В ноябре мы писали про то, что журналисты Motherboard раскопали информацию про американскую компанию X-Mode, которая за деньги предлагала разработчикам включать в свое мобильное ПО ее SDK, собирающий данные местоположения пользователей. SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее, по последним данным, более 90 млн. загрузок, а также в многие другие.
Клиентами X-Mode являлись крупные американские частные разведывательные компании, а также Командование специальных операций ВС США (USSOCOM).
Теперь обнаружилось, что SDK от X-Mode был встроен еще как минимум в пять приложений, предназначенных для мусульманских молитв, в приложение с картой метро США и пр. При этом в качестве очередного покупателя аналитики от X-Mode нарисовалось Разведывательное управление Министерства обороны США (DIA).
Некоторые разработчики ПО, судя по всему, сами не знали, что SDK передает геоданные в X-Mode. Более того, согласно результатам исследований, SDK начинал передачу данных еще до принятия пользователем политики конфиденциальности в приложении.
И хотя в декабре прошлого года на фоне скандала SDK от X-Mode было запрещено к использованию для разработчиков ПО для Android и Apple, использовавшие его ранее приложения предоставляют сведения другим агрегаторам данных, например Opensignal и Tutela, которые декларируют, что продают информацию телекоммуникационным компаниям (как оно там на самом деле - неизвестно).
Лишнее подтверждение тому, насколько важна прозрачность в сборе мобильными приложениями пользовательских данных.
Клиентами X-Mode являлись крупные американские частные разведывательные компании, а также Командование специальных операций ВС США (USSOCOM).
Теперь обнаружилось, что SDK от X-Mode был встроен еще как минимум в пять приложений, предназначенных для мусульманских молитв, в приложение с картой метро США и пр. При этом в качестве очередного покупателя аналитики от X-Mode нарисовалось Разведывательное управление Министерства обороны США (DIA).
Некоторые разработчики ПО, судя по всему, сами не знали, что SDK передает геоданные в X-Mode. Более того, согласно результатам исследований, SDK начинал передачу данных еще до принятия пользователем политики конфиденциальности в приложении.
И хотя в декабре прошлого года на фоне скандала SDK от X-Mode было запрещено к использованию для разработчиков ПО для Android и Apple, использовавшие его ранее приложения предоставляют сведения другим агрегаторам данных, например Opensignal и Tutela, которые декларируют, что продают информацию телекоммуникационным компаниям (как оно там на самом деле - неизвестно).
Лишнее подтверждение тому, насколько важна прозрачность в сборе мобильными приложениями пользовательских данных.
VICE
More Muslim Apps Worked with X-Mode, Which Sold Data to Military Contractors
Five more apps, including Qibla Compass, which has over 5 million downloads, had a relationship with X-Mode according to technical tests.
Инфосек компания Clearsky выпустила отчет о новой кибероперации хакерской группы Lebanese Cedar aka Volatile Cedar, за которой якобы стоит часть руководства Ливана, а точнее шиитская организация и политическая партия Хезболла.
Впервые Volatile Cedar был описан исследователями Check Point в 2015 году. Тогда израильские ресерчеры выявили продолжающуюся на протяжении 3 лет кибершпионскую компанию, в ходе которой использовался авторский RAT Explosive. Среди используемых APT приемов было заражение USB с целью проникновения в изолированные сегменты атакуемой сети.
Целями хакеров были телекоммуникационные и медиа-компании, образовательные учреждения США, Канады, Великобритании, Турции, Ливана и Израиля.
В продолжение расследования Check Point эксперты из Лаборатории Касперского опубликовали результаты собственных наблюдений в отношении вредоносной инфраструктуры Volatile Cedar, из которых стало понятно, что на первом месте в списке целей с огромным отрывом стоят именно ливанские организации (Ливан - 22, США - 9, далее Канада - 3). А одна жертва была в России.
Тут пытливые подписчики испытают разрыв шаблона и зададутся вопросом зачем ливанской APT атаковать ливанские же организации в товарных количествах. На этот случай у Check Point было заготовлено универсальное объяснение, что за Volatile Cedar стоит не национальное правительство Ливана, а именно Хеболла, которая является одной из составляющих ливанского политического процесса и таким образом осуществляет разборки со своими оппонентами.
Новая выявленная ClearSky компания продолжалась с начала 2020 года, в ее ходе хакерами было заражено более 250 серверов по всему миру - в США, Великобритании, Египте, Ливане (опять), Иордании, Израиле. Основные цели - хостинги, телеком и IT-компании, в том числе весьма крупные, к примеру - Vodafone Egypt.
В ходе атак преимущественно использовались авторские вредоносы Caterpillar, вариант опенсорсного веб-шелла ASPXspy, и RAT Explosion V4. Анализируя код Caterpillar ресерчеры получили ники трех его разработчиков - Nido, Zero Lord и Tatra. А вот в ходе анализа ClearSky других использованных вредоносов начинают появляться следы сторонних APT.
В некоторых веб-шеллах исследователи нашли фрагменты кода, связанные с инструментами иранской группы ITSecTeam, она же Cutting Kitten. В другом веб-шелле обнаружили ник его автора - Mamad Warning, по утверждению ClearSky это член группы иранских хактивистов Persian Hacker aka Pars (мы такой группы, если честно, не встречали).
Таким образом, более логичным было бы предположить, что за APT Volatile Cedar стоит Иран. В этом случае объясняется и высокая активность группы на ливанском направлении - иранцы активно участвуют во внутриполитической жизни Ливана и должны иметь неофициальные источники информации. Тем не менее, ClearSky утверждают, что поддерживают точку зрения Check Point о принадлежности Volatile Cedar ливанскому правительству или Хезболле, хотя и не обосновывают такое мнение.
Впервые Volatile Cedar был описан исследователями Check Point в 2015 году. Тогда израильские ресерчеры выявили продолжающуюся на протяжении 3 лет кибершпионскую компанию, в ходе которой использовался авторский RAT Explosive. Среди используемых APT приемов было заражение USB с целью проникновения в изолированные сегменты атакуемой сети.
