В начале ноября владельцы ransomware Maze заявили о прекращении своей деятельности. Правда работающие с Maze хакерские группы организованно начали переходить на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor, похоже, это новая итерация Maze, за которым стоят те же разработчики.
Ну и вот случилась очередная громкая атака от оператора Egregor. Чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, в выходные стала жертвой вымогателя.
В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру невозможности оплаты товаров банковскими картами.
Новой фишкой Egregor является распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах. Видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware.
Интересно, а насколько готов российский ритейл к атакам вымогателей? А то так придешь за батоном в Пятерочку, а они на кассе ransomware веником гоняют.
Ну и вот случилась очередная громкая атака от оператора Egregor. Чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, в выходные стала жертвой вымогателя.
В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру невозможности оплаты товаров банковскими картами.
Новой фишкой Egregor является распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах. Видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware.
Интересно, а насколько готов российский ритейл к атакам вымогателей? А то так придешь за батоном в Пятерочку, а они на кассе ransomware веником гоняют.
BleepingComputer
Retail giant Cencosud hit by Egregor Ransomware attack, stores impacted
Chilean-based multinational retail company Cencosud has suffered a cyberattack by the Egregor ransomware operation that impacts services at stores.
Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".
В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.
Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.
Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.
Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).
В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.
Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.
#APT #Lazarus
WeLiveSecurity
Lazarus supply‑chain attack in South Korea
ESET research uncovers attempts to deploy Lazarus malware via a supply-chain attack that abuses genuine security software and stolen digital certificates.
—Партнерский пост—
Код Дурова — канал, где люди уже 4 года узнают честные новости о Telegram
◖ Без фейков
◖ Быстрее всех
◖ С комментариями команды Telegram
Так же редакция делится передовыми новостями из мира IT, гаджетов и технологий.
На кого ещё подписываться, если не на старый и проверенный временем Код Дурова?
Павел, моргните дважды, если тоже их читаете
Код Дурова — канал, где люди уже 4 года узнают честные новости о Telegram
◖ Без фейков
◖ Быстрее всех
◖ С комментариями команды Telegram
Так же редакция делится передовыми новостями из мира IT, гаджетов и технологий.
На кого ещё подписываться, если не на старый и проверенный временем Код Дурова?
Павел, моргните дважды, если тоже их читаете
Канадский город Сайнт-Джон в минувшее воскресенье подвергся серьезной кибератаке, как сообщает CBC.
В результате все муниципальные сервисы города были выведены из строя, за исключением службы экстренной помощи 911. Кроме того, власти пока не знают были ли скомпрометированы какие-либо персональные данные жителей города.
Судя по попыткам властей "сдержать и искоренить вирус", речь идет об очередной атаке ransomware на муниципальную инфраструктуру. Какой конкретно вымогатель стоит за этим - пока неизвестно.
В результате все муниципальные сервисы города были выведены из строя, за исключением службы экстренной помощи 911. Кроме того, власти пока не знают были ли скомпрометированы какие-либо персональные данные жителей города.
Судя по попыткам властей "сдержать и искоренить вирус", речь идет об очередной атаке ransomware на муниципальную инфраструктуру. Какой конкретно вымогатель стоит за этим - пока неизвестно.
CBC
City of Saint John hit by 'significant' cyber attack | CBC News
The city of Saint John is experiencing a 'significant' cyber attack, and officials say it's not yet clear whether anyone's personal information has been compromised.
Никогда такого не было и вот опять. Motherboard выяснили, что американские военные, а также частные разведывательные компании, покупают данные о местоположении пользователей мобильных устройств у разработчиков приложений.
Журналисты смогли выявить две фирмы, торгующие обогащенными данными о местоположении пользователей. Первая - это Babel Street, про сотрудничество которой с американскими спецслужбами мы уже писали. Теперь оказалось, что геоданные у этой компании покупает также и Командование специальных операций ВС США (USSOCOM). И хотя передаваемые данные якобы являются анонимными, один из бывших сотрудников Babel Street сообщил журналистам, что имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Второй организацией, занимающейся сбором и продажей геоданных, является американская компания X-Mode и с ней все еще интереснее. X-Mode предлагает разработчикам включать ее SDK, собирающий данные местоположения, в свои приложения, за что платит деньги. Например, приложение, имеющее 50 тыс. активных пользователей, будет приносить разработчику 1500 долларов в месяц.
