Исследователи Рурского Университета опубликовали результаты исследования, в котором изучали безопасность механизмов подписывания документов в формате PDF.

В результате они разработали два новых типа атаки на Certification signature (позволяет вносить некоторые изменения в документ, сохраняя при этом его действительность). Первую они назвали Sneaky Signature (SSA), а вторую - Evil Annotation (EAA). Соответственно, с помощью атаки SSA можно добавить вредоносное содержимое поверх легального контента PDF, а EAA позволяет помещать вредоносное содержимое в аннотации, оставляя при этом цифровую подпись нетронутой.

В итоге из 26 распространенных приложений для работы с PDF 8 оказались уязвимы для SSA, а 15 - для EAА (среди них - Adobe и LibreOffice). Продукты Adobe к этому всему позволяли сертифицированным документам при определенных условиях еще и выполнять JavaScript без подтверждения пользователя.

К счастью, отчет с техническими подробностями уязвимостей выпущен уже после их устранения (как, собственно, и полагается поступать ответственным исследователям).

Кстати, товарищи из Рурского университета нападают на PDF не в первый раз. В прошлом году они разработали Shadow Attack, суть которой заключается в подготовке PDF-документа с двумя "слоями", содержащими различный контент. При подписи виден один слой, однако в дальнейшем злоумышленник делает видимым другой слой, при этом цифровая подпись сохраняется.

Ох, вот сколько читаем этого товарища, столько и умиляемся...

И ведь дельные вещи пишет, шельмец!

Голосование шуточное, а результаты вполне себе серьезны:

Наиболее серьезный риск информационной безопасности для большинства организаций?
- эксплуатируемые в дикой природе 0-day уязвимости - 4,5%;
- эксплуатируемые в дикой природе непропатченые N-day уязвимости - 95,5%.

Все нагромождение различных инструментов инфосека, SOCи и пр. и пр. не так важны, как элементарные разработка и контроль исполнения процедуры оперативного обновления имеющегося в эксплуатации ПО.

И только осознав и приняв это юный падаван станет настоящим инфосек джедаем.

Сервис Have I Been Pwned теперь официально открыт для американского правительства и национальных спецслужб. Австралийский исследователь безопасности Трой Хант объявил, что предоставил Федеральному бюро расследований США доступ к API для загрузки обнаруженных в ходе расследований баз утекших паролей в раздел сайта под названием Pwned Passwords проекта, который содержит более 613 миллионов записей. Хотя сотрудничество завязалось еще раньше, когда ФБР отгрузили ему список из 4,3 миллиона утекших адресов электронной почты, собранных из ботнета Emotet.

В то время как основной веб-сайт HIBP позволяет пользователям искать, были ли ранее утечки их электронной почты, имен или других аккаунтов в Интернете, специализированный раздел Pwned Passwords - это меньший и более специализированный компонент, который позволяет проверять надежность пароля по индексированным в базах проекта утечкам. Основная фитча в том, что хакеры аппелируют как раз именно к собранным сборкам паролей, на основе которых формируются словари для брута целевых учетных данных.

Официально событие освещается как пример эффективного государственно-частного партнерства в борьбе с киберпреступностью в Интернете, о необходимости перезагрузки которого прямо указано в недавнем указе Администрации Байдена по вопросам усиления информационной защищённости правительственной инфраструктуры.

Но, мы как специалисты инфосек, прекрасно отдаем себе отчет в том, что жесть доброй воли и любые соглашения со спецслужбами всегда имеют более глубокие договоренности и обязательства. Ведь, как безусловный лидер рынка, Pwned Passwords к настоящему времени интегрирован в тысячи общедоступных частных и государственных приложений для проверки надежности паролей, в том числе и за пределами США. Поэтому отныне ответственным за сервис сотрудникам ФБР станут доступны сведения не только об утечках, но главное - о конкретных пользователях и их запросах к сервису.

Вероятно, поэтому так совпало, что объявление о сотрудничестве HIBP с ФБР прозвучало в тот же день, когда Хант открыл исходный код для компонента. Просто так удобнее - не надо стесняться.

Стоящие за резонансной атакой на SolarWinds хакеры Nobelium, которых исследователи связывают с российской разведкой, вновь в деле.

