На прошлой неделе мы писали про то, как Facebook раскрыла компанию CyberOne Group, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Тогда никаких технических подробностей не было сообщено.
Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!
Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!
Twitter
Group-IB Global
Facebook’s @ngleicher was right about linking #APT32 to CyberOne and here is why: As per Group-IB #ThreatIntelligence & #Attribution the domain cbo[.]group had an IP 45[.]61[.]136[.]214 in the A-record. On this IP address, we detected a unique SSH 4b390f…
Google опять поплохело.
Как мы помним, в понедельник многие сервисы Google, включая YouTube и Gmail, испытывали проблемы с аутентификацией пользователей. Компания в течение нескольких часов восстановила работоспособность сервисов и сообщила, что проблемы были связаны со сбоями в автоматизированном хранилище системы управления квотами, вследствие чего снизилась пропускная способность системы аутентификации.
Однако, сегодня ночью Google опять стал испытывать проблемы с доступом пользователей к Gmail. Для исправления понадобилось два с половиной часа.
И вот тут мы грешным делом подумали - а не случилось ли? В смысле, не поломал ли часть гугловской сети лихой оператор ransomware? И теперь Google скачут по бэкапам, стараясь восстановить работоспособность сервисов. В конце концов, многомиллиардные компании, в том числе из IT-сектора, уже ломали, чем Google лучше/хуже?
Как мы помним, в понедельник многие сервисы Google, включая YouTube и Gmail, испытывали проблемы с аутентификацией пользователей. Компания в течение нескольких часов восстановила работоспособность сервисов и сообщила, что проблемы были связаны со сбоями в автоматизированном хранилище системы управления квотами, вследствие чего снизилась пропускная способность системы аутентификации.
Однако, сегодня ночью Google опять стал испытывать проблемы с доступом пользователей к Gmail. Для исправления понадобилось два с половиной часа.
И вот тут мы грешным делом подумали - а не случилось ли? В смысле, не поломал ли часть гугловской сети лихой оператор ransomware? И теперь Google скачут по бэкапам, стараясь восстановить работоспособность сервисов. В конце концов, многомиллиардные компании, в том числе из IT-сектора, уже ломали, чем Google лучше/хуже?
ZDNet
Partial Gmail outage resolved: Users reported a variety of problems Tuesday
UPDATE: Reports were pouring in of a variety of Gmail problems. The issues have been fixed.
Очередные новости про атаку на цепочку поставок через взлом американской IT-компании SolarWinds.
Американский сенатор Ричард Блументаль написал в Twitter, что его оглушил и даже испугал "сегодняшний засекреченный брифинг о кибератаке России". Некоторые комментаторы тут же побежали размахивать этим твитом как первым официальным подтверждением со стороны американских властей причастности русских хакеров к атаке на SolarWinds.
Однако, призываем углепластиков охладить трахание.
Во-первых, сенатор Блументаль тот еще умелец не мешки ворочать - в следующем же твите он обвиняет Трампа в ветировании увеличения оборонного бюджета США по причине того, что Дональд - друг Путина и не хочет противостоять русским хакерам. Вряд ли это можно считать официальным признанием американских властей близкой дружбы Путина и Трампа.
А во-вторых, он не только демократ, но и близкий кореш Хилари Клинтон. А как говаривал Швейк, "эти знатные баре в большинстве случаев педерасты".
Но заход интересный.
Американский сенатор Ричард Блументаль написал в Twitter, что его оглушил и даже испугал "сегодняшний засекреченный брифинг о кибератаке России". Некоторые комментаторы тут же побежали размахивать этим твитом как первым официальным подтверждением со стороны американских властей причастности русских хакеров к атаке на SolarWinds.
Однако, призываем углепластиков охладить трахание.
Во-первых, сенатор Блументаль тот еще умелец не мешки ворочать - в следующем же твите он обвиняет Трампа в ветировании увеличения оборонного бюджета США по причине того, что Дональд - друг Путина и не хочет противостоять русским хакерам. Вряд ли это можно считать официальным признанием американских властей близкой дружбы Путина и Трампа.
А во-вторых, он не только демократ, но и близкий кореш Хилари Клинтон. А как говаривал Швейк, "эти знатные баре в большинстве случаев педерасты".
Но заход интересный.