X-Mode ежемесячно отслеживает как минимум 25 млн. устройств на территории США и 40 млн. устройств в остальном мире, но, скорее всего, это количество сильно больше. Так, SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее более 70 млн. загрузок, в счетчик шагов Accupedo, в серию приложений для знакомств xxxx Social, среди которых есть и Russia Social с более чем 100 тыс. установок, а также во многие другие.
Кроме USSOCOM, клиентами X-Mode являются две крупные частные разведывательные компании - Sierra Nevada Corporation и Systems&Technology Research, которые предлагают американским военным и спецслужбам аналитику данных.
Кстати, Sierra Nevada Corporation являлась автором известного отчета, в котором возникновение COVID-19 объяснялось аварией в Уханьском институте вирусологии в октябре 2019 года. И хотя выводы отчета были неоднократно раскритикованы, интересен факт использования в качестве первичных данных информации о геолокации сотрудников китайского Института.
Треш, угар и содомия. Вот что происходит с приватностью пользовательских данных в современном мире.
Журналисты смогли выявить две фирмы, торгующие обогащенными данными о местоположении пользователей. Первая - это Babel Street, про сотрудничество которой с американскими спецслужбами мы уже писали. Теперь оказалось, что геоданные у этой компании покупает также и Командование специальных операций ВС США (USSOCOM). И хотя передаваемые данные якобы являются анонимными, один из бывших сотрудников Babel Street сообщил журналистам, что имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Второй организацией, занимающейся сбором и продажей геоданных, является американская компания X-Mode и с ней все еще интереснее. X-Mode предлагает разработчикам включать ее SDK, собирающий данные местоположения, в свои приложения, за что платит деньги. Например, приложение, имеющее 50 тыс. активных пользователей, будет приносить разработчику 1500 долларов в месяц.
X-Mode ежемесячно отслеживает как минимум 25 млн. устройств на территории США и 40 млн. устройств в остальном мире, но, скорее всего, это количество сильно больше. Так, SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее более 70 млн. загрузок, в счетчик шагов Accupedo, в серию приложений для знакомств xxxx Social, среди которых есть и Russia Social с более чем 100 тыс. установок, а также во многие другие.
Кроме USSOCOM, клиентами X-Mode являются две крупные частные разведывательные компании - Sierra Nevada Corporation и Systems&Technology Research, которые предлагают американским военным и спецслужбам аналитику данных.
Кстати, Sierra Nevada Corporation являлась автором известного отчета, в котором возникновение COVID-19 объяснялось аварией в Уханьском институте вирусологии в октябре 2019 года. И хотя выводы отчета были неоднократно раскритикованы, интересен факт использования в качестве первичных данных информации о геолокации сотрудников китайского Института.
Треш, угар и содомия. Вот что происходит с приватностью пользовательских данных в современном мире.
VICE
How the U.S. Military Buys Location Data from Ordinary Apps
A Muslim prayer app with over 98 million downloads is one of the apps connected to a wide-ranging supply chain that sends ordinary people's personal data to brokers, contractors, and the military.
Несмотря ни на что есть и хорошие новости, касающиеся обеспечения приватности пользователей.
На прошлой неделе Apple объявили, что с 8 декабря разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры, а также в каких целях эти данные будут использоваться.
Теперь же Mozilla включили в новую версию Firefox функцию HTTPS-Only Mode, которая автоматически пытается соединиться с посещаемым сайтом HTTPS, а в случае если это невозможно выдает ошибку и просит подтвердить соединение по HTTP вручную.
По умолчанию новая функция отключена, но ее можно активировать вручную.
Еще один небольшой кирпичик в стену конфиденциальности.