Microsoft Threat Intelligence Center (MSTIC) сообщили об обнаружении кампании целевого фишинга на 3000 адресов электронной почты более чем 150 организаций гуманитарной и правозащитной направленности в 24 странах, большая часть из которых приходиться на США.

Активность фиксировалась еще в январе 2021 года и постепенно превратилась в серию атак, кульминацией которых стала волна фишинга, реализованную через взломанный аккаунт, используемый Агентством США по международному развитию (USAID) на платформе электронного маркетинга Constant Contact.

В письмах утверждалось, что это предупреждение USAID о публикации экс-президентом США Дональдом Трампом новых документов о «фальсификации выборов», которые, по утверждению Трампа, имели место, когда он проиграл кампанию президенту Джо Байдену.

Преследуя цель получения доступ к проверенным поставщикам технологий и заражения их клиентов, Nobelium (или как их еще именуют APT29, UNC2452, SolarStorm, StellarParticle и Dark Halo) существенно увеличили эффективность своих атак, совместив обновления программного обеспечения и сервисы массовых поставщиков электронной почты.

Именно они и позволили хакерам успешно распространить фишинговые письма с ссылками, при нажатии на которую доставляется вредоносный файл образа ICA-declass.iso для введения пользовательского имплантата Cobalt Strike Beacon, получившего название NativeZone («Documents.dll»). Этот бэкдор реализует постоянный доступ, боковое перемещение, эксфильтрацию данных и установку дополнительных вредоносных ПО. В случае, если базовой операционной системой оказалась iOS, жертва перенаправлялась на второй удаленный сервер для отправки эксплойта для тогда еще нулевого дня CVE-2021-1879. Несмотря на том, что Apple устранила этот недостаток 26 марта, в компании признали, что «эта проблема могла быть активно использована».

Volexity в своем отчете также подтвердили данные MSTIC и сообщили, что некоторые неправительственные организации (НПО), исследовательские институты, государственные учреждения и международные агентства, расположенные на территории США и Европе, все же были взломаны.

Согласно отчёту, исследователи отмечают, что виртуозность и латентность атак достигается подбором Nobelium уникальной инфраструктуры и схемы инструментов для каждой своей цели. Кроме того, хакеры начали использовать платформу моделирования злоумышленников с открытым исходным кодом Sliver после того, как некоторые из их операций были раскрыты.

Несмотря на оперативную реакцию спецов из Microsoft и Volexity, которые разработали индикаторы компрометации (IoC) для обнаружения пользователями возможных атак, масштабы операции могут иметь гораздо более широкие контуры, которые, безусловно, станут отдельной темой анонсированных недавно переговоров Президентов США и России в Женеве.

А тем временем, Администрация Джо Байдена получило мощное «ускорение» для реализации амбициозной стратегии по защите национальной инфраструктуры.

А теперь немного о грустном. Контроллеры производства Siemens седьмой серии вновь оказались уязвимы. Серьезные проблемы в сфере промышленной кибербезопасности были выявлены Claroty.

Обнаруженная CVE-2020-15782 описывается как проблема обхода защиты памяти с высокой степенью серьезности, которая позволяет злоумышленнику с сетевым доступом к TCP-порту 102 записывать или читать данные в защищенных областях памяти удаленно. Дыра в безопасности затрагивает процессоры немецкого гиганта: SIMATIC S7-1200 и S7-1500.

Уязвимость может быть использована для выполнения собственного кода на ПЛК Siemens S7 путем обхода песочницы, в которой обычно выполняется инженерный код, и получения прямого доступа к памяти устройства. Злоумышленник при этом сможет читать и писать из любого места на ПЛК, а также может исправлять существующий код операции виртуальной машины в памяти с помощью вредоносного кода для рутирования устройства. При этом атаку, использующую эту уязвимость, фактически не обнаружить.

Ситуацию спасает то, что немецкий промышленный гигант уже поспешил и позаботился о своих клиентах, выпустив обновления прошивки и предоставил решения для продуктов, для которых еще не выпущены исправления.

Однако в жизни никогда не обходится без аутсайдеров или не всегда оперативной службы IT, а значит CVE-2020-15782 может встретить «своего героя» уже в самое ближайшее время.

