Исследователи из ESET вскрыли впечатляющую по масштабам "атаку на цепочку поставок", нацеленную в итоге на правительственные организации Монголии.
Кибероперацию словаки назвали StealthyTrident, а длилась она, по их данным, как минимум с середины 2018 года по осень 2020.
В Монголии есть бизнес-платформа, которая называется Able. В ее состав входит приложение для чата Able Desktop, которое, как указывается на сайте производителя, используется 430 государственными монгольскими учреждениями.
ESET обнаружили, что легальное приложение Able Desktop загружает и устанавливает на машину пользователя бэкдор HyperBro, который является авторским и принадлежит китайской APT LuckyMouse aka APT 27 aka Emissary Panda.
Кроме того, Able Desktop использовался для доставки трояна удаленного доступа (RAT) Tmanger, который приписывался китайской же APT TA428. Правда для этого использовалось не само приложение, а механизм его обновления. Проведя анализ, исследователи пришли к выводу, что был скомпрометирован один или несколько серверов обновлений Able Desktop, их пара десятков и некоторые из них установлены в сторонних организациях.
И как будто бы этого мало, обнаружились еще две разных версии зараженного установщика Able Desktop, одна из которых содержала в себе HyperBro, а другая - еще один известный и популярный RAT PlugX.
Получается, что в течение 2-х лет китайцы активно шпионили за монгольскими чиновниками через их корпоративный мессенджер, разработчика которого они на каком-то этапе смогли скомпрометировать.
Остается добавить, что, LuckyMouse и TA428, вероятно, являются либо одной хакерской группой, работающей на Китай, либо ее подразделениями.
Наше же мнение такое - если государство пытается пересадить свои учреждения и госкомпании на использование конкретного ПО, то оно, в первую очередь, должно сосредоточить все возможные усилия на предотвращении атак на цепочки поставок. Иначе компрометация одного лишь "блатного" разработчика приводит к глобальному звиздецу.
Кибероперацию словаки назвали StealthyTrident, а длилась она, по их данным, как минимум с середины 2018 года по осень 2020.
В Монголии есть бизнес-платформа, которая называется Able. В ее состав входит приложение для чата Able Desktop, которое, как указывается на сайте производителя, используется 430 государственными монгольскими учреждениями.
ESET обнаружили, что легальное приложение Able Desktop загружает и устанавливает на машину пользователя бэкдор HyperBro, который является авторским и принадлежит китайской APT LuckyMouse aka APT 27 aka Emissary Panda.
Кроме того, Able Desktop использовался для доставки трояна удаленного доступа (RAT) Tmanger, который приписывался китайской же APT TA428. Правда для этого использовалось не само приложение, а механизм его обновления. Проведя анализ, исследователи пришли к выводу, что был скомпрометирован один или несколько серверов обновлений Able Desktop, их пара десятков и некоторые из них установлены в сторонних организациях.
И как будто бы этого мало, обнаружились еще две разных версии зараженного установщика Able Desktop, одна из которых содержала в себе HyperBro, а другая - еще один известный и популярный RAT PlugX.
Получается, что в течение 2-х лет китайцы активно шпионили за монгольскими чиновниками через их корпоративный мессенджер, разработчика которого они на каком-то этапе смогли скомпрометировать.
Остается добавить, что, LuckyMouse и TA428, вероятно, являются либо одной хакерской группой, работающей на Китай, либо ее подразделениями.
Наше же мнение такое - если государство пытается пересадить свои учреждения и госкомпании на использование конкретного ПО, то оно, в первую очередь, должно сосредоточить все возможные усилия на предотвращении атак на цепочки поставок. Иначе компрометация одного лишь "блатного" разработчика приводит к глобальному звиздецу.
WeLiveSecurity
Operation StealthyTrident: corporate software under attack
LuckyMouse, TA428, HyperBro, Tmanger and ShadowPad linked in the Mongolian supply-chain attack Operation StealthyTrident.
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
ZDNET
Facebook links APT32, Vietnam's primary hacking group, to local IT firm
Facebook suspends accounts linked to APT32, says the group used its platform to spread malware.
Вдогонку к предыдущему посту про атрибуцию стоящей за APT Ocean Lotus вьетнамской IT-компании CyberOne Group - оригинал статьи сотрудников Facebook, проводивших расследование.
