Не успели мы вчера вдохнуть свежего воздуха расследований активности APT, как сегодня с утра нас опять накрыла удушливая волна новостей об атаках вымогателей.
Да, в стотысячный раз мы называем ransomware вымогателями, вместо популярного у отечественных инфосек надмозгов термина "шифровальщик". Во-первых потому что это правильный перевод не только по букве, но и по смыслу, а во-вторых по причине отказа некоторых группировок от, собственно, шифрования. "Шифровальщик напал на сеть!" - а оно и не шифровало ничего.
Но вернемся к успехам американской инфосек отрасли.
Только нал, живая очередь, парковочный коллапс и логистический хаос - именно на такой формат работы перешел крупнейший паромный перевозчик Steamship Authority в штате Массачусетс (США) после атаки ransomware. Сообщение между материковой частью США и островами Мартас-Виньярд и Нантакет было на некоторое время парализовано.
В результате инцидента бортовая навигационная аппаратура и наземная инфраструктура оператора не пострадала, все запланированные рейсы хоть и с задержками, но выполняются. Правда пользователям кредиток и заказчикам брони пришлось не по собственной воле все же отказаться от транспортных услуг и отложить поездки до окончания расследования инцидента.
Серия громких атак операторов ransomware в последнее время все чаще сотрясает объекты национальной инфраструктуры США и заставляет Администрацию Байдена предпринимать активные шаги в борьбе с источниками киберугроз. Президент Cyber Threat Alliance Майкл Дэниел при поддержке Минюста США выступили с предложениями по дальнейшему административному и экономическому стимулированию отказов от уплаты выкупа, а также более жесткому регулированию рынка криптовалюты.
Паром - это, конечно, не мясопровод, но все-таки какая-никакая транспортная инфраструктура США. Поэтому, полагаем, атака на Steamship Authority тоже не останется без внимания американских госорганов.
А вот про атаку на мясопровод вспомним в следующем посте.
Да, в стотысячный раз мы называем ransomware вымогателями, вместо популярного у отечественных инфосек надмозгов термина "шифровальщик". Во-первых потому что это правильный перевод не только по букве, но и по смыслу, а во-вторых по причине отказа некоторых группировок от, собственно, шифрования. "Шифровальщик напал на сеть!" - а оно и не шифровало ничего.
Но вернемся к успехам американской инфосек отрасли.
Только нал, живая очередь, парковочный коллапс и логистический хаос - именно на такой формат работы перешел крупнейший паромный перевозчик Steamship Authority в штате Массачусетс (США) после атаки ransomware. Сообщение между материковой частью США и островами Мартас-Виньярд и Нантакет было на некоторое время парализовано.
В результате инцидента бортовая навигационная аппаратура и наземная инфраструктура оператора не пострадала, все запланированные рейсы хоть и с задержками, но выполняются. Правда пользователям кредиток и заказчикам брони пришлось не по собственной воле все же отказаться от транспортных услуг и отложить поездки до окончания расследования инцидента.
Серия громких атак операторов ransomware в последнее время все чаще сотрясает объекты национальной инфраструктуры США и заставляет Администрацию Байдена предпринимать активные шаги в борьбе с источниками киберугроз. Президент Cyber Threat Alliance Майкл Дэниел при поддержке Минюста США выступили с предложениями по дальнейшему административному и экономическому стимулированию отказов от уплаты выкупа, а также более жесткому регулированию рынка криптовалюты.
Паром - это, конечно, не мясопровод, но все-таки какая-никакая транспортная инфраструктура США. Поэтому, полагаем, атака на Steamship Authority тоже не останется без внимания американских госорганов.
А вот про атаку на мясопровод вспомним в следующем посте.
Telegram
SecAtor
Когда мы писали, что американское правительство не сильно возбудится по поводу атаки ransomware на мясоперерабатываюшего гиганта JBS, то мы ошибались. Возбудились и еще как.
Заместитель пресс-секретаря Белого Дома Карин Жан-Пьер заявила вчера журналистам…
Заместитель пресс-секретаря Белого Дома Карин Жан-Пьер заявила вчера журналистам…
Вчера мы писали, что американское правительство серьезно озаботилось возможными последствиями атаки ransomware на крупнейшего мирового мясопереработчика JBS и, как следствие, сбоя в работе в работе IT-систем JBS USA, на американский же рынок мясных продуктов.
Тогда представители JBS USA упомянули, что, по их информации, к атаке причастны вымогатели из России. И уже ночью появились подробности.
Как сообщает ФБР, подключившаяся к расследованию киберинцидента, к взлому сети JBS причастен оператор ransomware REvil. А эти ребята, как известно, русскоязычные и с большой долей вероятности из России.
Между тем американские чиновники заявляют, что одной из тем переговоров Байдена с Путиным 16 июня в Женеве будут являться проблемы борьбы с киберпреступностью. Подразумевается, естественно, киберпреступность российская. К каким соглашениям придут - будем посмотреть, однако есть вероятность, что наши кибертанковые войска по результатам дружеских президентских посиделок получат живительных мотиваций.
Смешно, кстати, что пару недель назад, после скандала с взломом оператором Darkside трубопровода Colonial Pipeline и последовавшего наезда американцев на вымогателей по всем направлениям, Unknown, представитель группировки REvil, заявлял, что они вводят новые ограничения на допустимые для атаки цели, которые исключают объекты социальной сферы и государственные организации.
