Праздник санкций продолжается. Не успели остыть чернила на санкционных документах Евросоюза в отношении ГРУ и его сотрудников, подозреваемых во взломе сети Бундестага в составе APT 28 aka Fancy Bear, как на сцену бодрой походкой выходит Министерство финансов США.

Вчера американский Минфин объявил о введении санкций в отношении московского Центрального научно-исследовательского института химии и механики (ЦНИИХМ) за причастность к атаке Triton на промышленные системы управления (ICS) в 2017 году. Мы эту атаку рассматривали достаточно подробно здесь и в курсе о чем конкретно идет речь.

Сразу обозначимся, что причастность ЦНИИХМ к атаке Triton следует из расследования FireEye, вышедшего через год после атаки. И мы в обзоре озвучили свою позицию, которая заключается в том, что приведенные американцами TTPs выглядели правдоподобно, хотя для полной уверенности материалов не хватало. Ну и надо учитывать, что FireEye контора все-таки сидящая под ЦРУ.

Перейдем к лукавству американского Минфина.

Во-первых, утверждается, что Triton был разработан для нанесения максимального ущерба атакуемой ICS с целью причинить значительный физический ущерб и гибель людей. Проще говоря, чтобы создать критическую аварийную ситуацию. Это, мягко говоря, не так - судя по поведению вредоноса он, в первую очередь, был создан для глубокого проникновения в атакуемую ICS и сбора с этих позиций конфиденциальной информации.

Более того, в функционале вредоноса было поддержание штатного режима работы Triconex SIS, атакуемого им промышленного контроллера. Этого вредоносу сделать не удалось, в силу несоответствия некоторых кодов приложений, из-за чего ICS, собственно говоря, и вывалилась в аварийный режим, после чего Triton и был обнаружен.

Также в 2019 году те же FireEye заявили, что обнаружили атаку Triton на еще один промышленный объект, и целью атакующих было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.

Во-вторых, поскольку единственно точно установленная атака вредоноса Triton была направлена на нефтехимический завод саудовской компании Tasnee, а в отношении второй атаки в 2019 американцы данных о принадлежности жертвы не давали (видимо так же не из США), надо было как-то обосновать тот факт, почему американцы накладывают санкции за атаку на саудитов.

В этом случае, само собой, помогают волшебное словосочетание "highly likely" и его производные. В этот раз использовалось "were also reported". По данным американского Минфина, "сообщалось" (кем? где? когда?), что стоящая за Triton хакерская группа сканировала сети не менее 20 электроэнергетических компаний США.

Собственно, этого достаточно для обвинения ЦНИИХМ в нападении на США и их союзников и применении санкций в его отношении.

А ну и еще атака Triton названа Минфином США "самой опасной из известных угроз" по мнению частной индустрии инфосек. Не знаем, нас не спрашивали, а то мы назвали бы самой опасной угрозой атаку Stuxnet, которая потенциально могла привести к радиоактивной катастрофе. Но не израильское же Управление военной разведки американцам наказывать, тем более, что им АНБ помогали.

Ну и напоследок, подозреваем, что санкции в отношении ЦНИИХМ связаны с войнами коронавирусных вакцин, но это не наша епархия, поэтому никаких заключений делать не будем.

​​На канале Russian OSINT на YouTube вышло прелюбопытнейшее интервью с владельцами ransomware Sodinokibi (REvil). У него всего несколько тысяч просмотров, что, по нашему мнению, очень мало для такого материала (нет, это не реклама канала Russian OSINT).

А все потому, что интервью выглядит очень правдоподобно, а значит выводы, которые в силу его правдоподобности можно сделать, приобретают большое значение. Там и политика, и правоохранительные органы, и, само собой, вопросы информационной безопасности.

Мы выделим только самое основное, что бросилось нам в глаза. Начнем с информационной безопасности.

1. Один из подписчиков спрашивал нас, насколько вероятно пересечение ransomware в одной сети, на что мы ответили, что маловероятно. Но REvil говорят, что такое бывает достаточно часто, по причине чего они поддерживают партнерские контакты с другими группами, например с Maze.

2. Вымогатели анонсировали информацию о громкой атаке на производителя игр, которая уже произошла.

3. Доход только владельца REvil - больше 100 млн. долларов в год. Учитывая, что владельцу достается приблизительно 30% от выкупа, общая сумма выплат за атаки Sodinokibi за год - приблизительно 450 млн. долларов. Если ориентироваться на отчет IBM X-Force, которые посчитали, что на долю Sodinokibi приходится 29% атак ransomware, то получается, что в качестве выплат операторам вымогателей за год компании заплатили более 1,5 млрд. долларов. Подсчет очень грубый, но дает представление о порядке чисел.

