● news.bsdnet.hu

Ukrajna orosz megtámadása ótafolyamatosan jelentek meg olyan wiper, azaz adattörlő kártevők, amelyek azukrán kritikus infrastruktúrát támadva szolgáltatás kieséseket, áramszüneteket okoztak.Az adattörlő büntetőrutin azóta már szélesebb körben is bevethető és be is vetett kiberfegyver lett. Mostani esetünk onnan indul, hogyadott a Trivy nevű eszköz, amely ingyenes és nyílt forráskódú biztonsági szkenner, és kihasználható sérülékenységeket, sebezhetőségeket, hibás konfigurációkat, gyenge-pontokat keres különféle rendszerekben: fájlrendszerek alatt, felhős vagy virtuális környezetben. Ennek a szolgáltatásnak a webhelyét törték fel, kártékony kódot fecskendeztek a hivatalos verziókbaés úgy tűnik,a 0.69.4-5-6 verzióit fertőzték meg kémprogrammal ismeretlen támadók, egyes források szerint a TeamPCP nevű kiberbűnözői csoport. A rosszindulatú kóddal fertőzött változatokat a GitHub-ról sajnos rengetegen töltötték le,és ezzel váltak kínos adatlopás áldozataivá: Cloud hitelesítési adatok, API kulcsok és tokenek, SSH kulcsok, GitHub tokenek kerültek tömegesen illetéktelen kezekbe.A machináció sajnos azt is lehetővé tette, hogy a letöltési oldalon a visszamenőleges korábbi tiszta változatok linkjeit is az új, fertőzött linkekre írták felül a támadók. A fertőzött csomagokat letöltő fejlesztők és rendszerek automatikusan megfertőződtek, a kártevő pedig hátsóajtót (backdoor) nyitott a kompromittált rendszereken, amely automatikusan további rendszerekre is képes volt átterjedni. És itt jön akkor a visszautalás az adattörlésre,ugyanis a malware kapott egy brutális romboló modult is.A kártevő kód célzottan beazonosította és kiválasztotta az iráni rendszereket, ehhez ellenőrzi a megfertőzött számítógép IP címét, időzónáját és nyelvi beállításait. Ha a gép bárhol máshol a világon található, "csak" a hátsó ajtót és kémprogramot kap a nyakába, míg ha történetesen Iránban található, azokon a gépeken már nem csak csendes adatlopás történt, hanem szabotázs szerűen adatokat is törölt, majd újraindította a működésképtelenné vált rendszereket. Elemzők szerint ez a célzott támadáskísértetiesen hasonlít a korábbi híres-hírhedt államilag támogatott Stuxnetkibertámadáshoz és annak hatásához.A mostani incidens és a hibaelhárítás legrészletesebb leírását itt érdemes elolvasni. És csak egy érdekesség a végére, hogy már egyetlen API kulcs ellopása milyen lehetetlen helyzetbe tudja hozni az áldozatokat. Most márciusbanegy három fejlesztőből álló, mexikói székhelyű startup vállalat akár csődbe is mehet, mert ismeretlen bűnözők a tőlük ellopott Google Gemini API-kulccsal48 óra alatt 82 ezer dollárt (27 mHUF) költöttek el illetéktelenül, amia vállalkozás szokásos havi 180 USD-hez (kb. 60 ezer HUF) képest 46 ezer-%-os emelkedés volt.