Рисёрчер Henri Nurmi из финской компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI шину.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.
Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.
Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.
А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.
В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
И в продолжение темы атаки SUNBURST.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
"Внушает!" - как сказал бы Хрюн Моржов.
Twitter
Dewan Chowdhury
The #DGA decoding of #SolarWinds attack point toward certain companies (NOT saying they were hacked, but references) LukOil, Deloitte, Hewlett Foundation @Hewlett_Found, KC Power and Light @evergypower@NERC_Official #SUNBURST #UNC2452 More References: ht…
За всей этой движухой с SolarWinds операторы ransomware отошли на второй план медийной сцены. Но это не значит, что они прекратили свои гадости.
Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.
В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.
ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.
Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.
В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.
ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.
BleepingComputer
Trucking giant Forward Air hit by new Hades ransomware gang
Trucking and freight logistics company Forward Air has suffered a ransomware attack by a new ransomware gang that has impacted the company's business operations.
Использовать анализ массивов данных для вычисления сотрудников спецслужб противостоящей стороны могут не только лишь все. Но, как оказалось, кроме "журналистов-расследователей", а также их старших товарищей из трех- и четырехбуквенных контор по обе стороны Атлантики, в воровство информационных баз и Big Data также могут и китайские киберхунвейбины.
Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.
И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.
Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.
С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.
Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.
По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.
В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.
К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.
Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.
И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.
Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.
С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.
Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.
По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.
В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.
К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.
Foreign Policy
China Used Stolen Data to Expose CIA Operatives in Africa and Europe
The discovery of U.S. spy networks in China fueled a decadelong global war over data between Beijing and Washington.
Совсем недавно мы рассказывали об описанном компанией Forescout наборе уязвимостей AMNESIA: 33, который включает 33 ошибки в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net. Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. Эти стеки используются в продукции 158 вендоров и могут затрагивать более миллиарда различных устройств, преимущественно IoT.
А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.
Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.
Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.
А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.
Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.
Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.
Telegram
SecAtor
Исследователи инфосек компании Forescout подготовили отчет под названием AMNESIA: 33, в котором описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net.
Уязвимые стеки используются преимущественно в Интернете…
Уязвимые стеки используются преимущественно в Интернете…
Кластернет на марше! Даешь каждому феодалу по своей суверенной сети!
В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.
Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.
Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.
К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.
Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.
В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.
Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.
Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.
К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.
Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.
Telegram
SecAtor
Месяц назад мы написали следующее - "это (нарушение формальных правил) приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не…
Старые формулировки, абсолютно точно подходящие к современному миру кибершпионажа.
Twitter
Joe Słowik ⛄
Primer on espionage norms and proprortionality:
Truesec провели исследование атаки оператора ransomware Ryuk на одно из предприятий и пришли к выводу, что атаковавшим была хакерская группа FIN7, "карбанакеры".
На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).
В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.
Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.
На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).
В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.
Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.
Truesec
Insights - Truesec
Cybernews провели исследование 13 приватных мессенджеров, среди которых как известные типа Telegram, WhatsApp или Signal, так и весьма экзотические - вроде Qtox и Cyber Dust.
Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.
При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.
Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.
В завершении поста - сводная таблица, составленная журналистами по результатам исследования.
Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.
При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.
Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.
В завершении поста - сводная таблица, составленная журналистами по результатам исследования.
Forwarded from Эксплойт | Live
В сеть слили данные водителей Яндекс.Такси
В интернет утекли данные водителей Яндекс.Такси. Их количество составляет более 23 тысяч строк.
В них входит ФИО водителей, их номера телефонов, данные автомобилей и названия таксопарков.
К счастью, часть слитой информации уже устарела. Вероятно, данные были сформированы в прошлом году.
Некоторые водители уже давно не работают в Яндекс.Такси, а часть телефонных номеров вообще не обслуживается.
В интернет утекли данные водителей Яндекс.Такси. Их количество составляет более 23 тысяч строк.
В них входит ФИО водителей, их номера телефонов, данные автомобилей и названия таксопарков.
К счастью, часть слитой информации уже устарела. Вероятно, данные были сформированы в прошлом году.
Некоторые водители уже давно не работают в Яндекс.Такси, а часть телефонных номеров вообще не обслуживается.
Исследователь Марко Хоффман обнаружил новый вид DDoS-атаки, использующий Citrix ADC для мультипликации трафика .
