This posting is here to collect cyber security news in January 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
This posting is here to collect cyber security news in January 2025.
I post links to security vulnerability news to comments of this article.
You are also free to post related links to comments.
88 Comments
Tomi Engdahl says:
Vincitin vuotanut salasana johti Valion tietomurtoon
https://yle.fi/a/74-20135792
Valioon joulukuussa kohdistunut laaja tietoturvahyökkäys sai alkunsa ohjelmistoyhtiö Vincitin työntekijän henkilökohtaiselta koneelta vuotaneesta salasanasta.
Asia käy ilmi Vincitin tietosuojavaltuutetulle tekemästä ilmoituksesta, jonka STT sai tietopyynnöllä.
Vuotanut salasana johti katastrofiin Valiolla
Salasana vuosi it-palveluyhtiö Vincitiltä.
https://www.is.fi/digitoday/tietoturva/art-2000010952101.html
Ohjelmistoyhtiö Vincitin tietosuojavaltuutetulle tekemä ilmoitus paljastaa uutta tietoa joulukuisesta Valioon kohdistuneesta tietoturvahyökkäyksestä, jossa hyökkääjä vei tuhansien ihmisten tiedot.
Hyökkääjä pääsi käsiksi tietoihin Valion it-palvelukumppani Vincitin kautta. Vincit myy Valiolle it-palveluita.
STT sai Vincitin ja Valion tekemät ilmoitukset tietopyynnöllä. Vincitin ilmoituksesta käy ilmi, että Vincitin työntekijän koneelta oli vuotanut salasana työntekijän toiminnan seurauksena. Hyökkäys tapahtui 12. joulukuuta. Vincitin ilmoitus on puolestaan päivätty aatonaatolle.
Vincitin toimitusjohtaja Julius Manni kertoo STT:lle, että salasana vuosi työntekijän henkilökohtaiselta koneelta, joka ei ollut osa Vincitin hallitsemia it-ympäristöjä. Hänen mukaansa työntekijän toiminta oli tahatonta. Käyttäjätunnuksen ja vuotaneen salasanan kautta hyökkääjä kuitenkin pääsi sisälle yhteen Vincitin asiakkaan suljettuun verkkoon. Mannin mukaan työntekijän käyttäjätunnuksella ei ollut asiakasverkossa oikeuksia järjestelmiin, joissa käsiteltiin henkilötietoja.
– Tässä hyökkäyksessä on useampi eri porras. Yksittäisen peruskäyttäjän tunnuksilla on päästy niin sanotusti linnan muurien etupihalle, Manni sanoo.
Manni sanoo, että Vincitin työntekijä on joutunut rikollisen hyökkäyksen kohteeksi, mutta ei ota kantaa siihen, vaikuttiko työntekijän huolimattomuus asiaan tai rikkoiko työntekijä Vincitin tietoturvaan liittyviä ohjeita.
– Tässä kohtaa sekä Vincitin sisäinen tutkinta että poliisitutkinta on vielä kesken, joten en voi kommentoida tätä.
Hyökkäysyrityksiä jatkuvasti
Tietoturvahyökkäys koski kymmentä Vincitin asiakasyritystä. Muiden asiakkaiden tietoihin hyökkääjät eivät kuitenkaan Vincitin mukaan päässeet käsiksi.
Laajuus ei paljastunut heti
Valion tietosuojavaltuutetulle tekemien ilmoitusten mukaan ensimmäinen vihje hyökkäyksestä joulukuun 12. päivä myöhään illalla oli se, että tietoturva hälytti pääkäyttäjätasoisten tunnusten epäilyttävästä käytöstä. Valiolla alettiin tutkia tilannetta tarkemmin, ja hyökkääjän tietoliikenneyhteys saatiin katkaistua aamuyöllä.
Tuolloin kävi ilmi, että hyökkääjä oli onnistunut kryptaamaan parikymmentä palvelinta. Kryptaaminen estää hyökkäyksen kohdetta näkemästä, mitä tietoja on varastettu.
