Microsoft рекомендовала администраторам отключить SMBv1 на серверах Exchange дабы предотвратить новые атаки малвари.

С момента шторма WannaCry шел третий год...

https://securityaffairs.co/wordpress/97749/security/microsoft-exchange-disable-smbv1.html

​​На фоне скандала с беспрепятственным доступом ЦРУ к передаваемым с помощью криптооборудования швейцарской фирмы CryptoAG данным, Госдеп наносит ответный удар.

Согласно появившимся вчера в Wall Street Journal заявлениям американских чиновников, у них имеются доказательства, что Huawei имеет бэкдоры в поставляемом по всему миру телекоммуникационном оборудовании, благодаря которым осуществляет "доступ к конфиденциальной и личной информации".

Сами доказательства не приводятся, но утверждается, что соответствующие материалы переданы спецслужбам Великобритании и Германии. Поэтому, как обычно, highly likely.

Huawei же оперативно выпустили опровержение, в котором устами вице-президента компании по корпоративным коммуникациям обвинили США в пускании "дымовой завесы".

Мы же, как и раньше, берем на себя смелость утверждать, что телекоммуникационное оборудование всех производителей небезопасно и содержит в себе механизмы слива информации как по каналам технической поддержки, так и через SS7.

Команда Cybereason Nocturnus выпустила обзор в 2-х частях по результатам своего расследования в отношении зафиксированных комплексных атак на Ближнем Востоке, которые исследователи связывают с политическим шпионажем.

Ключевые моменты:

- выявлено две отдельные кампании, проводимые с помощью вредоносов Spark и Pierogi;

- Pierogi является новым видом вредоносного ПО, использующимся исключительно в выявленной кибератаке, скорее всего написанным именно для нее;

- атаки ориентированы на лиц, связанных с палестинским правительством и предназначены для кражи конфиденциальной информации, которая находится в их распоряжении;

- в качестве приманки используются профессионально подготовленные материалы, связанные с политическими делами на Ближнем Востоке, содержащие конкретные ссылки на израильско-палестинский конфликт, напряженность между ХАМАС и ФАТХ и пр.;

- возможно осуществляется арабоязычной группой APT (она же Gaza Cybergang).

https://www.cybereason.com/blog/new-cyber-espionage-campaigns-targeting-palestinians-part-one

https://www.cybereason.com/blog/new-cyber-espionage-campaigns-targeting-palestinians-part-2-the-discovery-of-the-new-mysterious-pierogi-backdoor

Как пишет Андреа Фортуна, исследователь из Кембриджского университета Адам Торн обнаружил уязвимость CVE-2020-2100, которая позволяет использовать серверы Jenkins для усиления DDoS-атак.

Использование специальным образом подделанного UDP-пакета может привести к тому, что сервер Jenkins начинает генерить бесконечный цикл ответов пока не будет перезапущен.

Мы полностью согласны с данной новостью, за исключением одного - речь идет о старой доброй DoS-атаке, без приставки Disturbed.

Так и пахнуло беспокойным и разгульным началом 21 века - Denial of Service, мультипликация пакетов, которая тем эффективнее, чем ниже уровень протокола, доллар по 25, Сачков ходит в школу, на MailRu можно зарегистрировать трехзначный адрес...

А потом вспомнилась еще одна история - как лет 10 назад ВТБ задидосил сам себя, когда в пятницу вечером сделал обновление клиентского приложения, после чего оно стало падать в бесконечный цикл если не получало ответа от сервера.

Пойдем, что-ли, Zyxel погоняем...

Сбербанк в очередной раз пролюбил кусок базы данных и в очередной раз не признается.

Мы, собственно, не стали комментировать утечку сразу - ждали именно реакцию Сбера. На лучшее надеялись зря - банк упорно не хочет проводить работу над ошибками.

Остается вопрос - такая тактика это сознательный выбор г-на Грефа или все-таки рефлекторное подергивание ложноножкой в условиях отсутствия понимания что же делать с катастрофической ситуацией в инфосеке организации? По нашим данным, положение с техническими специалистами в информационной безопасности Сбера очень непростое, кого-то почистили, кто-то сам ушел - вакансий полно. Перефразируя героя Гаркалина - "BI.ZONE это, конечно, хорошо, но в доме надо иметь и мясные закуски!"