Но, как известно, мясопровод ни к тем, ни к другим не относится. А скандал тем не менее вышел знатный.
Тогда представители JBS USA упомянули, что, по их информации, к атаке причастны вымогатели из России. И уже ночью появились подробности.
Как сообщает ФБР, подключившаяся к расследованию киберинцидента, к взлому сети JBS причастен оператор ransomware REvil. А эти ребята, как известно, русскоязычные и с большой долей вероятности из России.
Между тем американские чиновники заявляют, что одной из тем переговоров Байдена с Путиным 16 июня в Женеве будут являться проблемы борьбы с киберпреступностью. Подразумевается, естественно, киберпреступность российская. К каким соглашениям придут - будем посмотреть, однако есть вероятность, что наши кибертанковые войска по результатам дружеских президентских посиделок получат живительных мотиваций.
Смешно, кстати, что пару недель назад, после скандала с взломом оператором Darkside трубопровода Colonial Pipeline и последовавшего наезда американцев на вымогателей по всем направлениям, Unknown, представитель группировки REvil, заявлял, что они вводят новые ограничения на допустимые для атаки цели, которые исключают объекты социальной сферы и государственные организации.
Но, как известно, мясопровод ни к тем, ни к другим не относится. А скандал тем не менее вышел знатный.
Federal Bureau of Investigation
FBI Statement on JBS Cyberattack | Federal Bureau of Investigation
As the lead federal investigative agency fighting cyber threats, combating cybercrime is one of the FBI’s highest priorities. We have attributed the JBS attack to REvil and Sodinokibi and are working diligently to bring the threat actors to justice.
Ну и закончим новостную ленту ransomware постом про взлом FujiFilm, которая сделала вчера об этом официальное заявление.
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например, Xerox), концерн производит еще и фарму. Компания заявила, что вчера стала целью атакои вымогателей, в результате чего была приостановлена работа всех затронутых систем. Пока что известно только о прекращении функционирования электронной почты и телефонной связи.
Хотя сами японцы не сообщают о том, кто конкретно на них напал, по данным Виталия Кремеза (а он в области борьбы с ransomware товарищ авторитетный), в середине мая Fuji была заражена вредоносом QBot, с которым в настоящее время работают вымогатели из группировки REvil. С другой стороны, с QBot работают и другие ransomware, о чем мы в прошлом году уже писали.
А вообще, мы тут пришли к выводу, что выходов из сложившейся с ransomware ситуации ровно два. Естественно если считать, что подобный порядок вещей сильные мира сего долго терпеть не будут.
Первый - государственный органы разных стран уже всерьез берутся за вопросы борьбы с вымогателями, тем более, что история с Colonial Pipeline показала, что это можно делать достаточно эффективно.
Второе - государственные органы забивают, а финансовые потери для стоящих за транснациональными структурами (мы же помним, что реальных владельцев большей части бизнеса на земном шаре не так и много) начинают превышать потенциальные репутационные риски. Вследствие этого условный конгломерат условных финансовых фондов неофициально выделяет, скажем, миллионов 300 долларов на борьбу с ransomware мрачным дядям, имеющим в прошлом трех- и двухбуквенные обозначения работодателей из различных стран мира, и, в силу этого, не отягощенным моральными принципами и особой брезгливостью. После чего несколько представителей владельцев и операторов ransomware в буквальном смысле потрошатся на камеру, а сделанные видеозаписи распространяются среди лиц, потенциально склонных к данному виду киберпреступности.
Меры конспирации вымогателям вряд ли помогут, поскольку, как мы все знаем, лучший инструмент для криптоанализа - это паяльник, а спиздить и форсированно допросить можно хоть Цукерберга, было бы желание и бабки.
Но это уже треш и гуро и мы надеемся, что до такого не дойдет.
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например, Xerox), концерн производит еще и фарму. Компания заявила, что вчера стала целью атакои вымогателей, в результате чего была приостановлена работа всех затронутых систем. Пока что известно только о прекращении функционирования электронной почты и телефонной связи.
Хотя сами японцы не сообщают о том, кто конкретно на них напал, по данным Виталия Кремеза (а он в области борьбы с ransomware товарищ авторитетный), в середине мая Fuji была заражена вредоносом QBot, с которым в настоящее время работают вымогатели из группировки REvil. С другой стороны, с QBot работают и другие ransomware, о чем мы в прошлом году уже писали.
А вообще, мы тут пришли к выводу, что выходов из сложившейся с ransomware ситуации ровно два. Естественно если считать, что подобный порядок вещей сильные мира сего долго терпеть не будут.
Первый - государственный органы разных стран уже всерьез берутся за вопросы борьбы с вымогателями, тем более, что история с Colonial Pipeline показала, что это можно делать достаточно эффективно.
Второе - государственные органы забивают, а финансовые потери для стоящих за транснациональными структурами (мы же помним, что реальных владельцев большей части бизнеса на земном шаре не так и много) начинают превышать потенциальные репутационные риски. Вследствие этого условный конгломерат условных финансовых фондов неофициально выделяет, скажем, миллионов 300 долларов на борьбу с ransomware мрачным дядям, имеющим в прошлом трех- и двухбуквенные обозначения работодателей из различных стран мира, и, в силу этого, не отягощенным моральными принципами и особой брезгливостью. После чего несколько представителей владельцев и операторов ransomware в буквальном смысле потрошатся на камеру, а сделанные видеозаписи распространяются среди лиц, потенциально склонных к данному виду киберпреступности.
