Tag Archive for: cyber

Meet Jamie and the World of the Internet

Hey kids! Let’s talk about Jamie, who’s a lot like you. Jamie loves playing games, chatting with friends, and exploring the internet. But one day, Jamie got an email from someone he didn’t know, offering a free gift in exchange for some personal details. Hmm, what do you think Jamie should do? Should he share his information for a gift?

The Secret Code of Cybersecurity

Cybersecurity is like having a secret code that keeps your treasure chest of personal information safe. It’s all about protecting your details from people who might use them in the wrong way. Imagine your personal information is a treasure, and cybersecurity is the code that locks it up safely.

The Power of Passwords

Do you have a secret code, or a password, for your games or apps? How many of you use the same password for everything? It might be easy to remember, but it’s like having one key for every lock in your house. If someone finds that key, they can open everything! What if we make unique and strong passwords for each account? A strong password is like a strong castle – the more complex it is, the harder it is for hackers to break in.

Stranger Danger Online

Now, imagine you’re playing your favorite online game, and someone asks for your address to send you a game accessory. Is that safe? Just like in real life, not everyone online is friendly. Sharing personal details, like where you live or your school name, can be risky. It’s better to keep some things a secret on the internet.

Beware of Tricky Gifts and Prizes

Remember the email Jamie got? Offers for free gifts or prizes can be exciting, but they can also be tricks called phishing attempts. Hackers use these to get your personal information. When you get messages like these, should you click on links or download things? Nope! It’s best to ignore them and tell an adult you trust.

Be a Cybersecurity Superhero

Cybersecurity might sound complicated, but it’s really about making smart choices to keep your information safe. Just like you wouldn’t share a secret with a stranger, don’t share personal info online without thinking. Next time you’re entering a password, sharing details, or about to click a link, stop and think: is this safe? And if you’re not sure, always ask a grown-up you trust.

So, are you ready to be a cybersecurity superhero, guarding your personal info from the internet’s villains? Your smart actions can help keep the internet a fun and safe place for everyone! 🌐🔒🦸‍♀️🦸‍♂️

Introduction: Navigating the Digital Landscape

In an era where digital technology permeates every aspect of our lives, the importance of cyber security has never been more pronounced. This article, designed as a companion piece to our informative video, delves into the critical need for cyber security education in our increasingly connected world. We aim to shed light on the alarming trends in cybercrime and emphasize how enhanced knowledge and awareness are pivotal in safeguarding our digital existence.

Understanding the Cyber Threat Landscape

Cybercrime statistics paint a daunting picture, signaling an urgent need for action. Daily, millions fall prey to a variety of cyber threats, ranging from identity theft to sophisticated financial scams. This section, echoing our video’s content, provides a detailed analysis of current cybercrime trends. It aims to offer readers a comprehensive understanding of the risks prevalent in the digital space, highlighting why no individual or entity is immune to these threats.

The Transformative Power of Cyber Security Education

Central to both our video and this article is the concept that cyber security education is a key to a much-needed digital vault. This segment explores how education is a vital defense mechanism, empowering individuals and organizations to protect sensitive data and digital identities. It’s essential for everyone, from CEOs to everyday internet users, to understand cyber security principles. This knowledge is crucial in maintaining privacy, ensuring data integrity, and safeguarding client confidentiality.

Practical Strategies for Enhancing Digital Safety

Expanding on the video’s insights, this section offers practical strategies and best practices for digital safety. It covers a range of topics from fundamental practices like robust password protocols to advanced security measures such as multi-factor authentication and regular software updates. The aim is to provide readers with actionable steps to enhance their digital security, reducing susceptibility to online scams and cyber attacks.

Conclusion: Embracing Cyber Security Education as a Necessity

We conclude by reemphasizing the video’s core message: cyber security education is not merely a choice but a vital investment in personal and professional safety. In the digital battle against cyber threats, being informed and proactive is the best defense. By arming oneself with knowledge and the right tools, one can create a safer digital future.

Call to Action: Join the Movement with Prodefence

We encourage our readers to engage actively in cyber security education. With Prodefence, you gain access to a wealth of resources and expert insights, enabling you to navigate the complexities of cyber security with confidence. Remember, in the cyber world, knowledge is not just power – it’s protection. Join Prodefence in championing cyber security education and take a significant step towards securing your digital life.