Честно говоря, фактуры в части принадлежности хакерской группы именно CyberOne Group мы не увидели.
Честно говоря, фактуры в части принадлежности хакерской группы именно CyberOne Group мы не увидели.
Meta Newsroom
Taking Action Against Hackers in Bangladesh and Vietnam
We’re sharing our latest research and enforcement actions against attempts to compromise people’s accounts and gain access to their information.
—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней.
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.
Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.
В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.
Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.
Такой винегрет. Как обычно, продолжаем вести наблюдение.
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.
Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.
В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.
Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.
Такой винегрет. Как обычно, продолжаем вести наблюдение.
Reuters
Suspected Russian hackers spied on U.S. Treasury emails - sources
Hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments, according to people familiar with the matter, adding they feared the hacks uncovered so far may be the tip of the iceberg.
PayPal решили перенять передовые практики российских операторов связи по увеличению своего revenue за счет неиспользуемых счетов клиентов.
С 16 декабря PayPal вводят годовую плату за неиспользование клиентом своего счета в размере 9 фунтов стерлингов. Если вы в течение года не осуществляли какие-либо действия с денежными средствами или не входили в систему более года, то ваши денежки тю-тю.
Платежная система утверждает, что деньги не будут сниматься с нулевого баланса, а также с привязанных банковских карт (как оно на деле будет - бабушка надвое сказала). Также банкстеры говорят, что разошлют таким клиентам предупреждения по электронной почте или на сотовый телефон, привязанные к аккаунту.
Если вы имеете аккаунт PayPal и давно им не пользовались, то у вас осталось всего 2 дня, чтобы сохранить свои 9 фунтов стерлингов (приблизительно 900 рублей).
Негодяи, сэр.
С 16 декабря PayPal вводят годовую плату за неиспользование клиентом своего счета в размере 9 фунтов стерлингов. Если вы в течение года не осуществляли какие-либо действия с денежными средствами или не входили в систему более года, то ваши денежки тю-тю.
Платежная система утверждает, что деньги не будут сниматься с нулевого баланса, а также с привязанных банковских карт (как оно на деле будет - бабушка надвое сказала). Также банкстеры говорят, что разошлют таким клиентам предупреждения по электронной почте или на сотовый телефон, привязанные к аккаунту.
Если вы имеете аккаунт PayPal и давно им не пользовались, то у вас осталось всего 2 дня, чтобы сохранить свои 9 фунтов стерлингов (приблизительно 900 рублей).
Негодяи, сэр.
the Guardian
PayPal introduces new fee for dormant accounts
Users must sign in before next week’s deadline to prevent being charged £9 a year
Появились данные о еще одной масштабной атаке на цепочку поставок, теперь в Израиле.
Израильская компания Amital Data, производящая программное обеспечение Unifreight для логистических компаний, около двух недель назад была взломана неустановленной хакерской группой. Вслед за этим пострадали по меньшей мере 40 израильских компаний, которые использовали это ПО.
В настоящее время Amital восстанавливает работоспособность своих ресурсов с привлечением экспертов инфосек компании Comsec, на сайте компании стоит заглушка.
Также сообщается, что еще от 15 до 20 израильских логистических компаний, которые не являются клиентами Amital, стали целями кибератак.
Виновным называют Иран, хотя никаких технических подробностей расследования пока не опубликовано.
И параллельно с этим появились новости о том, что израильская компания Habana Labs, принадлежащей Intel и специализирующейся на разработке систем искусственного интеллекта, стала жертвой оператора ransomware Pay2Key, который заявил, что украл конфиденциальные данные разрабатываемого чипа Goya.
Вымогатель Pay2Key был обнаружен в начале ноября израильским инфосек вендором Check Point, который заявил, что основными целями ransomware являются израильские компании. На основании того, что биткойн-кошелек Pay2Key зарегистрирован на иранской криптобирже Excoino, а для этого требуются действующие иранские телефон и ID, исследователи сделали вывод об иранском происхождении ransomware.
Кибервойны как они есть.
Израильская компания Amital Data, производящая программное обеспечение Unifreight для логистических компаний, около двух недель назад была взломана неустановленной хакерской группой. Вслед за этим пострадали по меньшей мере 40 израильских компаний, которые использовали это ПО.
В настоящее время Amital восстанавливает работоспособность своих ресурсов с привлечением экспертов инфосек компании Comsec, на сайте компании стоит заглушка.
