Kiberlaikapstākļi (JŪNIJS)

2023-07-12

Pieejami kiberlaikapstākļi par 2023.gada jūniju. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Krāpšana

Iedzīvotāji masveidā turpina saņemt krāpnieciska rakstura SMS

Arī jūnijā Latvijas iedzīvotāji masveidā turpināja saņemt krāpnieciska rakstura SMS gan latviešu, gan angļu valodā! Minētās SMS brīdināja par nepiegādātu sūtījumu, par nepieciešamību preci atmuitot utt. Krāpnieku mērķis – nozagt norēķinu karšu datus vai izgūt bankas piekļuves informāciju.

CERT.LV rīcībā ir informācija par vismaz 150 cietušajiem Latvijā, kas pēdējo divu mēnešu laikā "uzķērušies" uz šāda veida krāpniecības kampaņām un brīvprātīgi ievadījuši prasīto informāciju.

CERT.LV aicināja iedzīvotājus būt īpaši modriem, nedarīt lietas steigā vai “pie stūres” un pastiprināti pievērst uzmanību detaļām informācijas pieprasījumos, kur tiek prasīti personas dati vai finanšu informācija.

Krāpnieki piedāvā iegādāties viltus biļetes uz īstu koncertu

Tika saņemts ziņojums no kādas pasākuma vietas Latvijā par krāpniekiem, kas viltus vietnē tirgo koncerta biļetes uz viņu organizētu pasākumu. CERT.LV ieteica par krāpniecību ziņot viltus vietnes mitināšanas pakalpojumu sniedzējam Privatelayer.com, lai tas apturētu kaitnieciskās vietnes darbību.

Tāpat CERT.LV ieteica ievietot brīdinājumu arī pasākuma vietas sociālajos tīklos un mājaslapā, lai pasargātu potenciālos pasākuma apmeklētājus. Savukārt cietušajiem tika ieteikts vērsties ar iesniegumu Valsts policijā.

Kriptovalūtas krāpšanas portāls

Jūnijā apritē nonāca krāpnieciski e-pasti salīdzinoši labā latviešu valodā, kuros kāds profesors no neeksistējoša Kriptovalūtu institūta apgalvoja, ka institūta sistēma ir izlozējusi e-pasta saņēmēju kā personu, kam ir iespēja bez maksas saņemt kriptovalūtu 18 000 EUR vērtībā. Lai to paveiktu, lietotājs tika aicināts maksimāli ātri atvērt e-pastā norādīto saiti, kas patiesībā bija paredzēta sensitīvu datu izgūšanai. CERT.LV rīcībā nav informācijas, ka kāds būtu cietis šajā krāpšanas kampaņā.

Pikšķerēšanas e-pasti bankas “Citadele” vārdā

Visa jūnija garumā tika saņemti ziņojumi par krāpnieciska rakstura e-pastiem, kuros ļaundari izlikās par “Citadeles” banku. Vairumā gadījumu e-pastos tika brīdināts par obligātiem drošības atjauninājumiem, kas jāveic bankas klientiem. E-pastā bija dota arī saite, lai piekļūtu šiem atjauninājumiem. Krāpnieku mērķis bija izvilināt bankas piekļuves datus.

Ļaunatūra un ievainojamības

No Web Store izņemti ļaundabīgi Chrome paplašinājumi, kas lejupielādēti 75 miljonu reižu

Google no Chrome interneta veikala ir izņēmusi 32 ļaundabīgus paplašinājumus, kas var mainīt meklēšanas rezultātus, nosūtīt surogātpastu vai attēlot nevēlamas reklāmas iekārtā, kurā kaitīgais paplašinājums ticis lejupielādēts. Kopumā tie lejupielādēti 75 miljoni reižu. Populārākie no tiem bija - Autoskip priekš Youtube, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, Maxi Refresher u.c.

Vairāk: https://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-75m-installs-removed-from-web-store/

Cisco Secure Client ievainojamība

Jūnijā tika publicēts brīdinājums par Cisco Secure Client ievainojamību (CVE-2023-20178), kas sniedz autorizētam uzbrucējam iespēju paaugstināt piekļuves tiesības līdz sistēmas līmenim. CERT.LV aicināja nekavēties un uzstādīt Cisco publicētos atjauninājumus.

Vairāk: https://www.bleepingcomputer.com/news/security/exploit-released-for-cisco-anyconnect-bug-giving-system-privileges

Ievainojamība Microsoft Exchange serveros

Jūnija vidū CERT.LV publicēja informāciju par ievainojamību (CVE-2023-32031) Microsoft Exchange serveros. Ievainojamība sniedz uzbrucējam iespēju veikt attālinātu koda izpildi (CVSSv3 vērtējums ir 8.8/10 ). CERT.LV aicināja nekavējoties uzstādīt Microsoft publicētos atjauninājumus.

