В пятницу мы написали пост, в котором утверждали, что Positive Technologies планируют размесить на MOEX от 10 до 20 процентов своих акций.
А наш подписчик подсказал, что Позитивы, оказывается, разместили на HeadHunter вакансию IR-менеджера, который будет отвечать за проект по подготовке компании к IPO, поддержание инвестиционной привлекательности компании и пр. При этом желателен опыт с иностранными и российскими инвестиционными банками и фондами.
Вакансия свежая - опубликована 20 февраля. А значит мы снова оказались правы. Пойдем купим себе по пирожку.
А наш подписчик подсказал, что Позитивы, оказывается, разместили на HeadHunter вакансию IR-менеджера, который будет отвечать за проект по подготовке компании к IPO, поддержание инвестиционной привлекательности компании и пр. При этом желателен опыт с иностранными и российскими инвестиционными банками и фондами.
Вакансия свежая - опубликована 20 февраля. А значит мы снова оказались правы. Пойдем купим себе по пирожку.
hh.ru
Вакансия IR PR/PR-менеджер в Москве, работа в компании Positive Technologies (вакансия в архиве c 22 марта 2021)
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 20.02.2021.
В пятницу американское Министерство юстиции выдвинуло обвинение генеральному директору компании Sky Global гражданину Канады Жану-Франсуа Ипу, а также бывшему дистрибьютеру Sky Global Томасу Хердману, и выдало ордера на их арест.
Sky Global - это разработчик шифрованной чат-платформы Sky ECC и продавец специальным образом подготовленных смартфонов, с заблокированными датчиками GPS, камерой и специализированной кнопкой, которая стирает все данные на устройстве.
На прошлой неделе правоохранительные органы Бельгии и Нидерландов сообщали, что захватили серверы Sky ECC и смогли перехватить более миллиарда сообщений 70 тыс. пользователей, после чего последовали аресты 78 подозреваемых в участии в организованном наркобизнесе. Sky Global отрицала факт захвата своего сервера, сообщив, что правоохранители запустили свое фишинговое приложение, маскировавшееся под Sky ECC.
И вроде бы понятно, что руководство Sky Global не могло не понимать кто является их основной фокус-группой и выдвинутое со стороны США обвинение по своей сути справедливо. Но, с другой стороны, формулировка Министерства юстиции гласит, что "устройcтва Sky Global разработаны специально для предотвращения активного мониторинга правоохранительными органами связи между членами транснациональных преступных организаций".
А теперь скажите нам, разве наша любимая платформа Telegram не используется наркокурьерами? Используется, равно как и любой сервис, обеспечивающий приватную связь. Получается, что теперь в отношении руководства любого приложения, которое дает возможность конфиденциального общения, могут быть выдвинуты аналогичные обвинения. И вот это нас беспокоит.
Sky Global - это разработчик шифрованной чат-платформы Sky ECC и продавец специальным образом подготовленных смартфонов, с заблокированными датчиками GPS, камерой и специализированной кнопкой, которая стирает все данные на устройстве.
На прошлой неделе правоохранительные органы Бельгии и Нидерландов сообщали, что захватили серверы Sky ECC и смогли перехватить более миллиарда сообщений 70 тыс. пользователей, после чего последовали аресты 78 подозреваемых в участии в организованном наркобизнесе. Sky Global отрицала факт захвата своего сервера, сообщив, что правоохранители запустили свое фишинговое приложение, маскировавшееся под Sky ECC.
И вроде бы понятно, что руководство Sky Global не могло не понимать кто является их основной фокус-группой и выдвинутое со стороны США обвинение по своей сути справедливо. Но, с другой стороны, формулировка Министерства юстиции гласит, что "устройcтва Sky Global разработаны специально для предотвращения активного мониторинга правоохранительными органами связи между членами транснациональных преступных организаций".
А теперь скажите нам, разве наша любимая платформа Telegram не используется наркокурьерами? Используется, равно как и любой сервис, обеспечивающий приватную связь. Получается, что теперь в отношении руководства любого приложения, которое дает возможность конфиденциального общения, могут быть выдвинуты аналогичные обвинения. И вот это нас беспокоит.
www.justice.gov
Sky Global Executive and Associate Indicted for Providing Encrypted
Forwarded from Эксплойт | Live
Twitter забанил пользователей на 12 часов из-за упоминания одного слова
Причём, это слово было безобидным — «Memphis».
Это был баг, который автоматически блокировал пользователей, использовавших такое слово в своих твитах.
Сначала пользователи строили догадки и даже предположили, что это связано с тем, что футболист Memphis Depay зарегистрировал своё имя как товарный знак.