Неожиданный камингаут от датчан.

Датское издание DR опубликовало статью о сотрудничестве Датской службы военной разведки (FE) и американской АНБ в части прослушки ведущих европейских политиков. Журналистам стали доступны материалы секретного внутреннего расследования FE под названием Operation Dunhammer, которое было завершено и передано руководству службы в 2015 году. По информации DR, итоги расследования привели к тому, что в прошлом году руководство национальной разведки было снято со своих должностей.

Дания является географическим центром телекоммуникаций в Европе, благодаря чему датские спецслужбы имеют доступ к огромному количеству трафика. Для этого FE использует аналог российского СОРМ. И как-то так вышло, что наряду с датской разведкой этой самой системой свободно пользуется АНБ, причем для датчан это "имеет стратегическое значения для отношений между странами". Кто сказал "лимитроф"? Окститесь, это другое, обычная любовь между демократическими странами - просто одна страна любит, а другая позволяет себя любить.

После утечки информации об активности АНБ, которую устроил Сноуден, в 2014 году руководитель FE Томас Аренкиль запускает секретное внутреннее расследование Operation Dunhammer, чтобы выяснить - не злоупотребляло ли АНБ сотрудничеством с датской разведкой.

В мае 2015 года, проанализировав использование АНБ поисковой системы FE, группа, проводящая Operation Dunhammer, приходит к выводу о том, что американцы через возможности датчан шпионили за их ближайшими соседями по ЕС - немецкими, французскими, норвежскими и шведскими политиками. В частности под прицел АНБ попали Ангела Меркель, глава немецкого МИД Штайнмайер и лидер немецкой оппозиции Штайнбрюк. АНБ прослушивали их телефонные разговоры, перехватывали SMS и "сообщения в чатах" (полагаем, речь идет о нешифрованной еще в те времена переписке в WhatsApp и Viber).

А дальше еще интереснее - ознакомившись с результатами отчета Томас Аренкиль на него просто забил, так как сотрудничество с АНБ важнее. И следующий руководитель FE Ларс Финдсен поступил так же. И только спустя 3 года один из членов группы, осуществлявшей расследование Operation Dunhammer, слил данные отчета в инспекцию, надзирающую за датской разведкой, после чего было инициировано новое расследование. Его выводы были переданы датскому министру обороны в августе прошлого года, по результатам чего Аренкиль (занимавший на тот момент пост посла в Германии), Финдсен и еще один функционер FE были отправлены с голой жопой на мороз. Еще пятерых сотрудников FE отстранили от работы и перевели в другие учреждения.

Ахъ, какой пассажъ!

TheRecord сообщает, что японский исследователь Кенто Оки обнаружил уязвимость в Microsoft PatchGuard, а на прошлой неделе опубликовал на GitHub ее Proof of Concept.

PatchGuard, она же Kernel Patch Protection, - это технология защиты ядра Windows от попыток модификации. Появилась в 2005 году вместе с 64-разрядными версиями XP и Windows Server 2003. Однако в 2017 и 2019 годах были раскрыты три метода обхода PatchGuard - GhostHook, InfinityHook и ByePg, которые позволяли подключиться к ядру через легитимную функцию и провести модификацию его структуры.

При этом Microsoft игнорирует их, считая не уязвимостями, а некими "ошибками кода". Причина этого проста - для эксплуатации дырок хакеру необходимы права администратора в атакованной системе, а это, по мнению Microsoft, означает, что система полностью скомпрометирована и дальнейшее сопротивление бесполезно.

Ровно по причине подобного подхода мелкомягких Кенто Оки не стал даже пытаться сообщить им о новой уязвимости PatchGuard, а сразу написал о ней в своем блоге. А позже опубликовал PoC, который вырубает Windows. При этом Оки заявляет, что эта техника может быть использована и в других атаках.

Видишь уязвимость? Microsoft не видит. А она есть!

По примеру Google в борьбе за конфиденциальность, начиная 8 июня Amazon без согласия пользователей автоматически подключит все устройства в единую сеть Sidewalk. Анонсированная еще в сентябре 2019 года технология позволяет Alexa, Echo или другим устройствам Amazon (дверные звонки, камеры, интеллектуальное освещение, датчики и другие) делится друг с другом доступом в Интернет, усиливая пропускную способность трафика между ними.