Закрадывается абсурдная мысль, а вдруг торговля базами в Даркнете это новый core-бизнес Сбербанка в условиях падающих доходов на фоне сокращения кормовой базы в виде пенсионеров после прошлогодней реформы...

Но это, конечно, шутка такая.

- Проснитесь, мужчина, Вы обосрались!
- А я и не спал...

​​Два самых известных мошенника на платежном рынке из последних сил пытаются вернуть себе хоть какую-то долю, занимаясь очернением и вымогательством.

Речь идёт о таких махинаторах, как Сергей Майзус, он же совладелец криминальной биткоин-биржи Wex и форекс-кухни Instaforex, а вместе с ним уже отсидевший за хакерскую атаку Аэрофлота владелец Chronopay.

Теперь они изображают из себя борцов с киберпреступностью и незаконной финансовой деятельностью. Под видом разоблачений Русского Стандарта, РФИ Банка, Тинькофф банк и RBK Money они фабрикуют на них доносы, обвиняя в воровстве клиентских денег, которыми сами же и занимались.

Впоследствии делаются вбросы в сми о бездействии правоохранителей. Майзус проиграл все российские суды в попытках обвинить новых владельцев RBK Money в недоплаченных долгах.

Теперь он привлек оскандалившегося Врублевского, репутация которого уже абсолютно разрушена. Он за бывшие долги должен помогать фальсифицировать и распространять необходимые данные. Новый партнёр исполняет роль эксперта и поверенного лица некоторых значимых фигур из органов.

А вот и опять Врублевский всплыл. С очередными аферами.

Видимо полагает, что история с Fethard поросла травой и никто уже не помнит выведенные несколько десятков миллионов долларов под соусом якобы имевшего места наезда МВД.

А вообще,RedEye (сколько бы Паша не открещивался от своего псевдонима, мы-то знаем) – персонаж насквозь негативный еще со времен Crutop.

И тот факт, что его сажал ныне сам сидящий Михайлов, никак не его оправдывает. Короче – фу таким быть.

Компания Dragos, специализирующаяся на защите индустриальной информационной инфраструктуры, выпустила отчет, в котором предупреждает о возможных тяжелых последствиях продвинутых кибератак на энергетический сектор Северной Америки.

К примеру, хакерские группы Xenotime и Magnallium в последнее время перенаправили свои атаки на сектор электроэнергетики США. Авторы доклада связывают это с ростом военной напряженности в странах Мексиканского залива.

По мнению Dragos, последствиями подобных атак могут являться серьезные нарушения в работе американских электрических операторов вплоть до блэкаутов.

Наша редакция, безусловно, беспокоится по поводу надежности электросети США, но задается вопросом - а у нас кто-либо занимается изучением подобных вопросов? Или пока половина Сибири не канет в темноту никто даже не задумается о подобном?

https://dragos.com/wp-content/uploads/NA-EL-Threat-Perspective-2019.pdf

Хороший пример supply chain атаки - один из крупнейших южноафриканских банков Nedbank заявил, что через дырку в сети их партнера Computer Facilities (Pty) Ltd, специализирующегося на маркетинговых и рекламных кампаниях, утекли данные в отношении порядка 1,7 млн. клиентов учреждения.

Судя по всему, маркетологи имели у себя копию базы данных банка, к которой и получили доступ хакеры. Банк обнаружил дырку с помощью банального сканирования сети партнера на уязвимости.

Nedbank оперативно отключил своего партнера, а также уведомил пострадавших клиентов.

Какие выводы? Во-первых, в очередной раз напоминаем про огромную пользу от всех видов аудита ИБ.

А во-вторых, г-ну Грефу стоит поучиться грамотной реакции и PR-сопровождению в случае выявленного инцидента информационной безопасности.

https://www.zdnet.com/article/nedbank-says-1-7-million-customers-impacted-by-breach-at-third-party-provider/

В четверг Федеральный суд США дал указание Пентагону заморозить сделку с Microsoft на 10 миллиардов долларов.

Контракт направлен на то, чтобы позволить американским военным использовать искусственный интеллект на поле боя, а также на улучшение связи с солдатами во время боевых действий.