Целями хакеров были телекоммуникационные и медиа-компании, образовательные учреждения США, Канады, Великобритании, Турции, Ливана и Израиля.
В продолжение расследования Check Point эксперты из Лаборатории Касперского опубликовали результаты собственных наблюдений в отношении вредоносной инфраструктуры Volatile Cedar, из которых стало понятно, что на первом месте в списке целей с огромным отрывом стоят именно ливанские организации (Ливан - 22, США - 9, далее Канада - 3). А одна жертва была в России.
Тут пытливые подписчики испытают разрыв шаблона и зададутся вопросом зачем ливанской APT атаковать ливанские же организации в товарных количествах. На этот случай у Check Point было заготовлено универсальное объяснение, что за Volatile Cedar стоит не национальное правительство Ливана, а именно Хеболла, которая является одной из составляющих ливанского политического процесса и таким образом осуществляет разборки со своими оппонентами.
Новая выявленная ClearSky компания продолжалась с начала 2020 года, в ее ходе хакерами было заражено более 250 серверов по всему миру - в США, Великобритании, Египте, Ливане (опять), Иордании, Израиле. Основные цели - хостинги, телеком и IT-компании, в том числе весьма крупные, к примеру - Vodafone Egypt.
В ходе атак преимущественно использовались авторские вредоносы Caterpillar, вариант опенсорсного веб-шелла ASPXspy, и RAT Explosion V4. Анализируя код Caterpillar ресерчеры получили ники трех его разработчиков - Nido, Zero Lord и Tatra. А вот в ходе анализа ClearSky других использованных вредоносов начинают появляться следы сторонних APT.
В некоторых веб-шеллах исследователи нашли фрагменты кода, связанные с инструментами иранской группы ITSecTeam, она же Cutting Kitten. В другом веб-шелле обнаружили ник его автора - Mamad Warning, по утверждению ClearSky это член группы иранских хактивистов Persian Hacker aka Pars (мы такой группы, если честно, не встречали).
Таким образом, более логичным было бы предположить, что за APT Volatile Cedar стоит Иран. В этом случае объясняется и высокая активность группы на ливанском направлении - иранцы активно участвуют во внутриполитической жизни Ливана и должны иметь неофициальные источники информации. Тем не менее, ClearSky утверждают, что поддерживают точку зрения Check Point о принадлежности Volatile Cedar ливанскому правительству или Хезболле, хотя и не обосновывают такое мнение.
Microsoft вносит уточнения в информацию о действиях хакеров КНДР по целевым атакам на исследователей безопасности, о которых ранее на этой неделе сообщили Google Threat Analysis Group.
По данным исследователей за атакой стоят хакеры из самой активной и известной северокорейской APT - Lazarus, которую Microsoft называют Zinc. Согласно их информации, киберкампания началась в середине 2020 года, в результате кросс-ссылок фейковых аккаунтов друг на друга хакеры из КНДР смогли раскрутить авторитет выдуманных инфосек экспертов среди экспертов настоящих.
Также ресерчеры Microsoft сообщили об других методах заражения, не указанных Google TAG, которые применяли Lazarus, - распространение в блоге MHTML файлов, содержащих ссылку на вредоносный JS, попытки использовать CVE-2017-16238 в Vir.IT eXplorer (неудачные) и кража паролей Chrome.
Исследователи предупреждают, что если вы посещали вредоносный блог на br0vvnn .io и у вас присутствуют приведенные в их отчете IOCs, то следует предполагать, что ваше устройство находится под полным контролем хакеров из Lazarus.
По данным исследователей за атакой стоят хакеры из самой активной и известной северокорейской APT - Lazarus, которую Microsoft называют Zinc. Согласно их информации, киберкампания началась в середине 2020 года, в результате кросс-ссылок фейковых аккаунтов друг на друга хакеры из КНДР смогли раскрутить авторитет выдуманных инфосек экспертов среди экспертов настоящих.
Также ресерчеры Microsoft сообщили об других методах заражения, не указанных Google TAG, которые применяли Lazarus, - распространение в блоге MHTML файлов, содержащих ссылку на вредоносный JS, попытки использовать CVE-2017-16238 в Vir.IT eXplorer (неудачные) и кража паролей Chrome.
Исследователи предупреждают, что если вы посещали вредоносный блог на br0vvnn .io и у вас присутствуют приведенные в их отчете IOCs, то следует предполагать, что ваше устройство находится под полным контролем хакеров из Lazarus.
Microsoft News
ZINC attacks against security researchers
In recent months, Microsoft has detected cyberattacks targeting security researchers by an actor we track as ZINC. Observed targeting includes pen testers, private offensive security researchers, and employees at security and tech companies.
Команда ресурса Safety Detectives обнаружила открытый Elasticsearch-сервер компании Bykea, на котором содержалось 400 млн. записей, содержащих данные клиентов.
Bykea - пакистанская компания, специализирующаяся на доставке, предоставлении услуг мотоциклетного такси, а также каршеринге.
В 200 Гб данных, лежавших на открытом сервере, содержалась база данных производственных серверов компании, в которой была информация об именах, телефонах, адресах клиентов и водителей Bykea. А также информация о месте доставки, данные об автомобилях с координатами GPS, незашифрованные пары логин-пароль сотрудников компании и многое другое.
Хотелось бы сказать, что это особенность пакистанского инфосек, но нет. Подобные косяки регулярно допускают все кому не лень.
Bykea - пакистанская компания, специализирующаяся на доставке, предоставлении услуг мотоциклетного такси, а также каршеринге.
В 200 Гб данных, лежавших на открытом сервере, содержалась база данных производственных серверов компании, в которой была информация об именах, телефонах, адресах клиентов и водителей Bykea. А также информация о месте доставки, данные об автомобилях с координатами GPS, незашифрованные пары логин-пароль сотрудников компании и многое другое.
Хотелось бы сказать, что это особенность пакистанского инфосек, но нет. Подобные косяки регулярно допускают все кому не лень.
