Cyberbeveiligingsoverzicht december 2022

Nucleaire wetenschappers worden doelwitten van Russische hackers

Cold River is een in Rusland gevestigde hackgroep die onlangs een reeks cyberaanvallen heeft gelanceerd gericht op Amerikaanse wetenschappers op drie nucleaire onderzoeksfaciliteiten. Reuters meldde dat Cold River tussen augustus en september 2022 verschillende ingenieurs in Brookhaven, Lawrence Livermore en Argonne National Labs als doelwit had. Cybersecurity-monitoringrecords tonen duidelijk de activiteit, maar de mate van succes of mislukking is onbekend. Gedetailleerde informatie is te vinden hier),.

De inbraken vallen samen met het feit dat de Verenigde Naties inspecteurs sturen naar Europa's grootste kerncentrale in Oekraïne, die werd aangevallen als onderdeel van de oorlog tussen Rusland en Oekraïne. Hoewel de Russische regering haar betrokkenheid bij Cold River ontkent, hebben verschillende inlichtingendiensten en cyberbeveiligingsorganisaties dit bevestigd. Gelukkig werden de aanvallen snel onder controle gehouden en vormden ze geen bedreiging voor de wereldwijde veiligheid. 

SSL.com-reactie

De cyberbeveiliging van de nucleaire installaties en onderzoekslaboratoria van het land is zeer streng. Deze aanval laat zien dat zelfs de best beveiligde faciliteiten onderhevig zijn aan beveiligingsinbreuken. SSL.com beantwoordt veel use-cases voor overheids- en gemeentelijke beveiliging met een PKI-gebaseerde oplossingssuite. Dit omvat oplossingen voor nationale identificatieprogramma's, clientauthenticatiecertificaten voor veilige gebruikerstoegang, versleutelde e-mail en codeondertekening voor systeemontwikkeling. Klik alstublieft hier), voor toegang tot een SSL.com-rapport over hoe we verschillende nationale overheden ondersteunen.

CircleCI is geschonden, geeft waarschuwingen en advies aan zijn klanten

Gehoste ontwikkelingsservices zoals CircleCI, GitHub, Jenkins en Travis CI worden frequente doelwitten van hackers. Bij een door CircleCI aangekondigde inbreuk, afgelopen december, werden beveiligingstokens en andere geheimen die door ontwikkelaars werden gebruikt, blootgesteld aan een niet-geïdentificeerd hackerteam. CircleCI schat dat meer dan een miljoen ontwikkelaarsaccounts mogelijk zijn gecompromitteerd. Informatie is beschikbaar hier.

  CI/CD-pijplijnen en repositories, gericht op het verbeteren van softwareontwikkelingscycli, presenteren meerdere bedreigingsoppervlakken en kwetsbaarheden. Dit komt door een groeiende afhankelijkheid van open-source codebibliotheken, het delen van repositories en kwetsbare servers. 

Aanvallen op CI/CD-pijplijnen worden beschouwd als aanvallen op de toeleveringsketen. Waarbij code ontwikkeld voor verdere distributie het doelwit is. Er zijn meerdere voorbeelden van dergelijke aanvallen. Een recent voorbeeld is de Zonnewinden aanval, waarbij code werd geïnjecteerd met malware, die uiteindelijk backdoors creëerde voor klanten van Solar Winds, die de opdracht hadden gekregen hun software bij te werken. Toen de backdoors eenmaal waren opgezet, hadden hackers toegang tot duizenden verschillende systemen over de hele wereld, waaronder verschillende overheidsinstanties. 

SSL.com-reactie

Het gebruik van codesigning is een goed afschrikmiddel. SSL.com heeft code ondertekening certificaten aanwezig met de mogelijkheid om malware te scannen. Door een certificaat voor codeondertekening te verkrijgen, kunnen routines worden ingesteld om continu code, apps, stuurprogramma's en bestanden met een digitale handtekening te ondertekenen. Het gebruik van code-ondertekening voorkomt codemanipulatie en bevestigt het eigendom van de code. Een certificaat voor codeondertekening kan in het proces worden geïntegreerd met behulp van SSL.com's eSigner-service voor externe codeondertekening. Als alternatief kan een code-ondertekeningscertificaat worden gebruikt met een fysiek USB-token met ondertekeningssleutelmateriaal. Ondertekening van malwarecode kan ook worden geïmplementeerd om code te scannen voordat deze wordt ondertekend. Als malware wordt gedetecteerd, wordt het ondertekeningsproces vastgehouden totdat herstel plaatsvindt. Specifieke informatie is te vinden hier),.