Злоумышленники используют протокол DTLS. В силу того, что протокол построен на основе UDP, он позволяет хакеру подделать запрос и инициировать ответ в адрес жертвы. Из-за проблемной реализации DTLS в Citrix ADC коэффициент мультипликации при этом составляет 35 (то есть обратный трафик в 35 раз больше входящего), что является одним из самых эффективных векторов усиления для DDoS-атак.
Вчера Citrix подтвердили проблему, но исправлений для Citrix ADC пока нет. В качестве временных рекомендаций владельцам - тупо отключить DTLS, а если он нужен для работы, то включить аутентификацию входящих соединений DTLS (хотя после этого ADC, вероятно, станет тупить).
Злоумышленники используют протокол DTLS. В силу того, что протокол построен на основе UDP, он позволяет хакеру подделать запрос и инициировать ответ в адрес жертвы. Из-за проблемной реализации DTLS в Citrix ADC коэффициент мультипликации при этом составляет 35 (то есть обратный трафик в 35 раз больше входящего), что является одним из самых эффективных векторов усиления для DDoS-атак.
Вчера Citrix подтвердили проблему, но исправлений для Citrix ADC пока нет. В качестве временных рекомендаций владельцам - тупо отключить DTLS, а если он нужен для работы, то включить аутентификацию входящих соединений DTLS (хотя после этого ADC, вероятно, станет тупить).
My little Farm
Potentially ongoing worldwide UDP:443 (EDT) DDoS amplify attack against Citrix (NetScaler) Gateway - My little Farm
Since 19 December 2020 7pm CET we see a possible worldwide DDOS amplify attack against Citrix Gateway UDP:443 DTLS EDT services.
Как сообщает BleepingComputer, компания Sangoma была успешно взломана оператором ransomware Conti.
Sangoma - это известный поставщик оборудования и ПО для корпоративных VoIP. Недавно мы писали про массовые атаки на интерфейс Sangcoma PBX, который уязвим перед ошибкой CVE-2019-19006, устраненной в конце прошлого года.
Но, как оказалось, у компании плохо не только с DevSecOps, но и с традиционным инфосеком. Поскольку хакеры успешно атаковали ее сеть с помощью вымогателя и удачно украли 26 Гб конфиденциальных данных, которые опубликовали вчера на своем сайте для слива информации, видимо выкупа они не дождались.
Кстати, Conti недавно представили новую версию своего DLS, который легко гуглится по сочетанию "Conti" и "news".
Среди слитых данных - финансовые и бухгалтерские документы, данные сотрудников, а также юридические документы. Но самое неприятное, что существует вероятность того, что хакеры могли получить доступ к рабочим файлам Sangoma. Ведь после истории с SolarWinds все смогли убедиться в серьезность атак на цепочку поставок, а внедрение троянов в корпоративное ПО от Sangcoma ничего хорошего не сулит.
Sangoma - это известный поставщик оборудования и ПО для корпоративных VoIP. Недавно мы писали про массовые атаки на интерфейс Sangcoma PBX, который уязвим перед ошибкой CVE-2019-19006, устраненной в конце прошлого года.
Но, как оказалось, у компании плохо не только с DevSecOps, но и с традиционным инфосеком. Поскольку хакеры успешно атаковали ее сеть с помощью вымогателя и удачно украли 26 Гб конфиденциальных данных, которые опубликовали вчера на своем сайте для слива информации, видимо выкупа они не дождались.
Кстати, Conti недавно представили новую версию своего DLS, который легко гуглится по сочетанию "Conti" и "news".
Среди слитых данных - финансовые и бухгалтерские документы, данные сотрудников, а также юридические документы. Но самое неприятное, что существует вероятность того, что хакеры могли получить доступ к рабочим файлам Sangoma. Ведь после истории с SolarWinds все смогли убедиться в серьезность атак на цепочку поставок, а внедрение троянов в корпоративное ПО от Sangcoma ничего хорошего не сулит.
BleepingComputer
FreePBX developer Sangoma hit with Conti ransomware attack
Sangoma disclosed a data breach after files were stolen during a recent Conti ransomware attack and published online.
Microsoft закрывают 2020 год на минорной ноте, подтверждая уровень своего раздолбайства и умение из каждого фикса старой проблемы сделать проблему новую.
В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления.
Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе.
Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft, которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой.
А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе.
Microsoft и 0-day уязвимости. Эта музыка будет вечной.
В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления.
Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе.
Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft, которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой.
А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе.