На базе амбициозного проекта цифровой гигант буквально через неделю создаст на территории США беспроводную сеть дальнего радиуса действия, положив в основу Bluetooth и широкий спектр частот (в том числе FSK 900 МГц и др.), чтобы обеспечить постоянный обмен данными для всех устройств. Sidewalk по замыслу разработчика расширит таким образом рабочий диапазон для устройств с низкой пропускной способностью и обеспечит связь, даже если устройства находятся за пределами зоны действия сети Wi-Fi пользователя.

Механизм, лежащий в основе проекта, концептуально аналогичен тому, как Apple использует свою сеть устройств для реализации поисковых функции утраченного оборудования, однако анонсированный продукт включает гораздо больший функционал. Помимо использования Bluetooth Low Energy (BLE) Sidewalk также использует беспроводную технологию дальнего действия LoRa, обеспечивая работу на больших расстояниях.

Безусловно, Amazon предусмотрел средства защиты Sidewalk: три уровня шифрования, блокировка неавторизованных устройств, ограничение передаваемых клиентских метаданных с конечных точек, передача сигналов на сервер с изменяемым каждые 15 минут уникальным идентификатором передачи TX-ID. Тем не менее, Sidewalk будет всегда знать  серийный номер стороннего устройства с поддержкой функции и будет способен добавлять в Black-лист утерянные или украденные девайсы.

Несмотря на предложенные Amazon гарантии безопасности сети, определенный скепсис у представителей инфосек все же возникает, особенно на фоне известных критических уязвимостей Bluetooth и Wi-Fi. Но еще большее недоумение вызывает решение компании активировать функцию «по умолчанию» вопреки желанию владельцев, которые смогут ее отключить лишь в ручную. Одним словом, кто платит, тот и заказывает музыку.

Хакеры-вымогатели никак не успокаиваются и после атаки на топливопровод Colonial Pipeline коварно напали на мясопровод. Точнее на крупнейшего в мире переработчика мяса JBS. И вот это действительно гигант.

JBS - это как Мираторг, только бразильский, без медведевских шуряков и с годовым доходом в 30 раз больше (51 млрд. долларов). Компания владеет более чем 150 перерабатывающими предприятиями по всему миру, на которых трудятся больше 230 тыс. человек.

В минувшие выходные глобальная сеть JBS попала под удар неустановленного ransomware, в результате чего уже сегодня компания отменила операционную деятельность по забою скота по всей Австралии. Возможно производство придется остановить и в обеих Америках, где понедельник только начался. В США сегодня выходной - День Памяти, поэтому там есть немного лишнего времени для восстановления операционной деятельности. Получится или нет - вопрос.

Директор JBS Australia подтвердил факт приостановки производства. Плюс к этому в результате киберинцидента возможны нарушения в процессе кормления КРС. К чему это приведет - потенциально к массовому падежу скота.

С учетом внушительного размера годового дохода JBS размер выкупа может составлять десятки миллионов долларов (вполне допускаем, что и за сотню). А принимая во внимание существенные потери от продолжающейся блокировки производства, компания может эти деньги выплатить.

Правда, подозреваем, в этом случае американское правительство не сильно возбудится.

Нас просят прокомментировать задержание Freedom F0x.

Что сказать. Паша не один год делал сливы и давал различные провокационные интервью и за это ему запретили пользоваться средствами связи. Кровавый режим же )))

А если серьезно, то выкладывать в свой канал архив с малварью - это мероприятие, так скажем, сомнительное. С учетом того, что F0x постоянно наезжал на известные учреждения, специализирующиеся на борьбе с киберпреступностью, ему, имхо, это все теперь припомнят.

С другой стороны, полагаем, отделается парой-тройкой лет условно. Это если доказательную базу его связи с ТГ-каналом получится сформировать, что не факт. В противном случае - отскочет, немного испортив себе нервы.

​​Бгггг, у нас таких половина

​​Очевидно же - антивирус на базе Эльбруса банально дороже!