На прошлой неделе Apple объявили, что с 8 декабря разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры, а также в каких целях эти данные будут использоваться.
Теперь же Mozilla включили в новую версию Firefox функцию HTTPS-Only Mode, которая автоматически пытается соединиться с посещаемым сайтом HTTPS, а в случае если это невозможно выдает ошибку и просит подтвердить соединение по HTTP вручную.
По умолчанию новая функция отключена, но ее можно активировать вручную.
Еще один небольшой кирпичик в стену конфиденциальности.
В связи с увольнением Трампом директора американского Агентства кибербезопасности (CISA) Криса Кребса половина инфосек сообщества кинулась с задором обсасывать эту новость.
Кребс - хороший человек или редиска? Профессионал или нет? Трамп или кот? Вот такие вопросы интересуют уважаемых специалистов по информационной безопасности.
Какие там APT, что за проблемы с атрибуцией, о чем вы...
Кребс - хороший человек или редиска? Профессионал или нет? Трамп или кот? Вот такие вопросы интересуют уважаемых специалистов по информационной безопасности.
Какие там APT, что за проблемы с атрибуцией, о чем вы...
Twitter
Donald J. Trump
...votes from Trump to Biden, late voting, and many more. Therefore, effective immediately, Chris Krebs has been terminated as Director of the Cybersecurity and Infrastructure Security Agency.
В апреле этого года британская организация Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг (мы уже писали про ее исследования), совместно с британской же инфосек компанией Context, изучила ПО двух популярных в Европе автомобилей - Ford Focus и Volkswagen Polo.
В прошивке медиаустройства Volkswagen Polo нашлась уязвимость, благодаря которой исследователи смогли произвольно отключить систему контроля тяги (TCS), управлять светом фар, а также получить доступ к личным данным водителя.
У Ford Focus удалось подделать показания датчиков системы контроля давления в шинах (TPMS), а также получить данные сервисной сети Wi-Fi завода в Детройте, включая пароль от нее.
И если Volkswagen с готовностью пошли на сотрудничество с исследователями, то Ford отморозились и сказали, что у них все хорошо, а что касается пароля от заводского Wi-Fi, то это еще доказать надо и "нет у вас методов против Кости Сапрыкина".
И вот на днях Context опубликовали технические подробности взлома VW Polo. Как мы понимаем, потому, что Volkswagen исправил недостатки. Что же касается Ford Focus, то они в России все-равно в данный момент не продаются и их не жалко.
Context рассказали в общих деталях как они смогли обойти механизм проверки подписи обновления прошивки медиацентра Discover Media Volkswagen Polo версии 2019 года, а потом внедрить в него свой вредоносный код. Для этого им потребовался физический доступ к слоту SD-карт. посредством которых осуществляется обновление.
Но эксплойт британцы не опубликовали, поскольку, по их заявлению, основные элементы взломанной прошивки головного устройства используются, кроме Volkswagen, двумя другими автопроизводителями. И какие возможности по влиянию на системы управления автомобилем получат хакеры после взлома этих моделей - неизвестно.
Количество багов в автомобильном ПО все возрастает. К чему рано или поздно приведет их эксплуатация со стороны злоумышленников - тоже, в принципе, понятно. К людским жертвам.
В прошивке медиаустройства Volkswagen Polo нашлась уязвимость, благодаря которой исследователи смогли произвольно отключить систему контроля тяги (TCS), управлять светом фар, а также получить доступ к личным данным водителя.
У Ford Focus удалось подделать показания датчиков системы контроля давления в шинах (TPMS), а также получить данные сервисной сети Wi-Fi завода в Детройте, включая пароль от нее.
И если Volkswagen с готовностью пошли на сотрудничество с исследователями, то Ford отморозились и сказали, что у них все хорошо, а что касается пароля от заводского Wi-Fi, то это еще доказать надо и "нет у вас методов против Кости Сапрыкина".
И вот на днях Context опубликовали технические подробности взлома VW Polo. Как мы понимаем, потому, что Volkswagen исправил недостатки. Что же касается Ford Focus, то они в России все-равно в данный момент не продаются и их не жалко.