Steganography (/ˌstɛɡəˈnɒɡrəfi/ (listen) STEG-ə- NOG-rə-fee) is the practice of concealing a message within another message or a physical object. In computing/electronic contexts, a computer file, message, image, or video is concealed within another file, message, image, or video. The word steganography comes from Greek steganographia, which combines the words steganós (στεγανός), meaning „covered or concealed”, and -graphia (γραφή) meaning „writing – Wikipedia


What you see is a proof of three government institution
documents hosted on the official servers.
Important aspects:
• Three different people
• Three different years
• The same institution (National Agency…)

If you haven’t noticed anything special in these images
it’s normal. During this analysis you’ll notice some details
that make the difference and will make you wonder
about some things.
These questions appear are covered on this analysis.

I can tell you for sure that I do not know what these documents represent or what their ultimate purpose is. 100% of these government documents have been modified by someone, a threat actor or a system.

However, their existence raises questions from a cyber security perspective.
For now, I can only imagine a few ways in which the documents have reached this state.
• The computer used to edit them is compromised.
• The software used is modified to insert those characters into documents.
• The server of the Government Institution is compromised and someone has made the necessary
changes.

If this seems random or of low severity …
think about what I mentioned earlier (server, computer, software) and the implications of each element’s personal and confidential data that may be compromised and exploited by cyber criminals.

A source code – an opportunity to find out the secrets of malware applications
• Pegasus – Zero Click Spyware
• Pegasus – Remote Administration Tool
• Analysis of what the source code represents

Pegasus Spyware Zero Click – One of the most dangerous applications of cyber espionage. If most applications require the victim to click on something, it seems that in the case of Zero Click Spyware it is enough for the target device to receive an SMS. The device is compromised and under the control of the attacker.

The publication of the source code is an opportunity for cybersecurity specialists to discover the secrets of international cyber espionage. We’re going to explore the files we found to see if we’re really that lucky.

Cine atacă sistemele informaționale ale NATO?

Una dintre activitățile zilnice ale echipei tehnice Prodefence este de a analiza conținutul canalelor de comunicare/ prezentare ale grupărilor de criminalitate cibernetică sau orice altă sursă disponibilă avem, pentru a trage concluzii asupra evenimentelor legate de securitatea cibernetică a infrastructurii informaționale a României și parțial a infrastructurii partenerilor europeni, menținând astfel o imagine clară a activităților cibernetice pentru activitățile noastre standard. Ne menținem atenția și asupra partenerilor din Europa, deoarece unele atacuri cibernetice pot avea impact direct asupra României.

În urma analizelor am constatat că pe unul dintre canalele menționate circulă documente ale unui test de penetrare din 2019, executat asupra Centrului de excelență pentru apărare cibernetică cooperativă al NATO(CCDCOE).

Întâmplarea face ca articolul să fie început în zilele de desfășurare a exercițiilor de securitate cibernetică ale Centrului de excelență….

Figura 5: Documentele arhivei – atac cibernetic.
Sursă: Analiză arhivă – Prodefence Team

Un test de penetrare se poate face doar cu acordul management-ului infrastructurii în cauză și sub nici o formă datele colectate nu trebuie să fie publice. De aceea vom considera că documentele sunt rezultatul unui atac cibernetic realizat asupra infrastructurii CCDCOE.

Având în vedere etapele unui test de penetrare sau a unui atac cibernetic, se pare că documentele reprezintă partea de culegere de informații și scanarea infrastructuri. Prin intermediul unei aplicații care explorează / analizează conținutul și legăturile între anumite structuri informaționale, s-a reușit reproducerea grafică a conectivității factorilor analizați.

Figura 2: Reprezentarea grafică a conexiunilor CCDCOE.
Sursă: Analiză arhivă – Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)


Figura 2: Reprezentarea grafică a conexiunilor CCDCOE
Sursă: Analiză arhivă –  Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)

Din etapa de culegere de informații despre infrastructura CCDCOE se evidențiază:

  • Țările în directă legătura,
  • Serverele în directă legătură,
  • Persoanele care reprezintă CCDCOE în aceste țări,
  • Fotografiile acestora,
  • Informații despre reprezentanți(educație, posturi, adrese email, skype )
  • Instituțiile guvernamentale/ non-guvernamentale cu care relaționează reprezentanții.