Меры конспирации вымогателям вряд ли помогут, поскольку, как мы все знаем, лучший инструмент для криптоанализа - это паяльник, а спиздить и форсированно допросить можно хоть Цукерберга, было бы желание и бабки.
Но это уже треш и гуро и мы надеемся, что до такого не дойдет.
Словаки из ESET пишут про вскрытую атаку на водопой (они почему-то называют ее атакой на цепочку поставок) - взлом сайта офиса Президента Мьянмы.
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda
В результате взлома в доступный для загрузки пакет локализованных шрифтов был внедрен загрузчик Cobalt Strike. Исследователи подозревают в причастности к атаке китайскую APT Mustang Panda aka Bronze President, но пока не могут провести окончательное атрибутирование.
В 2015 году сайт Президента Мьянмы уже ломали, внедрив в него тогда загрузчик, подтягивающий троян Evilgrab.
Mustang Panda - это китайская хакерская группа, специализирующаяся на кибершпионаже. Считается, что она активна с 2014 года. Преимущественно работает по соседним с Китаем странам, но известны и киберкампании, направленные, например, на американские Think Tank. Мы про нее уже не раз писали.
Напомним, что в феврале этого года военные Мьянмы устроили госпереворот (хотя по местной Конституции у них весьма большие полномочия), отстранив действующие светские власти. При этом действующее военное руководство имеет с Китаем ряд разногласий, поэтому интерес китайских хакеров к этой соседней стране объяснимо.
#APT #MustangPanda
Вчера мы обрадовались, что наконец-то опять стали появляться интересные материалы про активность прогосударственных APT и как сглазили - сегодня их вывалили целый пучок. Что-то мы рассмотрели сегодня, остальное обозрим завтра.
А в завершении сегодняшнего дня новость про нашу любимую инфосек компанию FireEye, вполне официально принадлежащую ЦРУ (не полностью, конечно, так - на полшишечки).
FireEye заявили, что продают свой продуктовый бизнес, включая само название FireEye, частному консорциуму во главе с инвестиционной компанией Symphony Technology Group за 1,2 млрд. долларов. Останется только киберразведка в виде Mandiat.
Казалось бы можно сказать "Скрипач не нужен, родной", но не все так просто.
Ребята из Symphony Technology Group ранее приобрели за 40 млрд. долларов корпоративный бизнес McAfee, а в прошлом году купили RSA Security. А вот последняя была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Так что ничего страшного не произошло. Просто американские спецслужбы пересмотрели портфель своих активов. Демократия не опасносте.
Всем Байден!
А в завершении сегодняшнего дня новость про нашу любимую инфосек компанию FireEye, вполне официально принадлежащую ЦРУ (не полностью, конечно, так - на полшишечки).
FireEye заявили, что продают свой продуктовый бизнес, включая само название FireEye, частному консорциуму во главе с инвестиционной компанией Symphony Technology Group за 1,2 млрд. долларов. Останется только киберразведка в виде Mandiat.
Казалось бы можно сказать "Скрипач не нужен, родной", но не все так просто.
Ребята из Symphony Technology Group ранее приобрели за 40 млрд. долларов корпоративный бизнес McAfee, а в прошлом году купили RSA Security. А вот последняя была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Так что ничего страшного не произошло. Просто американские спецслужбы пересмотрели портфель своих активов. Демократия не опасносте.
Всем Байден!
CNBC
FireEye is selling its products business and name for $1.2 billion
FireEye is selling its products business and the FireEye name to a consortium led by private-equity firm Symphony Technology Group for $1.2 billion.
В продолжение вчерашней истории про взлом китайской APT Mustang Panda сайта офиса Президента Мьянмы и внедрение загрузчика Cobalt Strike.
Check Point опубликовали отчет о кибершпионской кампании другой китайской APT - Sharp Panda, которая проводилась против правительственных учреждений одной из стран Юго-Восточной Азии.
Заражение машин начиналось с целевой фишинговой рассылки, содержащей вредоносные DOCX файлы (судя по тексту приманок - речь идет о Вьетнаме). В некоторых случаях фишинговые письма были подделаны под легитимную переписку от другого ведомства.
Приманка загружала 8.t Dropper (он же RoyalRoad), доставляемый в документе RTF, который обычно используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT).
Загрузчик, названный в данном случае 5.t Dropper, собирал информацию в отношении системы, шифровал ее в RC4 и отправлял на управляющий центр. Если атакованная машина представляла интерес для хакеров, то С2 направлял полезную нагрузку.
В качестве полезной нагрузки поставлялся уникальный авторский бэкдор с внутренним наименованием VictoryDll, который представляет по функционалу полноценный RAT и может искать и эксфильтрировать информацию, делать скриншоты, запускать команды и пр.
Проведя ретроспективное исследование, сотрудники Check Point обнаружили загруженные на VirusTotal в 2018 году ранние тестовые версии VictoryDll, временные метки которых указывают на период разработки с июля 2017 по июнь 2018 года.
Управляющие центры первого этапа кампании были размещены в двух облачных сервисах, расположенных в Гонконге и Малайзии. С2 бэкдора VictoryDll был размещен у американского провайдера.