4. Самые крупные атаки REvil на нью-йоркскую юридическую контору Grubman Shire Meiselas & Sacks (про этот взлом еще напишем отдельно) и компанию Travelex были осуществлены через непропатченные Citrix и Pulsar (так сказано в ролике, видимо имеется в виду Pulse VPN). Еще один распространенный способ компрометации сети - брутфорс или эксплойт уязвимостей RDP.

5. Около одной трети взломов остается в тени, поскольку пострадавшие компании оперативно выплачивают выкуп с целью нераспространения информации об инциденте.

6. Самые жирные цели для операторов ransomware - IT-компании, страховые и юридические фирмы, а также производственные компании, особенно агропромышленные.

Это основные, на наш взгляд, моменты. А про политические аспекты интервью мы напишем в следующем посте.

Теперь про вопросы политики и правоохранительных органов из интервью владельца ransomware REvil aka Sodinokibi.

1. В результате майского взлома нью-йоркской юридической конторы Grubman Shire Meiselas & Sacks хакеры увели 756 Gb конфиденциальных документов ее клиентов. REvil требовали тогда 42 миллиона долларов, поскольку в документах обнаружили "грязное белье" Трампа.

Юристы платить не захотели, после чего сведения в отношении ухода от налогов со стороны компаний Трампа были проданы хакерами третьей стороне. Мы полагаем, что это именно те данные, которые использовались в конце сентября газетой The New York Times в своих обвинениях в адрес действующего американского Президента.

Таким образом, кто знает, возможно жадность Grubman Shire Meiselas & Sacks будет стоить Трампу президентского поста.

2. На вопрос о том, какие спецслужбы охотятся на REvil, хакеры назвали SIS (Секретная служба США) и Европол, а также инфосек компании. По их информации, они периодически выявляют попытки войти в доверие со стороны агентов этих органов, но те "сыплются на вопросах на политическую и социальную тематику стран СНГ".

Это означает только одно - российские правоохранительные органы по REvil (а равно и другим владельцам ransomware) не работают. И это не наше мнение, а прямые слова самих хакеров.

3. Хакеры прекрасно осознают, что они невыездные пожизненно. Но, судя по всему, вна территории стран СНГ чувствуют себя прекрасно. См. пункт 2.

Со всеми остальными моментами интервью можете ознакомиться сами.

Несмотря на то, что последнее время (да и вообще практически всегда) мировая новостная повестка забита материалами про страшных русских (китайских, иранских, северокорейских) хакеров, иногда представители прогрессивной общественности не могут удержать свой язык за зубами и делают чуть ли не официальные заявления насчет хакерской деятельности западных спецслужб.

В этот раз отличился лорд Марк Седвилл, до недавнего времени занимавший пост секретаря кабинета министров Великобритании, а также, по совместительству,советник по национальной безопасности.

Как пишет The Guardian, товарищ Седвилл напрямую заявил в интервью Times Radio, что Великобритания осуществила ряд скрытых операций против России и ее союзников с использованием своего наступательного кибернетического потенциала. В переводе на человеческий - провела хакерские атаки.

Ну, для нас это не новость. По крайней мере, об атаке в 2018 году британцев на Яндекс информация имеется. Любопытно, что, судя по спичу британского лорда, таких атак было несколько. Вероятно не все всплыло.

Check Point продолжает приводить примеры использования своей новой техники по установлению авторов эксплойтов с помощью изучения их fingerprints.

Мы уже рассказывали про эту методику - первая часть была здесь.

В этот раз израильтяне решили рассмотреть 1-day эксплойт CVE-2018-8453, предназначенный для повышения локальных привилегий (LPE) в Windows и используемый операторами ransomware Sodinokibi, Maze и др.

Изучив fingerprint эксплойта и сравнив его с другими, исследователи получили 5 однодневных эксплойтов (CVE-2013-3660, CVE-2015-0057, CVE-2015-1701, CVE-2016-7255 и, соответственно, CVE-2018-8453), которые были написаны одним и тем же автором (группой) и направлены на LPE.

Как установили Check Point, за всеми этими эксплойтами стоит актор PlayBit aka luxor2008. Исследователи выявили ряд особенностей в написании эксплойтов со стороны их автора. Например, в каждом примере существовала маленькая обертка вокруг эксплойта, которая проверяет действительно ли целевой хост подвержен эксплуатируемой уязвимости.