Context рассказали в общих деталях как они смогли обойти механизм проверки подписи обновления прошивки медиацентра Discover Media Volkswagen Polo версии 2019 года, а потом внедрить в него свой вредоносный код. Для этого им потребовался физический доступ к слоту SD-карт. посредством которых осуществляется обновление.
Но эксплойт британцы не опубликовали, поскольку, по их заявлению, основные элементы взломанной прошивки головного устройства используются, кроме Volkswagen, двумя другими автопроизводителями. И какие возможности по влиянию на системы управления автомобилем получат хакеры после взлома этих моделей - неизвестно.
Количество багов в автомобильном ПО все возрастает. К чему рано или поздно приведет их эксплуатация со стороны злоумышленников - тоже, в принципе, понятно. К людским жертвам.
Telegram
SecAtor
Следующая сентябрьская публикация прошла мимо нас, но содержащаяся в ней информация настолько хорошо демонстрирует проблемы в информационной безопасности у больших корпораций, имеющих дело с чувствительными данными, что мы не смогли пройти мимо.
Британская…
Британская…
Дорогие друзья! Пожалуй, пришло время сделать обзор на очередную прогосударственную APT. И в этот раз мы решили рассмотреть одну из иранских хакерских групп. А вот какую конкретно - мы спросим у вас!
На какую иранскую APT сделать следующий обзор?
Anonymous Poll
29%
APT 35 aka Magic Hound aka Charming Kitten
37%
MuddyWater aka Seedworm aka Static Kitten
34%
APT 34 aka OilRig aka Helix Kitten
—Партнерский пост—
Шестидневная онлайн-кибербитва и конференция по информационной безопасности The Standoff закончилась. Но доступ к выступлениям спикеров главной сцены, секции "ИБ для менеджеров" и технического трека открыт вам на еще очень долгое время.
В кибербитве приняли участие почти 30 команд нападения и 6 команд защиты. О ходе битвы и ее результатах, а также о будущем проекта читайте в официальном телеграм-канале The Standoff.
Шестидневная онлайн-кибербитва и конференция по информационной безопасности The Standoff закончилась. Но доступ к выступлениям спикеров главной сцены, секции "ИБ для менеджеров" и технического трека открыт вам на еще очень долгое время.
В кибербитве приняли участие почти 30 команд нападения и 6 команд защиты. О ходе битвы и ее результатах, а также о будущем проекта читайте в официальном телеграм-канале The Standoff.
У нас хорошая новость. Но как часто бывает в инфосек, она изначально проистекает из новости плохой. Обо всем по порядку.
Несколько дней назад Apple выпустили новую версию macOS под названием Big Sur. Мы сразу высказали свои опасения по поводу присутствующих в ней багов и прочих "модных технологий", которые в результате могут быть использованы злоумышленниками для компрометации целевой машины. И оказались правы.
Как выяснилось, в Big Sur присутствует новая функция, которая позволяет 56 ее собственным приложениям и процессам обходить файерволы и VPN, что не только может привести к потенциальному использованию этой лазейки хакерами, но и существенно подрывает приватность пользователей.
Не знаем, будут ли исправлять эту "не баг, а фичу" Apple, надеемся, что да. Но богоспасаемые разработчики ProtonVPN сообщили, что осуществили проверку и подтверждают, что их VPN-клиент для macOS не дает выделенным приложениям Apple его обходить. Единственное ограничение - работает это при включенной функции Kill Switch.
Если же Kill Switch отключен, то некоторые TCP-запросы, которые были инициированы до создания VPN-туннеля, могут продолжать работать в обход него.
Но мы-то знаем, что наши подписчики являются людьми просвещенными и всегда включают Kill Switch. Так что им беспокоиться не о чем.
Несколько дней назад Apple выпустили новую версию macOS под названием Big Sur. Мы сразу высказали свои опасения по поводу присутствующих в ней багов и прочих "модных технологий", которые в результате могут быть использованы злоумышленниками для компрометации целевой машины. И оказались правы.
