Вчера Лаборатория Касперского выпустила отчет о новом хитроумном вредоносе Ecipekac, который использовала китайская APT 10 aka Stone Panda.

APT 10 aka Stone Panda - это старая китайская хакерская группа, которая, как считается, работает под контролем МГБ КНР. Имеют достаточно богатую историю атак, среди которых можно выделить:
- Operation Soft Cell, направленную на долгосрочный взлом телекоммуникационных операторов и продолжавшуюся на протяжении как минимум пяти лет. Атаки были направлены на получение доступа к CDR (те кто в курсе, что такое CDR - медленно фалломорфируют);
- приписываемая APT 10 атака в январе 2019 года на Airbus, в ходе которой утекли конфиденциальные данные авиапроизводителя.

В конце 2018 года Директор ФБР выдвинул обвинения в отношении двух граждан КНР, Чжу Хуа и Чжана Шилонга, которых американцы подозревали в участии в составе APT 10 в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы. Среди жертв он назвал даже НАСА и Министерство энергетики США. Следом за американцами подтянулся Евросоюз, также объявивший санкции.

Но китайцам "все по херу, что Боб Марли, что Есенин", они и после обвинений от США и ЕС продолжили заниматься проведением киберопераций, одну из которых и нашли Касперские в 2019 году. Продолжавшаяся до декабря 2020 года кибершпионская кампания была направлена на промышленные объекты, в том числе японские.

Для первичной компрометации атакуемой сети хакеры использовали уязвимости в Pulse VPN (мы все помним про уязвимости в Pulse VPN) или применяли украденные ранее учетные данные.

В ходе проникновения злоумышленники использовали оригинальные вредоносы - многослойный загрузчик Ecipekac, а также полезную нагрузку в виде безфайловых трояна удаленного доступа P8RAT и бэкдора SodaMaster. Ecipekac в своей работе использует достаточно редкую технику обхода цифровой подписи, которая впервые была представлена на BlackHat 2016.

Проанализировав TTPs Касперские смогли весьма аргументировано атрибутировать стоящую за кибероперацией хакерскую группу как APT 10 по множеству совпадений в техниках, коде вредоносов и в используемой инфраструктуре. К примеру, в SodaMaster был жестко зашит URL, ранее использовавшийся APT 10 в атаках на турецкие финансовый и телекоммуникационный секторы.

Касперские обещают и дальше следить за проделками китайских хакеров из APT 10 aka Stone Panda, ну а мы будем следить за Касперскими (хе-хе).

Пройди тест. Посмотрим на твое Линкукс-кунг-фу!

Вы уже работаете с Linux, но хотите оперативно устранять сбои и решать нестандартные задачи при настройке серверов? Все продвинутые навыки — от баш-скриптов и умения гибко рулить авторизацией до применения подхода Infrastructure as code — ждут вас на онлайн-курсе «Administrator Linux. Professional» от OTUS.

Начните учиться с демо-занятий:

5 апреля 20:00 по Мск. Тема «Практикум по написанию Ansible роли».
Вместе с ведущим инженером Евгением Кузиным вы научитесь автоматизировать настройку инфраструктуры. За 1,5 часа вы узнаете, как писать, тестировать и отлаживать Ansible роли. Для участия необходимо заранее установить Ansible и пройти вступительный тест для регистрации: https://otus.pw/8pFL/

12 апреля в 20:00 по Мск. Тема «Работа с текстом в оболочке Bash».
Эксперт Викентий Лапа, более 10 лет работающий с Linux дистрибутивами, разберет встроенные и внешние возможности оболочки по работе с текстом.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/Deyd/

Для Linux-специалистов с опытом это возможность познакомиться с преподавателями и оценить качество знаний на курсе. Регистрируйтесь и до встречи на занятиях!

​​Эволюция киберугроз: кто и как атаковал российские компании в 2020

Киберпреступное сообщество постоянно эволюционирует, и события 2020 года стали благодатной почвой для его развития. За 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» зафиксировал более 230 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики. Какие типы атак стали наиболее популярными? Кто за ними стоял? Какие инструменты и методы применяли злоумышленники разного уровня квалификации? О трендах киберугроз в 2020 году расскажет руководитель группы пресейла Solar JSOC Артем Кильдюшев.

Программа вебинара:
1. Обзор целей, инструментов и техник злоумышленников различных уровней
2. Статистика по внутренним и внешним инцидентам
3. Самые громкие киберинциденты 2020 года
4. Эволюция вредоносного ПО: наблюдения и интересные факты о вредоносном программном обеспечении, с которым сталкивался центр расследования киберинцидентов Solar JSOC CERT
5. Статистика по использованию различных источников Threat Intelligence в детектировании инцидентов
6. К чему готовиться экспертам по ИБ в 2021 году

Участники вебинара смогут задать вопросы в прямом эфире, а также получат свежий ежегодный отчет Solar JSOC Security Report 2020. Документ подготовлен на основе анализа событий информационной безопасности, обработанных командой Solar JSOC в 2020 году. За этот период эксперты компании обеспечили контроль и выявление инцидентов для более чем 140 крупных организаций самых разных отраслей экономики: банки, энергетика и нефтегазовый сектор, органы государственной власти и другие.
Участие в вебинаре бесплатное.

Ждем вас!