Что же удалось узнать израильтянам в отношении PlayBit. Ну, во-первых, оказалось, что актор - русскоязычный (не удивительно) и рекламируется на русскоязычных же хакерских форумах. Во-вторых, у PlayBit есть свой одноименный YouTube-канал с демонстрациями работы эксплойтов и он доступен (!).

PlayBit работает как минимум с 2012 года и в среднем изготавливает на продажу по одному эксплойту в год. Также обнаружились совсем свежие эксплойты от этого автора - CVE-2019-1069 и CVE-2020-0787.

Цены на однодневные эксплойты, само собой, гораздо ниже 0-day и у PlayBit составляют от 5 до 10 тыс. долларов, причем цена была приблизительно одна и та же из года в год.

В общем, методика fingerprint's эксплойтов вполне рабочая и дает интересные результаты. С помощью нее Check Point вполне могут каталогизировать создателей эксплойтов, что, без сомнения, сделает картину киберпреступного мира более прозрачной и понятной.

Press Trust of India (PTI), крупнейшее информационное агентство Индии, вечером в субботу подверглось атаке ransomware LockBit.

Как сообщает индийское издание The Hindu Business Line, практически все сервера информагентства были зашифрованы, в результате чего его работа была приостановлена.

В результате упорного труда индийского саппорта к утру 25 октября работоспособность сети была восстановлена, выкуп индийцы платить не стали.

Но, помня, что LockBit не брезгует воровством данных перед их шифрованием, а также то, что вымогатель находится в "партнерском союзе" с одним из ведущих владельцев ransomware - Maze, можно предположить, что для PTI все только начинается.

Теперь и до журналистов добрались.

​​"Я и 2020-й год"

​​Актуальное

Zoom наконец-то накатили сквозное шифрование (E2EE) на своих клиентах. Но не на всех.

Вчера компания объявила, что E2EE доступно для пользователей Windows, macOS и Android. Клиент под iOS ждет одобрения App Store и будет доступен, предположительно, в ближайшее время для "предварительного технического обзора".

Поддержка сквозного шифрования для браузеров пока отсутствует.

Ключи шифрования будут храниться на стороне клиента, что, по идее, делает невозможным перехват голосовых и видеовызовов со стороны компании. Как оно будет реализовано на самом деле - время покажет. В качестве алгоритма используется 256-битный AES в режиме GCM.

Хорошая новость, ведь чем больше шифрования в мессенджерах, тем больше приватность пользователей.

Яндекс впервые предоставил отчёт о прозрачности

Яндекс рассказал, какие данные интересовали власти России в период со второй половины 2019-го и первой половины 2020-го года.

За весь период правительство совершило порядка 30000 запросов в компанию, 16% из которых Яндекс отказался удовлетворять.

Согласно отчёту, правительство больше всего интересовал «Яндекс.Паспорт» и «Яндекс.Почта», чуть менее — «Яндекс.Такси», геосервисы и медиасервисы.

Компания заверяет, что доступ к электронной почте и личным перепискам может быть предоставлен только по судебному решению.

Напомним, что в июле был составлен «Рейтинг соблюдения цифровых прав», где Яндекс занял почётное третье место.

Эксплойт - один из из лучших каналов про IT и кибербезопасность в Telegram.

Читайте увлекательные истории про хакеров, полезные гайды по обеспечению личной безопасности в сети, а также малоизвестные секреты и лайфхаки для обитателей интернета.

BleepingComputer сообщает, что по европейскому энергетическому гиганту Enel Group проехал каток ransomware NetWalker и теперь вымогатели хотят добра на сумму 14 млн. долларов.

Enel Group - одна из крупнейших европейских энергетических компаний, родом из Италии, имеющая более 61 млн. клиентов и выручку в 2019 году в 90 млрд. долларов. Рядом с ней португальская EDP, которую в апреле зарансомили RagnarLocker, со своим годовым доходом в 15 млрд. евро скромно стоит в стороне.

И тем страннее относительно (годового дохода) небольшой размер выкупа в 14 млн. долларов. С EDP хакеры требовали в свое время почти 11 миллионов.

Судя по добытым журналистами материалам, Enel не пошли на сотрудничество с оператором ransomware, из-за чего владельцы NetWalker опубликовали первые скриншоты украденных у энергетиков данных. Если итальянцы не поменяют решение, то конфиденциальные сведения в размере 5 Тб окажутся в паблике.