SafetyDetectives
Multimillion-dollar Pakistani delivery company leaks 400+ million files
A prominent vehicle-for-hire and parcel delivery company based in Pakistan has suffered a significant data breach which affected its extensive user database.
Th
Th
Неделю назад компания SonicWall сообщила, что была атакована хакерами, которые использовали для взлома 0-day уязвимость в VPN-решениях Secure Mobile Access и NetExtender производства самой SonicWall.
Во избежание компрометации стоящей за VPN сети SonicWall рекомендовала клиентам включать многофакторную аутентификацию (MFA). Получается, что сами разработчики ПО MFA не использовали. Спасибо хоть, что пароль был не sonicwall123, как у некоторых SolarWinds.
Примечательно, что за несколько дней до этого с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Возможно, что речь шла именно о SonicWall.
Вчера же исследователи инфосек компании NCC Group сообщили, что обнаружили, вероятно, именно эту уязвимость и имеют на руках рабочий эксплойт. Все технические подробности переданы в SonicWall.
Самое неприятное для клиентов SonicWall, что, со слов NCC Group, эта дырка во всю используется злоумышленниками в дикой природе.
Во избежание компрометации исследователи порекомендовали ограничить список IP-адресов, с которых разрешен доступ к интерфейсу VPN, а также повторили совет производителя об использовании MFA.
Во избежание компрометации стоящей за VPN сети SonicWall рекомендовала клиентам включать многофакторную аутентификацию (MFA). Получается, что сами разработчики ПО MFA не использовали. Спасибо хоть, что пароль был не sonicwall123, как у некоторых SolarWinds.
Примечательно, что за несколько дней до этого с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Возможно, что речь шла именно о SonicWall.
Вчера же исследователи инфосек компании NCC Group сообщили, что обнаружили, вероятно, именно эту уязвимость и имеют на руках рабочий эксплойт. Все технические подробности переданы в SonicWall.
Самое неприятное для клиентов SonicWall, что, со слов NCC Group, эта дырка во всю используется злоумышленниками в дикой природе.
Во избежание компрометации исследователи порекомендовали ограничить список IP-адресов, с которых разрешен доступ к интерфейсу VPN, а также повторили совет производителя об использовании MFA.
Twitter
NCC Group Research & Technology
Per the @SonicWall advisory - sonicwall.com/support/produc… - we've identified and demonstrated exploitability of a possible candidate for the vulnerability described and sent details to SonicWall - we've also seen indication of indiscriminate use of an exploit…
Недавно оператор ransomware Conti успешно атаковал Шотландское агентство охраны окружающей среды (SEPA), а потом выкинул в сеть украденные данные в размере 1,2 Гб. Мы писали об этом здесь.
А в конце прошлой недели Британское агентство исследований и инноваций (UKRI) проинформировало общественность, что также стало жертвой кибератаки, в результате которой часть данных была зашифрована, а два сервиса приостановили работу.
С учетом того, что годовой бюджет UKRI составляет 6 млрд. фунтов стерлингов, вымогателям есть чем поживиться. Тем более, что судя по пресс-релизу, они получили доступ, в числе прочего, к системе, обрабатывающей заявки на гранты.
Чем дальше, тем государственные учреждения все чаще становятся объектами охоты со стороны операторов ransomware. Мы бы, на месте российских ответственных лиц, озаботились.
А в конце прошлой недели Британское агентство исследований и инноваций (UKRI) проинформировало общественность, что также стало жертвой кибератаки, в результате которой часть данных была зашифрована, а два сервиса приостановили работу.
С учетом того, что годовой бюджет UKRI составляет 6 млрд. фунтов стерлингов, вымогателям есть чем поживиться. Тем более, что судя по пресс-релизу, они получили доступ, в числе прочего, к системе, обрабатывающей заявки на гранты.
Чем дальше, тем государственные учреждения все чаще становятся объектами охоты со стороны операторов ransomware. Мы бы, на месте российских ответственных лиц, озаботились.
Telegram
SecAtor
В конце декабря оператор ransomware взломал сеть Шотландского агентства охраны окружающей среды (SEPA). Мы эту новость видели, но не стали ее освещать - взломали и взломали, не в первый раз государственные агентства подвергаются атакам вымогателей.
Однако…
Однако…
Словацкий инфосек вендор ESET рассказал сегодня про очередную атаку на цепочку поставок - компрометацию разработчика ПО с целью внедрения в его программы вредоносов для дальнейшего взлома его клиентов. Эта кибероперация получила название NightScout.
В минувшем январе исследователи обнаружили, что в сентябре 2020 года серверная инфраструктура гонконгской компании BigNox была взломана неустановленными хакерами, в результате чего несколько клиентов компании были заражены вредоносами.
BigNox является поставщиком эмулятора Android для Windows и Mac под названием NoxPlayer. Он используется преимущественно геймерами для запуска на десктопах мобильных игр, клиентов насчитывается более 150 млн. и большинство из них находятся в Азии.
Хакеры взломали сервер api .bignox .com, к которому обращается клиент NoxPlayer, чтобы получить ссылки для загрузки обновления. Внутри обновления целевым жертвам загружались три варианта вредоносов, причем в двух случаях ссылки вели на сторонние ресурсы, а в одном - была скомпрометирована легальная инфраструктура BigNox, из которой закачивалось вредоносное обновление.
В каждом из вариантов на компьютер жертвы доставлялся свой вредонос - авторский бэкдор с функциями трояна удаленного доступа (RAT), Gh0st RAT или PoisonIvy RAT.
Самое интересное в Operation NightScout - это избирательность заражения. Проверив данные более 100 тыс. загрузок обновления ESET установили, что только 5 пользователей из Тайваня, Гонконга и Шри-Ланки были в итоге заражены. Принципы, по которым отбирались жертвы, исследователи установить не смогли.
Кто конкретно стоит за атакой ESET не указывают. Единственные, что удалось найти - совпадения в конфигурации одного из загрузчиков с использовавшейся при атаке на сайт администрации Президента Мьянмы в 2018 году и при взломе одного из университетов Гонконга в 2020.