Также сообщается, что еще от 15 до 20 израильских логистических компаний, которые не являются клиентами Amital, стали целями кибератак.
Виновным называют Иран, хотя никаких технических подробностей расследования пока не опубликовано.
И параллельно с этим появились новости о том, что израильская компания Habana Labs, принадлежащей Intel и специализирующейся на разработке систем искусственного интеллекта, стала жертвой оператора ransomware Pay2Key, который заявил, что украл конфиденциальные данные разрабатываемого чипа Goya.
Вымогатель Pay2Key был обнаружен в начале ноября израильским инфосек вендором Check Point, который заявил, что основными целями ransomware являются израильские компании. На основании того, что биткойн-кошелек Pay2Key зарегистрирован на иранской криптобирже Excoino, а для этого требуются действующие иранские телефон и ID, исследователи сделали вывод об иранском происхождении ransomware.
Кибервойны как они есть.
CTECH
Israel's supply chain targeted in massive cyberattack
A hack into the servers of software company Amital Data led to an attack on some 40 of its clients, including some of the country’s largest in the logistics and importing sectors
Или кураторы Bellingcat плотно сидят внутри сетей владельцев этих баз. Не удивимся совершенно.
Forwarded from Информация опасносте
Мощное расследование Bellingcat о покушении на Навального. Независимо от самой темы с покушением хотел просто обратить ваше внимание на факт «информации опасносте»: то, насколько просто сторонним людям, не имеющим отношения к власти или правоохранительным органам получить доступ к информации о геолокации, к биллингу операторов, к информации о перелетах других людей. Практически все покупается без особых ограничений, и это, конечно, очень сильно удручает.
https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/
https://navalny.com/p/6446/
https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/
https://navalny.com/p/6446/
bellingcat
FSB Team of Chemical Weapon Experts Implicated in Alexey Navalny Novichok Poisoning - bellingcat
A joint investigation between Bellingcat and The Insider, in cooperation with Der Spiegel and CNN, has discovered voluminous telecom and travel data that implicates Russia’s Federal Security Service (FSB) in the poisoning of the prominent Russian opposition…
Продолжая тему взлома SolarWinds.
Во-первых, проблемы с инфосеком у компании были уже давно.
Во-вторых, они остаются и сейчас - даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько затрояненых сборок.
Поставщики NMS для правительственных американских агентств, включая CISA и USCYBERCOM, my ass.
Во-первых, проблемы с инфосеком у компании были уже давно.
Во-вторых, они остаются и сейчас - даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько затрояненых сборок.
Поставщики NMS для правительственных американских агентств, включая CISA и USCYBERCOM, my ass.
Twitter
Vinoth Kumar
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened?🤔. Then realized their password was *****123 🤣 #FireEye #SolarWinds
Apple выпустили очередное обновление безопасности для линейки macOS - Big Sur, Catalina и Mojave.
Обновления исправляют 58 уязвимостей, среди которых есть и приводящие к удаленному выполнению кода (RCE), например CVE-2020-27914 или CVE-2020-27941. Большинство ошибок относится к новейшей Big Sur.
И вчера же вышли обновления 14.3 для iOS и iPadOS, среди исправленных уязвимостей также немало таких, которые приводят к RCE (да-да, iOS не железобетонный).
Пользователям яблочных устройств рекомендуем срочно обновиться.
Обновления исправляют 58 уязвимостей, среди которых есть и приводящие к удаленному выполнению кода (RCE), например CVE-2020-27914 или CVE-2020-27941. Большинство ошибок относится к новейшей Big Sur.
И вчера же вышли обновления 14.3 для iOS и iPadOS, среди исправленных уязвимостей также немало таких, которые приводят к RCE (да-да, iOS не железобетонный).
Пользователям яблочных устройств рекомендуем срочно обновиться.
Apple Support
About the security content of macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave
This document describes the security content of macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave.
Боже, так у нас давно не бомбило.
Оказывается еще 8 декабря этого года городской суд Благовещенска Амурской области вынес приговор по ч.3 ст. 274.1 УК РФ, первый в стране по этой части статьи - "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации....если оно повлекло причинение вреда критической информационной инфраструктуре".