Кстати, в июне Enel Group уже была атакована ransomware Snake (или EKANS), но тогда попытка вторжения была успешно пресечена. Видимо, после этого расслабились.

NetWalker - вымогатель, который появился осенью 2019 года и работает по схеме Ransomware-as-a-Service (RaaS). Замечен, в основном, в атаках на сети американских учебных заведений. А в сентябре этот вымогатель отличился тем, что с его помощью была зашифрована сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе.

А еще вот здесь мы приводили интересный отчет группы исследователей The DFIR Report, в котором они рассмотрели имевший место захват корпоративной сети оператором NetWalker всего за 1 час 5 минут.

У нас, в принципе, остался только один вопрос - когда будет достигнута планка в 100 млн. долларов в качестве выкупа. Судя по масштабу пострадавших компаний ждать осталось недолго.

​​​​31 декабря с лёгкой руки Adobe и по многочисленным "просьбам телезрителей" заканчивается эра технологии Flash, а также связанного с ней головняка специалистов по информационной безопасности.

Впрочем, нет, подождите. Ведь сначала надо выковырять Flash с подопечных компьютеров. А вот как раз Microsoft подогнал обновление, которое обещает снести Flash Player с компьютера отовсюду, раз и навсегда.

Впрочем, как говорится "да, но нет". По информации BleepingComputer обновление не трогает Flash Player в браузерах, в том числе Microsoft Edge. А также standalone версии технологии, которые пользователь мог установить на компьютер поверх системной установки. А может что-то ещё, до чего редакция не докопалась.

Так что головняк ещё впереди. Будет ли он последним? Тоже вопрос. Вангуем, что киберкриминал прокачает свои фишинговые кампании приглашением устанавливать "настоящее, окончательное обновление против Flash"

Круги на воде от камня, брошенного в 2013 году Эдвардом Сноуденом, по прошествии семи лет продолжают изображать на поверхности глобальной политики и кибербезопасности занятные фигуры.

Одно из откровений "Документов Сноудена" касалось сотрудничества АНБ с американскими компаниями-разработчиками для внедрения в их программные продукты бэкдоров. Таким образом спецслужба могла получать доступ к данным пользователей этого ПО в обход легальных процедур, криптографии и лишнего шума.

И вот всплыл еще один аргумент в подтверждение правдивости данных Сноудена о том, что такое сотрудничество существовало, существует и, по всей видимости, будет существовать.

По информации Reuters, сенатор Рон Уайден выразил озабоченность тем, что подобные бэкдоры АНБ могут быть украдены и применены враждебными силами против самих американцев. Ну, вы знаете – эффект бумеранга. Это когда из АНБ уплывает эксплойт EternalBlue, который потом выливается в глобальную эпидемию WannaCry. Плюс сводятся на нет усилия американского правительства по импортозамещению из Китая.

Признаемся, что в этот раз реакция АНБ нас удивила.

Во-первых, они ответили! Хоть и в своей обычной "сливной" манере, через прикормленных журналистов, но ведь дали ответ!

Во-вторых, они не стали отрицать своей деятельности по внедрению бэкдоров на этапе создания ПО.

В-третьих, они заверили сенатора и всея общественность, что всё под контролем – бэкдоры теперь разрабатываются и внедряются по неким новым правилам, которые «минимизируют шансы разоблачения и компрометации».

Ну что же, признаваться лучше поздно чем никогда.

​​Всё, что вы хотели знать об атрибуции в киберпространстве, но стеснялись спросить

​​А помните историю про то, как в конце сентября владельцы ransomware Sodinokibi (aka REvil) разместили на депозите своего аккаунта на одном из хакерских форумов миллион долларов в виде 99 BTC.

Так вот - их теперь там нет.

​​Настойчивостью и азартом исследователей из Positive Technologies восхищаемся и аплодируем.

Уже несколько лет они предметно копают архитектуру процессоров Intel.

Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.

В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.

А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.

Впрочем, без паники.

Во-первых, такое невозможно проделать удалённо.

Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.

В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.

Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?

Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.

Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.

Всего 15% людей используют IT сервисы, которые делают их эффективными в работе, бизнесе или учебе, а также экономят массу времени и денег!

остальные 85% просто-напросто не знают о них

В современном мире без IT - НЕВОЗМОЖНО

Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!

Подпишитесь сейчас - улучшите жизнь с помощью IT

​​Сводим олдскулы вместе с Joe Slowik!

​​Развитие атаки

​​И кульминация!