Реакция известных западных инфосек экспертов на скандал с прослушкой европейских политиков со стороны АНБ.

(Кажется недостаточно ватно-патриотический пост получился... Да, недостаточно)

Слава Путину!

(Во теперь нормально. Ага, нормально. И Бомонту долю кремлевских пряников зашлем, да)

​​Когда мы писали, что американское правительство не сильно возбудится по поводу атаки ransomware на мясоперерабатываюшего гиганта JBS, то мы ошибались. Возбудились и еще как.

Заместитель пресс-секретаря Белого Дома Карин Жан-Пьер заявила вчера журналистам, что JBS USA уведомили правительство США о том, что их серверы пострадали в ходе атаки вымогателей. В связи с этим американский Минсельхоз на стреме, поскольку из-за перебоев с поставками мяса цены могут подскочить.

Ну и, как обычно, по словам Карин Жан-Пьер, владельцы атаковавшего ransomware с большой долей вероятности находятся в России. И это не инсинуации образного Госдепа, а практически медицинский факт. По крайне мере, вероятность того, что вымогатели русскоязычные, не сильно отличается от 99%.

А в завершении - слава российским танковым войскам! Почему им? Да потому что с точки зрения борьбы с киберпреступностью они также эффективны, как и ответственные подразделения российских правоохранительных органов. Практически никак.

Австрийская компания SEC Consult опубликовала отчет о выявленных в апреле 2020 года уязвимостях в микропрограммном обеспечении тайваньской фирмы Korenix Technology, на основании которого построены промышленные коммутаторы нескольких поставщиков.

В частности, подверженными ошибкам оказались коммутаторы Westermo PMI-110 и Pepperl+Fuchs Comtrol Rocker. Как минимум одна из этих моделей поставлялась на территорию России.

Всего австрийцы нашли пять уязвимостей, среди которых возможность администрирования без прохождения аутентификации, вшитые админские аккаунты и другие прекрасные вещи. В случае их эксплуатации хакер может получить полный контроль над атакованным устройством. Соответствующие PoC предоставлены исследователями.

Уязвимые устройства используются преимущественно в промышленных сетях - энергетике, транспорте, тяжелой промышленности и пр.

В добавок к этому Korenix изначально забила на исправление выявленных дырок и только в ноябре 2020 года, когда SEC Consult пригрозила обнародовать свои данные, представители производителей коммутаторов сумели надавить на тайваньцев, а также убедили австрийских экспертов отложить опубликование информации в паблике.

Надежные промышленные сети? Не в этой Вселенной.

​​Когда-то давно, в прошлом году, мы писали обзоры про иностранные прогосударственные APT, в том числе обзор активности северокорейской группы Kimsuky.

Во-первых, пора возвращаться к истокам и опять делать обзоры на APT. А во-вторых, исследователи Malwarebytes выпустили новый отчет в отношении активности Kimsuky.

Напомним, что эта хакерская группа работает на Главное разведывательное бюро (RGB) Генштаба Народной армии КНДР. А точнее на 5-й Департамент RGB aka Bureau 35, занимающийся зарубежной разведкой. Не гнушаются поработать и по российским объектам, впрочем как и их более известные коллеги из APT Lazarus.

Но основными целями для Kimsuky по прежнему являются ресурсы Южной Кореи. Вот и в этот раз исследователи сообщили о проведенной в мае фишинговой кампании, направленной на южнокорейские правительственные учреждения, в частности МИД, Министерство торговли, местное подразделение МАГАТЭ и др., а также на учебные заведения и на Корейское агентство Интернет-безопасности (KISA).

Фишинговая инфраструктура весьма обширна, некоторые из ее частей создавались буквально накануне кампании в апреле этого года. Она настроена под имитацию множества сервисов - Gmail, Hotmail, Telegram (это успех!) и других.

В качестве приманки использовались имитировавшие официальные документы PDF-файлы, в которых сидел старый авторский бэкдор AppleSeed, способный собирать информацию с атакованного компьютера - проводить кейлогинг, делать скриншоты, искать и эксфильтрировать данные. в том числе со съемных носителей.