Microsoft и 0-day уязвимости. Эта музыка будет вечной.
Twitter
Maddie Stone
In May, Kaspersky (@oct0xor) discovered CVE-2020-0986 in Windows splwow64 was exploited itw as a 0day. Microsoft released a patch in June, but that patch didnt fix the vuln. After reporting that bad fix in Sept under a 90day deadline, it's still not fixed.…
Неделю назад мы написали пост по материалам расследования Foreign Policy про проводимые Китаем массовые взломы в целях сбора информационных массивов и дальнейшее их использование для вскрытия американской разведывательной сети. И посетовали, что только первая часть статьи была открыта, а за остальные две американские журналисты хотят денежку.
Американским журналистам, видимо, стало стыдно и они приоткрыли вторую часть расследования.
В этой части Foreign Policy рассматривает период с 2013 по 2016 годы, когда к власти в Китае уже пришел Си Цзыньпинь, но Обама еще не покинул пост Президента США.
Что же в ней интересного. Во-первых, источники издания из числа бывших сотрудников американских спецслужб признают, что в результате предшествующей чистки американских агентов на территории Китая руководство США не смогло получить достоверную информацию о планах Си Цзыньпиня на посту главы КНР. А, как мы помним, основой для этой чистки послужили украденные массивы данных, в том числе в результате взлома Управления кадровой службы США (OPM).
Во-вторых, после прихода Си Цзыньпиня китайские спецслужбы только усилили хакерскую активность, направленную на сбор данных об американских (и не только) гражданах. Взлом в 2014 году сети отелей Marriot, в результате которого были украдены данные почти полмиллиарда клиентов, взлом в 2016 году компании Equifax и кража данных 148 млн. граждан США - эти факты действительно известны. Как и то, что за ними стояли китайцы, в частности 54-й НИИ НОАК.
В-третьих, в сентябре 2015 года во время визита Си в Вашингтон они с Обамой подписали двустороннее соглашение о недопущении хищения коммерческой информации в результате хакерских действий. Некоторые чиновники из администрации Обамы предлагали расширить соглашение, включив в него кибершпионаж. Но тут рогом уперлись представители разведсообщества США, которые продавили отказ от такого расширения соглашения.
Классическое "а нас-то за шо?" - китайцам ломать США нельзя, это просто возмутительно, а вот американским хакерам ломать Китай очень даже нормально.
В-четвертых, Foreign Policy и ее источники в своем незамутненном состоянии души прямо пишут о том, что американские разведчики были обеспокоены использованием китайцев украденных информационных массивов. Особенно когда видели подтверждения, полученные в результате взлома разведсетей китайского МГБ и датацентров. Правда сетуют на то, что "получаемая информация была фрагментарной, а полученный в результате кибератак доступ неравномерным".
Американским журналистам, видимо, стало стыдно и они приоткрыли вторую часть расследования.
В этой части Foreign Policy рассматривает период с 2013 по 2016 годы, когда к власти в Китае уже пришел Си Цзыньпинь, но Обама еще не покинул пост Президента США.
Что же в ней интересного. Во-первых, источники издания из числа бывших сотрудников американских спецслужб признают, что в результате предшествующей чистки американских агентов на территории Китая руководство США не смогло получить достоверную информацию о планах Си Цзыньпиня на посту главы КНР. А, как мы помним, основой для этой чистки послужили украденные массивы данных, в том числе в результате взлома Управления кадровой службы США (OPM).
Во-вторых, после прихода Си Цзыньпиня китайские спецслужбы только усилили хакерскую активность, направленную на сбор данных об американских (и не только) гражданах. Взлом в 2014 году сети отелей Marriot, в результате которого были украдены данные почти полмиллиарда клиентов, взлом в 2016 году компании Equifax и кража данных 148 млн. граждан США - эти факты действительно известны. Как и то, что за ними стояли китайцы, в частности 54-й НИИ НОАК.
В-третьих, в сентябре 2015 года во время визита Си в Вашингтон они с Обамой подписали двустороннее соглашение о недопущении хищения коммерческой информации в результате хакерских действий. Некоторые чиновники из администрации Обамы предлагали расширить соглашение, включив в него кибершпионаж. Но тут рогом уперлись представители разведсообщества США, которые продавили отказ от такого расширения соглашения.
Классическое "а нас-то за шо?" - китайцам ломать США нельзя, это просто возмутительно, а вот американским хакерам ломать Китай очень даже нормально.