Однако, сразу стало понятно, что если бы это было правдой, пользователи не смогли бы использовать и другие известные названия.
Сам же Twitter, без лишнего шума, исправил баг и не стал отвечать на запросы журналистов.
Причём, это слово было безобидным — «Memphis».
Это был баг, который автоматически блокировал пользователей, использовавших такое слово в своих твитах.
Сначала пользователи строили догадки и даже предположили, что это связано с тем, что футболист Memphis Depay зарегистрировал своё имя как товарный знак.
Однако, сразу стало понятно, что если бы это было правдой, пользователи не смогли бы использовать и другие известные названия.
Сам же Twitter, без лишнего шума, исправил баг и не стал отвечать на запросы журналистов.
Исследователи из команды Netlab китайской компании Qihoo 360 обнаружили новый ботнет ZHtrap, создатели которого наделили его функцией развертывания ханипотов.
Ботнет, построенный на основе Mirai, заражает цифровые видеорегистраторы, IP-камеры, маршрутизаторы Netgear, а также устройства на базе Realtek SDK. Основной функционал ботов - проведение DDoS-атак.
Однако небольшой, но оригинальной особенностью работы ZHtrap является то, что некоторые боты разворачивают собственные ханипоты. Их цель - сбор IP-адресов, принадлежащих конкурирующим ботнетами. Таким образом, ZHtrap может перехватывать конкурирующие боты для расширения своего охвата.
Кроме модуля для проведения DDoS бот устанавливает на зараженное устройство веб-шелл с функциями сканирования, а также возможностью установки полезной нагрузки, что может быть использовано хакерами для компрометации сети, в которой стоит зараженный девайс.
Интересный ботнет.
Ботнет, построенный на основе Mirai, заражает цифровые видеорегистраторы, IP-камеры, маршрутизаторы Netgear, а также устройства на базе Realtek SDK. Основной функционал ботов - проведение DDoS-атак.
Однако небольшой, но оригинальной особенностью работы ZHtrap является то, что некоторые боты разворачивают собственные ханипоты. Их цель - сбор IP-адресов, принадлежащих конкурирующим ботнетами. Таким образом, ZHtrap может перехватывать конкурирующие боты для расширения своего охвата.
Кроме модуля для проведения DDoS бот устанавливает на зараженное устройство веб-шелл с функциями сканирования, а также возможностью установки полезной нагрузки, что может быть использовано хакерами для компрометации сети, в которой стоит зараженный девайс.
Интересный ботнет.
360 Netlab Blog - Network Security Research Lab at 360
New Threat: ZHtrap botnet implements honeypot to facilitate finding more victims
Overview
In the security community, when people talk about honeypot, by default we would assume this is one of the most used toolkits for security researchers to lure the bad guys. But recently we came across a botnet uses honeypot to harvest other infected…
In the security community, when people talk about honeypot, by default we would assume this is one of the most used toolkits for security researchers to lure the bad guys. But recently we came across a botnet uses honeypot to harvest other infected…
Любопытный таймлайн использования эксплойт-кита ProxyLogon, основанного на эксплуатации четырех уязвимостей в Microsoft Exchange, приводят журналисты ZDNet.
Интересный момент содержится в следующем - исследователь DEVCORE, которому приписывается обнаружение двух уязвимостей из ProxyLogon, 5 января написал у себя в Twitter об обнаружении ошибок, позволяющих осуществить RCE без аутентификации, и о передаче соответствующего отчета производителю ПО.
А, согласно отчету инфосек компании Volexity, атаки с использованием ProxyLogon со стороны китайской APT начались ориентировочно с 3 января, то есть всего двумя днями ранее.
Это очень странное совпадение и оно дает нам основание предположить, что информация об уязвимостях могла каким-то образом попасть в руки китайских хакеров непосредственно от исследователей, нашедших ошибки, либо от производителя ПО.
Основных вариантов тут три:
- исследователь сам продал данные об эксплойтах китайцам, а потом тут же отрепортил в Microsoft;
- китайцы контролировали ресурсы исследователя и смогли оперативно увести информацию об уязвимости (вспоминаем кампанию северокорейской APT Lazarus по шпионажу за инфосек экспертами и задаемся вопросом, а почему этим же не могут заниматься китайские хакеры);
- информация утекла из ранних отчетов из самой Microsoft (вспоминаем про атаки на SolarWinds Orion со стороны китайской APT Spiral, улыбаемся и машем).
Есть над чем подумать.
Интересный момент содержится в следующем - исследователь DEVCORE, которому приписывается обнаружение двух уязвимостей из ProxyLogon, 5 января написал у себя в Twitter об обнаружении ошибок, позволяющих осуществить RCE без аутентификации, и о передаче соответствующего отчета производителю ПО.