Мы немного покопались и выяснили, что приговор был вынесен в отношении инженера электросвязи некоего предприятия, по всему понятно, что это Ростелеком, который в нарушение действующих инструкций переслал себе на электронную почту схемы сетей связи предприятия. Он получил 3 года условно.
Не сомневаясь в том, что нарушение действующих инструкций это плохо, мы испытали идиосинкразию по поводу того, что за подобные проступки необходимо давать 3 года лишения свободы, пусть и условно.
Поэтому мы достали из шкафа нашего штатного эксперта-параноика Калерию Петровну, знатока тайных заговоров спецслужб, которая пояснила следующее.
Диспозиция ч.3 ст. 274.1 УК подразумевает "причинение вреда критической информационной инфраструктуре" в качестве обязательного последствия преступного деяния. Собственно, без такового само деяние не является преступным. Причем очевидно, что законодатель при подготовке этой правовой нормы имел в виду нарушение работоспособности этой самой КИИ.
Не понимая, какой вред КИИ может причинить непосредственно пересылка схемы связи себе на почту, мы решили покопать дальше и обнаружили, что этот приговор по ст. 274.1 не первый, который был вынесен в Благовещенске. Удивительно, учитывая то, что статья является весьма экзотической. В июне этого года суд вынес приговор по ч.4 ст. 274.1 УК РФ в отношении гражданина "К", являвшегося руководителем группы активных продаж местного Ростелекома. И тот тоже получил 3 года условно. Интересно за что?
А вот за что. "К" переслал на свой электронный ящик Gmail файлы, содержащие служебную информацию (не секретную, подчеркнем!), в частности адреса и модели телекоммуникационного оборудования (как мы понимаем, коммутаторы и БС-ки). Все! Это оконченный состав преступления!
Как так? А вот так! Раз - пересланная информация является, по мнению следователей и суда, "охраняемой компьютерной информацией субъекта критической информационной инфраструктуры" (но НЕ СОДЕРЖИТСЯ в критической информационной инфраструктуре, как того требует диспозиция ч.3 и ч.4 ст.273.1 УК РФ).
Два - поскольку ящик Gmail находится в "памяти облачного хранилища компании "Google", зарегистрированной в США", то "причинен вред КИИ в виде угрозы нарушения целостности сети связи ПАО "Ростелеком".
По большому счету приговор был вынесен по ч.3 ст. 274, но подсудимому впаяли использование служебного положения, поэтому он и получил ч.4 статьи.
Но самое интересно, что оба уголовных дела сопровождалось УФСБ России по Амурской области. И сразу все становится ясным. Удачно рубанув палку в ходе летнего приговора, амурские чекисты решили поставить это дело на поток и поэтому следующее уголовное дело, которое завершилось несколько дней назад, не заставило себя ждать. Несмотря на явные несоответствия текущей диспозиции статьи 274.1. Полная некомпетентность оперативного состава, следователей и судейского корпуса.
А больше всего у нас бомбит от того, что на фоне этой псевдоактивности в области защиты КИИ, Bellingcat и The Insider, точнее их кураторы, спокойно получают доступ к данным биллинга, базам внутрироссийских перелетов, данным ФМС и пр. И аутистам-контрразведчикам плевать на Flame и Regin во внутренних сетях этих самых субъектов КИИ, им плевать на развитый рынок по торговле украденными базами данных.
Они сажают нарушающих служебные инструкции инженеров.
Оказывается еще 8 декабря этого года городской суд Благовещенска Амурской области вынес приговор по ч.3 ст. 274.1 УК РФ, первый в стране по этой части статьи - "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации....если оно повлекло причинение вреда критической информационной инфраструктуре".
Мы немного покопались и выяснили, что приговор был вынесен в отношении инженера электросвязи некоего предприятия, по всему понятно, что это Ростелеком, который в нарушение действующих инструкций переслал себе на электронную почту схемы сетей связи предприятия. Он получил 3 года условно.
Не сомневаясь в том, что нарушение действующих инструкций это плохо, мы испытали идиосинкразию по поводу того, что за подобные проступки необходимо давать 3 года лишения свободы, пусть и условно.
Поэтому мы достали из шкафа нашего штатного эксперта-параноика Калерию Петровну, знатока тайных заговоров спецслужб, которая пояснила следующее.