Кроме AppleSeed в качестве полезной нагрузки использовался также бэкдор для пользователей Android (фактически мобильный вариант AppleSeed), если зараженный документ открывался на мобильном устройстве. Интересная деталь - в коде бэкдора хакеры обозначают себя как Thallium (одно из известных альтернативных названий Kimsuky, данное группе исследователями Microsoft).

Мы рады, что опять начали появляться хорошие материалы по активности APT. А то эти ransomware заполонили всю ноосферу - никакой красоты.

Как сообщает Прокуратура города Алматы (Казахстан, если чо), двое неназванных участников известной коммерческой хакерской группы Carbanak (она же FIN7) осуждены сегодня районным судом Бостандыкского района г. Алматы за хищение в 2016-217 годах 2 млрд. тенге у двух казахских банков и покушение на хищение еще 8 млрд. тенге.

Дали 8 лет!

Не успели мы вчера вдохнуть свежего воздуха расследований активности APT, как сегодня с утра нас опять накрыла удушливая волна новостей об атаках вымогателей.

Да, в стотысячный раз мы называем ransomware вымогателями, вместо популярного у отечественных инфосек надмозгов термина "шифровальщик". Во-первых потому что это правильный перевод не только по букве, но и по смыслу, а во-вторых по причине отказа некоторых группировок от, собственно, шифрования. "Шифровальщик напал на сеть!" - а оно и не шифровало ничего.

Но вернемся к успехам американской инфосек отрасли.

Только нал, живая очередь, парковочный коллапс и логистический хаос - именно на такой формат работы перешел крупнейший паромный перевозчик Steamship Authority в штате Массачусетс (США) после атаки ransomware. Сообщение между материковой частью США и островами Мартас-Виньярд и Нантакет было на некоторое время парализовано.

В результате инцидента бортовая навигационная аппаратура и наземная инфраструктура оператора не пострадала, все запланированные рейсы хоть и с задержками, но выполняются. Правда пользователям кредиток и заказчикам брони пришлось не по собственной воле все же отказаться от транспортных услуг и отложить поездки до окончания расследования инцидента.

Серия громких атак операторов ransomware в последнее время все чаще сотрясает объекты национальной инфраструктуры США и заставляет Администрацию Байдена предпринимать активные шаги в борьбе с источниками киберугроз. Президент Cyber Threat Alliance Майкл Дэниел при поддержке Минюста США выступили с предложениями по дальнейшему административному и экономическому стимулированию отказов от уплаты выкупа, а также более жесткому регулированию рынка криптовалюты.

Паром - это, конечно, не мясопровод, но все-таки какая-никакая транспортная инфраструктура США. Поэтому, полагаем, атака на Steamship Authority тоже не останется без внимания американских госорганов.

А вот про атаку на мясопровод вспомним в следующем посте.

​​Вчера мы писали, что американское правительство серьезно озаботилось возможными последствиями атаки ransomware на крупнейшего мирового мясопереработчика JBS и, как следствие, сбоя в работе в работе IT-систем JBS USA, на американский же рынок мясных продуктов.

Тогда представители JBS USA упомянули, что, по их информации, к атаке причастны вымогатели из России. И уже ночью появились подробности.

Как сообщает ФБР, подключившаяся к расследованию киберинцидента, к взлому сети JBS причастен оператор ransomware REvil. А эти ребята, как известно, русскоязычные и с большой долей вероятности из России.

Между тем американские чиновники заявляют, что одной из тем переговоров Байдена с Путиным 16 июня в Женеве будут являться проблемы борьбы с киберпреступностью. Подразумевается, естественно, киберпреступность российская. К каким соглашениям придут - будем посмотреть, однако есть вероятность, что наши кибертанковые войска по результатам дружеских президентских посиделок получат живительных мотиваций.

Смешно, кстати, что пару недель назад, после скандала с взломом оператором Darkside трубопровода Colonial Pipeline и последовавшего наезда американцев на вымогателей по всем направлениям, Unknown, представитель группировки REvil, заявлял, что они вводят новые ограничения на допустимые для атаки цели, которые исключают объекты социальной сферы и государственные организации.

Но, как известно, мясопровод ни к тем, ни к другим не относится. А скандал тем не менее вышел знатный.