместват от машина на машина.

Инфоспекторите казват, че Google им е казала, че слабостите няма да бъдат разгледани и няма да получат никакви поправки на сигурността, тъй като попадат извън модела на заплахи на компанията.

Уязвимостите, които разчитат на компрометирани локални машини, като тези, подчертани от Bitdefender днес, не се считат за специфични за Google грешки, тъй като компрометирането чрез методи като зловреден софтуер трябва да бъде обхванато от съществуващите контроли за сигурност на организацията.

По време на процеса на разкриване на уязвимостта Google също така заяви на изследователите, че поведението на съхранение на данни е в съответствие с предвидените практики на Chrome.

Bitdefender казва, че това не бива да се приема с лека ръка и слабостите, подчертани в изследването му, са потенциално реално използваеми. Участниците в заплахите често търсят и се възползват от тези пропуски в покритието“, се казва в доклада му.

Организации за Windows

Атаките зависят от използването от дадена организация на Google Credential Provider for Windows (GCPW), който предлага възможности за управление на мобилни устройства (MDM) и единично влизане (SSO).

Когато GCPW се инсталира на дадена машина, се създава локален акаунт Google Accounts and ID Administration (GAIA), който има повишени привилегии. След това GCPW добавя доставчик на пълномощия към услугата LSASS (Local Security Authority Subsystem Service) на Windows, така че потребителите да могат да влизат в машината си с Windows, използвайки пълномощията си от Workspace.

GAIA създава нов локален акаунт за новите потребители, които се удостоверяват с помощта на GCPW, като свързва този локален акаунт с акаунта на Workspace. В локалния акаунт се съхранява и токен за обновяване, който поддържа достъпа до API на Google, като премахва необходимостта от постоянно повторно удостоверяване.

Генериране на токени за достъп и заобикаляне на MFA

Въпреки че компрометирането на локалното устройство трябва да се осъществи преди заобикалянето на MFA, слабостта е забележителна, тъй като може да бъде верижно използвана по-късно за кражба на пароли в обикновен текст.

Нападателите могат да откраднат токените за опресняване на акаунта в две различни области в зависимост от възрастта на токена. След като бъдат създадени, те първо се съхраняват за кратко в стойността на регистъра на Windows и се криптират с помощта на функцията CryptProtectData. По-късно те се съхраняват по-трайно в профила на потребителя в Chrome.

Декриптирането е възможно и на двете места. В регистъра на Windows токените за обновяване могат да бъдат декриптирани с помощта на често използвани инструменти като Mimikatz или чрез извикване на функцията CryptUnprotectData. Това е по-скрит метод, казва Bitdefender, но е достъпен в регистъра само за по-кратък период от време.

Обратното важи за декриптирането след съхраняването му в профила на Chrome. То остава там за по-дълго време, предлагайки по-голяма сигурност по отношение на местоположението си, но е по-шумно, което увеличава шансовете за откриване.

След това токенът може да бъде издаден на атакуващия чрез специално подготвена POST заявка, която дава на атакуващия разрешение за достъп до всяка услуга в обхвата на токена. Възможна е ексфилтрация на данни в услуги като Gmail и Google Drive, както и множество други злоупотреби.

Bitdefender казва, че „интересна“ услуга за злоупотреба би била Vault API, която може да ексфилтрира всички имейли и файлове за всички потребители в рамките на една организация.

Ако по някаква причина нападателят не е успял да извлече токена, той може да наложи повторно удостоверяване, като промени стойността на дръжката на токена на невалидна или нулева стойност.

Възстановяване на пароли в обикновен текст

Експлойтът за заобикаляне на удостоверяването може да се използва, за да помогне на нападателите да извлекат RSA ключа, необходим за декриптиране на потребителските пароли – „по-сериозният“ експлойт в изследването, казва Bitdefender.

„Токените за достъп, когато са откраднати, представляват риск за сигурността, като позволяват на нападателите да получат ограничен достъп в границите, определени от разрешенията на токена“, казва тя. „Тези токени често са ограничени във времето и идват със специфични ограничения на обхвата.

„За разлика от тях, достъпът до пълномощни в обикновен текст, като например потребителски имена и пароли, представлява по-сериозна заплаха. Това е така, защото позволява на нападателите директно да се представят за легитимни потребители и да получат неограничен достъп до техните акаунти, което потенциално може да доведе до пълно превземане на акаунти.“

Възможно е нападателят да използва предишния експлойт, за да генерира нов токен за достъп с обхвата на OAuth и след това да изпрати заявка GET към конкретна недокументирана крайна точка на API, за да изтегли необходимия ключ RSA.

Странично движение

Експлойтът за странично придвижване се отнася главно за внедрявания на виртуални машини (VM) и използва обичайната практика на клониране на VM.