Fiecare membru implicat având alocat un folder separat în care se află informațiile care au legătură cu acesta. În total, 93 de nume ale persoanelor implicate în activitățile NATO.

Figura 3: Dosarele individuale ale membrilor țintiți.
Sursă: Analiză arhivă – Prodefence Team

Figura 3: Folderele reprezentând persoanele vizate
Sursă: Analiză arhivă –  Prodefence Team(conține elemente ascunse intenționat)

Culegerea de informații despre personalul CCDCOE relevă faptul că atacatorul s-a pregătit pentru un atac complex. Pe lângă căutarea vulnerabilităților din sistem, cel mai probabil personalul a fost ținta unor atacuri cibernetice, ca prin intermediul acestora să poate ajunge în infrastructura instituției.

Așa cum am menționat în studiul ” Cyber Intelligence – Using Profiling” (https://dnsc.ro/vezi/document/isaca-cyber-intelligence-using-profiling), crearea profilului este esențială în plănuirea unui atac cibernetic, deoarece poate deschide o cale mai ușoară de acces spre infrastructura țintită. Găsirea de vulnerabilități ale sistemelor de operare și exploatarea acestora nu este întotdeauna cea mai bună cale, de aceea atacatorii preferă să obțină accesul prin intermediul a ceea ce este denumit ”veriga slabă”, făcând referire la omul care are acces legal la sistem.

În acest caz, persoanele vizate este posibil să fi avut parte de anumite atacuri cibernetice, dar fiind parte dintr-o organizație care se ocupă de securitate cibernetică probabil că le-au depistat și nu au existat incidente cauzate de aceste acțiuni infracționale.

Pe de altă parte, poate că acum, datorită articolului vor face legătura cu întâmplări, incidente sau alte situații derulate în acea perioadă.

O altă etapă a atacului o reprezintă scanarea serverelor care susțin activitatea Centrului, încercând astfel să găsească vulnerabilități ale sistemului informațional și exploatarea acestora, pentru obținerea accesului neautorizat.

Figura 4: Documente din arhiva atacatorului.
Sursă: Analiză arhivă – Prodefence Team
Figura 5: Documente din arhiva atacatorului.
Sursă: Analiză arhivă – Prodefence Team

Atacatorul a folosit programe de monitorizare/ interceptare a traficului de date, pentru identificarea funcționalității și pentru scanarea vulnerabilităților serverelor care fac subiectul atacului. Raportul html, precum și fișierele gnmap, nmap, xml, lmpr, conțin informații foarte importante ale activelor scanate, iar printre acestea se pot observa și documente care au fost descoperite în timpul scanărilor, pe care atacatorul le-a salvat, încercând astfel să găsească noi informații utile.

Posibilele vulnerabilități descoperite la data respectivă sunt integrate în raportul menționat anterior, existența acestora validând faptul că după scanare atacatorul a avut motive tehnice pentru continuarea atacului. Este adevărat că unele vulnerabilități nu pot fi exploatate, iar prezența lor în raport poate fi cauzată de interpretarea parametrilor în mod eronat, cauza fiind asemănarea cu anumite vulnerabilități cunoscute.

Figura 5: Grafic din raportul programului de scanare a vulnerabilităților
Sursă: Analiză arhivă – Prodefence Team

Scanarea porturilor deschise ale serverelor descoperite că ar avea legătură cu CCDCOE, identificarea serviciilor existente și încercarea de a descoperi vulnerabilități cunoscute ale acelor servicii.

Figura 6: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține informații editate)

Partea mai interesantă a acestei analize și în general a tuturor analizelor din zona de infracționalitate cibernetică o reprezintă informațiile despre atacator/ atacatori.

Cine a executat această culegere de informații și scanările infrastructurilor?

De cele mai multe ori acest aspect rămâne o necunoscută, deoarece atacatorii au posibilitatea de a își ascunde urmele, prin schimbare adresei IP, modificări ale sistemului de operare, folosirea de calculatoare virtuale etc. În cazul de față, din neglijență sau intenționat, rezultatele din scanările expuse conțin informații despre locația probabilă a atacatorului.