А, согласно отчету инфосек компании Volexity, атаки с использованием ProxyLogon со стороны китайской APT начались ориентировочно с 3 января, то есть всего двумя днями ранее.
Это очень странное совпадение и оно дает нам основание предположить, что информация об уязвимостях могла каким-то образом попасть в руки китайских хакеров непосредственно от исследователей, нашедших ошибки, либо от производителя ПО.
Основных вариантов тут три:
- исследователь сам продал данные об эксплойтах китайцам, а потом тут же отрепортил в Microsoft;
- китайцы контролировали ресурсы исследователя и смогли оперативно увести информацию об уязвимости (вспоминаем кампанию северокорейской APT Lazarus по шпионажу за инфосек экспертами и задаемся вопросом, а почему этим же не могут заниматься китайские хакеры);
- информация утекла из ранних отчетов из самой Microsoft (вспоминаем про атаки на SolarWinds Orion со стороны китайской APT Spiral, улыбаемся и машем).
Есть над чем подумать.
ZDNET
Everything you need to know about the Microsoft Exchange Server hack
Updated: A new critical vulnerability impacting Exchange Server is being exploited in the wild.
И в продолжение темы об уязвимостях в продуктах Microsoft.
15 часов назад исследователь Paranoid Ninja из Red Team инфосек компании CrowdStrike отрепортил в Microsoft информацию в отношении 0-day уязвимости в Office 365, позволяющей полный обход аутентификации.
А час назад ресерчер нашел еще одну 0-day, по всей видимости в том же Office 365, которая, по его словам, в два раза более критичная, чем предыдущая (RCE?).
Таким образом, среднее время нахождения 0-day уязвимости в продуктах Microsoft сегодня равняется 14 часам (дифференцируем).
DevSecOps? Нет, не заходил.
15 часов назад исследователь Paranoid Ninja из Red Team инфосек компании CrowdStrike отрепортил в Microsoft информацию в отношении 0-day уязвимости в Office 365, позволяющей полный обход аутентификации.
А час назад ресерчер нашел еще одну 0-day, по всей видимости в том же Office 365, которая, по его словам, в два раза более критичная, чем предыдущая (RCE?).
Таким образом, среднее время нахождения 0-day уязвимости в продуктах Microsoft сегодня равняется 14 часам (дифференцируем).
DevSecOps? Нет, не заходил.
Twitter
14 hours before I reported a Critical #0day to #MSRC on O365. And I was able to find a new #0day few minutes back by chaining it with the previous one which is 2x Critical than the previous one. 🙂
В конце января мессенджер Signal, поддерживающий сквозное шифрование, запретили в Иране. Потом eще случилась странная история про некую ошибку, которая позволяла отследить TLS-прокси, используемые Signal для обхода цензуры, и информацию о которой администрация мессенджера постаралась выпилить отовсюду.
Сегодня же Signal перестал работать в Китае, хотя приложение все еще доступно в китайском AppStore. Ответственные за киберпространство госорганы КНР хранят молчание.
Пользуйтесь WeChat, товарищи, как бы намекают китайские власти.
Сегодня же Signal перестал работать в Китае, хотя приложение все еще доступно в китайском AppStore. Ответственные за киберпространство госорганы КНР хранят молчание.
Пользуйтесь WeChat, товарищи, как бы намекают китайские власти.
U.S.
Encrypted messaging app Signal stops working in China
Encrypted messaging app Signal appeared to no longer be working in China without the use of a virtual private network (VPN) on Tuesday morning, users in the country said.
McAfee Advanced Threat Research выпустили отчет о хакерской кибероперации, получившей название Operation Dianxun, которую китайские APT проводят против телекоммуникационных кампаний стран Азии, Европы и США.
TTPs киберкампании указывают на авторство китайских APT Mustang Panda и APT RedDelta. Вторая группа может быть подразделением первой, поскольку ее активность была замечена лишь в 2020 году, а ее TTPs похожи на MustangPanda за исключением метода шифрования трафика между вредоносом и управляющим центром.
В качестве целей в операции, которая проводится начиная с августа 2020 года, фигурируют сотрудники телекоммуникационных кампаний, а основной интерес для хакеров представляет информация, связанная с 5G технологиями.
Первоначальный вектор заражения не до конца ясен, но исследователи предполагают это скорее всего фишинговый сайт, посвященный вопросу кадрового набора компании Huawei, который подконтролен хакерам и с позиции которого распространяется вредонос.
К сожалению, большая часть отчета выполнена в виде "вот от этого вас сможет защитить вот этот продукт McAfee и он будет делать это так", поэтому читать его совершенно невозможно. Когда маркетологи берут верх над исследователями.
