Διεθνές μπλακ άουτ: Καμπανάκι από Crowdstrike και φορείς για αύξηση των κυβερνοεπιθέσεων

Για αύξηση των κυβερνοεπιθέσεων προειδοποιούν οι δύο μεγάλες εταιρείες, που βρέθηκαν στο επίκεντρο του διεθνούς μπλακ άουτ σε πληροφοριακά συστήματα πάσης φύσεως επιχειρήσεων και τραπεζών ανά τον πλανήτη, το μεσημέρι της Παρασκευής (19/7), CrowdStrike και Microsoft, καλώντας τους πολίτες να είναι ιδιαίτερα προσεκτικοί.

Συγκεκριμένα, η παγκόσμια εταιρεία κυβερνοασφάλειας CrowdStrike έκανε λόγο για “πιθανό κίνδυνο ηλεκτρονικού εγκλήματος”, τονίζοντας ότι  “απειλητικοί φορείς διανέμουν κακόβουλο αρχείο”, προσποιούμενοι ότι είναι εκπρόσωποι της εταιρείας.

Όπως αναφέρει σε ανακοίνωσή της,

“Η CrowdStrike Intelligence έχει παρατηρήσει ότι οι απειλητικοί φορείς αξιοποιούν το γεγονός, για να διανείμουν ένα κακόβουλο αρχείο ZIP με την ονομασία crowdstrike-hotfix.zip. Το αρχείο ZIP περιέχει ένα ωφέλιμο φορτίο HijackLoader το οποίο, όταν εκτελεστεί, φορτώνει το RemCos. Ειδικότερα, τα ισπανικά ονόματα αρχείων και οι οδηγίες μέσα στο αρχείο ZIP υποδεικνύουν ότι αυτή η εκστρατεία στοχεύει πιθανότατα πελάτες της CrowdStrike με έδρα τη Λατινική Αμερική (LATAM)”.

“Συνιστούμε στους οργανισμούς να διασφαλίσουν ότι επικοινωνούν με τους εκπροσώπους της CrowdStrike μέσω των επίσημων καναλιών της και να τηρούν τις τεχνικές οδηγίες που έχουν παράσχει οι ομάδες υποστήριξης της CrowdStrike”, επισημαίνει.

Παράλληλα, και η κυβέρνηση της Αυστραλίας προειδοποίησε τους πολίτες ότι “απατεώνες προσπαθούν να χρησιμοποιήσουν την παγκόσμια διακοπή λειτουργίας του CrowdStrike σε συστήματα Microsoft Windows για να κλέψουν μικρές επιχειρήσεις”.

“Ζητώ από τους Αυστραλούς να είναι πραγματικά προσεκτικοί τις επόμενες ημέρες σχετικά με τις προσπάθειες να χρησιμοποιηθεί αυτό το γεγονός για απάτες ή phishing“, δήλωσε νωρίτερα σήμερα, Σάββατο (20/7), η υπουργός Εσωτερικών Υποθέσεων της Αυστραλίας, Clare O’Neil.

Όπως είπε, οι μικρές επιχειρήσεις λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που προσποιούνται ότι είναι η CrowdStrike ή η Microsoft και ζητούν στοιχεία τραπεζών, για να “διορθώσουν το σφάλμα”.

“Αν δείτε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, αν δείτε ένα μήνυμα κειμένου που μοιάζει λίγο περίεργο, το οποίο λέει κάτι σχετικά με την CrowdStrike ή το μπλακ άουτ, απλά σταματήστε. Μην δώσετε κανένα στοιχείο“, σημείωσε η υπουργός.

Πρόσθεσε ακόμα ότι αν οι πολίτες δέχονται “περίεργες” κλήσεις, θα πρέπει να κλείσουν το τηλέφωνο, και αν εξαπατηθούν τελικά και δώσουν στοιχεία των τραπεζικών τους λογαριασμούς, τότε να επικοινωνήσουν αμέσως με την τράπεζά τους για να το αναφέρουν.

Εμπειρογνώμονες σε θέματα ασφάλειας στον κυβερνοχώρο προειδοποιούν για ένα “δεύτερο κύμα αναστάτωσης”, που έχει αρχίσει να προέρχεται από εγκληματίες του κυβερνοχώρου που ελπίζουν να επωφεληθούν από το χάος.

Σήμερα το πρωί η Australian Signals Directorate (ASD), υπηρεσία ασφαλείας στην Αυστραλία, εξέδωσε προειδοποίηση σχετικά με χάκερ, που στέλνουν ψεύτικες διορθώσεις λογισμικού ισχυριζόμενοι ότι είναι η CrowdStrike.

 

Η προειδοποίηση της ASD έρχεται μετά τις χθεσινές εκκλήσεις του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC) του Ηνωμένου Βασιλείου προς τους πολίτες να είναι ιδιαίτερα προσεκτικοί απέναντι σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή κλήσεις που προσποιούνται ότι είναι από την CrowdStrike ή τη Microsoft.

Σημειώνεται πως αν και οι χιλιάδες υπηρεσίες ανά τον κόσμο που επηρεάστηκαν από τη “μεγαλύτερη διακοπή λειτουργίας στην ιστορία”, εξαιτίας μίας ελαττωματικής ενημέρωσης λογισμικού, έχουν αρχίσει σταδιακά να επανέρχονται, η πλήρης αποκατάσταση μπορεί να διαρκέσει έως και εβδομάδας.