Акаунтът GAIA, който се създава при инсталирането на GCPW на нова машина, винаги генерира уникална парола, но ако машината е създадена чрез клониране на друга машина, тогава паролата във всички машини ще бъде една и съща.

Сценариите, при които няколко машини са били клонирани от друга, могат да позволят на нападателите да ги преминат, ако се сдобият с идентификационните данни само на една от тези машини.

„Клонирането на машини е много често срещано, особено в специфични сценарии като VDI или RDP внедрявания“, казва пред The Register Мартин Цугек, директор технически решения в Bitdefender.

„Всяко решение, насърчаващо управлението на един образ, е податливо на този метод на атака. Тази уязвимост е особено важна в момента, когато участници в заплахи като LockBit активно използват CitrixBleed, за да получат неоторизиран достъп до мрежи чрез решения за отдалечени работни плотове.

„Привлекателността на управлението на един образ е ключова характеристика при внедряването на VDI и RDP. Тя ви позволява ефективно да внедрявате десетки хиляди машини, като същевременно работите само с минимален набор от образи на виртуални машини.“

Тук влиза в сила първоначалното компрометиране на устройството, тъй като Bitdefender казва, че начинът да се намерят идентификационните данни на акаунта GAIA е да се използва зловреден софтуер, способен да изброява тайните, съхранявани в LSASS, като Mimikatz.

Тук няма грешки

В описаните от Bitdefender експлойти има уговорки, като основната е, че за изпълнението на всеки от тях се изисква компрометиране на локална машина. Това е основната причина, поради която Google отказа да ги разгледа, като атаките, изискващи компрометиране на локална среда, са извън нейния модел на заплахи.

Когато локалната машина е компрометирана до степен, в която може да се стартира зловреден софтуер като Mimikatz, експлойтите, дефинирани от Bitdefender, предлагат само малка извадка от възможностите, отворени за нападателите.

По време на първоначалния процес на разкриване на уязвимостта изследователят по сигурността на Bitdefender Раду Тудоричă заяви, че тъй като локалният компромат може да доведе до атака срещу облачната инфраструктура на организацията, той заслужава внимание.

В отговор Роджър Тава от проекта Chromium заяви: „Дори и без GCPW, токенът за опресняване се съхранява на диска в профила на Chrome, криптиран по същия механизъм, както когато се съхранява в регистъра.

„При стартиране на приложение като потребител на същата операционна система винаги може да се извлече тази стойност. С GCPW тази стойност се съхранява временно в регистъра, преди да бъде копирана в профила на диска. Това беше прегледано от службата за сигурност на Chrome по онова време и счетено за толкова сигурно, колкото всяка друга част от потребителските данни на Chrome и следващо най-добрите практики за Windows.“

По отношение на принудителното повторно удостоверяване на автентичността с цел кражба на токени той също така заяви, че това не увеличава риска от кражба на токена.

„Ако дадено приложение може да записва в HKLM, за да наложи повторно удостоверяване, то може също така просто да прочете криптирания токен за опресняване директно от профила на диска.“

Докладът за грешка предизвика преглед с екипа по сигурността на Chrome и беше обсъждан близо месец, но в крайна сметка получи статус „няма да се поправи“.

Днешното изследване на Bitdefender беше представено по-скоро като пример за това как да се разширят съществуващите локални пробиви в Google Workspace, въпреки че идва с редица уговорки.

„Но само защото някои слабости попадат извън обхвата на модела на заплаха, това не означава, че участниците в заплахите няма да ги използват“, се казва в него. ®

Главният служител по сигурността на компанията Clorox е напуснал работата си след пробива в корпоративната мрежа, който е струвал на производителя стотици милиони долари.

Ейми Богак е заемала длъжността главен директор по сигурността на информацията (CISO) и вицепрезидент по корпоративната сигурност и инфраструктура в Clorox от юни 2021 г., според профила ѝ в LinkedIn.

Въпреки че профилът ѝ в LinkedIn не посочва никакви промени в работата, петък е бил последният ден на Богак в мултинационалния конгломерат за почистващи продукти, според Bloomberg News, който е прегледал вътрешна бележка и се е позовал на двама души, запознати с въпроса.

Богац не е отговорила на запитванията на The Register, а говорител на Clorox е отказал да каже дали Богац остава на работа.

„От уважение към нашите настоящи и бивши колеги не коментираме въпроси, свързани с персонала“, отговори говорителят.

Чау Банкс, главният директор по информацията и данните на бизнеса за 7 млрд. долара, за когото се съобщава, че е написал бележката, ще изпълнява ролята на Богац, докато Clorox продължава да се оправя с бъркотията, търсейки и наемайки заместник.