TTPs киберкампании указывают на авторство китайских APT Mustang Panda и APT RedDelta. Вторая группа может быть подразделением первой, поскольку ее активность была замечена лишь в 2020 году, а ее TTPs похожи на MustangPanda за исключением метода шифрования трафика между вредоносом и управляющим центром.
В качестве целей в операции, которая проводится начиная с августа 2020 года, фигурируют сотрудники телекоммуникационных кампаний, а основной интерес для хакеров представляет информация, связанная с 5G технологиями.
Первоначальный вектор заражения не до конца ясен, но исследователи предполагают это скорее всего фишинговый сайт, посвященный вопросу кадрового набора компании Huawei, который подконтролен хакерам и с позиции которого распространяется вредонос.
К сожалению, большая часть отчета выполнена в виде "вот от этого вас сможет защитить вот этот продукт McAfee и он будет делать это так", поэтому читать его совершенно невозможно. Когда маркетологи берут верх над исследователями.
McAfee Blog
McAfee Defender’s Blog: Operation Dianxun | McAfee Blog
Operation Dianxun Overview In a recent report the McAfee Advanced Threat Research (ATR) Strategic Intelligence team disclosed an espionage campaign,
Издание The Record, принадлежащее американской инфосек компании Recorded Future, выпустило статью по материалам интервью с представителем владельца ransomware REvil aka Sodinokibi.
Сразу скажем, что этот материал намного менее информативен чем интервью тех же REvil Youtube-каналу Russian OSINT, про которое мы писали осенью. Более того, у нас есть определенные сомнения если не в факте этого самого интервью, то по крайней мере в том, что часть статьи журналисты не добавили сами.
Во-первых, упоминание хакером того, что некоторые из сотрудничающих с REvil операторов имеют доступ к системе запуска баллистических ракет (what?!), к крейсеру ВМС США, к атомной электростанции и к оружейному заводу. Типа "мы в силах начать войну, но это нам не выгодно".
Во-вторых, клюквенные воспоминания интервьюируемого о том, как в детстве он копался в помойке, шел 10 километров до школы и голодал в коммуналке (вообще-то коммуналка и школа в 10 км - это взаимоисключающие вещи).
В-третьих, попытки интервьюера съехать на политические темы.
Плюс в статье мало подробностей о работе самой группировки, в отличие от интервью Russian OSINT.
Впрочем, это и не удивительно, учитывая то, что интервью брал Дмитрий Смилянец. Тот самый кардер, которого в 2013 году с подельником приняли в Нидерландах, потом экстрадировали в США, где и осудили в 2018 году. При этом Смилянец получил небольшой срок и был отпущен прямо в зале суда, а его другу Дринкману впаяли 12 лет крытой. Такая разница в наказаниях объяснялась "правоохранительными интересами".
Теперь Смилянец - инфосек блогер и журналист.
Сразу скажем, что этот материал намного менее информативен чем интервью тех же REvil Youtube-каналу Russian OSINT, про которое мы писали осенью. Более того, у нас есть определенные сомнения если не в факте этого самого интервью, то по крайней мере в том, что часть статьи журналисты не добавили сами.
Во-первых, упоминание хакером того, что некоторые из сотрудничающих с REvil операторов имеют доступ к системе запуска баллистических ракет (what?!), к крейсеру ВМС США, к атомной электростанции и к оружейному заводу. Типа "мы в силах начать войну, но это нам не выгодно".
Во-вторых, клюквенные воспоминания интервьюируемого о том, как в детстве он копался в помойке, шел 10 километров до школы и голодал в коммуналке (вообще-то коммуналка и школа в 10 км - это взаимоисключающие вещи).
В-третьих, попытки интервьюера съехать на политические темы.
Плюс в статье мало подробностей о работе самой группировки, в отличие от интервью Russian OSINT.
Впрочем, это и не удивительно, учитывая то, что интервью брал Дмитрий Смилянец. Тот самый кардер, которого в 2013 году с подельником приняли в Нидерландах, потом экстрадировали в США, где и осудили в 2018 году. При этом Смилянец получил небольшой срок и был отпущен прямо в зале суда, а его другу Дринкману впаяли 12 лет крытой. Такая разница в наказаниях объяснялась "правоохранительными интересами".
Теперь Смилянец - инфосек блогер и журналист.
therecord.media
'I scrounged through the trash heaps ... now I'm a millionaire:' An interview with REvil's Unknown
REvil's Unknown talked to Recorded Future expert threat intelligence analyst Dmitry Smilyanets recently about using ransomware as a weapon.