Five Guys Burger Chain HR-systemen gehackt

Vijf jongens ondernemingen, LLC. heeft onlangs een cyberbeveiligingslek gehad. Een van hun servers, waarop persoonlijke informatie van sollicitaties stond, was gehackt. Informatie over aanvragers, waaronder rijbewijzen en burgerservicenummers, lijkt het doelwit te zijn geweest. Five Guys heeft een proactieve aanpak gevolgd door kredietmonitoring aan te bieden aan de getroffen aanvragers. Welke andere maatregelen zijn genomen, is niet duidelijk. Aanvullende informatie over de aanval is te vinden hier),.

Meerdere cyberbeveiligingsorganisaties hebben meegewerkt aan deze aanval. Ze hebben het gevoel dat het resterende effect van gestolen gegevens in het wild ernstiger is dan het lijkt. Adaptieve bedreigingsactoren worden steeds creatiever met hoe de gestolen informatie wordt gebruikt terwijl ze het aanvalsscenario gebruiken als verkenningsact voor het plannen van toekomstige aanvallen.

Restaurants hebben de neiging beveiligingssystemen te weinig in te zetten vanwege lage winstmarges en budgetten. Helaas zijn HR-wervingssystemen die communiceren met het publiek gemakkelijke doelwitten. 

Er zijn manieren om de dreiging te bestrijden. Lichte tot matige investeringen in strakkere multi-factor authenticatie en real-time monitoringsystemen hadden deze aanval kunnen helpen voorkomen.

SSL.com-reactie

Hoewel cyberaanvallen niet kunnen worden gestopt, kunnen ze wel worden verijdeld of naar een honingpot worden geleid voor analyse. Cyberbeveiliging is een meerlagig initiatief; een kleine investering kan een grote bijdrage leveren aan het voorkomen of afwenden van aanvallen. Het belangrijkste is dat ervoor moet worden gezorgd dat cyberbeveiligingsproducten en -systemen correct zijn geconfigureerd. SSL.com heeft verschillende client-authenticatiecertificaten beschikbaar. De certificaten beschermen activa tegen kwaadwillende actoren door ervoor te zorgen dat alleen geverifieerde en gevalideerde personen toegang krijgen. Aanvullende informatie is te vinden hier),.

Slack gericht via zijn privé Github-repository

Zelfs Slack is niet immuun voor cyberbeveiligingsproblemen. De messaging-bedrijfscommunicatiestack, eigendom van Salesforce, had een aantal van zijn GitHub-codeopslagplaatsen gestolen.

  Met een klantenbestand van meer dan 18 miljoen is Slacks aandacht voor cybersecurity zeer intens. Het incident komt voort uit de diefstal van verschillende authenticatietokens van een groep werknemers. Met de tokens konden hackers toegang krijgen tot een kleine verzameling van Slack's privé GitHub-repository's. Hoewel geen van de opslagplaatsen klantgegevens bevatte, herinnert de aanval eraan dat geen enkele organisatie op haar hoede moet zijn. Voortdurende beveiligingsbewaking via software of beheerde services moet een integraal onderdeel zijn van een diepgaande verdedigingsarchitectuur. 

Het beveiligingsteam van Slack, ondersteund door het Salesforce-beveiligingsteam, handelde snel; onmiddellijk de tokens ongeldig maken en de toegang tot zijn online database aanscherpen. Het team is toegewijd aan het beschermen van de privacy en veiligheid van zijn klantenbestand met behoud van de integriteit van zijn interne organisatie. Aanvullende informatie is te vinden hier),. SSL.com-reactie

Slack is een enorme operatie en het beveiligingsteam is van topklasse. Het verlies van beveiligingstokens is problematisch en een voortdurende zorg voor organisaties die ze gebruiken. SSL.com gebruikt zijn EV-code-ondertekeningscertificaatreferenties via een FIPS-compatibel USB-token. Ons vermogen om ze opnieuw te creëren in geval van verlies is uitstekend. Het gebruik van cloudgebaseerde services waarvoor geen gebruik van USB-tokens nodig is, heeft echter de voorkeur. SSL.com heeft verschillende services beschikbaar in de cloud, zoals client-authenticatiecertificaten en het gebruik van eSigner. Wanneer er een afhankelijkheid is van een fysiek item, kijkt SSL.com het liefst naar de cloud. Informatie over onze clouddiensten vindt u hier hier),.

SSL.com-herinneringen

Vereisten voor het ondertekenen van OV & IV-codes voor het ondertekenen van sleutels veranderen Met input van de meeste leden verandert het CA/Browser Forum de OV & IV Code Signing Key Storage-vereisten. De wijzigingsdatum is 1 juni 2023. OV & IV Code Signing Certificaten worden uitgegeven op Yubico USB-tokens of beschikbaar via de SSL.com eSigner cloud-ondertekeningsservice. 

Aanvullende informatie over deze wijziging is te vinden op de  Website van het CA/Browserforum. Meer informatie over de SSL.com eSigner-oplossing: https://www.ssl.com/esigner/.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.