Valio teki ensimmäisen alustavan ilmoituksen tietosuojavaltuutetulle 16. joulukuuta. Useista myöhemmin tehdyistä ilmoituksista käy ilmi, että asian laajuus on paljastunut vaiheittain. 19. joulukuuta saatiin selville, että että Valion Eläkekassan käytössä oleva verkkolevy on todennäköisesti kopioitu kokonaan ja sen tiedot on siirretty ulkomaille.
Julkisesti Valio kertoi asiasta 20. joulukuuta. Vincit ilmoitti samana päivänä tiedotteessa olleensa kyberhyökkäyksen kohteena. Yhteyttä Valion tietomurtoon ei kuitenkaan kerrottu, vaan asiasta kertoi Yle.
Ilmoitusten mukaan hyökkääjä saattoi saada haltuunsa kaikkien Valion Suomessa työskentelevien työntekijöiden ja maidonhankintaosuuskuntien työntekijöiden nimet, henkilötunnukset, palkkatiedot ja tilinumerot. Tämä tarkoittaa yhteensä noin 5 000 ihmisen tietoja.
Tietoturvahyökkäysten motiivi raha
Hönö kertoo, että tietoturvahyökkäyksissä on yleensä motiivina tavalla tai toisella raha.
– Se, että millä tavalla se sitten konkretisoituu, että kiristetäänkö organisaatiota tai yksittäisiä henkilöitä tai kerätään maksukorttien tietoja, varmasti riippuu hyökkääjästä ja toimintatavasta.
Hönön mukaan henkilötunnusten, tilinumeroiden ja terveystietojen avulla on mahdollista yrittää tehdä erilaisia identiteettivarkauksia tai petoksia. Traficom on listannut verkkosivuilleen ohjeita identiteettivarkauksien ja tietovuotojen uhreille.
Tomi Engdahl says:
https://www.mtvuutiset.fi/artikkeli/uutta-tietoa-valioon-kohdistuneesta-tietoturvahyokkayksesta/9079566
Hänen mukaansa työntekijän toiminta oli tahatonta. Käyttäjätunnuksen ja vuotaneen salasanan kautta hyökkääjä kuitenkin pääsi sisälle yhteen Vincitin asiakkaan suljettuun verkkoon. Mannin mukaan työntekijän käyttäjätunnuksella ei ollut asiakasverkossa oikeuksia järjestelmiin, joissa käsiteltiin henkilötietoja.
– Tässä hyökkäyksessä on useampi eri porras. Yksittäisen peruskäyttäjän tunnuksilla on päästy niin sanotusti linnan muurien etupihalle, Manni sanoo.
Tomi Engdahl says:
https://www.securityweek.com/infostealer-masquerades-as-poc-code-targeting-recent-ldap-vulnerability/
Tomi Engdahl says:
https://www.securityweek.com/infostealer-infections-lead-to-telefonica-internal-ticketing-system-breach/
Tomi Engdahl says:
Financial Times:
Sources: the EU is reassessing its DMA probes into US tech giants like Apple, Meta, and Google, launched since March 2024, as US groups urge Trump to intervene
EU reassesses tech probes into Apple, Google and Meta
Tech groups have urged Donald Trump to intervene against overzealous European regulation
https://www.ft.com/content/2c1b6bfd-ce73-451d-8123-0df964266ae8
Tomi Engdahl says:
Samuel Stolton / Bloomberg:
Sources: the EU sent questionnaires to app developers in December focusing on concerns Apple’s Core Technology Fee of €0.50 per app install could drive up costs
Apple’s New App Fees Spark More EU Scrutiny Under Big Tech Rules
Firm’s new fees for developers lead to fresh EU questions
EU is examining Apple’s plans under a Digital Markets Act case
The Digital Markets Act imposes a raft of dos and don’ts for the world’s largest technology platforms, with fines of up to 10% of a company’s annual revenue for violations. Photographer: Gabby Jones/Bloomberg
Share feedback
Have a confidential tip for our reporters? Get in Touch
Before it’s here, it’s on the Bloomberg Terminal
LEARN MORE
By Samuel Stolton
13 January 2025 at 15:21 EET
Apple Inc.’s revamped fees for app developers are under fresh scrutiny from European Union antitrust regulators amid concerns they could drive up costs for software makers.