Apple, похоже, планирует перейти на доставку обновлений безопасности, отдельную от других апдейтов.
Портал 9to5mac .com проанализировал код новой беты iOS 14.5, которая была выпущена для разработчиков, и нашел ссылки на новый метод доставки обновлений безопасности для пользователей iOS и iPadOS. Пользователь сможет сам выбрать, будет ли он устанавливать только патч безопасности или полный апдейт. Скорее всего эта фишка заработает начиная с iOS 15, кода пользователь сможет не обновлять iOS 14.5, устанавливая при этом новые патчи безопасности. Похожую функцию Apple уже ввели для macOS.
И это хорошо.
Портал 9to5mac .com проанализировал код новой беты iOS 14.5, которая была выпущена для разработчиков, и нашел ссылки на новый метод доставки обновлений безопасности для пользователей iOS и iPadOS. Пользователь сможет сам выбрать, будет ли он устанавливать только патч безопасности или полный апдейт. Скорее всего эта фишка заработает начиная с iOS 15, кода пользователь сможет не обновлять iOS 14.5, устанавливая при этом новые патчи безопасности. Похожую функцию Apple уже ввели для macOS.
И это хорошо.
9to5Mac
iOS security fixes could soon be delivered separately from other updates, beta code suggests
Among all the new features introduced with iOS 14.5, which had its fourth beta released today to developers, there are also some changes hidden in the operating system’s internal codes. This time, 9to5Mac found references suggesting that Apple is working…
Со вчерашнего дня по инфосек аккаунтам Twitter активно разгоняется переделанный из старого русского видео мем про аналитика, который узнал, что в сети нет серверов Microsoft Exchange.
Мы бы тоже посмеялись, но вовремя вспомнили про две критических уязвимости, найденных в Office 365.
Мы бы тоже посмеялись, но вовремя вспомнили про две критических уязвимости, найденных в Office 365.
Twitter
Christiaan Beek
Have a smile, analyst hearing that they have no on-premise Exchange servers. #Hafnium #DFIR https://t.co/amhjXDmIf3
Bloomberg, похоже, придумали новое тупое сравнение для описания "разрушительных кибератак".
Забудьте про "Кибер 9/11" и "Кибер Фермопилы" (да, кто-то использовал такой термин для описания атаки на Solar Winds). Новый тренд - это "взлом Франца Фердинанда", который приведет к глобальной войне.
Франц Фердинанд в данном случае - это тот самый австрийский эрцгерцог, с убийства которого 28 июня 1914 года в Сараево началась Первая мировая война.
Забудьте про "Кибер 9/11" и "Кибер Фермопилы" (да, кто-то использовал такой термин для описания атаки на Solar Winds). Новый тренд - это "взлом Франца Фердинанда", который приведет к глобальной войне.
Франц Фердинанд в данном случае - это тот самый австрийский эрцгерцог, с убийства которого 28 июня 1914 года в Сараево началась Первая мировая война.
Bloomberg | Quint
A Hack Like This Could Start the Next World War
There’s no end in sight to cyber disruption after the latest Microsoft email attack. You need just one to start a chain reaction.
Joe Slowik в своем бесподобном репертуаре - https://twitter.com/jfslowik/status/1371912856149487617
Twitter
Joe Słowik ⛄
https://t.co/T4q8lIzOjs
Чилийская Комиссия по финансовому рынку (CMF) сообщила, что ее сервер Microsoft Exchange был скомпрометирован злоумышленниками с использованием эксплойт-кита ProxyLogon.
CMF регулирует банковские и финансовые учреждения Чили и подчиняется местному Министерству финансов.
Судя по IoC, хакеры развернули на скомпрометированном ресурсе веб-шелл China Chopper, а следовательно чилийцы стали жертвой китайских APT, а не свежего ransomware DearCry, также использующего ProxyLogon для проникновения в атакуемую сеть.
Однако, китайские APT работают с размахом. Полагаем, с ресурсов Комиссии по финансовому рынку можно добыть много разведывательной информации.
CMF регулирует банковские и финансовые учреждения Чили и подчиняется местному Министерству финансов.
Судя по IoC, хакеры развернули на скомпрометированном ресурсе веб-шелл China Chopper, а следовательно чилийцы стали жертвой китайских APT, а не свежего ransomware DearCry, также использующего ProxyLogon для проникновения в атакуемую сеть.
Однако, китайские APT работают с размахом. Полагаем, с ресурсов Комиссии по финансовому рынку можно добыть много разведывательной информации.
BleepingComputer
Chile's bank regulator shares IOCs after Microsoft Exchange hack
Chile's Comisión para el Mercado Financiero (CMF) has disclosed that their Microsoft Exchange server was compromised through the recently disclosed ProxyLogon vulnerabilities.