Как выяснилось, в Big Sur присутствует новая функция, которая позволяет 56 ее собственным приложениям и процессам обходить файерволы и VPN, что не только может привести к потенциальному использованию этой лазейки хакерами, но и существенно подрывает приватность пользователей.
Не знаем, будут ли исправлять эту "не баг, а фичу" Apple, надеемся, что да. Но богоспасаемые разработчики ProtonVPN сообщили, что осуществили проверку и подтверждают, что их VPN-клиент для macOS не дает выделенным приложениям Apple его обходить. Единственное ограничение - работает это при включенной функции Kill Switch.
Если же Kill Switch отключен, то некоторые TCP-запросы, которые были инициированы до создания VPN-туннеля, могут продолжать работать в обход него.
Но мы-то знаем, что наши подписчики являются людьми просвещенными и всегда включают Kill Switch. Так что им беспокоиться не о чем.
Twitter
ProtonVPN
After thorough examination, we confirm that on ProtonVPN’s macOS app, no traffic is excluded from the encrypted VPN tunnel when Kill Switch is enabled (including Apple apps’ traffic). More details here: https://t.co/KYNv6VPVX8
Не так давно Apple объявили о вступление в декабре новых правил для разработчиков, подразумевающих предоставление подробной информации о собираемых приложениями пользовательских данных. Во след за ними шкандыбают Google.
Компания сообщила, что в январе 2021 года в действие вступит новый регламент, согласно которому разработчики расширений для Chrome также будут обязаны предоставлять сведения в отношении собираемой информации пользователя. Кроме того, будет запрещена продажа пользовательских данных, их использование для персонализированной рекламы, а также для кредитного скоринга.
Кстати, в политику конфиденциальности Google Play тоже внесены изменения - 16 декабря в силу вступят новые правила для разработчиков, похожие на правила от Apple, которые обязывают их предоставлять сведения о собираемых пользовательских данных не только на странице в Google Play, но и непосредственно в самом приложении.
Лед тронулся, товарищи присяжные заседатели. О приватности пользователей стали заботиться.
Компания сообщила, что в январе 2021 года в действие вступит новый регламент, согласно которому разработчики расширений для Chrome также будут обязаны предоставлять сведения в отношении собираемой информации пользователя. Кроме того, будет запрещена продажа пользовательских данных, их использование для персонализированной рекламы, а также для кредитного скоринга.
Кстати, в политику конфиденциальности Google Play тоже внесены изменения - 16 декабря в силу вступят новые правила для разработчиков, похожие на правила от Apple, которые обязывают их предоставлять сведения о собираемых пользовательских данных не только на странице в Google Play, но и непосредственно в самом приложении.
Лед тронулся, товарищи присяжные заседатели. О приватности пользователей стали заботиться.
Chromium Blog
Transparent privacy practices for Chrome Extensions
Protecting users and their data is a fundamental aspect of the work we do on Chrome. Last year, as part of Google’s Project Strobe , we anno...
По результатам опроса подписчики выбрали APT MuddyWater (Иран) в качестве объекта нашего следующего обзора.
Готовим!
Готовим!
Telegram
SecAtor
На какую иранскую APT сделать следующий обзор?
APT 35 aka Magic Hound aka Charming Kitten / MuddyWater aka Seedworm aka Static Kitten / APT 34 aka OilRig aka Helix Kitten
APT 35 aka Magic Hound aka Charming Kitten / MuddyWater aka Seedworm aka Static Kitten / APT 34 aka OilRig aka Helix Kitten
Как мы неоднократно говорили, мы неравнодушны к атакам на промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести. Кейс, про который мы хотим рассказать, наглядно демонстрирует проблемы с инфосек в этой области.
Исследователь Шэрон Бризинов из инфосек компании Claroty, обнаружила уязвимость в реализации стека ENIP от компании Real Time Automation (RTA), который является одним из наиболее распространенных ОТ-протоколов в ICS. Эксплуатация ошибки позволила бы хакеру осуществить как минимум атаку на отказ в обслуживании, как максимум - удаленно выполнить вредоносный код, то есть фактически взять атакованное устройство под свой контроль (напомним, что это не просто хост в сети, а какой-то компонент промышленной системы управления). В связи с этим уязвимость была оценена в 9,8 из 10 по шкале критичности.