„Тя беше защитник на най-добрите практики в областта на киберсигурността във външен план и в цялата компания чрез постоянното си участие в нашата поредица „Обяд с лидер“, за да влияе и обучава другите по въпросите на киберсигурността и съответните теми“, се казва в бележката. „По време на работата си в Clorox тя също така разви силен екип по сигурността и инфраструктурата.“

Clorox разкри за първи път, че компютърната ѝ мрежа е била компрометирана, в подадена през август информация в Комисията по ценни книжа и фондови борси на САЩ. Тогава тя заяви, че някои от ИТ системите и операциите ѝ са били „временно нарушени“ поради „неоторизирана дейност“ в ИТ средата ѝ.

В последваща декларация до Комисията по ценните книжа и фондовите борси през септември се отбелязват „широкомащабни смущения“ в цялата дейност поради проникването.

Тези смущения включваха ръчна обработка на поръчките, след като някои системи бяха изключени от мрежата. „Компанията работи с по-ниска скорост на обработка на поръчките и напоследък започна да изпитва повишено ниво на проблеми с наличността на потребителските продукти“, заяви тогава Clorox.

В отчета си за приходите за първото тримесечие на фискалната 2024 г. в началото на този месец Clorox отчете 20% спад на нетните продажби за първото тримесечие на годишна база и отбеляза, че намалението от 356 млн. долара се дължи „основно“ на кибератаката.

В последвалото подаване на информация до Комисията по ценните книжа и фондовите борси (SEC) Clorox отбеляза, че разходите, свързани с пробива в мрежата, за трите месеца, приключващи на 30 септември, възлизат на 24 млн.

„Направените разходи са свързани предимно с консултантски услуги на трети страни, включително експерти по възстановяване на ИТ и съдебни експертизи и други професионални услуги, направени за разследване и отстраняване на последиците от атаката, както и с допълнителни оперативни разходи, възникнали от произтичащото от това прекъсване на бизнес операциите на компанията“, се посочва в подадения формуляр 10-Q.

Clorox също така разкрива, че очаква да понесе повече разходи, свързани със свръхсигурността, в бъдещи периоди. ®

Шведската организация за цифрови права Qurium е открила около 250 клонирани уебсайта и предполага, че те съществуват, за да насочват хората към свързани с Китай сайтове за хазарт.

В доклада на Qurium се обяснява, че филипинската медия MindaNews е открила клонинг на самата себе си, преведен на китайски език и натъпкан с реклами на хазарт.

По-нататъшното разследване е довело до появата на стотици подобни клонинги – сред организациите, чиито сайтове са копирани и поставени, са частни предприятия, университети и обществени библиотеки.

„Всички клонинги са създадени през септември 2021 г. и включват реклама на хазартната компания „188bet“ чрез връзката към 520xingyun.com/from/188bet.php“, се посочва в доклада на Qurium.

И тук нещата стават интересни. Органът твърди, че някои от хазартните реклами, открити на уебсайта 520xingyun.com, „са свързани с физически адрес в данъчното убежище остров Ман, където са регистрирани няколко хазартни компании“.

Qurium твърди още, че един от рекламираните уебсайтове е свързан с организация, наречена Kaiyun, която притежава лиценз за бизнес в Обединеното кралство, управляван от базирано в Гибралтар дружество, наречено TGP Europe Limited.

TGP се обявява за доставчик на хазартни услуги с „бял етикет“ – по същество платформа за залагания като услуга, която футболен клуб може да използва, за да създаде своя собствена маркова хазартна услуга, без да се налага да се занимава с управлението на необходимата платформа.

Комисията по хазарта на Обединеното кралство обяви, че компанията е нарушила изискванията на лиценза си за борба с прането на пари.

Qurium се позовава на репортаж на фокусираното върху футбола издание Josimar, в който се твърди, че TGP предоставя услугите си на контролирани от Китай юридически лица, които управляват хазартни услуги, но не могат да работят в Китай, тъй като там хазартът е забранен. Затова такива организации използват за своя база Виетнам и Филипините.

Qurium също така установи, че имената на домейни за повечето клонирани сайтове са регистрирани от Gname.com Pte. Ltd. – организация, която регистрира домейни, които много приличат на други марки и които след това се използват за сайтове за хазарт. Организацията за цифрови права посочва, че Gname е била призована от Световната организация за интелектуална собственост за тези дейности.

Защо се занимава с клониране на сайтове и регистриране на съмнителни домейни за популяризиране на сайтове за хазарт? Защото издателите се въздържат да пренасят определени реклами на сайтовете си, а големите рекламни мрежи и компаниите за рекламни технологии затова позволяват блокирането на някои теми.

Незаконно клонираните сайтове вероятно нямат особени угризения по отношение на рекламите на трети страни, които показват, което ги прави полезни за операторите на сайтове за хазарт, тъй като те се стремят да генерират трафик.