В-четвертых, Foreign Policy и ее источники в своем незамутненном состоянии души прямо пишут о том, что американские разведчики были обеспокоены использованием китайцев украденных информационных массивов. Особенно когда видели подтверждения, полученные в результате взлома разведсетей китайского МГБ и датацентров. Правда сетуют на то, что "получаемая информация была фрагментарной, а полученный в результате кибератак доступ неравномерным".
Foreign Policy
Beijing Ransacked Data as U.S. Sources Went Dark in China
As Xi consolidated power, U.S. officials struggled to read China’s new ruler.
Появились некоторые подробности в отношении бэкдора Supernova, который был обнаружен у некоторых клиентов SolarWinds и, по предположению исследователей, был связан с другой хакерской группой, нежели авторы нашумевшей атаки на цепочку поставок SUNBURST.
Еще когда неделю назад появилась первая информация о бэкдоре, Ник Карр, исследователь Microsoft, предположил, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917, устраненной в конце 2018 года.
И оказалось таки да! Этой уязвимостью был обход аутентификации многострадального SolarWinds Orion, позволявший осуществить удаленный вызов API функций. Ошибке присвоен CVE-2020-10148, технических подробностей пока нет.
Вот честно, мы бы на месте CISO SolarWinds приняли бы постриг и ушли в монастырь. На крайний случай, сменили бы пол и поехали в Мексику.
Еще когда неделю назад появилась первая информация о бэкдоре, Ник Карр, исследователь Microsoft, предположил, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917, устраненной в конце 2018 года.
И оказалось таки да! Этой уязвимостью был обход аутентификации многострадального SolarWinds Orion, позволявший осуществить удаленный вызов API функций. Ошибке присвоен CVE-2020-10148, технических подробностей пока нет.
Вот честно, мы бы на месте CISO SolarWinds приняли бы постриг и ушли в монастырь. На крайний случай, сменили бы пол и поехали в Мексику.
kb.cert.org
CERT/CC Vulnerability Note VU#843464
SolarWinds Orion API authentication bypass allows remote command execution
На прошлой неделе на различных серых форумах появились объявления о продаже базы данных 16 тыс. клиентов инвестиционной компании Freedom Finance, работающей на рынках России и Казахстана. Мы про это не писали, поскольку не совсем наш профиль, но коллеги из Утечек информации сей факт у себя на канале отметили.
Freedom Finance - российская инвестиционная компания, которая входит в американский холдинг Freedom Holding Corp, принадлежащий основателям Freedom Finance. Холдинг работает на рынках России, Казахстана, Украины, США и Европы. Под управлением Freedom Holding Corp - активы на более чем 450 млн. долларов.
И вот на прошлой неделе их базы появляются в продаже, а в пятницу основной владелец и CEO всей этой петрушки Тимур Турлов делает заявление, в котором говорит, что компания Freedom Finance стала жертвой оператора ransomware и ему очень стыдно за произошедшее.
А далее товарищ Турлов рассказывает про прекрасное инфосек будущее Freedom Finance и в ходе этого рассказа мы начинаем понимать в каком афедроне находится информационная безопасность компании в текущем моменте.
У компании, которая является основной в холдинге, управляющем полумиллиадом долларов, нет ни DLP, ни SIEM, ни EDR, ни PKI, ни IAM. Нету тренингов сотрудников по вопросам информационной безопасности. По всей видимости, нет и самого подразделения ИБ. Короче, нету ни хрена.
И это именно тот самый случай, который мы называем "эффективный" топ-менеджмент и информационная безопасность за мелкий прайс". Полагаем, на репутации Freedom Finance это скажется соответствующим образом. ССЗБ.
Freedom Finance - российская инвестиционная компания, которая входит в американский холдинг Freedom Holding Corp, принадлежащий основателям Freedom Finance. Холдинг работает на рынках России, Казахстана, Украины, США и Европы. Под управлением Freedom Holding Corp - активы на более чем 450 млн. долларов.
И вот на прошлой неделе их базы появляются в продаже, а в пятницу основной владелец и CEO всей этой петрушки Тимур Турлов делает заявление, в котором говорит, что компания Freedom Finance стала жертвой оператора ransomware и ему очень стыдно за произошедшее.
А далее товарищ Турлов рассказывает про прекрасное инфосек будущее Freedom Finance и в ходе этого рассказа мы начинаем понимать в каком афедроне находится информационная безопасность компании в текущем моменте.