Мы можем предположить, что за атакой стоит китайская APT Winnti, которая как раз любит заниматься компрометацией цепочек поставок. На это указывает и география атаки, совпадающая с зоной геополитических интересов КНР. С другой стороны, ранее Winnti были неизбирательны в ходе таких атак, заражая всех пользователей скопом. Так что окончательные выводы делать на основе имеющихся данных рано.
В минувшем январе исследователи обнаружили, что в сентябре 2020 года серверная инфраструктура гонконгской компании BigNox была взломана неустановленными хакерами, в результате чего несколько клиентов компании были заражены вредоносами.
BigNox является поставщиком эмулятора Android для Windows и Mac под названием NoxPlayer. Он используется преимущественно геймерами для запуска на десктопах мобильных игр, клиентов насчитывается более 150 млн. и большинство из них находятся в Азии.
Хакеры взломали сервер api .bignox .com, к которому обращается клиент NoxPlayer, чтобы получить ссылки для загрузки обновления. Внутри обновления целевым жертвам загружались три варианта вредоносов, причем в двух случаях ссылки вели на сторонние ресурсы, а в одном - была скомпрометирована легальная инфраструктура BigNox, из которой закачивалось вредоносное обновление.
В каждом из вариантов на компьютер жертвы доставлялся свой вредонос - авторский бэкдор с функциями трояна удаленного доступа (RAT), Gh0st RAT или PoisonIvy RAT.
Самое интересное в Operation NightScout - это избирательность заражения. Проверив данные более 100 тыс. загрузок обновления ESET установили, что только 5 пользователей из Тайваня, Гонконга и Шри-Ланки были в итоге заражены. Принципы, по которым отбирались жертвы, исследователи установить не смогли.
Кто конкретно стоит за атакой ESET не указывают. Единственные, что удалось найти - совпадения в конфигурации одного из загрузчиков с использовавшейся при атаке на сайт администрации Президента Мьянмы в 2018 году и при взломе одного из университетов Гонконга в 2020.
Мы можем предположить, что за атакой стоит китайская APT Winnti, которая как раз любит заниматься компрометацией цепочек поставок. На это указывает и география атаки, совпадающая с зоной геополитических интересов КНР. С другой стороны, ранее Winnti были неизбирательны в ходе таких атак, заражая всех пользователей скопом. Так что окончательные выводы делать на основе имеющихся данных рано.
WeLiveSecurity
Operation NightScout: Supply‑chain attack targets online gaming in Asia
ESET research uncovers a supply-chain attack compromising the update mechanism of NoxPlayer and used in a cyberespionage operation against gamers in Asia.
Forwarded from Эксплойт | Live
Домен perl.com украден и теперь указывает на IP-адрес, связанный с вредоносным ПО
На прошлой неделе автор Perl и редактор Perl.com сообщил в своём Twitter, что домен perl.com теперь зарегистрирован под другим лицом.
Perl.com — это сайт Тома Кристиансена, который с 1997 года используется для размещения информации о языке программирования Perl.
Один из специалистов по интеллектуальной собственности ответил на этот твит, сообщив что домен был украден ещё в сентябре 2020 года.
Что самое примечательное, IP-адрес, который сейчас размещен на украденном домене, используется во многих кампаниях вредоносных программ.
На прошлой неделе автор Perl и редактор Perl.com сообщил в своём Twitter, что домен perl.com теперь зарегистрирован под другим лицом.
Perl.com — это сайт Тома Кристиансена, который с 1997 года используется для размещения информации о языке программирования Perl.
Один из специалистов по интеллектуальной собственности ответил на этот твит, сообщив что домен был украден ещё в сентябре 2020 года.
Что самое примечательное, IP-адрес, который сейчас размещен на украденном домене, используется во многих кампаниях вредоносных программ.
Журналисты ZDNet сообщают, что с октября прошлого года стали появляться сообщения об атаках ransomware RansomExx на виртуальные машины в корпоративных средах.
Имеющиеся данные свидетельствуют, что хакеры используют CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют злоумышленнику взять гипервизор под контроль через протокол SLP если он находится в той же сети. В результате атаки хакеры шифруют все виртуальные жесткие диски.
RansomExx - это те вымогатели, которые в прошлом году успешно атаковали бразильского производителя самолетов Embraer, Бразильский верховный суд, а также американского IT-гиганта Tyler Technologies, который в результате заплатил злоумышленникам выкуп.
Кроме RansomExx, по данным журналистов, в прошлом месяце о поддержке шифрования виртуальных машин заявил владелец ransomware Babuk Locker.
Рекомендуем владельцам обновить свои VMWare ESXi.
Имеющиеся данные свидетельствуют, что хакеры используют CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют злоумышленнику взять гипервизор под контроль через протокол SLP если он находится в той же сети. В результате атаки хакеры шифруют все виртуальные жесткие диски.
RansomExx - это те вымогатели, которые в прошлом году успешно атаковали бразильского производителя самолетов Embraer, Бразильский верховный суд, а также американского IT-гиганта Tyler Technologies, который в результате заплатил злоумышленникам выкуп.
Кроме RansomExx, по данным журналистов, в прошлом месяце о поддержке шифрования виртуальных машин заявил владелец ransomware Babuk Locker.
Рекомендуем владельцам обновить свои VMWare ESXi.
ZDNET
Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks
Two VMWare ESXi vulnerabilities, CVE-2019-5544 and CVE-2020-3992, reported as abused in the wild.
Летом прошлого года тринадцать американских сенаторов-демократов направили в Juniper письмо, в котором просили компанию опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.
Если кто не помнит, в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
А потом оказалось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ, в котором была заложенная на стадии разработки дыра. И с 2008 по 2015 годы АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик.
Как мы понимаем, Juniper на письмо сенаторов не ответили. В принципе имеют право, компания все-таки частная. Но после скандала со взломом SolarWinds американские законодатели снова забеспокоились и решили все-таки до конца разобраться в этой истории. Подозреваем, сенаторы решили, что первичной точкой компрометации SolarWinds могла послужить аналогичная дырка, оставленная АНБ.