Не е ясно дали тези клонинги са насочени към хората в Народната република – където хазартът е незаконен и играчите са силно обезкуражени да използват VPN, освен ако не са необходими по бизнес причини – или целта е значителната китайска диаспора.

Какъвто и да е мотивът, щетите са ясни: търсачките не са благосклонни към сайтове, които разполагат с дублирано съдържание, което прави тези клонирани сайтове най-малкото дразнещи за уебстраниците, които са копирали. ®

Според високопоставен служител на Бюрото ФБР използва „значителни“ ресурси, за да открие членовете на скандалната група за киберпрестъпления Scattered Spider, която преди няколко месеца атакува няколко известни казина и продължава да е активна.

Смята се, че бандата, която представлява слабо сплотена група от тийнейджъри и мъже в началото на 20-те години, базирана в САЩ и Обединеното кралство, е отговорна за проникванията в мрежите на Caesars Entertainment и MGM Resorts.

Scattered Spider, подобно на други онлайн изнудвачи, прониква в ИТ средите на жертвите, ексфилтрира възможно най-много ценни данни и след това изисква заплащане, за да запази тази информация под похлупак и да не я изнася или продава.

MGM Resorts, която отказва да плати искания от бандата откуп, претърпява дни на прекъсване на работата на системата и нарушаване на операциите в резултат на проникването, което струва на корпорацията около 100 млн. долара. Съобщава се, че Caesars са платили около 15 млн. долара и изглежда не са претърпели същото ниво на престой като другия гигант в казино сектора.

По данни на Mandiant към септември 2023 г. Scattered Spider е проникнал в поне 100 други организации.

Въпреки че ФБР не уточнява колко организации са попаднали в мрежата на Scattered Spider, висш служител на ФБР заяви пред репортери по време на брифинг в четвъртък, че агенцията полага „значителни усилия от наша страна, за да се справи с тях, и ние влагаме значителни ресурси срещу него“.

„Призоваваме организациите да споделят всякаква информация, с която може да разполагат за Scattered Spider, като например комуникация с актьорски групи или доброкачествени образци на криптирани файлове, и да съобщават за кибератаки“, заяви високопоставен служител на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) по време на разговора с репортерите. „Това дава възможност на CISA и ФБР да оценят проникването, за да идентифицират техниките и да споделят анонимни подробности в широк мащаб, за да помогнат на други организации да се защитят от тази заплаха.“

Също в четвъртък ФБР и CISA издадоха съвместна консултация в отговор на престъпната дейност на екипажа от паякообразни, наблюдавана още този месец.

В консултацията се описват подробно тактиките за социално инженерство, които Scattered Spider използва, за да получи първоначален достъп до мрежите на компаниите. Те включват представянето за ИТ или помощен персонал чрез телефонни обаждания или текстови съобщения, за да се получат данни за вход от служителите или да се подмамят служителите да стартират инструменти, които предоставят на злосторниците отдалечен достъп до корпоративни компютри.

Също така, под прикритието на ИТ служители, екипът е убеждавал служителите да възстановят многофакторната си автентификация и е извършвал многократни измами с размяна на SIM карти, които убеждават клетъчните мрежи да прехвърлят телефонния номер на мишената към SIM карта, контролирана от Scattered Spider. След като бандата контролира този номер, тя може да получи достъп до поканите за MFA и по-лесно да компрометира акаунтите на жертвите.

След като бандата получи достъп до мрежата, престъпниците използват легитимни инструменти, за да намерят и ексфилтрират чувствителна информация. След това образци от откраднатите данни се предлагат на жертвата като доказателство за кражбата с намерението да се изнудят за седемцифрени суми, за да се спре разпространението на откраднатите файлове. По-рано тази година екипът започва да внедрява зловреден софтуер за изнудване в средите на жертвите и на този етап е възможно да е филиал на операцията ALPHV/BlackCat ransomware-as-a-service.

Докладването на жертвите е изключително важно

„И единственият начин, по който сме в състояние да разпространим тази информация, е когато я получим от жертвите“, каза висшият служител на ФБР. „Съобщаването от страна на жертвите е от критично значение за способността ни да предприемаме правоприлагащи действия срещу такива участници.“

Както консултацията, така и брифингът за пресата идват в момент, когато ФБР е подложено на критики, че не действа достатъчно бързо за арестуването на престъпниците, въпреки че много от тях са базирани в САЩ и самоличността им е потенциално известна на правоприлагащите органи, според доклад на Ройтерс.

Служителят на ФБР отказва да коментира текущото разследване на членовете на бандата Scattered Spider.

„Само защото не виждате, че се предприемат действия, не означава, че няма действия, които се предприемат“, каза служителят, цитирайки неотдавнашните сваляния срещу бандата за изнудване Hive, Genesis Market, BreachForums и Qakbot.

„Има много неща, които правим зад кулисите“, каза служителят. ®