Иск был подан компанией Amazon, представители которой считают, что косвенное влияние на проводимый Пентагоном конкурс оказал действующий президент Трамп, который ранее высмеял Amazon и лично Безоса.

При этом демократ Безос известен как ярый противник Трампа и их пикировки в СМИ и соцсетях у всех на виду.

На фоне судебного решения подешевели и Amazon и Microsoft. Четно говоря, так себе корпоративный войны.

Однако ждем, когда Huawei подаст в суд на решение американских регулятивных органов о ограничении на продажу в США телекоммуникационного оборудования в связи с тем, что про них плохо сказал Трамп. С учетом прецедентной природы американской судебной системы перспективы имеются.

Не дай Б-г, Путин про кого-нибудь плохо скажет...

https://nypost.com/2020/02/13/judge-halts-pentagons-10b-deal-with-microsoft-in-victory-for-amazon/

ZeroDay сообщает, что исследователи из Malwarebytes нашли наконец способ полного удаления с Android-устройств трояна xHelper, который стал на этой неделе одним из главных информационных поводов в инфосек.

Напомним, что xHelper впервые был выявлен в марте 2019 года и стал широко известен благодаря тому, что полностью вычистить его с устройства не помогал даже сброс к заводским настройкам.

Последовательность действий для окончательного удаления xHelper приведена в статье - https://www.zdnet.com/article/theres-finally-a-way-to-remove-xhelper-the-unremovable-android-malware/#ftag=RSSbaffb68

​​Мы уже писали про выявленные американскими исследователями уязвимости BLE (Bluetooth Low Energy), позволяющие перехватывать управление электроскутерами.

Теперь подключились их сингапурские коллеги.

Группа ученых из Сингапурского университета технологий и дизайна (SUTD) опубликовала на этой неделе отчет, согласно которому в прошлом году ими был выявлен целый ряд уязвимостей BLE, которые объединены под общим названием SweynTooth.

Все эти уязвимости касаются BLE SDK, который предоставляется производителями чипсетов на кристалле SoC, и позволяют производить различные атаки вплоть до получения контроля над устройствами, в которых стоит уязвимый SoC.

Естественно, что для реализации атаки взломщик должен находится в радиусе действия BLE, то есть рядом с атакуемым устройством.

Исследователи назвали 6 производителей SoC, которые уже выпустили патчи, устраняющие уязвимости SweynTooth. Однако, по их словам, на этом список не исчерпывается.

В числе компаний, использующих уязвимый SoC в своих устройствах, - FitBit, Samsung и Xiaomi. В перечне уязвимых устройств - фитнес-браслеты, смарт-вилки (?), умные дверные замки, трекеры для домашних животных, системы управления умного дома, интеллектуальные световые решения, будильники, глюкометры и различные другие носимые и медицинские устройства.

Хотелось бы пошутить про ЗОЖ-Апокалипсис ("и восстали фитнес-браслеты и глюкометры из пепла и ядерного огня"), но уязвимые медицинские устройства - это серьезно.

https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/#ftag=RSSbaffb68

​​Немного субботнего инфосек юмора.

В последние дни по сети разошлась памятка обеспокоенным британским родителям, в которой указаны признаки того, что их нежное чадо может стать хакером. Якобы за авторством британского National Crime Agency (NCA).

Среди опасных увлечений - использование Kali Linux, Discord и виртуальных машин (sic!).

NCA свою причастность отрицает.

Полагаем, что единственным необходимым и достаточным признаком склонности к хакерству является наличие у ребенка компьютера.

Хочешь для своего отпрыска счастливого будущего - выкинь его компьютер на хрен. Пусть считает на счетах, гаденыш!

МИД Австрии объявил, что полностью избавился от последствий атаки на свою корпоративную сеть. Сама атака началась 4 января этого года и, по сообщениям австрийского ведомства, была направлена на сбор конфиденциальной информации МИД.

Местные эксперты, ничтоже сумняшеся, тут же объявили российские госструктуры причастными к кибератаке. А местная государственная радиостанция Österreichischer Rundfunk (ORF) прямо обвинило полулегендарную хакерскую группу Turla в реализации атаки.