Проведя атрибуцию израильские исследователи с большой долей вероятности отнесли автора атаки к китайским APT. На это указывает использование 8.t Dropper, временной график активности управляющих центров, а также пересечения с Китаем обнаруженных на VirusTotal тестовых версий бэкдора.
В то же время Check Point не смогли соотнести атаку с профилем какой-либо из известных китайских хакерских групп, а потому решили обозначить актора как новую APT под названием Sharp Panda.
#APT #SharpPanda
Check Point опубликовали отчет о кибершпионской кампании другой китайской APT - Sharp Panda, которая проводилась против правительственных учреждений одной из стран Юго-Восточной Азии.
Заражение машин начиналось с целевой фишинговой рассылки, содержащей вредоносные DOCX файлы (судя по тексту приманок - речь идет о Вьетнаме). В некоторых случаях фишинговые письма были подделаны под легитимную переписку от другого ведомства.
Приманка загружала 8.t Dropper (он же RoyalRoad), доставляемый в документе RTF, который обычно используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT).
Загрузчик, названный в данном случае 5.t Dropper, собирал информацию в отношении системы, шифровал ее в RC4 и отправлял на управляющий центр. Если атакованная машина представляла интерес для хакеров, то С2 направлял полезную нагрузку.
В качестве полезной нагрузки поставлялся уникальный авторский бэкдор с внутренним наименованием VictoryDll, который представляет по функционалу полноценный RAT и может искать и эксфильтрировать информацию, делать скриншоты, запускать команды и пр.
Проведя ретроспективное исследование, сотрудники Check Point обнаружили загруженные на VirusTotal в 2018 году ранние тестовые версии VictoryDll, временные метки которых указывают на период разработки с июля 2017 по июнь 2018 года.
Управляющие центры первого этапа кампании были размещены в двух облачных сервисах, расположенных в Гонконге и Малайзии. С2 бэкдора VictoryDll был размещен у американского провайдера.
Проведя атрибуцию израильские исследователи с большой долей вероятности отнесли автора атаки к китайским APT. На это указывает использование 8.t Dropper, временной график активности управляющих центров, а также пересечения с Китаем обнаруженных на VirusTotal тестовых версий бэкдора.
В то же время Check Point не смогли соотнести атаку с профилем какой-либо из известных китайских хакерских групп, а потому решили обозначить актора как новую APT под названием Sharp Panda.
#APT #SharpPanda
Check Point Research
SharpPanda: Chinese APT Group Targets Southeast Asian Government With Previously Unknown Backdoor - Check Point Research
Introduction Check Point Research identified an ongoing surveillance operation targeting a Southeast Asian government. The attackers use spear-phishing to gain initial access and leverage old Microsoft Office vulnerabilities together with the chain of in…
Мы вчера сами так испугались своего поста про мрачные перспективы появления новой антирансомной инквизиции (идеологом туда точно взяли бы Сачкова - он грозный, у него своя форма сразу, плюс обладает богатым опытом acts of violence), что всю ночь плохо спали. Причем всем снились одинаковые кошмары про то, как Илья Константинович стал следующим Президентом России и решил превратить ее в сингапурскую компанию, для того чтобы вывести из под санкций.
К счастью, борьба с ransomware все-таки пойдет, похоже, по первому варианту - при активном участии властей. Вчера Белый Дом опубликовал открытое письмо за авторством Анны Нойбергер, заместителя помощника Президента и советника по национальной безопасности по вопросам кибербезопасности.
Во-первых, Нойбергер называет атаки вымогателей ведущим приоритетом для Байдена.
Во-вторых, сообщает, что Правительство США совместно со своими международными партнерами приступило к разрушению инфраструктур владельцев ransomware, планирует привлекать к ответственности страны, которые укрывают членов вымогательских группировок (посмотрим, о чем договорятся с Путиным в Женеве), а также будет принимать меры по оперативному отслеживанию и пресечению криптовалютных выплат в адрес вымогателей.
В-третьих, порекомендовали частному бизнесу более ответственно относиться к вопросам защиты от атак ransomware, для чего руководители компаний должны немедленно обсудить на уровне топ-менеджмента состояние корпоративной безопасности и наличие соответствующих планов обеспечения непрерывности бизнеса (мы про это говорили почти год назад, но кто мы такие...).
Скрипя и содрогаясь cart of revenge сдвинулась с места.
К счастью, борьба с ransomware все-таки пойдет, похоже, по первому варианту - при активном участии властей. Вчера Белый Дом опубликовал открытое письмо за авторством Анны Нойбергер, заместителя помощника Президента и советника по национальной безопасности по вопросам кибербезопасности.
Во-первых, Нойбергер называет атаки вымогателей ведущим приоритетом для Байдена.
Во-вторых, сообщает, что Правительство США совместно со своими международными партнерами приступило к разрушению инфраструктур владельцев ransomware, планирует привлекать к ответственности страны, которые укрывают членов вымогательских группировок (посмотрим, о чем договорятся с Путиным в Женеве), а также будет принимать меры по оперативному отслеживанию и пресечению криптовалютных выплат в адрес вымогателей.