Какие-то хулиганы вчера взломали и отдефейсили два правительственных сайта в Польше, а также Twitter-аккаунт польского журналиста, пишущего о России и Восточной Европе.
На сайтах Национального агентства по атомной энергетике (нахрена такое агентство Польше, в которой только одна недостроенная АЭС, да и та заброшена еще в 1990, не до конца ясно) и Министерства здравоохранения было опубликовано сообщение об утечке ядерных отходов в соседней Литве, которая может угрожать польским гражданам. Такое же сообщение появилось и во взломанном Twitter.
Дефейсы быстро устранили, а в случившемся привычно обвинили русских хакеров. Потому что все это "выглядело как типичная попытка России посеять подозрения и раскол среди западных союзников", как сказал Станислав Жарын, пресс-секретарь Министра-координатора спецслужб Польши.
Кошка бросила котят - русский хакер виноват!
На сайтах Национального агентства по атомной энергетике (нахрена такое агентство Польше, в которой только одна недостроенная АЭС, да и та заброшена еще в 1990, не до конца ясно) и Министерства здравоохранения было опубликовано сообщение об утечке ядерных отходов в соседней Литве, которая может угрожать польским гражданам. Такое же сообщение появилось и во взломанном Twitter.
Дефейсы быстро устранили, а в случившемся привычно обвинили русских хакеров. Потому что все это "выглядело как типичная попытка России посеять подозрения и раскол среди западных союзников", как сказал Станислав Жарын, пресс-секретарь Министра-координатора спецслужб Польши.
Кошка бросила котят - русский хакер виноват!
Forwarded from SecurityLab.ru (SecurityLab news)
Власти РФ могут обязать операторов передавать Роскомнадзору данные абонентов в рамках борьбы с «серыми» SIM-картами. В документе, опубликованном на портале нормативных правовых актов, правительство предлагает предоставить ведомству доступ к хранящейся информации о голосовых вызовах, персональных сведениях и других данных. Примечательно, что в настоящее время подобный доступ есть только у правоохранительных органов.
https://www.securitylab.ru/news/517543.php
https://www.securitylab.ru/news/517543.php
t.me
Власти могут обязать операторов связи передавать Роскомнадзору сведения о звонках
Передаваемая информация необходима для борьбы с серыми SIM-картами.
Вообще говоря, ситуация с инициативой о передаче данных сотовых операторов Роскомнадзору весьма странная.
Во-первых, озвучиваемые причины усиления борьбы с серыми SIM-картами в виде предотвращения банковского мошенничества и ложных сообщений об угрозе террористических актов не выдерживает никакой критики.
Многие из тех, кто сталкивается со звонками мошенников видят на своих устройствах телефонные номера из пула стационарных, а не мобильных диапазонов. Почему-то Роскомнадзор не в состоянии регулировать деятельность множества мелких операторов, которые и предоставляют свои диапазоны фродстерам.
Также в Роскомнадзорe, видимо, не слышали про VoIP, не говоря уже о сервисах подмены входящего номера через возможности ОКС-7.
Это же относится и к ложным сообщениям об угрозах теракта. Если нам не изменяет наша старческая память, во всех последних громких историях с минированием различных объектов на территории России фигурировали иностранные VoIP-сервисы. И нигде не было упоминаний про серые SIM-карты.
Во-вторых, встает резонный вопрос - каким боком к серым SIM-картам относятся биллинги абонентов российских сотовых операторов? Невнятное блеяние представителей Роскомнадзора о том, что при получении такой информации не раскрывается содержание телефонных переговоров и SMS-переписок является не более чем грубым передергиванием. Потому что согласно российскому законодательству детализация телефонных соединений относится к тайне телефонных переговоров и точка.
Короче история крайне мутная, а ее бенефициары не ясны. Зато можно с уверенностью говорить, что если биллинги будут в автоматизированном режиме выгружаться на сторону Роскомнадзора, то совершенно точно часть из них окажется на черном рынке. Потому что - а) никто не отменяет человеческого фактора, а сотрудники РКН - не рыцари в сияющих доспехах. А б) - возникают конкретные угрозы информационной безопасности, когда данные биллингов могут быть перехвачены на стадии передачи, либо выдернуты из баз данных самого Роскомнадзора. Как госорганы защищают свои базы мы все прекрасно знаем, в Даркнете можно найти много предложений о продаже принадлежащей им информации.
Видимо, Роскомнадзор решил следовать правилу "не можешь победить - возглавь". Такое себе.
Во-первых, озвучиваемые причины усиления борьбы с серыми SIM-картами в виде предотвращения банковского мошенничества и ложных сообщений об угрозе террористических актов не выдерживает никакой критики.