European Commission watchdogs recently circulated a new round of questionnaires focusing on the iPhone maker’s “core technology fee” — a new charge of €0.50 ($0.51) per installed app applied to developers, according to people familiar with the matter who spoke on condition of anonymity.
https://www.bloomberg.com/news/articles/2025-01-13/apple-s-new-app-fees-spark-more-eu-scrutiny-under-big-tech-rules
Tomi Engdahl says:
https://cybersecuritynews.com/hackers-exploiting-youtube-malware/
Tomi Engdahl says:
PoC Exploit Released For OpenSSH Arbitrary Code Execution Vulnerability
https://cybersecuritynews.com/regresshion-code-execution-vulnerability/#google_vignette
Tomi Engdahl says:
https://cybersecuritynews.com/angular-expressions-vulnerability/
Tomi Engdahl says:
https://www.forbes.com/sites/daveywinder/2025/01/04/gmail-security-threat-confirmed-google-wont-fix-it-heres-why/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/over-4-000-backdoors-hijacked-by-registering-expired-domains/
Tomi Engdahl says:
https://www.securityweek.com/microsoft-patches-trio-of-exploited-windows-hyper-v-zero-days/
Tomi Engdahl says:
https://www.securityweek.com/uk-considers-banning-ransomware-payment-by-public-sector-and-cni/
Tomi Engdahl says:
Zero-Day Vulnerability in PDF Files Leaking NTLM Data in Adobe & Foxit Reader
https://cybersecuritynews.com/zero-day-vulnerability-in-pdf-files-leaking-ntlm-data-in-adobe-foxit-reader/#google_vignette
Cybersecurity researchers at EXPMON have uncovered an intriguing “zero-day behavior” in PDF samples that could potentially be exploited by attackers to leak sensitive NTLM authentication data.
The discovery highlights vulnerabilities in how Adobe Reader and Foxit Reader handle certain PDF actions, though researchers emphasize that no evidence suggests the behavior was created with malicious intent in the analyzed samples.
Tomi Engdahl says:
Painajainen toteutui: Miljoonien ihmisten paikkatiedot varastettiin
Ihmisistä kerättävästä tiedosta on kasvanut valtava markkina. Nyt yksi alan suurista toimijoista murrettiin.
Luin seuraavan artikkelin ja ajattelin sen kiinnostavan sinua:
Painajainen toteutui: Miljoonien ihmisten paikkatiedot varastettiin
https://www.is.fi/digitoday/art-2000010962148.html
Datanvälitysyhtiö Gravy Analytics kärsi tietomurron, jonka seurauksena ainakin 30 miljoonaa eri laitteiden sijaintitietoa päätyi vääriin käsiin. Murrosta uutisoi ensin 404 Media, ja tapahtumia koostaa TechCrunch. Gravyn emoyhtiö Unacast on vahvistanut tietomurron, mutta sen laajuus on vielä epäselvä.
Tomi Engdahl says:
FBI Uses Malware’s Own ‘Self-Delete’ Trick to Erase Chinese PlugX From US Computers
Law enforcement turns the PlugX malware’s own self-delete mechanism against it, nuking the China-linked trojan from thousands of US machines.