В-третьих, порекомендовали частному бизнесу более ответственно относиться к вопросам защиты от атак ransomware, для чего руководители компаний должны немедленно обсудить на уровне топ-менеджмента состояние корпоративной безопасности и наличие соответствующих планов обеспечения непрерывности бизнеса (мы про это говорили почти год назад, но кто мы такие...).
Скрипя и содрогаясь cart of revenge сдвинулась с места.
Ransomware уже надоели хуже горькой редьки. Так что коротко.
Прямые теле- и радиотрансляции американского медиахолдинга Cox Media Group (57 теле- и радиостанций) вчера были прерваны, судя по всему, по причине атаки вымогателей.
Все.
Прямые теле- и радиотрансляции американского медиахолдинга Cox Media Group (57 теле- и радиостанций) вчера были прерваны, судя по всему, по причине атаки вымогателей.
Все.
The New York Times опубликовали статью, в которой сообщили о произошедшей в апреле это года кибершпионской атаке на ресурсы Городского транспортного управления Нью-Йорка (MTA) со стороны китайских APT.
Попавший в руки журналистов внутренний документ MTA свидетельствует, что хакеры оставались в сети в течение нескольких дней и скомпрометировали 3 из 18 основных IT-систем Управления прежде чем инцидент был выявлен. Какие-либо конфиденциальные данные по заявлению представителей MTA не пострадали.
В качестве возможных акторов названы две китайские APT, которые использовали критическую 0-day уязвимость CVE-2021-22893 в Pulse Secure VPN. Именно об этих группах в апреле сообщали исследователи из FireEye. Одна из них с большой долей вероятности была атрибутирована как APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.
Смысл нападения китайских хакеров на MTA остается непонятным. Вряд ли транспортное управление содержит какую-либо сильно секретную информацию, представляющую интерес для разведки КНР. Хотя американские эксперды сразу родили версию о "конкурентной борьбе за мировой рынок железнодорожных вагонов". Такое себе.
Более правдоподобное объяснение гласит, что китайские APT атаковали американскую государственную сеть через 0-day уязвимость до кучи, но, обнаружив, что там нети ничего интересного, просто на нее забили.
В любом случае, американские следователи и представители MTA признают, что хакеры не имели цели вывести из строя изолированную инфраструктуру, управляющую движением транспорта в Нью-Йорке и его окрестностях.
Попавший в руки журналистов внутренний документ MTA свидетельствует, что хакеры оставались в сети в течение нескольких дней и скомпрометировали 3 из 18 основных IT-систем Управления прежде чем инцидент был выявлен. Какие-либо конфиденциальные данные по заявлению представителей MTA не пострадали.
В качестве возможных акторов названы две китайские APT, которые использовали критическую 0-day уязвимость CVE-2021-22893 в Pulse Secure VPN. Именно об этих группах в апреле сообщали исследователи из FireEye. Одна из них с большой долей вероятности была атрибутирована как APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.
Смысл нападения китайских хакеров на MTA остается непонятным. Вряд ли транспортное управление содержит какую-либо сильно секретную информацию, представляющую интерес для разведки КНР. Хотя американские эксперды сразу родили версию о "конкурентной борьбе за мировой рынок железнодорожных вагонов". Такое себе.
Более правдоподобное объяснение гласит, что китайские APT атаковали американскую государственную сеть через 0-day уязвимость до кучи, но, обнаружив, что там нети ничего интересного, просто на нее забили.
В любом случае, американские следователи и представители MTA признают, что хакеры не имели цели вывести из строя изолированную инфраструктуру, управляющую движением транспорта в Нью-Йорке и его окрестностях.
NY Times
The M.T.A. Is Breached by Hackers as Cyberattacks Surge
Hackers with suspected ties to China penetrated the New York transit agency’s computer systems in April, an M.T.A. document shows. Transit officials say the intrusion did not pose a risk to riders.
Неделя начинается для владельцев и операторов ransomware нервно.
Для начала в пятничном интервью изданию The Wall Street Journal занимающий пост директора ФБР Кристофер Рэй сравнил атаки ransomware с нападением террористов 9/11. Отсюда недалеко и до прямого признания атак вымогателей террористической деятельностью, а что это означает на языке спецслужб США, мы все прекрасно понимаем - внесудебные задержания, Гуантанамо, имитация утопления и все вот это.
Параллельно с этим Reuter сообщили, что подразделения американской прокуратуры по всей стране получили циркулярку, в соответствии с которой расследование атак ransomware теперь должно осуществляться аналогично расследованию террористических актов. Опять же - секретные тюрьмы ЦРУ, игра в "звонок другу", et cetera.
Ким Зеттер пишет, что заместитель Генпрокурора США дала указание подавать срочные отчеты по каждому выявленному факту атаки вымогателей.
Резюмируя - если долго дергать спящего тигра за хвост, то он может и проснуться. Тiкайте з городу, хлопцi.
Для начала в пятничном интервью изданию The Wall Street Journal занимающий пост директора ФБР Кристофер Рэй сравнил атаки ransomware с нападением террористов 9/11. Отсюда недалеко и до прямого признания атак вымогателей террористической деятельностью, а что это означает на языке спецслужб США, мы все прекрасно понимаем - внесудебные задержания, Гуантанамо, имитация утопления и все вот это.