Поэтому демократы, среди которых один сенатор и девять членов Палаты представителей, написали очередное письмо, теперь уже в АНБ, и требуют от агентства полного отчета по кейсу с Juniper.
Не знаем, какими документами в США регламентируется порядок ответа правительственных агентств на запросы конгрессменов, но предполагаем, что в ответе АНБ, если он когда-либо будет опубликован, может быть много интересного.
Если кто не помнит, в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
А потом оказалось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ, в котором была заложенная на стадии разработки дыра. И с 2008 по 2015 годы АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик.
Как мы понимаем, Juniper на письмо сенаторов не ответили. В принципе имеют право, компания все-таки частная. Но после скандала со взломом SolarWinds американские законодатели снова забеспокоились и решили все-таки до конца разобраться в этой истории. Подозреваем, сенаторы решили, что первичной точкой компрометации SolarWinds могла послужить аналогичная дырка, оставленная АНБ.
Поэтому демократы, среди которых один сенатор и девять членов Палаты представителей, написали очередное письмо, теперь уже в АНБ, и требуют от агентства полного отчета по кейсу с Juniper.
Не знаем, какими документами в США регламентируется порядок ответа правительственных агентств на запросы конгрессменов, но предполагаем, что в ответе АНБ, если он когда-либо будет опубликован, может быть много интересного.
www.wyden.senate.gov
Wyden and Booker Question NSA Response Following Supply Chain Hacks of SolarWinds And Juniper Networks
The Official U.S. Senate website of Senator Ron Wyden of Oregon
В декабре мы писали несколько постов про расследование Foreign Policy о проводимых Китаем массовых взломах в целях сбора информационных массивов и дальнейшем их использовании для вскрытия американской разведывательной сети. Тогда американские журналисты ссылались на неназванные источники.
Вчера же в репортаже 60 минут американской CBS директор Национального центра контрразведки и безопасности США Билл Эванина (мы так и не поняли, то ли действующий, то ли на днях в отставку отправленный) сообщил, что КНР активно работает над сбором медицинской информации американцев, в том числе ДНК.
По словам Эванины (а это вообще законно теперь такие фамилие писать, нас не оштрафуют по новому закону о мате в соцсетях?), весной на фоне развивающейся эпидемии COVID китайская компания BGI обратилась к руководству шести американских штатов с предложением о строительстве и эксплуатации лабораторий по тестированию на коронавирус. Тогда спецслужбы предупредили штаты о возможном использовании этих лабораторий для сбора медицинских данных американских граждан со стороны китайцев и проекты были свернуты.
Так к чему мы все это. В процессе интервью Эванина заявил, что по текущим оценкам личная информация о 80% американцев тем или иным образом была украдена китайскими спецслужбами. Естественно, что украдена не путем подрыва сейфов с амбарными книгами, а в результате кибератак. Это первое подтверждение от американского официального лица такого уровня, в котором указывается масштаб утечки персональных данных американцев.
Но не переживайте за американцев, мы не дадим им оторваться, ведь у нас есть ДИТ!
Вчера же в репортаже 60 минут американской CBS директор Национального центра контрразведки и безопасности США Билл Эванина (мы так и не поняли, то ли действующий, то ли на днях в отставку отправленный) сообщил, что КНР активно работает над сбором медицинской информации американцев, в том числе ДНК.
По словам Эванины (а это вообще законно теперь такие фамилие писать, нас не оштрафуют по новому закону о мате в соцсетях?), весной на фоне развивающейся эпидемии COVID китайская компания BGI обратилась к руководству шести американских штатов с предложением о строительстве и эксплуатации лабораторий по тестированию на коронавирус. Тогда спецслужбы предупредили штаты о возможном использовании этих лабораторий для сбора медицинских данных американских граждан со стороны китайцев и проекты были свернуты.
Так к чему мы все это. В процессе интервью Эванина заявил, что по текущим оценкам личная информация о 80% американцев тем или иным образом была украдена китайскими спецслужбами. Естественно, что украдена не путем подрыва сейфов с амбарными книгами, а в результате кибератак. Это первое подтверждение от американского официального лица такого уровня, в котором указывается масштаб утечки персональных данных американцев.
Но не переживайте за американцев, мы не дадим им оторваться, ведь у нас есть ДИТ!
CBS News
China's push to control Americans' health care future
U.S. officials say the Chinese government is trying to collect Americans' DNA, and they believe a recent offer from a Chinese company for assistance in COVID-19 testing was suspicious. Jon Wertheim reports.
В октябре пошлого года на YouTube-канале Russian OSINT вышло интервью с владельцами ransomware Sodinokibi (REvil), очень познавательное. Мы про это писали здесь.
Теперь команда Cisco Talos разметила материал по результатам нескольких интервью с одним из операторов ransomware LockBit. Подчеркнем, не с владельцем, а с одним из операторов, поскольку LockBit работает по схеме Ransomware-as-a-Service. Ресерчеры называют его Алекс.
Контакт с злоумышленником был установлен исследователями в сентябре 2020 года и с тех пор они провели с ним несколько бесед.
Хакер, по его словам, самоучка и не имеет отношения к какой-либо группе или государственной структуре. Он осуществляет взломы исключительно в целях заработка денег на обеспечение своей семьи. Во время осуществления атак он не использует 0-day уязвимости или авторские вредоносы, а полагается исключительно на общедоступные инструменты, такие как Mimikatz. Таким образом основными целями этого оператора LockBit являются сети с непропатченным ПО.
Интересные моменты, которые подметили исследователи Cisco Talos:
- хакер пренебрежительно относится к тем, кто взламывает больничные сети, но при этом сам, судя по всему, не брезгует это делать;
- потому что больничные сети - самая выгодная жертва, они выплачивают выкуп в 80-90% случаев;
- у владельцев Maze была самая высокая комиссия, составлявшая 35%, что отворачивало многих хакеров от сотрудничества с ними;
- GDPR (Регламент ЕС о защите персональных данных) играет на руку вымогателям, поскольку предусматривает серьезные последствия для компании в случае утечки информации, в силу чего они охотнее соглашаются выплатить выкуп чтобы сведения о взломе не стали достоянием общественности;
- в США компании обязаны под угрозой санкций сообщать о всех инцидентах с безопасностью, поэтому американские жертвы платят менее охотно.