Twitter
Richard Blumenthal
Stunning. Today’s classified briefing on Russia’s cyberattack left me deeply alarmed, in fact downright scared. Americans deserve to know what's going on. Declassify what’s known & unknown.
Группа Unit42 инфосек вендора Palo Alto Networks опубликовала отчет о новом штамме вредоносов, который получил название PyMICROPSIA.
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Unit 42
PyMICROPSIA: New Information-Stealing Trojan from AridViper
We've identified a new information-stealing Trojan we call PyMICROPSIA, related to the previously identified MICROPSIA malware family.
Forwarded from Эксплойт | Live
Facebook организовывает кампанию против Apple
Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.
Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.
Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».
Сама же Apple, в ответ на это, отложила введение новых правил.
Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.
Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.
Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».
Сама же Apple, в ответ на это, отложила введение новых правил.
И опять новости про взлом хакерами американского IT-поставщика SolarWinds.
Оказывается, на странице технической поддержки SolarWinds (ныне почищенной) был совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion (которая как раз и была заражена трояном).
Единственное выражение, которым мы можем охарактеризовать происходящее с учетом уже известных проблем в инфосеке SolwarWinds - "х...й, пи...да и Джигурда".
Оказывается, на странице технической поддержки SolarWinds (ныне почищенной) был совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion (которая как раз и была заражена трояном).
Единственное выражение, которым мы можем охарактеризовать происходящее с учетом уже известных проблем в инфосеке SolwarWinds - "х...й, пи...да и Джигурда".
Мы, как обычно, активно интересуемся вопросом безопасности промышленных систем управления (ICS) и не просто так. Специфика использования различных устройств OT (operation technology) и IoT в ICS предполагает весьма трудоемкие процессы их обновления и замены, зачастую связанные с остановкой технологического процесса, в котором они задействованы.
В результате бреши в информационной безопасности ICS не закрываются годами.
Летом прошлого года инфосек компания Armis обпуликовала данные в отношении набора из 11 уязвимостей в операционной системе VxWorks, на которой работают более 2 млрд. устройств в промышленных, медицинских и корпоративных информационных системах. Среди затронутых - SCADA-системы, лифтовое оборудование, программируемые логические контроллеры (PLC), медицинские аппараты МРТ и многое другое оборудование. Исследователи назвали этот набор уязвимостей Urgent/11.
Ресерчеры Armis сравнивали Urgent/11, позволяющий хакеру взять устройства OT под полный контроль, по масштабу критичности с известным эксплойтом EternalBlue, приведшем к эпидемии WannaCry в 2017 году. Шесть уязвимостей из набора приводили к RCE.
Еще одним набором из пяти критических уязвимостей, опубликованных и исправленных в феврале этого года, является CDPwn. Ошибки содержались в протоколе CDP оборудования Cisco и затрагивали все IoT устройства производства этой компании - коммутаторы, маршрутизации, IP-камеры и пр.
Теперь же Armis опубликовали свежий отчет, в котором сообщили, что, согласно их анализу, 97% OT-устройств, подверженных Urgent/11, и 80% IoT-устройств, подверженных CDPwn, за прошедшее время не были обновлены до безопасного состояния.
И это, господа, без всякого преувеличения - жопа. Особенно учитывая то, что, по заявлению исследователей, совместное использование хакерами Urgent/11 и CDPwn способно привести к реализации атаки подобной Stuxnet.
Собственно, это все, что надо знать об информационной безопасности промышленных объектов. Похоже, без нового Бхопала все-таки не обойдется.
В результате бреши в информационной безопасности ICS не закрываются годами.
Летом прошлого года инфосек компания Armis обпуликовала данные в отношении набора из 11 уязвимостей в операционной системе VxWorks, на которой работают более 2 млрд. устройств в промышленных, медицинских и корпоративных информационных системах. Среди затронутых - SCADA-системы, лифтовое оборудование, программируемые логические контроллеры (PLC), медицинские аппараты МРТ и многое другое оборудование. Исследователи назвали этот набор уязвимостей Urgent/11.
Ресерчеры Armis сравнивали Urgent/11, позволяющий хакеру взять устройства OT под полный контроль, по масштабу критичности с известным эксплойтом EternalBlue, приведшем к эпидемии WannaCry в 2017 году. Шесть уязвимостей из набора приводили к RCE.