Figura 7: Informații dispozitiv atacator
Sursă: Analiză arhivă – Prodefence Team
Figura 8: Informații dispozitiv atacator
Sursă: Analiză arhivă – Prodefence Team

Așa cum se poate observa din imaginea următoare, avem informații despre sistemul de operare a dispozitivului folosit în atacul cibernetic.

Figura 9: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)
Figura 10: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)

Rapoartele conțin informații despre serverul folosit de atacator: IP-uri locale, servere VPS, proxy, VPN și desigur serverele țintă.

Figura 11: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)

Conform datelor expuse în cele două fișiere (html și txt), locația atacatorului sau setările dispozitivului folosit relevă faptul că atacul a fost executat din MSK, Rusia 2019, prin intermediul unui calculator virtual(Windows VPS). Așa cum am menționat anterior, este o tehnică des întâlnită folosită pentru inducerea în eroare a analiștilor de securitate cibernetică. Dacă totuși este o neglijență a atacatorului….

Ce putem învăța din acest articol este faptul că putem fi oricând ținte pentru atacatorii cibernetici, mai ales dacă ocupăm poziții importante.. sau mai puțin importante în anumite instituții sau firme private.

În cazul analizat, persoanele implicate sunt specializate în securitate cibernetică și gradul lor de conștientizare a pericolelor este la un nivel ridicat, dar asta nu înseamnă că toți angajații sunt specializați, de aceea educația cibernetică și campaniile de avertizare trebuie să existe în formă continuă și adaptată la noile metode de atacuri cibernetice.

Educație – Avertizări – Implicare.

Codul sursă al virusului bancar Cerberus, versiunea 2, a fost facută publică. Nu cunosc amănuntele apariției în spațiul public, dar conținutul este destul de interesant.
În principiu fotografia atașată este destul de explicită, deci nu are rost să mai detaliez conținutul.

Subiectul de astăzi este folderul ”injects”, deoarece conține țintele principale ale aplicației.
Acestea ar fi cam toate platformele social media, bănci, platforme pentru cripto monezi, aplicații de comunicare, platforme de transferat bani, email etc

Am scos în evidență ceea ce are legătură cu Romania.
Mai pe înțelesul tuturor, clienții bancilor sau platformelor în cauză, sunt vizați prin campaniile de răspândire a virusului.
Fișierele .html sunt create încât să imite varianta oficială de logare în contul bancar.

După cum se poate observa, paginile de logare sunt făcute pentru aplicatiile mobile ale bancilor.
În mod clar, în momentul infectării dispozitivului mobil, acest virus bancar înlocuiește varianta originală cu această variantă falsă, ce ulterior va fura datele introduse.

virus bancar


Nu putem spune că este o surpriză, dar când vezi lucrurile și din alt unghi, parcă se conturează ideea generală legată de malware, banci, hacking.
..și oarecum devenim mai respnsabili, mai atenți și poate mai interesați de siguranța noastră online(SPER…)!

Acum, ca și recomandari…
– Specialiștii bancilor(și nu numai) ar trebui să analizeze în amanunt genul acesta de fișiere, pentru a cunoaște tehnicile hackerilor și astfel să iși poata crea o strategie de contracarare a atacurilor ce le vizează clienții.
– Bancile trebuie să desfășoare campanii de informare a clienților pentru a preveni infectarea lor.
– Nu cunosc dacă deja există acest sistem, dar sunt necesare metode de monitorizare comportamentală a tranzacțiilor, încât orice deviere de la standard să declanșeze o notificare/alertă, pentru a întârzia/anula tranzacția în cauză.

* Clienții
– SĂ NU MAI APESE PE ORICE LINK!
– SĂ NU MAI DESCHIDĂ ORICE DOCUMENT!
– SĂ CITEASCĂ DE 2-3 ORI MESAJUL/ TEXTUL… ÎNAINTE DE A APĂSA SAU DE A DA OK!

Și desigur, ceea ce scriem aproape de fiecare data: ATENȚIE LA DETALII!!!

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!

Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!