https://www.securityweek.com/fbi-uses-malwares-own-self-delete-trick-to-erase-chinese-plugx-from-us-computers/
Tomi Engdahl says:
https://etn.fi/index.php/13-news/17024-arctic-wolf-varoittaa-fortinetin-palomuurin-haavoittuvuudesta
Tomi Engdahl says:
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_4/2025?fbclid=IwY2xjawH2E_9leHRuA2FlbQIxMQABHY7ZPWUd5Q0ebm7nyJM92RuUmafA3yi3kKt32hY1bQ2Wt901XGhSbvKKzA_aem_oaqxNzDeJf-5aqh9hA8-yA
Tomi Engdahl says:
Telegram on luovuttanut Suomen viranomaisille tietoja käyttäjistään
Viestintäsovellus Telegram voi luovuttaa rikoksesta epäillyn käyttäjän ip-osoitteen ja puhelinnumeron viranomaisille. Aiemmin yhtiö teki näin vain poikkeustapauksissa.
https://yle.fi/a/74-20136157?origin=rss&fbclid=IwY2xjawH2InZleHRuA2FlbQIxMQABHRqK-087wPF61Fs8Gofo9uPx0SvUMMjgN9H3tGY2kMwkUuoSF0cHqrs73g_aem_b1NhMKP8LXONwVeqUECNIg
Tomi Engdahl says:
https://etn.fi/index.php/13-news/17033-kiristysohjelmissa-on-siirrytty-hajautettuun-uhkaan
Tietoturvayhtiö Check Point on laatinut ransomware-vuosiraportin viime vuodelta. 2024 oli ennätyksellinen kiristysohjelmahyökkäyksille, joita raportoitiin peräti 5414, mikä on 11 prosenttia enemmän kuin edellisvuonna. Vuoden keskeisin trendi oli hajautettujen ja ammattimaisten kiristysohjelmaryhmien nousu sekä siirtymä tietovuotopohjaiseen kiristykseen (Data Leak Extortion, DXF).
Tomi Engdahl says:
Raspberry Pi näyttää mallia, miten haavoittuvuuksiin pitää suhtautua
Julkaistu: 17.01.2025
Devices Embedded Software
Raspberry Pi -säätiö on osoittanut, miten avoimuus ja vastuullisuus voivat muuttaa tapaa, jolla teknologiateollisuus käsittelee tietoturvaongelmia. RP2350-ohjainpiirin ympärille luotu vuoden mittainen hacking challenge toi esiin neljä merkittävää haavoittuvuutta, jotka on nyt dokumentoitu ja joiden korjaaminen on jo työn alla.
https://etn.fi/index.php/13-news/17037-raspberry-pi-naeyttaeae-mallia-miten-haavoittuvuuksiin-pitaeae-suhtautua
Tomi Engdahl says:
https://thehackernews.com/2025/01/google-cloud-researchers-uncover-flaws.html
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2025-patch-tuesday-fixes-8-zero-days-159-flaws/
Tomi Engdahl says:
https://blog.adafruit.com/2025/01/14/the-raspberry-pi-rp2350-hacking-challenge-results-are-in-raspberry_pi/
Tomi Engdahl says:
https://www.bleepingcomputer.com/news/security/mikrotik-botnet-uses-misconfigured-spf-dns-records-to-spread-malware/
io game says:
thank you
Tomi Engdahl says:
Treasury Levels Sanctions Tied to a Massive Hack of Telecom Companies and Breach of Its Own Network
The Treasury Department announced sanctions in connection with a massive Chinese hack of American telecommunications companies and a breach of its own computer network.
https://www.securityweek.com/treasury-levels-sanctions-tied-to-a-massive-hack-of-telecom-companies-and-breach-of-its-own-network/
Tomi Engdahl says:
US Government Agencies Call for Closing the Software Understanding Gap
CISA and other agencies call to action for the US government to take steps to close the software understanding gap.
https://www.securityweek.com/us-government-agencies-call-for-closing-the-software-understanding-gap/
The cybersecurity agency CISA and other government agencies are calling to action for the US to take the necessary steps to improve cybersecurity by closing the software understanding gap.
This gap is the result of manufacturers building software that mission owners and operators lack the adequate capacity to verify, meaning that they cannot fully understand the software.
“This gap leads to an inability to create software that is secure by design, remediate defects once discovered, maintain software at the speed and scale of mission relevance, and secure software against exploits,” reads a fresh report (PDF) from CISA, DARPA, OUSD R&E, and NSA.
