Taggat med: DHS

Ryssland påverkade det amerikanska valet med hjälp av hackers

Amerikanska myndigheten DHS tillsammans med FBI släppte för några timmar sedan en teknisk rapport med titeln GRIZZLY STEPPE – Russian Malicious Cyber Activity.

Rapporten beskriver två hackinggrupper vid namn APT28 och APT29 samt deras tillvägagångssätt att angripa amerikanska intressen. Framförallt sådant som är relaterade till valet (APT = advanced persistent threat).

Med hjälp av fiktiv e-post (spearphising) så hackade APT28 ett amerikanskt parti och sedan exfiltrerade och släppte ut dokument publikt samt till press. Även den andra hackinggruppen APT29 har använt spearphising-attacker och skickat ut mail till över 1000 mottagare mot amerikanska intressen.

Min personliga bedömning är dock att konkreta bevis på att det är RIS (Russian Intelligence Service) som ligger bakom saknas. Detta framgår ej rapporterna, men förstår även att det är svårt att avhemliga information från exempelvis NSA.

Följande bild beskriver hur dessa två grupper jobbar med bl.a. X-Agent och X-Tunnel mjukvaran. Vi skrev senast om X-agent för några dagar sedan då den användes i en attack mot Ukraina.

Även så publicerar US Treasury en lista med personer som USA utför sanktioner mot. Den innehåller en del GRU-personer men även hackers.

Förutom ovan så finns det även flertalet IOC:er (indicators of compromise) där bl.a. tre svenska IP-nummer ska ha används för kontrollkanal eller på annat sätt vara inblandad i attackerna.

Troligtvis är detta hackade klienter eller servrar. Vissa även är eller har varit Tor-exitnoder:

95.215.44.115,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
153.92.126.148,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.111,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.227,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.223,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.97,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.7.34.251,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
85.24.197.4,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.

Registrerade enligt whois på Exalt, Netbrella Networks samt:

Yourserver.se is a trademark
of Makonix Ltd, registered at
Ulbrokas 23, Riga, Latvia, LV-1021,
EU VAT number LV40103214759

Hela listan med IOC:er hittar du på denna sida. Har tittat i mina egna system efter dessa IP-adresser och hittar tusentals med intrångsförsök samt legitim trafik.

Här kan du ladda hem rapporten från FBI och DHS National Cybersecurity and Communications Integration Center (NCCIC):

Nytt hack mot Tesla-bilens CAN-buss

Jag kanske skulle skriva en rubrik såsom ”Så lätt hackar du en Tesla” men detta hack verkar allt annat än lätt. Dock synnerligen intressant om det går att genomföra rent praktiskt då det kräver ett antal olika steg för att lyckas.

Det är Keen Security Lab vid företaget Tencent som identifierat en säkerhetsbrist i Teslabilens Gateway ECU (Model S).

Genom att utnyttja en sårbarhet i bilens webbläsare så kan en antagonist få tillgång till bilens CAN-buss fjärrmäsigt och styra bilen. Detta genom en sårbarhet i bilens hantering av firmware. CAN-bussen används som en datasluss internt inom bilen för att kommunicera med exempelvis bromssystem, farthållare, anti-krocksystem och växellåda.

Amerikanska Department of Homeland Security (DHS) har därför gått ut med en varning och meddelar att en mjukvaruuppdatering har genomförts och kommer att automatiskt uppgraderas i bilen. Dock så påpekar DHS följande:

Crafting a working exploit for this vulnerability would be difficult. A complex chain of exploits is required, including a web browser compromise, local privilege escalation, and custom-built firmware.

Sårbarheten har CVE-2016-9337 och Tesla släppte uppdateringen den 18:de September 2016. Och för några veckor sedan så visade ett norskt företag hur en Tesla-bil kan stjälas genom att angripa ägarens mobiltelefon.