—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!
Это канал, на который должен быть подписан каждый безопасник: https://news.1rj.ru/str/dataleak
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!
Это канал, на который должен быть подписан каждый безопасник: https://news.1rj.ru/str/dataleak
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Последние скандальные "журналистские расследования", независимо от их содержания, в очередной раз высветили проблему торговли в России конфиденциальными данным, в том числе составляющими тайну связи.
Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.
Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.
Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.
И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.
И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.
Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.
Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.
Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.
Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.
Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.
Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.
Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.
И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.
И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.
Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.
Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.
Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.
Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.
ZDNET
IBM launches experimental homomorphic data encryption environment for the enterprise
Is it possible for fully homomorphic encryption to be a “game-changer” for data privacy? IBM intends to find out.
И опять про взлом SolarWinds.
Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.
Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.
Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.
Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.
Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.
Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.
Telegram
SecAtor
Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней.
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а…
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а…
А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.
По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.
Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.
Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.
#APT #TA428
Welivesecurity
Operation SignSight: Supply-chain attack against a certification authority in Southeast Asia
ESET researchers have uncovered a supply-chain attack on the website of a government in Southeast Asia.
Американский исследователь Chuong Dong сделал хороший и большой разбор ransomware Conti v2, в частности описал процесс многопоточного шифрования, за счет которого вымогатель достигает большой скорости работы.
Если интересуетесь ransomware - ознакомьтесь.
P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.
Если интересуетесь ransomware - ознакомьтесь.
P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.
Евгений Валентинович Маск, основываясь на теории чисел, вангует нам счастливый 2021 год.
Теперь, если что, вы знаете с кого спросить...
Теперь, если что, вы знаете с кого спросить...
Twitter
Eugene Kaspersky
Here is my take on 2021. 2020 = 2*2*5*101. Complicated; indeed it was! 2021 = 43*47. Straightforward; nice!…
Журналисты таблоидов New York Fakes и Washington Toast фанатично добивают свой авторитет, навешивая solarwindsгейт на ГРУ (несмотря на всеобщий WTF от профессионального киберсек-сообщества). Тем временем мимо их внимания набухла другая интересная история, которая, по понятным причинам политического заказа, вряд ли найдёт отражение на страницах этих изданий. Просто потому, что история касается израильской компании NSO Group, а к ней русских хакеров не пришьёшь.
Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.
Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.
Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.
Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.
А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.
Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.
Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.
Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.
Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.
А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.
Болгарский рисёрчер Георгий Герганов выложил на GitHub новую версию утилиты Keytap для распознавания набранного на клавиатуре текста по акустическим колебаниям.
Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.
Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.
Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.
Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.
Рисёрчер Henri Nurmi из финской компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI шину.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
И в продолжение темы атаки SUNBURST.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Twitter
Dewan Chowdhury
The #DGA decoding of #SolarWinds attack point toward certain companies (NOT saying they were hacked, but references) LukOil, Deloitte, Hewlett Foundation @Hewlett_Found, KC Power and Light @evergypower@NERC_Official #SUNBURST #UNC2452 More References: ht…
За всей этой движухой с SolarWinds операторы ransomware отошли на второй план медийной сцены. Но это не значит, что они прекратили свои гадости.
Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.
В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.
ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.
Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.
В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.
ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.
BleepingComputer
Trucking giant Forward Air hit by new Hades ransomware gang
Trucking and freight logistics company Forward Air has suffered a ransomware attack by a new ransomware gang that has impacted the company's business operations.
Использовать анализ массивов данных для вычисления сотрудников спецслужб противостоящей стороны могут не только лишь все. Но, как оказалось, кроме "журналистов-расследователей", а также их старших товарищей из трех- и четырехбуквенных контор по обе стороны Атлантики, в воровство информационных баз и Big Data также могут и китайские киберхунвейбины.
Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.
И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.
Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.
С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.
Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.
По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.
В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.
К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.
Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.
И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.
Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.
С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.
Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.
По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.
В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.
К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.
Foreign Policy
China Used Stolen Data to Expose CIA Operatives in Africa and Europe
The discovery of U.S. spy networks in China fueled a decadelong global war over data between Beijing and Washington.
Совсем недавно мы рассказывали об описанном компанией Forescout наборе уязвимостей AMNESIA: 33, который включает 33 ошибки в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net. Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. Эти стеки используются в продукции 158 вендоров и могут затрагивать более миллиарда различных устройств, преимущественно IoT.
А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.
Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.
Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.
А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.
Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.
Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.
Telegram
SecAtor
Исследователи инфосек компании Forescout подготовили отчет под названием AMNESIA: 33, в котором описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net.
Уязвимые стеки используются преимущественно в Интернете…
Уязвимые стеки используются преимущественно в Интернете…
Кластернет на марше! Даешь каждому феодалу по своей суверенной сети!
В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.
Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.
Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.
К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.
Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.
В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.
Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.
Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.
К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.
Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.
Telegram
SecAtor
Месяц назад мы написали следующее - "это (нарушение формальных правил) приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не…
Старые формулировки, абсолютно точно подходящие к современному миру кибершпионажа.
Twitter
Joe Słowik ⛄
Primer on espionage norms and proprortionality:
Truesec провели исследование атаки оператора ransomware Ryuk на одно из предприятий и пришли к выводу, что атаковавшим была хакерская группа FIN7, "карбанакеры".
На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).
В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.
Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.
На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).
В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.
Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.
Truesec
Insights - Truesec
Cybernews провели исследование 13 приватных мессенджеров, среди которых как известные типа Telegram, WhatsApp или Signal, так и весьма экзотические - вроде Qtox и Cyber Dust.
Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.
При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.
Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.
В завершении поста - сводная таблица, составленная журналистами по результатам исследования.
Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.
При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.
Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.
В завершении поста - сводная таблица, составленная журналистами по результатам исследования.