Параллельно с этим Reuter сообщили, что подразделения американской прокуратуры по всей стране получили циркулярку, в соответствии с которой расследование атак ransomware теперь должно осуществляться аналогично расследованию террористических актов. Опять же - секретные тюрьмы ЦРУ, игра в "звонок другу", et cetera.
Ким Зеттер пишет, что заместитель Генпрокурора США дала указание подавать срочные отчеты по каждому выявленному факту атаки вымогателей.
Резюмируя - если долго дергать спящего тигра за хвост, то он может и проснуться. Тiкайте з городу, хлопцi.
WSJ
WSJ News Exclusive | FBI Director Compares Ransomware Challenge to 9/11
In an interview, Christopher Wray calls the disruption and prevention of cyberattacks “a shared responsibility, not just across government agencies but across the private sector and even the average American.”
У Signal выявили неприятную уязвимость.
Группа исследователей выяснила, что в ряде случаев при переносе клиента на другое устройство код безопасности мессенджера не меняется и контакты пользователя не уведомляются о том, что код безопасности изменился.
Таким образом, если злоумышленник сможет воспроизвести эту ситуацию , то он сможет подменить мессенджер жертвы на свой и продолжить общаться с ее контактами под ее маской.
Проблемы на данный момент ровно две - во-первых, исследователи не смогли установить от чего зависит воспроизведение ошибки, во-вторых - Signal отморозился и после непродолжительной переписки ушел в тину.
Единственное, что администрация мессенджера сделала, - изменила пользовательскую документацию, внеся в нее своеобразный дисклеймер, а именно указав, что "перенос Signal на новый телефон или его переустановка не всегда приводят к изменению номера безопасности" (тогда нахрена вообще он нужен?).
Не баг, а фича же.
Группа исследователей выяснила, что в ряде случаев при переносе клиента на другое устройство код безопасности мессенджера не меняется и контакты пользователя не уведомляются о том, что код безопасности изменился.
Таким образом, если злоумышленник сможет воспроизвести эту ситуацию , то он сможет подменить мессенджер жертвы на свой и продолжить общаться с ее контактами под ее маской.
Проблемы на данный момент ровно две - во-первых, исследователи не смогли установить от чего зависит воспроизведение ошибки, во-вторых - Signal отморозился и после непродолжительной переписки ушел в тину.
Единственное, что администрация мессенджера сделала, - изменила пользовательскую документацию, внеся в нее своеобразный дисклеймер, а именно указав, что "перенос Signal на новый телефон или его переустановка не всегда приводят к изменению номера безопасности" (тогда нахрена вообще он нужен?).
Не баг, а фича же.
Blogspot
Signal safety number privacy issues
kelly kaoudis: application security, hacking, software engineering blog
Вероятно, кто-то эту новость уже слышал и тем не менее.
Bloomberg в пятницу выкинул материал, согласно которому первичная компрометация сети трубопровода Colonial Pipeline, ставшего в мае жертвой атаки ransomware, произошла через утекшие credentials для VPN.
Со слов старшего вице-президента FireEye Mandiat (или с учетом продажи корпоративного бизнеса FireEye возможно уже просто Mandiat?) Чарльза Кармайкла, взломанная хакерами учетная запись не использовалась, но была при этом активна. По всей видимости, сотрудник поработал-поработал и уволился, а его учетку для VPN никто и не подумал удалить. Действительно, а зачем? Разве может произойти что-то плохое (сарказм)?
Пароль от скомпрометированной учетки был в ходе расследования обнаружен в одной из утечек в даркнете. Похоже сотрудник использовал его одновременно для входа в различные сервисы.
Ну и да, в лучших традициях информационной безопасности за мелкий прайс - никакой многофакторной аутентификации. Не по канону. Деды не использовали и мы не будем.
Bloomberg в пятницу выкинул материал, согласно которому первичная компрометация сети трубопровода Colonial Pipeline, ставшего в мае жертвой атаки ransomware, произошла через утекшие credentials для VPN.
Со слов старшего вице-президента FireEye Mandiat (или с учетом продажи корпоративного бизнеса FireEye возможно уже просто Mandiat?) Чарльза Кармайкла, взломанная хакерами учетная запись не использовалась, но была при этом активна. По всей видимости, сотрудник поработал-поработал и уволился, а его учетку для VPN никто и не подумал удалить. Действительно, а зачем? Разве может произойти что-то плохое (сарказм)?
Пароль от скомпрометированной учетки был в ходе расследования обнаружен в одной из утечек в даркнете. Похоже сотрудник использовал его одновременно для входа в различные сервисы.
Ну и да, в лучших традициях информационной безопасности за мелкий прайс - никакой многофакторной аутентификации. Не по канону. Деды не использовали и мы не будем.
Bloomberg.com
Hackers Breached Colonial Pipeline Using Compromised Password
The hack that took down the largest fuel pipeline in the U.S. and led to shortages across the East Coast was the result of a single compromised password, according to a cybersecurity consultant who responded to the attack.
Исследователи из Trend Micro обнародовали новую уязвимость в macOS и iOS (соответственно и в iPadOS), эксплуатация которой может привести к повышению привилегий.
CVE-2021-30724 находится в обработчике запросов XPC (низкоуровневый механизм взаимодействия между процессами) службы CVMServer, которая присутствует и в деcктопной, и в мобильных операционках от Apple. Ошибка в обработчике приводит к тому, что с помощью специальным образом сформированного запроса XPC хакер может добиться целочисленного переполнения и потенциально повысить свои привилегии.