Turla обвиняют в кибершпионаже с 2008 года и связывают ее с российскими разведывательными службами.

Никаких доказательств кроме "это очень сложная атака на государственную структуру поэтому это русские!", как обычно, нет. Поэтому очередное highly likely.

Интересно, однако, то, что в течение целых полутора месяцев местный инфосек воевал с хакерами на просторах сети МИД. Это, действительно, хорошая и красивая заварушка. Такого масштаба битвы случаются нечасто.

#ХроникиСвободногоМира

https://securityaffairs.co/wordpress/97879/intelligence/austrias-foreign-ministry-attack.html

Некоммерческая организация IOTA Foundation, приостановила функционирование одноименной криптовалюты IOTA после взлома официального кошелька Trinity 12 февраля.

Хакеры, воспользовавшись уязвимостью приложения, вывели с 10 аккаунтов более 1,6 млн. долларов.

В настоящее время IOTA занимает 23 место в CoinMarketCap по размеру рыночной капитализации криптовалюты. На фоне произошедшего взлома и последующей заморозки функционирования цена IOTA упала почти на 20% до 0,29 долларов.

Взлом как инструмент биржевых войн.

https://www.zdnet.com/article/iota-cryptocurrency-shuts-down-entire-network-after-wallet-hack/#ftag=RSSbaffb68

А между тем в наш уютный инфосек подвезли молочных желез (модифицированных).

Французская компания NextMotion, специализирующаяся на разработке ПО для визуализации и учета лечения пациентов пластической хирургии, разместила пользовательские данные в облаке Amazon S3. И, естественно, они утекли.

Утекли они, правда, к исследователям vpnMentor, которые тестировали на проникновение случайно выбранные компании. По их информации, данные NextMotion, в числе прочего, содержали более 100 тыс. изображений лиц и «особо чувствительных участков тела» пациентов.

Французы сообщили, что немедленно все поправили. Тем не менее, получил ли кто-нибудь еще доступ к скомпрометированной БД не ясно. Так что история, вполне может быть, еще не закончена.

https://securityaffairs.co/wordpress/97905/data-breach/nextmotion-plastic-surgery-dataleak.html

​​Следующие пошли!

Похоже, что коронавирус серьезно изменит ландшафт ИТ конференций, по крайней мере в 2020 году.

Мы уже писали, что на фоне отмены MWC в Барселоне по индустрии ходит информация о возможной отмене ПМЭФ.

Эта тенденция продолжает наблюдаться - организаторы сразу двух азиатских конференций Black Hat Asia и DEF CON China объявили об отмене мероприятий.

DEF CON China планировалось провести во второй половине апреля в Пекине и ее отмена выглядит вполне логичной на фоне карантинных мер, принимаемых китайским правительством.

Black Hat Asia же должна была пройти с 31 марта по 3 апреля в Сингапуре, где на 17 февраля зарегистрировано 75 инфицированных коронавирусом. Видимо, складывающаяся эпидемиологическая ситуация вызывает опасения у властей островного государства, в связи с чем Black Hat Asia переносится на осень. Даты пока не определены.

Гадаем кто отменится дальше.

#коронавирус

https://securityaffairs.co/wordpress/97937/security/coronavirus-outbreak-events-asia.html

​​Медовая ловушка для израильских солдат или как Сара Орлова подрывала еврейскую боеготовность.

По заявлению Сил обороны Израиля (IDF), представители палестинского движения ХАМАС под видом молодых еврейских девушек склоняют израильских солдат к установке вредоносного ПО на свои смартфоны.

Палестинцы создали в Facebook, Instagram и Telegram поддельные аккаунты шести девушек, которые, якобы, являлись иммигрантками, в силу чего не владели ивритом. Из-под этих учеток молодые палестинские хакеры склоняли израильских солдат к установке фейковых чат-приложений, которые на самом деле являлись вредоносами.

Примечательный факт - двух поддельных соблазнительниц звали Сара Орлова и Марина Якобова.

По мнению израильской инфосек компании Check Point, за атакой возможно стоит группа APT-C-23, действующая с лета 2018 года.