According to the authoring agencies, the US government needs to take decisive action to close the gap before other countries do, such as China, which has invested heavily in technology over the last decade, enhancing its defensive and offensive capabilities. China requires that all software be reviewed by the state and Russia has demanded access to software details to allow it on its markets.
“By closing the gap before other nations and obtaining a deep, scalable understanding of software-controlled systems, including artificial intelligence (AI)-based systems, the United States will secure an advantage in geopolitics for the foreseeable future and will help harden US critical infrastructure from adversarial state-sponsored activity,” the report reads.
Tomi Engdahl says:
https://etn.fi/index.php/13-news/17041-nyt-sinua-uhkaa-kuviin-piilotettu-haittakoodi
Tomi Engdahl says:
https://www.securityweek.com/google-releases-open-source-library-for-software-composition-analysis/
Tomi Engdahl says:
https://etn.fi/index.php/13-news/17043-haittakoodin-latausohjelma-suomen-ykkoesriesa
Tietoturvayhtiö Check Pointin joulukuun haittaohjelmakatsauksessa valokeilaan nousi FunkSec, joka on uusi tekoälyä hyödyntävien kiristyshaittaohjelmien palvelutuottaja. Yleisin haittaohjelma oli niin Suomessa kuin globaalisti FakeUpdates.
FakeUpdates on JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen.
Tomi Engdahl says:
TikTok went dark for American users on Saturday night.
TikTok users directed their anger at Mark Zuckerberg and Meta.
TikTok began returning on Sunday after Trump said he’d issue an executive order delaying a ban.
The hate train started almost immediately after TikTok went dark.
After TikTok Went Dark, Its Users Directed Their Frustration at Meta – Business Insider https://www.businessinsider.com/tiktok-users-angry-mark-zuckerberg-meta-instragram-2025-1
Tomi Engdahl says:
TikTok is back online after Trump pledged to restore it
https://www.cnn.com/2025/01/19/tech/tiktok-ban/index.html#amp_tf=L%C3%A4hde%3A%20%251%24s&aoh=17373728729166&csi=1&referrer=https%3A%2F%2Fwww.google.com&share=https%3A%2F%2Fwww.cnn.com%2F2025%2F01%2F19%2Ftech%2Ftiktok-ban%2Findex.html
https://www.cnn.com/2025/01/19/tech/tiktok-ban/index.html#amp_tf=L%C3%A4hde%3A%20%251%24s&aoh=17373728729166&csi=1&referrer=https%3A%2F%2Fwww.google.com&share=https%3A%2F%2Fwww.cnn.com%2F2025%2F01%2F19%2Ftech%2Ftiktok-ban%2Findex.html
Tomi Engdahl says:
This weekend was quite the roller-coaster ride for TikTok. While some headlines report that TikTok is back and imply that the matter is resolved, that’s not entirely the case. The app was removed from Apple’s App Store, as well as the app stores run by Google, Amazon, and Microsoft. None of those companies have restored it ……
https://9to5mac.com/2025/01/20/the-850-billion-reasons-apple-and-others-arent-taking-a-chance-on-tiktok/?fbclid=IwZXh0bgNhZW0CMTEAAR0dzeBf7NL0JfalcZdswHnCnwjA_meluj2GmpqjSX-nCHwP1IRebnCA3SU_aem_89PRi_cS6tRXgsB3n56ONw
Tomi Engdahl says:
Vesilaitoksiin murtauduttiin – Yle: KRP keskeytti tutkinnan
Tutkinnanjohtaja Jussi Luoto kertoo Ylelle, ettei viitteitä sabotaasiin löytynyt.
https://www.iltalehti.fi/kotimaa/a/3bb48043-1a74-421b-821c-534cab346060
Yle kertoo, että Keskusrikospoliisi (KRP) on keskeyttänyt viime kesänä Tampereella paljastuneiden vesilaitosmurtojen tutkinnan.