Уязвимость достаточно сложна в эксплуатации, но это не повод не установить вышедшие 2 недели назад апдейты, в которых Apple ее исправила в числе других дырок.
CVE-2021-30724 находится в обработчике запросов XPC (низкоуровневый механизм взаимодействия между процессами) службы CVMServer, которая присутствует и в деcктопной, и в мобильных операционках от Apple. Ошибка в обработчике приводит к тому, что с помощью специальным образом сформированного запроса XPC хакер может добиться целочисленного переполнения и потенциально повысить свои привилегии.
Уязвимость достаточно сложна в эксплуатации, но это не повод не установить вышедшие 2 недели назад апдейты, в которых Apple ее исправила в числе других дырок.
Trend Micro
CVE-2021-30724: CVMServer Vulnerability in macOS and iOS
We analyze the patched CVE-2021-30724 vulnerability, affecting macOS, iOS, and iPadOS. If exploited, this flaw can allow privilege escalation.
ФБР вместе с Федеральной полицией Австралии (AFP) провернули, пожалуй, самую громкую спецоперацию по контролю каналов шифрованной связи в этом году (в прошлом году на первом месте безусловно была швейцарская Crypto AG, поставлявшая под контролем ЦРУ криптопродукты по всему миру в течение 50 лет).
Три года назад американцы и австралийцы хлопнули руководство Phantom Secure, проекта, который предоставлял возможность шифрованной связи представителям криминалитета. После этого они решили сами войти на этот рынок, для чего создали новую платформу под названием An0m - сервис защищенных смартфонов и шифрованной связи.
На самом деле в An0m был встроен мастер-ключ, который позволял ФБР и AFP влет читать всю переписку. ФБР даже создали цепочку серверов, на которые зеркалировались текстовые и голосовые сообщения пользователей An0m. Операцию назвали Trojan Shield. Платформу рекламировали с помощью сарафанного радио (через внедренных в криминалитет агентов) и через сайт anom. io.
Дополнительными факторами повышения популярности An0m послужило закрытие правоохранителями других приватных коммуникационных платформ EncroChat и Sky ECC, также активно использовавшихся представителями организованной преступности.
ФБР, AFP и привлеченные правоохранительные органы других стран в течение 3 лет отработали переписку почти с 12 тыс. устройств, которая составила более 20 млн. сообщений. А вчера разом хлопнули кучу народа в рамках Operation Ironside - от байкеров и наркокартелей до торговцев людьми.
Причиной завершения Trojan Shield послужили появившееся в криминальной среде подозрения, что с An0M не все в порядке с точки зрения конфиденциальности информации. Hacker Fantastic пишет, что еще в конце марта появился блог Anomexposed (ныне удаленный, но доступный в кэше), в котором автор canyouguess67 утверждал, что мессенджер осуществляет подозрительный обмен трафиком с американскими серверами, а также критиковал инфраструктуру платформы, заявив, что в текущем состоянии она запросто может контролироваться правоохранительными органами (как в воду глядел).
Что можно сказать по итогу. Американцы с австралийцами молодцы.
Три года назад американцы и австралийцы хлопнули руководство Phantom Secure, проекта, который предоставлял возможность шифрованной связи представителям криминалитета. После этого они решили сами войти на этот рынок, для чего создали новую платформу под названием An0m - сервис защищенных смартфонов и шифрованной связи.
На самом деле в An0m был встроен мастер-ключ, который позволял ФБР и AFP влет читать всю переписку. ФБР даже создали цепочку серверов, на которые зеркалировались текстовые и голосовые сообщения пользователей An0m. Операцию назвали Trojan Shield. Платформу рекламировали с помощью сарафанного радио (через внедренных в криминалитет агентов) и через сайт anom. io.
Дополнительными факторами повышения популярности An0m послужило закрытие правоохранителями других приватных коммуникационных платформ EncroChat и Sky ECC, также активно использовавшихся представителями организованной преступности.
ФБР, AFP и привлеченные правоохранительные органы других стран в течение 3 лет отработали переписку почти с 12 тыс. устройств, которая составила более 20 млн. сообщений. А вчера разом хлопнули кучу народа в рамках Operation Ironside - от байкеров и наркокартелей до торговцев людьми.
Причиной завершения Trojan Shield послужили появившееся в криминальной среде подозрения, что с An0M не все в порядке с точки зрения конфиденциальности информации. Hacker Fantastic пишет, что еще в конце марта появился блог Anomexposed (ныне удаленный, но доступный в кэше), в котором автор canyouguess67 утверждал, что мессенджер осуществляет подозрительный обмен трафиком с американскими серверами, а также критиковал инфраструктуру платформы, заявив, что в текущем состоянии она запросто может контролироваться правоохранительными органами (как в воду глядел).
Что можно сказать по итогу. Американцы с австралийцами молодцы.
Twitter
Hacker Fantastic
On 21st March 2021, a (now deleted) blog post correctly identified that Anøm @anomsecure was in fact sending all the user messages to US-based LE. Criminals had caught onto the game as the arrests began. It can be viewed here in Google's cache. webcache.…
По поводу свежезадержанного и выдворенного на 25 лет Алексея Семеняки можем сказать следующее.