Мы же полагаем, что это попытка ответных действий палестинцев на большие кибератаки на должностных лиц Палестины, которые периодически происходят на Ближнем Востоке. Пусть и неумелая.

https://www.zdnet.com/article/israeli-military-tricked-into-installing-malware-by-hamas-agents-posing-as-women/#ftag=RSSbaffb68

​​Большой отчет израильской компании ClearSky в отношении атак проиранских хакерских группировок на VPN в 2019 году продолжает целый ряд публикаций, которые появились в западных СМИ в году текущем.

По данным израильтян, конечной целью иранских хакеров являются компании "из сектора информационных технологий, телекоммуникаций, нефти и газа, авиации, правительства и сектора безопасности".

В докладе ClearSky подчеркивается, что атаки на VPN-серверы по всему миру, по-видимому(!), являются работой, по меньшей мере, трех иранских групп, а именно APT33 (Elfin, Shamoon), APT34 (Oilrig) и APT39 (Chafer).

За ставшей в последнее время привычной риторикой относительно highly likely агрессивных действий иранских киберпрокси, по нашему мнению, скрывается подготовка к большому бадабуму.

Смотрим – в январе появилась публикация американской инфосек компании Recorded Future относительно атак иранских хакерских группировок на европейский энергетический сектор. Фактуры практически нет, а вот сама компания – плод венчурной политики ЦРУ через подручный фонд In-Q-Tel.

Далее – израильский министр энергетики объявляет, что отбита иранская атака на энергетический сектор Израиля. Потом ФБР выпускает официальное предупреждение о том, что иранские киберпрокси нацелены на индустриальный сектор США, в первую очередь – на энергетику.

Совпадение? Не думаю (с)

Если вспомнить, что новая ядерная доктрина США, опубликованная 2 года назад, предусматривает возможность нанесения ядерного удара в ответ на неядерное воздействие, включая кибератаки, на американскую инфраструктуру, то становится не по себе.

Судя по всему, в полный рост идет информационно-пропагандистская кампания, которая предназначена для подготовки общественного мнения к принятию последующих военных действий против Ирана. Ибо геополитический расклад максимально соответствует - Китай полностью увяз в коронавирусе и вряд ли способен в это году играть актора на международной арене, Россия вот вот сцепится с Турцией на сирийском направлении, а тут такой "законный" повод для маленькой ближневосточной войнушки нарисовывается. Точнее сами рисуют.

Поэтому надо внимательнее относится к новостям из отрасли информационной безопасности – а вдруг в них вестник Апокалипсиса.

https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

​​Широко известный в узких кругах инфосек эксперт Thaddeus E. Grugq разразился намедни душевными терзаниями в своем Twitter.

"Я перестал публично заниматься OPSEC, когда узнал, что моими гайдами пользуются люди, который преследуют детей. Я был раздавлен, уничтожен, потрясен!" - переживает Grugq и продолжает - "Повсюду в инфосек есть моральные и этические ловушки. Некоторые из тех людей, которым вы помогаете, - плохие люди!"

Мы бы посочувствовали Таддеушу, да вот только это тот самый Grugq, который 8 лет назад являлся посредником по продаже 0-day эксплойтов и который отказывался отрывать от стула свой, извиняемся, афедрон если ценник был меньше 50 тыс. баксов. Причем клиентов гражданин не сортировал.

Вы прослушали урок "Избирательная мораль и ее практическое применение".

https://twitter.com/thegrugq/status/1229108307207442432

​​Мы тут гадали, какая же конференция схлопнется из-за эпидемии коронавируса следующей. А нам на почту кинули ссылку на новость, что следующим сливается не мероприятие, а ключевой спонсор.

IBM объявила, что отменяет свое участие (в том числе как спонсор) в конференции RSA 2020 из-за ситуации с коронавирусом COVID-2019, поскольку их primary concern - это здоровье сотрудников компании.

Ну, молодцы! - подумали мы. А потом вспомнили, что RSA Conference 2020 должна пройти в Сан-Франциско уже через неделю, с 24 по 28 февраля. То есть одна из ведущих американских ИТ-компаний отказывается от участия в большой конференции, которая проходит на территории США же, из-за COVID-2019.

Может пора за противогазами уже бежать... (нет).

#коронавирус