Многие из тех, кто сталкивается со звонками мошенников видят на своих устройствах телефонные номера из пула стационарных, а не мобильных диапазонов. Почему-то Роскомнадзор не в состоянии регулировать деятельность множества мелких операторов, которые и предоставляют свои диапазоны фродстерам.
Также в Роскомнадзорe, видимо, не слышали про VoIP, не говоря уже о сервисах подмены входящего номера через возможности ОКС-7.
Это же относится и к ложным сообщениям об угрозах теракта. Если нам не изменяет наша старческая память, во всех последних громких историях с минированием различных объектов на территории России фигурировали иностранные VoIP-сервисы. И нигде не было упоминаний про серые SIM-карты.
Во-вторых, встает резонный вопрос - каким боком к серым SIM-картам относятся биллинги абонентов российских сотовых операторов? Невнятное блеяние представителей Роскомнадзора о том, что при получении такой информации не раскрывается содержание телефонных переговоров и SMS-переписок является не более чем грубым передергиванием. Потому что согласно российскому законодательству детализация телефонных соединений относится к тайне телефонных переговоров и точка.
Короче история крайне мутная, а ее бенефициары не ясны. Зато можно с уверенностью говорить, что если биллинги будут в автоматизированном режиме выгружаться на сторону Роскомнадзора, то совершенно точно часть из них окажется на черном рынке. Потому что - а) никто не отменяет человеческого фактора, а сотрудники РКН - не рыцари в сияющих доспехах. А б) - возникают конкретные угрозы информационной безопасности, когда данные биллингов могут быть перехвачены на стадии передачи, либо выдернуты из баз данных самого Роскомнадзора. Как госорганы защищают свои базы мы все прекрасно знаем, в Даркнете можно найти много предложений о продаже принадлежащей им информации.
Видимо, Роскомнадзор решил следовать правилу "не можешь победить - возглавь". Такое себе.
Если помните, в самом конце прошлого года, когда Дед Мороз уже раздавал хорошим детям подарки, представители финского парламента заявили, что осенью 2020 года несколько учетных записей электронной почты парламента были скомпрометированы в результате хакерской атаки со стороны неизвестной прогосударственной APT.
Финское Национальное бюро расследований (NBI) заявило тогда, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства.
Подавляющее большинство инфосек журналистов тогда начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. А значит и в случае со взломом парламента финского виноваты российские APT.
Сегодня, однако, оказалось, что все совсем не так и за атаками стояли китайцы из APT 31 aka Zirconium. По крайне мере, именно об этом заявила финская Полиция безопасности (Supo).
Zirconium - это именно та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian.
Кстати, в январе Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium. Возможно атака на финский парламент была частью киберкампании китайцев по компрометации государственных информационных ресурсов стран ЕС.
Ахъ, какой пассажъ!
Финское Национальное бюро расследований (NBI) заявило тогда, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства.
Подавляющее большинство инфосек журналистов тогда начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. А значит и в случае со взломом парламента финского виноваты российские APT.
Сегодня, однако, оказалось, что все совсем не так и за атаками стояли китайцы из APT 31 aka Zirconium. По крайне мере, именно об этом заявила финская Полиция безопасности (Supo).
Zirconium - это именно та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian.
Кстати, в январе Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium. Возможно атака на финский парламент была частью киберкампании китайцев по компрометации государственных информационных ресурсов стран ЕС.
Ахъ, какой пассажъ!
Suojelupoliisi
Suojelupoliisi tunnisti eduskuntaan kohdistuneen kybervakoiluoperaation APT31:ksi | Suojelupoliisi
В январе команда Google Project Zero начала публиковать материалы серии "В дикой природе" про свою новую программу выявления эксплуатации 0-day уязвимостей в этой самой дикой природе.
В цикле из шести статей исследователи рассказали про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Тогда хакеры использовали сразу четыре 0-day уязвимости, что само по себе весьма круто.
Никаких данных по атрибуции автора этой атаки Google тогда не привели. Судя по всему, исследователи нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но так и не смогли сделать хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Вчера Google Project Zero выпустили новый отчет, в котором рассказали про новую киберкампанию этой же хакерской группы, которая была обнаружена ими в октябре прошлого года. И в этот раз APT (а мы будем предполагать, что это именно прогосударственная APT) использовала уже семь (!) 0-day.
Project Zero нашли несколько скомпрометированных в ходе атаки на водопой легальных сайтов, которые перенаправляли посетивших их пользователей на один из двух серверов эксплойтов. Каждый из этих серверов использовал свою цепочку эксплойтов в зависимости от того, из-под какой системы работало пользовательское устройство.