Διεθνές μπλακ άουτ – Τι συνέβη

Νωρίς το πρωί της Παρασκευής, επιχειρήσεις από την Ευρώπη έως την Ασία και τις ΗΠΑ άρχισαν να αντιμετωπίζουν προβλήματα με τα υπολογιστικά τους συστήματα της Microsoft, με πολλές από αυτές να βλέπουν ξαφνικά την “μπλε οθόνη θανάτου“, η οποία εμφανίζεται στα Windows όταν πρέπει να τερματιστεί απότομα η λειτουργία ή όταν πρέπει να γίνει restart, ώστε -και στις δυο περιπτώσεις- να αποφευχθούν ζημιές του συστήματος. Αυτές μπορούν να προκύψουν από προβλήματα hardware ή software (υλικού ή λογισμικού).

Αρχικά, η βλάβη εντοπίστηκε στα συστήματα της Αυστραλίας, ενώ πολύ σύντομα άρχισαν να γίνονται αναφορές για προβλήματα και σε άλλες χώρες, όπως σε Ισπανία, Τουρκία, Ολλανδία, Μεγάλη Βρετανία, Γερμανία, με το πρόβλημα να αποκτά διεθνείς διαστάσεις.

Έκτοτε, ένα ευρύ φάσμα υπηρεσιών έχει επηρεαστεί σε αυτό που περιγράφηκε από τον Troy Hunt, έναν εμπειρογνώμονα κυβερνοασφάλειας, ως η “μεγαλύτερη διακοπή της πληροφορικής στην ιστορία“. Με ανάρτησή του στο X που αποτυπώνει το μέγεθος του προβλήματος, ο Hunt έγραψε χαρακτηριστικά: “Αυτό είναι βασικά ό,τι μάς ανησυχούσε για το Y2K, μόνο που αυτή τη φορά συνέβη πραγματικά“.

Περισσότερες από 2.000 πτήσεις ακυρώθηκαν σε πολλά αεροδρόμια. Η American Airlines, η Delta και η United ήταν μερικές μόνο από τις μεγάλες αεροπορικές εταιρείες που αναγκάστηκαν να καθηλώσουν τις πτήσεις τους σε παγκόσμιο επίπεδο σήμερα.

Αποκαλυπτικό είναι το γράφημα ενός φοιτητή ατμοσφαιρικής επιστήμης στο University of California, Davis που αποτυπώνει πώς η κίνηση των πτήσεων επιβραδύνθηκε σημαντικά μετά το μπλακ άουτ.

Διεθνές μπλακ άουτ – Πώς συνέβη

Το πρόβλημα προκλήθηκε από “ένα ελάττωμα που βρέθηκε σε μια απλή ενημέρωση περιεχομένου του λογισμικού της σε λειτουργικά συστήματα Microsoft Windows”, έγραψε ο Κουρτζ στο X.

Σύμφωνα με τον Toby Murray, αναπληρωτή καθηγητή στη Σχολή Υπολογιστών και Πληροφοριακών Συστημάτων στο Πανεπιστήμιο της Μελβούρνης,

“η CrowdStrike είναι μια παγκόσμια εταιρεία πληροφοριών για την ασφάλεια στον κυβερνοχώρο και τις απειλές. Το Falcon είναι γνωστό ως πλατφόρμα Endpoint Detection and Response (EDR). Παρακολουθεί τους υπολογιστές στους οποίους είναι εγκατεστημένος, ώστε να ανιχνεύει εισβολές (hacks) και να ανταποκρίνεται σε αυτές. Αυτό σημαίνει ότι το Falcon είναι ένα αρκετά προνομιακό λογισμικό, καθώς μπορεί να επηρεάσει τη συμπεριφορά των υπολογιστών στους οποίους είναι εγκατεστημένος.

Εάν εντοπίσει ότι ένας υπολογιστής έχει μολυνθεί από κακόβουλο λογισμικό, το Falcon εμποδίζει την επικοινωνία μεταξύ εισβολέα και υπολογιστή.

Σε περίπτωση που το Falcon εμφανίσει κάποια δυσλειτουργία, μπορεί να προκαλέσει εκτεταμένη διακοπή λειτουργίας για δύο λόγους: α) έχει αναπτυχθεί ευρέως σε πολλούς υπολογιστές και β) λόγω της προνομιακής φύσης του.

“Μοιάζει λίγο με το λογισμικό προστασίας από ιούς. Δηλαδή, ενημερώνεται τακτικά με πληροφορίες σχετικά με τις πιο πρόσφατες διαδικτυακές απειλές (ώστε να τις εντοπίζει καλύτερα). Σίγουρα έχουμε δει ενημερώσεις προστασίας από ιούς στο παρελθόν να προκαλούν προβλήματα.

Είναι πιθανό ότι η σημερινή διακοπή προκλήθηκε από μια ενημέρωση σφαλμάτων στο Falcon», με τις πιθανότητες να θέλουν να βρίσκεται το cloud στη μέση. Όσοι δηλαδή, δεν χρησιμοποιούν Crowdstrike ή Microsoft cloud δεν αντιμετώπισαν πρόβλημα.