Теперь немного о личности хакера. Хакер, по мнению американских исследователей, русский. Они уверены, что ему чуть за 30, он из Сибири. Алекс пренебрежительно отзывается о российских инфосек компаниях - судя по всему ранее он работал в индустрии кибербезопасности и его знания, по его мнению, не оценили. Со временем он понял, что не может добиться устранения тех уязвимостей, которые он находил, поэтому он решил зарабатывать на этом деньги.
И вот в последние сентенции мы, к сожалению, верим. Отношение к вопросам информационной безопасности в России, как мы уже неоднократно говорили, ниже плинтуса, что в коммерческом секторе, что в государственном. И многие молодые инфосек энтузиасты, доказывающие свою точку зрения с горящими глазами, натыкаются на эту бетонную стену безразличия, после чего кто-то ломается и смиряется, кто-то уходит в другие области, единицы пробиваются и становятся лидерами своих проектов. Ну а кто-то разочаровывается в инфосеке и переходит на темную сторону.
Интересные материалы, почитайте.
Теперь команда Cisco Talos разметила материал по результатам нескольких интервью с одним из операторов ransomware LockBit. Подчеркнем, не с владельцем, а с одним из операторов, поскольку LockBit работает по схеме Ransomware-as-a-Service. Ресерчеры называют его Алекс.
Контакт с злоумышленником был установлен исследователями в сентябре 2020 года и с тех пор они провели с ним несколько бесед.
Хакер, по его словам, самоучка и не имеет отношения к какой-либо группе или государственной структуре. Он осуществляет взломы исключительно в целях заработка денег на обеспечение своей семьи. Во время осуществления атак он не использует 0-day уязвимости или авторские вредоносы, а полагается исключительно на общедоступные инструменты, такие как Mimikatz. Таким образом основными целями этого оператора LockBit являются сети с непропатченным ПО.
Интересные моменты, которые подметили исследователи Cisco Talos:
- хакер пренебрежительно относится к тем, кто взламывает больничные сети, но при этом сам, судя по всему, не брезгует это делать;
- потому что больничные сети - самая выгодная жертва, они выплачивают выкуп в 80-90% случаев;
- у владельцев Maze была самая высокая комиссия, составлявшая 35%, что отворачивало многих хакеров от сотрудничества с ними;
- GDPR (Регламент ЕС о защите персональных данных) играет на руку вымогателям, поскольку предусматривает серьезные последствия для компании в случае утечки информации, в силу чего они охотнее соглашаются выплатить выкуп чтобы сведения о взломе не стали достоянием общественности;
- в США компании обязаны под угрозой санкций сообщать о всех инцидентах с безопасностью, поэтому американские жертвы платят менее охотно.
Теперь немного о личности хакера. Хакер, по мнению американских исследователей, русский. Они уверены, что ему чуть за 30, он из Сибири. Алекс пренебрежительно отзывается о российских инфосек компаниях - судя по всему ранее он работал в индустрии кибербезопасности и его знания, по его мнению, не оценили. Со временем он понял, что не может добиться устранения тех уязвимостей, которые он находил, поэтому он решил зарабатывать на этом деньги.
И вот в последние сентенции мы, к сожалению, верим. Отношение к вопросам информационной безопасности в России, как мы уже неоднократно говорили, ниже плинтуса, что в коммерческом секторе, что в государственном. И многие молодые инфосек энтузиасты, доказывающие свою точку зрения с горящими глазами, натыкаются на эту бетонную стену безразличия, после чего кто-то ломается и смиряется, кто-то уходит в другие области, единицы пробиваются и становятся лидерами своих проектов. Ну а кто-то разочаровывается в инфосеке и переходит на темную сторону.
Интересные материалы, почитайте.
Cisco Talos Blog
Interview with a LockBit ransomware operator
By Azim Khodjibaev, Dmytro Korzhevin and Kendall McKay.
Ransomware is still highly prevalent in our current threat landscape — it's one of the top threats Cisco Talos Incident Response responds to. One such ransomware family we encounter is called LockBit…
Ransomware is still highly prevalent in our current threat landscape — it's one of the top threats Cisco Talos Incident Response responds to. One such ransomware family we encounter is called LockBit…
На прошлой неделе мы писали про открытую (но не свежую) уязвимость CVE-2021-3156 aka Baron Samedit в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует с июля 2011 года. Результатом ее эксплуатации является получение хакером рутовых прав в системе.
Исследователи инфосек компании Qualys разработали три эксплойта уязвимости, в результате применения которых успешно получили права в Ubuntu 20.04, Debian 10 и Fedora 33. Но эксперты сразу предупредили, что вероятно CVE-2021-3156 подвержены и другие системы.
Qualys как в воду глядели. Исследователь Hacker Fantastic, в миру Мэтью Хикки, сооснователь и CTO Hacker House, сообщил, что MacOS Big Sur также подвержена уязвимости с небольшими изменениями.
Несколько исследователей в комментариях к сообщению Хикки подтвердили работоспособность уязвимости.
Последнее обновление безопасности для macOS от Apple ошибку не исправляет. Видимо будет внеочередной патч.
Исследователи инфосек компании Qualys разработали три эксплойта уязвимости, в результате применения которых успешно получили права в Ubuntu 20.04, Debian 10 и Fedora 33. Но эксперты сразу предупредили, что вероятно CVE-2021-3156 подвержены и другие системы.
Qualys как в воду глядели. Исследователь Hacker Fantastic, в миру Мэтью Хикки, сооснователь и CTO Hacker House, сообщил, что MacOS Big Sur также подвержена уязвимости с небольшими изменениями.
