Kinesiska hackare bryter sig in i USA:s finansdepartement i sofistikerad cyberattack

Statsstödda kinesiska hackare infiltrerade USA:s finansdepartement tidigare denna månad och fick tillgång till flera arbetsstationer och icke-klassificerade dokument. Attacken utnyttjade en sårbarhet i BeyondTrust, en tredjepartsleverantör av cybersäkerhet, som gjorde det möjligt för angriparna att kringgå delar av systemet.

Finansdepartementet bekräftade att den komprometterade tjänsten har stängts av och att det inte finns några bevis på fortsatt åtkomst. Denna attack sammanfaller dock med en annan incident, kallad "Salt Typhoon," där tre stora amerikanska telekommunikationsföretag blev måltavlor och hackare fick åtkomst till samtal och meddelanden från lagstiftare.

Efter BeyondTrust-varningen kontaktade finansdepartementet Cybersecurity and Infrastructure Security Agency (CISA), FBI och rättsmedicinska experter för att bedöma påverkan. En fullständig rapport förväntas inom 30 dagar.

BeyondTrust medgav att en digital nyckel komprometterats och påverkat ett begränsat antal kunder, medan Kinas ambassad i Washington förnekade inblandning och anklagade USA för grundlösa beskyllningar. Finansdepartementet betonade sitt engagemang för att skydda det finansiella systemet.

Pro-ryska hackare riktar sig mot franska staders webbplatser i vedergällning för stöd till Ukraina

Webbplatser för flera franska städer, inklusive Marseille och Tarbes, togs offline på tisdagen efter cyberattacker från den pro-ryska hackergruppen NoName. Gruppen tog på sig ansvaret för attackerna på den sociala plattformen X och beskrev dem som vedergällning för Frankrikes stöd till Ukraina.

Klockan 16:00 GMT var webbplatserna för Marseille, Tarbes och Haute-Garonne otillgängliga, även om andra måltavlor, såsom Nantes, Bordeaux och Nice, fortfarande fungerade. Marseilles stadshus bekräftade attackerna och uppgav att skyddsåtgärder aktiverades, vilket gjorde webbplatserna tillfälligt otillgängliga.

NoName, känt för sina Distributed Denial of Service (DDoS) attacker, överbelastade servrarna med enorm trafik för att göra dem otillgängliga. Dessa attacker involverar vanligtvis inte datastöld, utan syftar till att sprida propaganda och skapa en känsla av digital osäkerhet, enligt Benoit Grunemwald, cybersäkerhetsexpert på ESET.

Franska tjänstemän tonade ner attackernas påverkan, och vissa städer rapporterade inga störningar.

Cyberattack stör Thomas Cook Indiens IT-system

Thomas Cook Indiens IT-infrastruktur drabbades av en cyberattack, vilket tvingade företaget att stänga ner de drabbade systemen, enligt en anmälan på tisdagen. Företaget inledde omedelbart en utredning och samarbetar med ledande experter inom cybersäkerhet för att bedöma omfattningen av intrånget och vidta nödvändiga åtgärder.

I anmälan stod det: "Vi har vidtagit nödvändiga åtgärder för att undersöka och svara på incidenten, inklusive att stänga av drabbade system."

Enligt Schedule III i Sebis (Listing Obligations and Disclosure Requirements) Regulations från 2015 måste börsnoterade företag rapportera cyberattacker som påverkar verksamhet, ekonomi eller rykte inom 24 timmar. Thomas Cook Indiens anmälan visar att de följer dessa regler för att säkerställa transparens och skydda investerarnas förtroende.

Företaget fortsätter att fokusera på att begränsa effekterna, säkra sina IT-system och informera intressenter. Cybersäkerhetsexperter understryker vikten av snabba åtgärder för att minimera operationella och ryktebaserade risker i sådana incidenter.

Cisco bekräftar läckta data från DevHub-brott; inga system komprometterade

Cisco har bekräftat äktheten av de data som läckts av hackaren "IntelBroker" och som härrör från en tidigare rapporterad säkerhetsincident som involverade företagets publika DevHub-miljö. DevHub fungerar som en resurscentral för kunder och tillhandahåller källkod, skript och annat material.

IntelBroker meddelade den 14 oktober att han och andra fått åtkomst till Ciscos system och stulit källkod, certifikat, autentiseringsuppgifter och andra känsliga uppgifter. Dock visade Ciscos utredning att det inte skett något intrång i deras system; datan togs från DevHub-miljön. Även om mycket av datan redan var offentlig, erkände Cisco att vissa filer inte var avsedda att vara tillgängliga.

Hackaren hävdade initialt att han stulit 4,5 TB data, men har hittills läckt cirka 7 GB, inklusive källkod, skript och konfigurationsfiler. Cisco uppgav att läckorna överensstämmer med datamängden från oktober och inte ger åtkomst till deras produktions- eller företagsmiljöer. Företaget fortsätter att övervaka situationen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.