Диспозиция ч.3 ст. 274.1 УК подразумевает "причинение вреда критической информационной инфраструктуре" в качестве обязательного последствия преступного деяния. Собственно, без такового само деяние не является преступным. Причем очевидно, что законодатель при подготовке этой правовой нормы имел в виду нарушение работоспособности этой самой КИИ.
Не понимая, какой вред КИИ может причинить непосредственно пересылка схемы связи себе на почту, мы решили покопать дальше и обнаружили, что этот приговор по ст. 274.1 не первый, который был вынесен в Благовещенске. Удивительно, учитывая то, что статья является весьма экзотической. В июне этого года суд вынес приговор по ч.4 ст. 274.1 УК РФ в отношении гражданина "К", являвшегося руководителем группы активных продаж местного Ростелекома. И тот тоже получил 3 года условно. Интересно за что?
А вот за что. "К" переслал на свой электронный ящик Gmail файлы, содержащие служебную информацию (не секретную, подчеркнем!), в частности адреса и модели телекоммуникационного оборудования (как мы понимаем, коммутаторы и БС-ки). Все! Это оконченный состав преступления!
Как так? А вот так! Раз - пересланная информация является, по мнению следователей и суда, "охраняемой компьютерной информацией субъекта критической информационной инфраструктуры" (но НЕ СОДЕРЖИТСЯ в критической информационной инфраструктуре, как того требует диспозиция ч.3 и ч.4 ст.273.1 УК РФ).
Два - поскольку ящик Gmail находится в "памяти облачного хранилища компании "Google", зарегистрированной в США", то "причинен вред КИИ в виде угрозы нарушения целостности сети связи ПАО "Ростелеком".
По большому счету приговор был вынесен по ч.3 ст. 274, но подсудимому впаяли использование служебного положения, поэтому он и получил ч.4 статьи.
Но самое интересно, что оба уголовных дела сопровождалось УФСБ России по Амурской области. И сразу все становится ясным. Удачно рубанув палку в ходе летнего приговора, амурские чекисты решили поставить это дело на поток и поэтому следующее уголовное дело, которое завершилось несколько дней назад, не заставило себя ждать. Несмотря на явные несоответствия текущей диспозиции статьи 274.1. Полная некомпетентность оперативного состава, следователей и судейского корпуса.
А больше всего у нас бомбит от того, что на фоне этой псевдоактивности в области защиты КИИ, Bellingcat и The Insider, точнее их кураторы, спокойно получают доступ к данным биллинга, базам внутрироссийских перелетов, данным ФМС и пр. И аутистам-контрразведчикам плевать на Flame и Regin во внутренних сетях этих самых субъектов КИИ, им плевать на развитый рынок по торговле украденными базами данных.
Они сажают нарушающих служебные инструкции инженеров.
Twitter
Валерий
#КИИ БЛАГОВЕЩЕНСКИЙ ГОРОДСКОЙ СУД АМУРСКОЙ ОБЛАСТИ вынес 8 декабря 2020 года первый приговор в стране по ч.3 ст.274.1 УК РФ. blag-gs--amr.sudrf.ru/modules.php?na…
Возвращаемся к взлому хакерской группой американской IT-компании SolarWinds и последующей атаке на цепочку поставок, которые некоторые эксперты уже называют "атакой десятилетия".
Вчера SolarWinds подала в американскую Комиссию по ценным бумагам (SEC) отчет, в котором сообщила, что из 33 тыс. ее клиентов, использующих скомпрометированное ПО SolarWinds Orion, затрояненое обновление скачали менее 18 тыс. Видимо, компания считает, что таким образом ущерб не очень велик.
Но, на самом деле, это палка о двух концах. Потому что, во-первых, 18 тыс. зараженных сетей это все равно очень много. А во-вторых, это означает, что 15 тыс. клиентов не обновляли Orion, а следовательно и другое используемое ПО в течение больше полугода.
Типичная аксиома Эскобара.
Вчера SolarWinds подала в американскую Комиссию по ценным бумагам (SEC) отчет, в котором сообщила, что из 33 тыс. ее клиентов, использующих скомпрометированное ПО SolarWinds Orion, затрояненое обновление скачали менее 18 тыс. Видимо, компания считает, что таким образом ущерб не очень велик.
Но, на самом деле, это палка о двух концах. Потому что, во-первых, 18 тыс. зараженных сетей это все равно очень много. А во-вторых, это означает, что 15 тыс. клиентов не обновляли Orion, а следовательно и другое используемое ПО в течение больше полугода.