Несколько исследователей в комментариях к сообщению Хикки подтвердили работоспособность уязвимости.
Последнее обновление безопасности для macOS от Apple ошибку не исправляет. Видимо будет внеочередной патч.
Twitter
Hacker Fantastic
CVE-2021-3156 also impacts @apple MacOS Big Sur (unpatched at present), you can enable exploitation of the issue by symlinking sudo to sudoedit and then triggering the heap overflow to escalate one's privileges to 1337 uid=0. Fun for @p0sixninja
Американская компания Chainalysis, специализирующаяся на изучении блокчейна, анонсировала свой отчет 2021 Crypto Crime Report.
В числе прочего исследователи, проведя анализ движения средств по криптокошелькам, принадлежащим владельцам ransomware, выяснили, что в 2020 году выплаты вымогателям составили почти 350 млн. долларов.
В превью Chainalysis приводят еще несколько интересных фактов о движении преступных средств в криптовалюте, но если вам интересна эта тема, то имеет смысл дождаться полного отчета.
Мы же заметим, что владельцы ransomware пользуются множеством криптокошельков и информация о значительной их части не попадает в паблик, поскольку жертвы предпочитают решить вопрос "по тихому". А поэтому не сомневаемся, что реальный размер рынка вымогателец существенно больше 350 млн. долларов. Возможно, что в разы.
В числе прочего исследователи, проведя анализ движения средств по криптокошелькам, принадлежащим владельцам ransomware, выяснили, что в 2020 году выплаты вымогателям составили почти 350 млн. долларов.
В превью Chainalysis приводят еще несколько интересных фактов о движении преступных средств в криптовалюте, но если вам интересна эта тема, то имеет смысл дождаться полного отчета.
Мы же заметим, что владельцы ransomware пользуются множеством криптокошельков и информация о значительной их части не попадает в паблик, поскольку жертвы предпочитают решить вопрос "по тихому". А поэтому не сомневаемся, что реальный размер рынка вымогателец существенно больше 350 млн. долларов. Возможно, что в разы.
Chainalysis
Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think
2020 will forever be known as the year of Covid, but when it comes to cryptocurrency crime, it’s also the year that ransomware took off.
Reuters пишет, что, согласно сразу пяти источникам близким к расследованию ФБР инцидента с SolwarWinds, некая китайская хакерская группа использовала ошибку в SolarWinds Orion для того, чтобы распространять свое присутствие в сетях правительственных учреждений США. В числе пострадавших называется Национальный финансовый центр, подразделение американского Минсельхоза.
При этом источники Reuters подчеркивают, что китайские хакеры не причастны к компрометации SolarWinds и последующему затрояниванию SolarWinds Orion. Это достижение застолбили за русскими хакерами.
А мы напомним, тем временем, что, помимо трояна Sunburst и использовавшегося для его внедрения Sunspot, в ходе расследования инцидента в сетях с установленными SolarWinds Orion уже были найдены бэкдор Raindrop, вроде как (но не точно) связанный с авторами Sunburst. а также бэкдор Supernova, вроде как (но не точно) с этими самыми авторами не связанный. Теперь еще и китайцы нарисовались.
У нас к инфосек подразделению SolarWinds только два вопроса - куда уехал цирк и почему они остались.
При этом источники Reuters подчеркивают, что китайские хакеры не причастны к компрометации SolarWinds и последующему затрояниванию SolarWinds Orion. Это достижение застолбили за русскими хакерами.
А мы напомним, тем временем, что, помимо трояна Sunburst и использовавшегося для его внедрения Sunspot, в ходе расследования инцидента в сетях с установленными SolarWinds Orion уже были найдены бэкдор Raindrop, вроде как (но не точно) связанный с авторами Sunburst. а также бэкдор Supernova, вроде как (но не точно) с этими самыми авторами не связанный. Теперь еще и китайцы нарисовались.
У нас к инфосек подразделению SolarWinds только два вопроса - куда уехал цирк и почему они остались.
U.S.
Exclusive: Suspected Chinese hackers used SolarWinds bug to spy on U.S. payroll agency – sources
By Christopher Bing, Jack Stubbs, Raphael Satter and Joseph Menn
BleepingComputer рассказывает о новом штамме ransomware Babyk он же Babuk. И, в который раз, мы бы не стали писать о новом вымогателе (тысячи их!), но есть, как говорилось в известном анекдоте, нюанс! А именно особенности в выборе потенциальных целей Babyk.
Этот штамм появился в начале 2021 года и ориентирован на корпоративные сети. Поскольку вымогатель совсем новый, то и информации об его успешных атаках мы еще не встречали. Единственное - писали на днях про то, что владельцы Babyk анонсировали поддержку шифрования виртуальных машин.
На днях владельцы Babyk запустили свой сайт утечек (DLS), на котором перечислили список организаций, которые шифровать не будут:
- больницы, кроме частной пластической хирургии и стоматологии;
- школы, кроме крупных университетов;
- малый бизнес;
- некоммерческие фонды, кроме тех, которые помогают ЛГБТ и BLM.
Какие нетолерантные вымогатели пошли.
Этот штамм появился в начале 2021 года и ориентирован на корпоративные сети. Поскольку вымогатель совсем новый, то и информации об его успешных атаках мы еще не встречали. Единственное - писали на днях про то, что владельцы Babyk анонсировали поддержку шифрования виртуальных машин.
На днях владельцы Babyk запустили свой сайт утечек (DLS), на котором перечислили список организаций, которые шифровать не будут:
- больницы, кроме частной пластической хирургии и стоматологии;
- школы, кроме крупных университетов;
- малый бизнес;
- некоммерческие фонды, кроме тех, которые помогают ЛГБТ и BLM.
Какие нетолерантные вымогатели пошли.
Эта музыка будет вечной, даже батарейки менять не надо. Спонсор дискотеки - компания SolarWinds.
Мартин Рахманов, исследователь Trustwave, сообщил сегодня о трех новых уязвимостях (CVE-2021-25274, 25275, 25276) в SolarWinds Orion и SolarWinds Serv-U.