Сервер эксплойтов №1 первоначально заражал только пользователей с iOS и Windows, однако когда второй сервер был отключен (судя по всему самими хакерами, обнаружившими проявление к ним интереса со стороны инфосек исследователей) он начал применять эксплойт CVE-2020-16009 к Android. Оставался активным более недели с того момента, как ресерчеры стали извлекать эксплойты.
Сервер эксплуатации №2 атаковал пользователей Android и оставался активным лишь 36 часов после обнаружения, после чего был отключен.
Всего Project Zero смогли собрать следующие эксплойты:
1. Одна полная цепочка эксплойтов, нацеленная на полностью обновленную Windows 10 с Google Chrome.
2. Две частичные цепочки, нацеленные на полностью обновленный Android с Google Chrome или Samsung Browser.
3. Эксплойты RCE и повышения привилегий для iOS 11-13.
При этом исследователи говорят, что устройства под управлением других ОС они не тестировали, поэтому нельзя сказать однозначно были или не были на серверах эксплойты, например, для Linux.
Всего ProjectZero нашли семь эксплойтов 0-day уязвимостей. При чем не факт, что это все эксплойты, которые использовались неизвестными хакерами. В одном случае хакеры продемонстрировали возможность "налету" менять один эксплойт в цепочке другим (CVE-2020-15999 на CVE-2020-16009), когда соответствующая уязвимость была исправлена производителем ПО.
Никаких новых догадок в отношении того, кто стоит за киберкампаниями, не появилось. Единственное что сказали исследователи, это обозначили возможность того, что за серверами эксплойтов стояли разные акторы, которые, тем не менее, работают скоординировано.
Каких-либо данных в отношении профилирования целей Google Project Zero по каким-то причинам не предоставляют. И это только прибавляет загадок всему происходящему.
Плюс одинадцать 0-day меньше чем за год. Рептилоиды?
В цикле из шести статей исследователи рассказали про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Тогда хакеры использовали сразу четыре 0-day уязвимости, что само по себе весьма круто.
Никаких данных по атрибуции автора этой атаки Google тогда не привели. Судя по всему, исследователи нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но так и не смогли сделать хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Вчера Google Project Zero выпустили новый отчет, в котором рассказали про новую киберкампанию этой же хакерской группы, которая была обнаружена ими в октябре прошлого года. И в этот раз APT (а мы будем предполагать, что это именно прогосударственная APT) использовала уже семь (!) 0-day.
Project Zero нашли несколько скомпрометированных в ходе атаки на водопой легальных сайтов, которые перенаправляли посетивших их пользователей на один из двух серверов эксплойтов. Каждый из этих серверов использовал свою цепочку эксплойтов в зависимости от того, из-под какой системы работало пользовательское устройство.
Сервер эксплойтов №1 первоначально заражал только пользователей с iOS и Windows, однако когда второй сервер был отключен (судя по всему самими хакерами, обнаружившими проявление к ним интереса со стороны инфосек исследователей) он начал применять эксплойт CVE-2020-16009 к Android. Оставался активным более недели с того момента, как ресерчеры стали извлекать эксплойты.
Сервер эксплуатации №2 атаковал пользователей Android и оставался активным лишь 36 часов после обнаружения, после чего был отключен.
Всего Project Zero смогли собрать следующие эксплойты:
1. Одна полная цепочка эксплойтов, нацеленная на полностью обновленную Windows 10 с Google Chrome.
2. Две частичные цепочки, нацеленные на полностью обновленный Android с Google Chrome или Samsung Browser.
3. Эксплойты RCE и повышения привилегий для iOS 11-13.
При этом исследователи говорят, что устройства под управлением других ОС они не тестировали, поэтому нельзя сказать однозначно были или не были на серверах эксплойты, например, для Linux.
Всего ProjectZero нашли семь эксплойтов 0-day уязвимостей. При чем не факт, что это все эксплойты, которые использовались неизвестными хакерами. В одном случае хакеры продемонстрировали возможность "налету" менять один эксплойт в цепочке другим (CVE-2020-15999 на CVE-2020-16009), когда соответствующая уязвимость была исправлена производителем ПО.
Никаких новых догадок в отношении того, кто стоит за киберкампаниями, не появилось. Единственное что сказали исследователи, это обозначили возможность того, что за серверами эксплойтов стояли разные акторы, которые, тем не менее, работают скоординировано.
Каких-либо данных в отношении профилирования целей Google Project Zero по каким-то причинам не предоставляют. И это только прибавляет загадок всему происходящему.
Плюс одинадцать 0-day меньше чем за год. Рептилоиды?