Типичная аксиома Эскобара.
Группа исследователей из израильского Университета Бен-Гуриона под руководством Мордехая Гури сообщила о новой интересной атаке на физически изолированные (air-gapped) сети через сигналы Wi-Fi, не требующей наличия Wi-Fi-модуля в атакованной системе. Атака получила название AIR-FI.
Как известно, основным способом атак на физически изолированные сети является использование вредоносов, распространяющихся и проводящих последующую эксфильтрацию украденных данных через USB-носитель.
В новой атаке USB-носитель используется исключительно на первичном этапе для доставки вредоноса на целевую машину. Следующим шагом хакеров является заражение находящегося поблизости от атакованного компьютера подключенного к Интернету устройства с Wi-Fi-модулем на борту, например маршрутизатора.
Далее вредонос собирает интересующую информацию, кодирует ее и использует шину DDR SDRAM для генерации электромагнитных излучений в диапазоне Wi-Fi 2,4 ГГц.
Проведя натурные эксперименты исследователи обнаружили, что таким образом на расстоянии до нескольких метров возможно организовать канал связи на скорости от 1 до 100 бит/с. Скорость небольшая, но для передачи сжатого текста хватит.
В качестве контрмер израильтяне предлагают использовать клетку Фарадея для подавления электромагнитных волн, производимых компонентами физически изолированной системы.
Вообще говоря, это не первая атака на air-gapped сети, использующая электромагнитные, оптические, акустические и тепловые составляющие, но менее актуальной она от этого не становится. Группа Мордехая Гури на протяжении многих лет занимается разработкой таких атак и на их странице можно ознакомиться с результатами этих исследований. Это очень интересно. Подумываем даже делать отдельные ретроспективные обзоры на такие способы атак.
Как известно, основным способом атак на физически изолированные сети является использование вредоносов, распространяющихся и проводящих последующую эксфильтрацию украденных данных через USB-носитель.
В новой атаке USB-носитель используется исключительно на первичном этапе для доставки вредоноса на целевую машину. Следующим шагом хакеров является заражение находящегося поблизости от атакованного компьютера подключенного к Интернету устройства с Wi-Fi-модулем на борту, например маршрутизатора.
Далее вредонос собирает интересующую информацию, кодирует ее и использует шину DDR SDRAM для генерации электромагнитных излучений в диапазоне Wi-Fi 2,4 ГГц.
Проведя натурные эксперименты исследователи обнаружили, что таким образом на расстоянии до нескольких метров возможно организовать канал связи на скорости от 1 до 100 бит/с. Скорость небольшая, но для передачи сжатого текста хватит.
В качестве контрмер израильтяне предлагают использовать клетку Фарадея для подавления электромагнитных волн, производимых компонентами физически изолированной системы.
Вообще говоря, это не первая атака на air-gapped сети, использующая электромагнитные, оптические, акустические и тепловые составляющие, но менее актуальной она от этого не становится. Группа Мордехая Гури на протяжении многих лет занимается разработкой таких атак и на их странице можно ознакомиться с результатами этих исследований. Это очень интересно. Подумываем даже делать отдельные ретроспективные обзоры на такие способы атак.
YouTube
Air-Fi: Generating Covert Wi-Fi Signals from Air-Gapped Computers
By Mordechai Guri
paper: http://www.covertchannels.com
https://arxiv.org/abs/2012.06884
paper: http://www.covertchannels.com
https://arxiv.org/abs/2012.06884
На прошлой неделе мы писали про то, как Facebook раскрыла компанию CyberOne Group, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Тогда никаких технических подробностей не было сообщено.
Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!
Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!
Twitter
Group-IB Global
Facebook’s @ngleicher was right about linking #APT32 to CyberOne and here is why: As per Group-IB #ThreatIntelligence & #Attribution the domain cbo[.]group had an IP 45[.]61[.]136[.]214 in the A-record. On this IP address, we detected a unique SSH 4b390f…
Google опять поплохело.
Как мы помним, в понедельник многие сервисы Google, включая YouTube и Gmail, испытывали проблемы с аутентификацией пользователей. Компания в течение нескольких часов восстановила работоспособность сервисов и сообщила, что проблемы были связаны со сбоями в автоматизированном хранилище системы управления квотами, вследствие чего снизилась пропускная способность системы аутентификации.