Рахманов утверждает, что стал изучать продукты SolarWinds после того, как стало известно о компрометации компании в декабре 2020 года.
Первая уязвимость CVE-2021-25274 в Orion позволяет удаленному пользователю, не прошедшему аутентификацию, выполнить код (RCE) и, фактически, взять под контроль базовую операционную систему. CVE-2021-25275 дает возможность непривилегированному пользователю Orion локально или через RDP получить полный доступ к базе данных Orion, в том числе добавить админскую учетную запись.
Еще одну уязвимость, CVE-2021-25276, Рахманов нашел в FTP-сервере Serv-U. Она, по аналогии с предыдущей, позволяет любому аутентифицированному пользователю повысить локальные привилегии вплоть до администратора. Ну, а поскольку Serv-U работает как LocalSystem, то сами все понимаете.
Информация об уязвимостях была направлена 30 декабря в SolarWinds, а к 25 января выпущены исправляющие их патчи. Proof of Concept исследователь обещает выложить 9 февраля.
Хочется что-то добавить, но все, что мы можем сказать про SolarWinds, мы уже говорили. Давайте просто помолчим (в память об их репутации).
Мартин Рахманов, исследователь Trustwave, сообщил сегодня о трех новых уязвимостях (CVE-2021-25274, 25275, 25276) в SolarWinds Orion и SolarWinds Serv-U.
Рахманов утверждает, что стал изучать продукты SolarWinds после того, как стало известно о компрометации компании в декабре 2020 года.
Первая уязвимость CVE-2021-25274 в Orion позволяет удаленному пользователю, не прошедшему аутентификацию, выполнить код (RCE) и, фактически, взять под контроль базовую операционную систему. CVE-2021-25275 дает возможность непривилегированному пользователю Orion локально или через RDP получить полный доступ к базе данных Orion, в том числе добавить админскую учетную запись.
Еще одну уязвимость, CVE-2021-25276, Рахманов нашел в FTP-сервере Serv-U. Она, по аналогии с предыдущей, позволяет любому аутентифицированному пользователю повысить локальные привилегии вплоть до администратора. Ну, а поскольку Serv-U работает как LocalSystem, то сами все понимаете.
Информация об уязвимостях была направлена 30 декабря в SolarWinds, а к 25 января выпущены исправляющие их патчи. Proof of Concept исследователь обещает выложить 9 февраля.
Хочется что-то добавить, но все, что мы можем сказать про SolarWinds, мы уже говорили. Давайте просто помолчим (в память об их репутации).
Trustwave
Full System Control with New SolarWinds Orion-based and Serv-U FTP Vulnerabilities
In this blog, I will be discussing three new security issues that I recently found in several SolarWinds products. All three are severe bugs with the most critical one allowing remote code execution with high privileges. To the best of Trustwave’s knowledge…
—Партнерский пост—
🔥 CodeCamp - книжный лагерь для IT специалистов любого уровня и направления.
На канале ребята собрали самые свежие и интересные книги по Python, Java, С++ и другим языкам программирования.
Все в формате PDF и доступно для скачивания в два клика.
Подписывайтесь, чтобы не потерять: @campcode
🔥 CodeCamp - книжный лагерь для IT специалистов любого уровня и направления.
На канале ребята собрали самые свежие и интересные книги по Python, Java, С++ и другим языкам программирования.
Все в формате PDF и доступно для скачивания в два клика.
Подписывайтесь, чтобы не потерять: @campcode
Исследователь gerhart_x рассказывает историю, как в прошлом году он сообщил Microsoft информацию о 0-day уязвимости в Hyper-V, существовавшей на тот момент более 2,5 лет.
Соответствующий патч вышел через 18 дней, правда положенные 15 тыс. долларов вознаграждения gerhart_x не получил, так как, по словам Microsoft, эту уязвимость уже нашел другой исследователь.
В обсуждении предлагают в следующий раз продать 0-day торговцам эксплойтами, а один из них вышел на связь прямо в комментах.
Bug Bounty, my ass. Деньги зажали Microsoft, а расплачиваться будут пользователи.
Соответствующий патч вышел через 18 дней, правда положенные 15 тыс. долларов вознаграждения gerhart_x не получил, так как, по словам Microsoft, эту уязвимость уже нашел другой исследователь.
В обсуждении предлагают в следующий раз продать 0-day торговцам эксплойтами, а один из них вышел на связь прямо в комментах.
Bug Bounty, my ass. Деньги зажали Microsoft, а расплачиваться будут пользователи.
Twitter
gerhart
I send 0-day Hyper-V bug (CVE-2020-0890) to Microsoft. Bug, which was presented in Hyper-V during 2,5 years, suddenly was found by another expert. Lost 15K$. Big mistake. https://t.co/MoQFPIbqTL
"Повесть о том, как поссорился Иван Иванович с Иваном Никифоровичем" (да-да, кроме ISO 27000 мы читали еще и "Миргород").
Как стало вчера известно, антивирусное решение Microsoft Defender ATP стало распознавать часть последнего обновления Chrome 88.0.4324.146 как бэкдор "PHP/Funvalget.A".
Естественно, что на фоне компрометации программного обеспечения от SolarWinds все, кто это увидел, несколько напряглись. Однако спустя несколько часов Microsoft заявили, что это была некая ошибка автоматизации, которая исправлена и все в порядке.
//Conspiracy mode on
Когда АНБ поставили свой бэкдор в популярный продукт, но забыли предупредить производителей антивирусного ПО...
Как стало вчера известно, антивирусное решение Microsoft Defender ATP стало распознавать часть последнего обновления Chrome 88.0.4324.146 как бэкдор "PHP/Funvalget.A".
Естественно, что на фоне компрометации программного обеспечения от SolarWinds все, кто это увидел, несколько напряглись. Однако спустя несколько часов Microsoft заявили, что это была некая ошибка автоматизации, которая исправлена и все в порядке.
//Conspiracy mode on
Когда АНБ поставили свой бэкдор в популярный продукт, но забыли предупредить производителей антивирусного ПО...