Уязвимость затрагивала версии ENIP до 2.28, и RTA, после того, как ее уведомили об ошибке, выяснили, что она действительно была устранена в обновлении от 2012 года. Если бы речь шла о стандартных IT-системах, то на этом кейс можно было бы, пожалуй, закрывать. Но только не в этом случае, когда дело касается ICS.
Как оказалось, реализация ENIP от RTA была приобретена и интегрирована в собственные прошивки многими поставщиками компонентов ICS, некоторые из них купили уязвимые версии. Особенность же промышленных систем управления в том, что входящее в них ПО может не обновляться годами и десятилетиями. Такова специфика процесса.
В результате исследователи Claroty обнаружили 11 компонентов ICS от 6 производителей, которые оказались уязвимы, и некоторые из них торчат в сеть. С производителями срочно связались RTA, но смогут ли владельцы производства, на котором стоят эти уязвимые устройства, быстро их обновить - не ясно.
Таковы сегодняшние реалии в промышленном инфосеке. Необновленные устройства работают годами, из-за относительно небольшого распространения уязвимости могут сидеть в них еще дольше и никто об этом не узнает.
Исследователь Шэрон Бризинов из инфосек компании Claroty, обнаружила уязвимость в реализации стека ENIP от компании Real Time Automation (RTA), который является одним из наиболее распространенных ОТ-протоколов в ICS. Эксплуатация ошибки позволила бы хакеру осуществить как минимум атаку на отказ в обслуживании, как максимум - удаленно выполнить вредоносный код, то есть фактически взять атакованное устройство под свой контроль (напомним, что это не просто хост в сети, а какой-то компонент промышленной системы управления). В связи с этим уязвимость была оценена в 9,8 из 10 по шкале критичности.
Уязвимость затрагивала версии ENIP до 2.28, и RTA, после того, как ее уведомили об ошибке, выяснили, что она действительно была устранена в обновлении от 2012 года. Если бы речь шла о стандартных IT-системах, то на этом кейс можно было бы, пожалуй, закрывать. Но только не в этом случае, когда дело касается ICS.
Как оказалось, реализация ENIP от RTA была приобретена и интегрирована в собственные прошивки многими поставщиками компонентов ICS, некоторые из них купили уязвимые версии. Особенность же промышленных систем управления в том, что входящее в них ПО может не обновляться годами и десятилетиями. Такова специфика процесса.
В результате исследователи Claroty обнаружили 11 компонентов ICS от 6 производителей, которые оказались уязвимы, и некоторые из них торчат в сеть. С производителями срочно связались RTA, но смогут ли владельцы производства, на котором стоят эти уязвимые устройства, быстро их обновить - не ясно.
Таковы сегодняшние реалии в промышленном инфосеке. Необновленные устройства работают годами, из-за относительно небольшого распространения уязвимости могут сидеть в них еще дольше и никто об этом не узнает.
Claroty
ENIP Stack Vulnerability Causes Crashes or Leads to Code Execution
Claroty discovers a critical vulnerability in the 499ES EtherNet/IP (ENIP) stack, which could lead to a denial-of-service situation. Learn more.
Некие "бизнесмены" продают на одном из форумов информацию в отношении членов хакерской группы - владельца популярного ransomware, работающего по схеме RaaS (as-a-Service). Данные включают в себя имена и адреса проживания.
По словам продавца, ФБР предлагали забрать эту информацию у них бесплатно, но это LOL и поэтому ребята решили поднять кэш.
Однако, какие повороты сюжета.
По словам продавца, ФБР предлагали забрать эту информацию у них бесплатно, но это LOL и поэтому ребята решили поднять кэш.
Однако, какие повороты сюжета.
ZDNet опубликовали статью про 13 лучших сервисов VPN в 2020 году.