Однако, сегодня ночью Google опять стал испытывать проблемы с доступом пользователей к Gmail. Для исправления понадобилось два с половиной часа.
И вот тут мы грешным делом подумали - а не случилось ли? В смысле, не поломал ли часть гугловской сети лихой оператор ransomware? И теперь Google скачут по бэкапам, стараясь восстановить работоспособность сервисов. В конце концов, многомиллиардные компании, в том числе из IT-сектора, уже ломали, чем Google лучше/хуже?
Как мы помним, в понедельник многие сервисы Google, включая YouTube и Gmail, испытывали проблемы с аутентификацией пользователей. Компания в течение нескольких часов восстановила работоспособность сервисов и сообщила, что проблемы были связаны со сбоями в автоматизированном хранилище системы управления квотами, вследствие чего снизилась пропускная способность системы аутентификации.
Однако, сегодня ночью Google опять стал испытывать проблемы с доступом пользователей к Gmail. Для исправления понадобилось два с половиной часа.
И вот тут мы грешным делом подумали - а не случилось ли? В смысле, не поломал ли часть гугловской сети лихой оператор ransomware? И теперь Google скачут по бэкапам, стараясь восстановить работоспособность сервисов. В конце концов, многомиллиардные компании, в том числе из IT-сектора, уже ломали, чем Google лучше/хуже?
ZDNet
Partial Gmail outage resolved: Users reported a variety of problems Tuesday
UPDATE: Reports were pouring in of a variety of Gmail problems. The issues have been fixed.
Очередные новости про атаку на цепочку поставок через взлом американской IT-компании SolarWinds.
Американский сенатор Ричард Блументаль написал в Twitter, что его оглушил и даже испугал "сегодняшний засекреченный брифинг о кибератаке России". Некоторые комментаторы тут же побежали размахивать этим твитом как первым официальным подтверждением со стороны американских властей причастности русских хакеров к атаке на SolarWinds.
Однако, призываем углепластиков охладить трахание.
Во-первых, сенатор Блументаль тот еще умелец не мешки ворочать - в следующем же твите он обвиняет Трампа в ветировании увеличения оборонного бюджета США по причине того, что Дональд - друг Путина и не хочет противостоять русским хакерам. Вряд ли это можно считать официальным признанием американских властей близкой дружбы Путина и Трампа.
А во-вторых, он не только демократ, но и близкий кореш Хилари Клинтон. А как говаривал Швейк, "эти знатные баре в большинстве случаев педерасты".
Но заход интересный.
Американский сенатор Ричард Блументаль написал в Twitter, что его оглушил и даже испугал "сегодняшний засекреченный брифинг о кибератаке России". Некоторые комментаторы тут же побежали размахивать этим твитом как первым официальным подтверждением со стороны американских властей причастности русских хакеров к атаке на SolarWinds.
Однако, призываем углепластиков охладить трахание.
Во-первых, сенатор Блументаль тот еще умелец не мешки ворочать - в следующем же твите он обвиняет Трампа в ветировании увеличения оборонного бюджета США по причине того, что Дональд - друг Путина и не хочет противостоять русским хакерам. Вряд ли это можно считать официальным признанием американских властей близкой дружбы Путина и Трампа.
А во-вторых, он не только демократ, но и близкий кореш Хилари Клинтон. А как говаривал Швейк, "эти знатные баре в большинстве случаев педерасты".
Но заход интересный.
Twitter
Richard Blumenthal
Stunning. Today’s classified briefing on Russia’s cyberattack left me deeply alarmed, in fact downright scared. Americans deserve to know what's going on. Declassify what’s known & unknown.
Группа Unit42 инфосек вендора Palo Alto Networks опубликовала отчет о новом штамме вредоносов, который получил название PyMICROPSIA.
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Unit 42
PyMICROPSIA: New Information-Stealing Trojan from AridViper
We've identified a new information-stealing Trojan we call PyMICROPSIA, related to the previously identified MICROPSIA malware family.
Forwarded from Эксплойт | Live
Facebook организовывает кампанию против Apple
Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.
Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.
Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».
Сама же Apple, в ответ на это, отложила введение новых правил.
Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.
Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.
Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».
Сама же Apple, в ответ на это, отложила введение новых правил.