Myös Iltalehti uutisoi viime vuonna Tampereen Tesomalla ja Hervannassa tapahtuneista murroista. Kohteina olivat vesitorni ja paineenkorottamo. Murrot tapahtuivat kuukauden sisällä toisistaan.
Ylen haastattelema tutkinnanjohtaja Jussi Luoto kertoo, että esitutkinnat on keskeytetty eikä tapauksia aktiivisesti enää tutkita. Yle nostaa artikkelissaan esille viime heinäkuun spekulaatiot siitä, että tekijät olisivat venäläisiä tahoja, joiden tarkoitus on pelotella ja vaikuttaa suomalaisten mielipiteisiin.
Luoto kertoo Ylelle, ettei tällaisesta toiminnasta löytynyt merkkejä tutkinnasta. Mitään sabotaasiin viittaavaa ei selvinnyt.
Artikkelissa todetaan, että juttu saatetaan ottaa uudelleen tutkintaan, jos siitä saadaan uutta tietoa ja tukintaa voidaan sen perusteella jatkaa.
Viime kesänä paljastui useita tapauksia ympäri Suomea, joissa vesilaitoksiin oli murtauduttu tai yritetty murtautua.
Tomi Engdahl says:
https://www.securityweek.com/details-disclosed-for-mercedes-benz-infotainment-vulnerabilities/
Tomi Engdahl says:
Ransomware Groups Abuse Microsoft Services for Initial Access
Sophos warns of two ransomware groups abusing Microsoft 365 services and default configurations to contact internal enterprise users.
https://www.securityweek.com/ransomware-groups-abuse-microsoft-services-for-initial-access/
Tomi Engdahl says:
Androxgh0st iskee IoT-laitteisiin ja kriittiseen infrastruktuuriin
https://www.uusiteknologia.fi/2024/12/11/androxgh0st-iskee-iot-laitteisiin-ja-kriittiseen-infrastruktuuriin/
Tietoturvayhtiö Check Point Softwaren haittaohjelmakatsaus nostaa esiin Androxgh0stin nousun sekä Jokerin ja Anubiksen jatkuvat uhat ja entistä kehittyneemmät toimintatavat. Haitake jatkaa hyökkäyksiä esimerkiksi kriittiseen infrastruktuuriin. Androxgh0stin oli myös Suomen että maailman yleisin haittaohjelma.
Mozin toimintatapoja jäljitellen Androxgh0st käyttää etäkoodin suorittamista ja tunnistetietojen varastamista, jotta se säilyttää jatkuvan pääsyn järjestelmiin. Tämä mahdollistaa muun muassa palvelunestohyökkäykset (DDoS) ja tietovarkaudet. Bottiverkko tunkeutuu kriittiseen infrastruktuuriin korjaamattomien haavoittuvuuksien kautta, ja Mozin ominaisuuksien lisääminen on merkittävästi laajentanut Androxgh0stin toimintamahdollisuuksia.
Androxgh0st pystyy Check Pointin mukaan tartuttamaan enemmän IoT-laitteita ja hallitsemaan laajempaa kohdejoukkoa bottiverkkojen kautta. Näillä hyökkäyksillä on laajoja vaikutuksia eri toimialoihin, mikä korostaa niiden vakavuutta niin hallituksille, yrityksille kuin yksityishenkilöillekin, jotka ovat riippuvaisia kriittisestä infrastruktuurista.
Mobiilihaittaohjelmista Joker on tutkijoiden mukaan edelleen yleisin uhka, ja sitä seuraavat Anubis ja Necro. Joker varastaa edelleen tekstiviestejä, yhteystietoja ja laitetietoja samalla, kun se huomaamatta tilaa käyttäjän puolesta maksullisia palveluita. Anubis, pankkitroijalainen, on puolestaan saanut uusia ominaisuuksia, kuten etäkäyttötoimintoja, näppäinpainallusten tallentamista ja kiristysohjelmaominaisuuksia.