Vairāk: https://msrc.microsoft.com/.../vulnerability/CVE-2023-32031

Ievainojamība FortiOS un FortiProxy servisos

Jūnijā tika atklāta kritiska ievainojamība (CVE-2023-27997) FortiOS un FortiProxy servisiem, kas CVSSv3 skalā novērtēta ar 9.2. Ievainojamība FortiOS un FortiProxy SSL-VPN servisos sniedz iespēju potenciālam uzbrucējam izveidot specifiskus pieprasījumus lietotāja serverim, lai veiktu nesankcionētu koda izpildi.

Vairāk: https://cert.lv/lv/2023/06/atklata-kritiska-ievainojamiba-cve-2023-27997-fortios-un-fortiproxy-servisiem

Pieejami svarīgi “KeePass” atjauninājumi

Paroļu pārvaldnieka “KeePass” izstrādātājs jūnija sākumā publicēja ilgi gaidīto atjaunoto programmatūras versiju 2.54. Atjaunotā versija novērš bīstamu CVE-2023-32784 ievainojamību, kas uzbrucējiem sniedz iespēju no lietotnes atmiņas teksta formā izgūt galveno paroli (master password).

Vairāk: https://cert.lv/lv/2023/06/keepass-publicejis-atjauninajumus-kas-novers-cve-2023-32784-ievainojamibu

Kritiska ievainojamība Barracuda Email Security Gateway iekārtās

Jūnijā tika atklāta kritiska ievainojamība (CVE-2023-2868) Barracuda Email Security Gateway (ESG) iekārtās. Ievainojamības CVSS ir 9.4 un tā jau tiek aktīvi izmantota uzbrukumos. CERT.LV aicināja sekot līdzi Barracuda ražotāja sniegtajām rekomendācijām un norādījumiem.

Vairāk: https://www.barracuda.com/company/legal/esg-vulnerability

Pakalpojuma pieejamība

Turpinās DDoS uzbrukumi

Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātes mēreni turpinājās arī jūnijā. DDoS uzbrukumus piedzīvoja gan transporta nozare un vairākas Latvijas ostas, gan virkne valsts iestāžu resursu, to vidū arī Saeima, Iekšlietu ministrija, Valsts kontrole, Augstākā tiesa, Latvijas dzelzceļš, Nacionālie bruņotie spēki, Valsts robežsardze un citi. Uzbrukumi sadarbībā ar LVRTC un SIA Tet tika veiksmīgi atvairīti un neradīja būtiskus traucējumus sistēmu pieejamībai.

Arī nekādas anomālijas Latvijas kibertelpā no CERT.LV puses saistībā ar notikumiem Krievijā, kad algotņu grupējuma “Vagner” vadītājs Jevgeņijs Prigožins 23. jūnija vakarā paziņoja, ka “Vagner” algotņi no Ukrainas iegājuši Krievijā un dodas uz Maskavu nolūkā gāzt Krievijas militāro vadību, netika novērotas.

Ielaušanās un datu noplūde

Kompromitēts kādas valsts iestādes darbinieka e-pasts

Jūnija beigās tika saņemti vairāki ziņojumi par pikšķerēšanas e-pastiem, kas tikuši izsūtīti no kādas valsts iestādes darbinieka e-pasta. Krāpnieciskajos e-pastos tika apgalvots, ka lietotāja e-pasta kastīte ir pilna, un nepieciešams atjaunot kontu, lai saņemtu jaunākās ziņas. Veicot situācijas analīzi, tika secināts, ka konkrētā darbinieka e-pasta konts ir ticis kompromitēts, darbiniekam pašam uzķeroties uz līdzīga pikšķerēšanas e-pasta. CERT.LV sazinājās ar konkrēto valsts iestādi, un ieteica nomainīt darbinieka e-pasta piekļuves informāciju, kā arī veikt vispārēju darbinieka datora pārbaudi.

Kompromitēti vairāk nekā 100 lietotāju konti kādā plaši izmantotā resursā

Jūnijā tika identificēts kāds Latvijā plaši izmantots interneta portāls, kura lietotāju profiliem bija izdevies piekļūt, ļaundariem izmantojot vēsturiskas datu noplūdes. Tas bija iespējams pateicoties tam, ka lietotāji dažādiem resursiem neapdomīgi izmantojuši vienas un tās pašas paroles, kā rezultātā kompromitēti vairāk nekā 100 portāla lietotāju. Vienā no gadījumiem, lietotājam bijušas paaugstinātas privilēģijas, ko noziedznieki izmantojuši, lai dzēstu un modificētu atsevišķus ierakstus portālā. Incidents tika operatīvi novērsts, - dzēstais saturs tika atjaunots un kompromitēto lietotāju profiliem nomainīti piekļuves dati.

Lietu internets

Būtiski incidenti netika reģistrēti.