Еще одним набором из пяти критических уязвимостей, опубликованных и исправленных в феврале этого года, является CDPwn. Ошибки содержались в протоколе CDP оборудования Cisco и затрагивали все IoT устройства производства этой компании - коммутаторы, маршрутизации, IP-камеры и пр.
Теперь же Armis опубликовали свежий отчет, в котором сообщили, что, согласно их анализу, 97% OT-устройств, подверженных Urgent/11, и 80% IoT-устройств, подверженных CDPwn, за прошедшее время не были обновлены до безопасного состояния.
И это, господа, без всякого преувеличения - жопа. Особенно учитывая то, что, по заявлению исследователей, совместное использование хакерами Urgent/11 и CDPwn способно привести к реализации атаки подобной Stuxnet.
Собственно, это все, что надо знать об информационной безопасности промышленных объектов. Похоже, без нового Бхопала все-таки не обойдется.
Armis
Unpatched, Unprepared, Unprotected: How Critical Device Vulnerabilities Remain Unaddressed
Armis has continued to track the exposures from the URGENT/11 and CDPwn vulnerabilities over the past 18 months. Based on that research, we have identified that 97% of the OT devices impacted by URGENT/11 remain unpatched, and 80% of those affected by CDPwn…
—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!
Это канал, на который должен быть подписан каждый безопасник: https://news.1rj.ru/str/dataleak
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!
Это канал, на который должен быть подписан каждый безопасник: https://news.1rj.ru/str/dataleak
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Последние скандальные "журналистские расследования", независимо от их содержания, в очередной раз высветили проблему торговли в России конфиденциальными данным, в том числе составляющими тайну связи.
Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.
Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.
Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.
И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.
И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.
Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.
Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.
Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.
Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.
Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.
Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.
Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.
И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.
И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.
Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.
Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.
Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.
Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.
ZDNET
IBM launches experimental homomorphic data encryption environment for the enterprise
Is it possible for fully homomorphic encryption to be a “game-changer” for data privacy? IBM intends to find out.
И опять про взлом SolarWinds.
Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.
Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.
Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.
Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.
Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.
Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.
Telegram
SecAtor
Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней.
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а…
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а…
А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Welivesecurity
Operation SignSight: Supply-chain attack against a certification authority in Southeast Asia
ESET researchers have uncovered a supply-chain attack on the website of a government in Southeast Asia.
Американский исследователь Chuong Dong сделал хороший и большой разбор ransomware Conti v2, в частности описал процесс многопоточного шифрования, за счет которого вымогатель достигает большой скорости работы.
Если интересуетесь ransomware - ознакомьтесь.
P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.
Если интересуетесь ransomware - ознакомьтесь.
P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.
Евгений Валентинович Маск, основываясь на теории чисел, вангует нам счастливый 2021 год.
Теперь, если что, вы знаете с кого спросить...
Теперь, если что, вы знаете с кого спросить...
Twitter
Eugene Kaspersky
Here is my take on 2021. 2020 = 2*2*5*101. Complicated; indeed it was! 2021 = 43*47. Straightforward; nice!…
Журналисты таблоидов New York Fakes и Washington Toast фанатично добивают свой авторитет, навешивая solarwindsгейт на ГРУ (несмотря на всеобщий WTF от профессионального киберсек-сообщества). Тем временем мимо их внимания набухла другая интересная история, которая, по понятным причинам политического заказа, вряд ли найдёт отражение на страницах этих изданий. Просто потому, что история касается израильской компании NSO Group, а к ней русских хакеров не пришьёшь.
Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.
Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.
Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.
Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.
А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.
Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.
Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.
Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.
Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.
А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.
Болгарский рисёрчер Георгий Герганов выложил на GitHub новую версию утилиты Keytap для распознавания набранного на клавиатуре текста по акустическим колебаниям.
Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.
Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.
Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.
Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.
Рисёрчер Henri Nurmi из финской компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI шину.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
И в продолжение темы атаки SUNBURST.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Twitter
Dewan Chowdhury
The #DGA decoding of #SolarWinds attack point toward certain companies (NOT saying they were hacked, but references) LukOil, Deloitte, Hewlett Foundation @Hewlett_Found, KC Power and Light @evergypower@NERC_Official #SUNBURST #UNC2452 More References: ht…