У компании, которая является основной в холдинге, управляющем полумиллиадом долларов, нет ни DLP, ни SIEM, ни EDR, ни PKI, ни IAM. Нету тренингов сотрудников по вопросам информационной безопасности. По всей видимости, нет и самого подразделения ИБ. Короче, нету ни хрена.
И это именно тот самый случай, который мы называем "эффективный" топ-менеджмент и информационная безопасность за мелкий прайс". Полагаем, на репутации Freedom Finance это скажется соответствующим образом. ССЗБ.
Вчера финский парламент заявил, что осенью этого года несколько учетных записей электронной почты членов парламента были взломаны неизвестными хакерами.
Атака была обнаружена группой технического мониторинга учреждения. Дело передано в Национальное бюро расследований (NBI).
Последние уже заявляют, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства. Какого - пока не сообщается.
Но мы-то с вами, как представители прогрессивной общественности, знаем, что во всем виноваты русские хакеры. За исключением случаев, когда виноваты китайцы, иранцы или малыш Ким. Поэтому подавляющее большинство инфосек журналистов сразу же начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. Ну, а поэтому, сами понимаете...
Мы ни разу не спорим о том, что русские хакеры существуют и даже работают на благо спецслужб. В ином случае грош цена была бы таким спецслужбам. И это справедливо для всех мировых геополитических акторов.
Но хотелось бы хотя бы раз увидеть TTPs. Потому что случаи, когда APT стран Five Eyes или Израиля активно атаковали европейские организации, известны.
Атака была обнаружена группой технического мониторинга учреждения. Дело передано в Национальное бюро расследований (NBI).
Последние уже заявляют, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства. Какого - пока не сообщается.
Но мы-то с вами, как представители прогрессивной общественности, знаем, что во всем виноваты русские хакеры. За исключением случаев, когда виноваты китайцы, иранцы или малыш Ким. Поэтому подавляющее большинство инфосек журналистов сразу же начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. Ну, а поэтому, сами понимаете...
Мы ни разу не спорим о том, что русские хакеры существуют и даже работают на благо спецслужб. В ином случае грош цена была бы таким спецслужбам. И это справедливо для всех мировых геополитических акторов.
Но хотелось бы хотя бы раз увидеть TTPs. Потому что случаи, когда APT стран Five Eyes или Израиля активно атаковали европейские организации, известны.
www.eduskunta.fi
Cyberattack against Parliament of Finland
Исследователь Shreeram KL (мы так поняли, что это псевдоним - имя известного индийского певца) сообщил, что в июле текущего года нашел уязвимость в Google Docs, позволившую перехватывать скриншоты документов.
Оказалось, что ошибка содержалась в функции "Отправить отзыв", которая имеется в большинстве продуктов Google. В ней есть возможность прикрепления скриншота. Сама функция развернута на google .com и интегрирована с другими доменами через iframe.
В Google Docs не было заголовка X-Frame-Options, который используется для предотвращения кликджекинга. Поэтому ресерчер смог подставить свой сайт в один из фреймов, не осуществляющий проверку целевого домена, и перехватить скриншот.
Безусловно, атака требует определенных действий со стороны пользователя и достаточно геморойна для практической реализации, но в данном случае более интересен сам факт раздолбайства со стороны Google.
И хотя конкретно эта уязвимость закрыта разработчиком, а Shreeram KL получил за нее баунти в размере более 3 тыс. долларов, по его словам, в Google Docs все еще отсутствует X-Frame-Options. Так что...
Оказалось, что ошибка содержалась в функции "Отправить отзыв", которая имеется в большинстве продуктов Google. В ней есть возможность прикрепления скриншота. Сама функция развернута на google .com и интегрирована с другими доменами через iframe.
В Google Docs не было заголовка X-Frame-Options, который используется для предотвращения кликджекинга. Поэтому ресерчер смог подставить свой сайт в один из фреймов, не осуществляющий проверку целевого домена, и перехватить скриншот.
Безусловно, атака требует определенных действий со стороны пользователя и достаточно геморойна для практической реализации, но в данном случае более интересен сам факт раздолбайства со стороны Google.
И хотя конкретно эта уязвимость закрыта разработчиком, а Shreeram KL получил за нее баунти в размере более 3 тыс. долларов, по его словам, в Google Docs все еще отсутствует X-Frame-Options. Так что...