Content
CERT.LV darbības pārskats par 2013. gada 1. ceturksni
Kategorija: cert.lv
Pateicoties CERT.LV aktivitātēm un iniciatīvai „Atbildīgs interneta pakalpojumu sniedzējs”, kā arī tam, ka globālajā tīmeklī tika pārtraukta vairāku lielu robotu tīklu darbība, pārskata periodā gandrīz par 50% samazinājās reģistrēto zemas prioritātes incidentu daudzums, salīdzinot ar iepriekšējo ceturksni, un turpinājās vienlaicīgi inficēto IP adrešu skaita samazināšanās.
• 11.01. CERT.LV konstatēja aizdomīgu ievades parametru apstrādi kādā valsts institūcijas tīmekļa lapā, kas liecina par iespējamu ievainojamību. Lai pārliecinātos, vai tīmekļa lapai jau nav veikti uzbrukumi, tika pieprasīti žurnālfaili. Tika konstatēti ievainojamību meklēšanas mēģinājumi, taču tie nav bijuši sekmīgi.
• 14.01. CERT.LV konstatēja, ka kādas finanšu iestādes mājas lapā iespējams izsaukt SQL kļūdas paziņojumus un pastāv iespējamība šo kļūdu izmantot uzbrukumam. Iestādes atbildīgās personas tika informētas un konstatētie trūkumi tika novērsti.
• 15.01. CERT.LV iesaistījās darbā pie inficēto iekārtu identificēšanas Latvijā, kas ir iesaistītas „Sarkanā oktobra” (Red October) kiberspiegošanas kampaņā. Inficētās iekārtas tika apzinātas un atbildīgās personas informētas.
• 24.01. Kompromitēti vairāki kāda IPS maršrutētāji, visi apmeklētāji tika pārvirzīti uz uzlauzēju izvēlētu interneta vietni. Problēma turpinājās apmēram 6 stundas. Uzlaušanas veids – nozagta administratora parole.
• 25.01. CERT.LV identificēja vairākas kritiskas ievainojamības kādas valsts iestādes interneta vietnē. Detalizēts apraksts un rekomendācijas tika nosūtītas atbildīgajai personai. Pēc laika CERT.LV saņēma informāciju, ka identificēto trūkumu novēršanai iestādei trūkst resursu.
• 25.01. CERT.LV sniedza rekomendācijas uzbrukuma risināšanā kādai privātai kompānijai un interneta veikalam. Sākotnēji bija aizdomas par 0-dienas ievainojamību Microtik maršrutētāja programmatūrā, taču žurnālfailu trūkuma dēļ un pēc iegūtā situācijas apraksta tika secināts, ka tika uzminēta maršrutētāja parole. Uzbrucēji veica konfigurācijas izmaiņas, kuru rezultātā visi mājas lapas apmeklētāji tikai pārsūtīti uz uzbrucēju sagatavotu vietni.
• 13.02. Kāds Latvijai piederīgais uzsāka servisa atteices uzbrukumu kampaņu pret vairākām Latvijā strādājošu banku tīmekļa lapām un internetbanku vietnēm no TOR tīkla IP adresēm. CERT.LV ir nodevis incidenta analīzes rezultātus Valsts policijai.
• 05.03. Tika konstatēts ievainojamību meklēšanas mēģinājums pret kādu portālu. CERT.LV brīdināja IP adreses lietotāju par šādu darbību kaitīgumu un iespējamo atbildību.
• 21.03. Tiek saņemta informācija no Polijas par krāpnieciskiem darījumiem, izmantojot publisko telekomunikāciju tīklu, kurā iesaistīti Latvijas numerācijas grupā ietilpstoši paaugstinātas maksas tālruņu numuri. Par šo gadījumu CERT.LV informē policiju un SPRK.
Avoti:
CERT.LV: https://cert.lv/uploads/uploads/Q%20parskati%20no%20Q3%202012/CERT.LV_Q1_2013_publ.pdf
2013-05-13 » edgars
Re: CERT.LV darbības pārskats par 2013. gada 1. ceturksni
13 May 2013 @ 18:30
” [..], ka identificēto trūkumu novēršanai iestādei trūkst resursu.”
Tā nu pie mums ir.
14 May 2013 @ 11:44
Kā šie uzoda, ka no TOR tīkla darbības veic Latvijas piederīgais? Vai tik CERTam nav sava TOR exit node, kurā tiek snifots trafiks?
14 May 2013 @ 13:23
Diez kā snifojot uz TOR exit nodes var noteikt source IP? Visdrīzāk HTTP headeros redzams, ka LV laika zona un valodas uzstādījumi :).
Vajag pievērst uzmanību, ka CERT savās atskaitēs nav minējuši FinFisher C&C, kas darbojas Lattelecom tīklā. Domāju tas skaidri parāda, ka C&C darbojas ar SAB svētību. Protams var būt, ka kādas citas valsts specdienests to tur izvietojis, bet specdienestam svarīgi darboties savas valsts jurisdikcijā un ugunsmūru admiņi nepievērsīs uzmanību kaut kādai C&C konekcijai uz draudzīgo Lattelecom tīklu. :)