Среди них - Proton VPN, NordVPN, VyperVPN, ExpressVPN и другие. Сервисы оцениваются по ряду критериев, а также каждому дана краткая характеристика. Единственное, что мы бы добавили отдельным пунктом - возможность оплаты с помощью криптовалют, все-таки если пользователь хочет приватности, то она должна быть и в процессе оплаты.
В общем, полезная статья, пользуйтесь.
Среди них - Proton VPN, NordVPN, VyperVPN, ExpressVPN и другие. Сервисы оцениваются по ряду критериев, а также каждому дана краткая характеристика. Единственное, что мы бы добавили отдельным пунктом - возможность оплаты с помощью криптовалют, все-таки если пользователь хочет приватности, то она должна быть и в процессе оплаты.
В общем, полезная статья, пользуйтесь.
ZDNET
The best VPN services of 2024: Expert tested and reviewed
ExpressVPN is our choice for best VPN service, it's also one of the best VPNs for iPhone, Android, PC, and mac.
Смешная история, наверняка многие уже в курсе.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
The Bell
РБК: «русских хакеров» для взломов в США искали на российских сайтах вакансий
РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена…
Вчера премьер-министр Великобритании Борис Джонсон в своем выступлении перед Парламентом, которое было посвящено оборонным мероприятиям, объявил, что Британия создала Национальные киберсилы (NCF), которые будут действовать в киберпространстве против терроризма, организованной преступности и деятельности враждебных государств.
Следом за Джонсоном свое коммюнике выпустил британский Центр правительственной связи (GCHQ), в состав которого, кстати, входит Национальный центр кибербезопасности (NCSC), и который является фактически аналогом американского АНБ.
GCHQ раскрыл роль Национальных киберсил, приведя в качестве примера их операций вмешательство в работу мобильных телефонов и обеспечение безопасности британских ВВС (что фактически означает кибератаки по выведению из строя ПВО противника).
Предполагаемая численность NCF - 2 тыс. человек, годовой бюджет - четверть миллиарда фунтов стерлингов (в пересчете на наши - 25 миллиардов рублей).
Но самое прекрасное и незамутненное - это комментарии британских чиновников относительно NCF, основным функционалом которых, фактически, являются наступательные кибероперации.
Британский министр иностранных дел Доминик Рааб назвал их "ведущей силой в мире добра и инструментом обеспечения процветания и безопасности Интернета".
GCHQ же заявляет, что кибератаки NCF будут ответственными и соразмерными, в отличие от "операций некоторых противников Британии" (догадайтесь о ком речь).
Вот так. Кибератаки - это добро и безопасность, война - это мир, свобода - это рабство, незнание - сила. Добро пожаловать в дивный новый мир.
Следом за Джонсоном свое коммюнике выпустил британский Центр правительственной связи (GCHQ), в состав которого, кстати, входит Национальный центр кибербезопасности (NCSC), и который является фактически аналогом американского АНБ.
GCHQ раскрыл роль Национальных киберсил, приведя в качестве примера их операций вмешательство в работу мобильных телефонов и обеспечение безопасности британских ВВС (что фактически означает кибератаки по выведению из строя ПВО противника).
Предполагаемая численность NCF - 2 тыс. человек, годовой бюджет - четверть миллиарда фунтов стерлингов (в пересчете на наши - 25 миллиардов рублей).
Но самое прекрасное и незамутненное - это комментарии британских чиновников относительно NCF, основным функционалом которых, фактически, являются наступательные кибероперации.
Британский министр иностранных дел Доминик Рааб назвал их "ведущей силой в мире добра и инструментом обеспечения процветания и безопасности Интернета".
GCHQ же заявляет, что кибератаки NCF будут ответственными и соразмерными, в отличие от "операций некоторых противников Британии" (догадайтесь о ком речь).
Вот так. Кибератаки - это добро и безопасность, война - это мир, свобода - это рабство, незнание - сила. Добро пожаловать в дивный новый мир.
GOV.UK
PM statement to the House on the Integrated Review: 19 November 2020
Prime Minister Boris Johnson made a statement to the House of Commons on the Integrated Review.