Еще в 2015 году, уже будучи в Qrator, Семеняка, выступая на профильных мероприятиях, активно топил за послемайданную Украину, рисовал в своих презентациях украинский Крым и прочее. Вполне себе открыто и никого не стесняясь.
ФСБ потребовалось всего лишь 6 лет, чтобы сделать простой логический вывод.
"На третий день Орлиный Глаз заметил, что у сарая нет одной стены".
Еще в 2015 году, уже будучи в Qrator, Семеняка, выступая на профильных мероприятиях, активно топил за послемайданную Украину, рисовал в своих презентациях украинский Крым и прочее. Вполне себе открыто и никого не стесняясь.
ФСБ потребовалось всего лишь 6 лет, чтобы сделать простой логический вывод.
"На третий день Орлиный Глаз заметил, что у сарая нет одной стены".
ТАСС
Из России выдворили агента украинских спецслужб
В ФСБ отметили, что Алексей Семеняка не успел нанести ущерб внешней безопасности Российской Федерации
Чот все как-то наебну...
Большое количество мировых ресурсов либо совсем недоступны, либо загружаются через неизвестно что. Среди них Amazon, AWS, gov .uk, GitHub, Reddit, Shopify, Twitch, PayPal и куча других. Недоступны ресурсы крупнейших западных СМИ - The New York Times, CNN, Bloomberg, The Guardian и т.д. и т.п.
В Twitter предполагают, что это может быть связано со сбоем в работе сервиса Fastly, защищающего сайты от атак - типа того, что их WAF все режет.
Правда нам больше нравится версия, что это таки рождение SkyNet.
Господь, жги! После Дани Милохина на ПМЭФ эту планету уже не спасти...
Большое количество мировых ресурсов либо совсем недоступны, либо загружаются через неизвестно что. Среди них Amazon, AWS, gov .uk, GitHub, Reddit, Shopify, Twitch, PayPal и куча других. Недоступны ресурсы крупнейших западных СМИ - The New York Times, CNN, Bloomberg, The Guardian и т.д. и т.п.
В Twitter предполагают, что это может быть связано со сбоем в работе сервиса Fastly, защищающего сайты от атак - типа того, что их WAF все режет.
Правда нам больше нравится версия, что это таки рождение SkyNet.
Господь, жги! После Дани Милохина на ПМЭФ эту планету уже не спасти...
Twitter
StephenTicman2021 🇮🇹
IT'S HAPPENING !! #CyberAttack
Уже четвертый месяц Microsoft исправляют уязвимости безопасности, обнаруженные в пакете Microsoft Office, включая Excel и Office Online, которые могут быть использованы злоумышленниками для проведения атак с использованием документов: Word, Excel и Outlook.
11 мая разработчик исправил CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, и сегодня выпускает итоговый патч для CVE-2021-31939.
Проблемы были вызваны уязвимой функцией внутри компонента MSGraph, за неделю фаззинга которого спецам Check Point удалось его грамотно расчехлить и обнаружить 4 ошибки.
В ходе дальнейшего исследования оказалось, что ошибки фактически затрагивают всю линейку продуктов Microsoft Office. Устаревший код продолжает оставаться слабым звеном в цепи безопасности Microsoft Office.
Для успешной эксплуатации уязвимости достаточно открытия вредоносного файла Excel (.XLS), который может быть загружен по ссылке или отправлен электронным письмом. Реализованный через редактор формул вектор атаки применялся злоумышленникам еще с конца 2018 года.
Несмотря на сокрытие технических подробностей последней CVE-2021-31939, не стоит рассчитывать на то, что пытливый хакерский ум не мог не поддаться искушению и не создать нужный эксплойт: настоятельно рекомендуем поскорее применить исправления.
11 мая разработчик исправил CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, и сегодня выпускает итоговый патч для CVE-2021-31939.
Проблемы были вызваны уязвимой функцией внутри компонента MSGraph, за неделю фаззинга которого спецам Check Point удалось его грамотно расчехлить и обнаружить 4 ошибки.
В ходе дальнейшего исследования оказалось, что ошибки фактически затрагивают всю линейку продуктов Microsoft Office. Устаревший код продолжает оставаться слабым звеном в цепи безопасности Microsoft Office.
Для успешной эксплуатации уязвимости достаточно открытия вредоносного файла Excel (.XLS), который может быть загружен по ссылке или отправлен электронным письмом. Реализованный через редактор формул вектор атаки применялся злоумышленникам еще с конца 2018 года.
Несмотря на сокрытие технических подробностей последней CVE-2021-31939, не стоит рассчитывать на то, что пытливый хакерский ум не мог не поддаться искушению и не создать нужный эксплойт: настоятельно рекомендуем поскорее применить исправления.
Check Point Research
Fuzzing the Office Ecosystem - Check Point Research
Research By: Netanel Ben-Simon and Sagi Tzadik Introduction Microsoft Office is a very commonly used software that can be found on almost any standard computer. It is also integrated inside many products of the Microsoft / Windows ecosystem such as Office…
Алярм! Вышел очередной ежемесячный вторничный патч безопасности от Microsoft и он исправляет 50 уязвимостей, включая целых шесть 0-day, которые активно используются в дикой природе!
Перечислять уязвимости мы не будем, но отметим, что эксплуатация одной из них приводит к удаленному выполнению кода (RCE), одна связана с раскрытием информации, а оставшиеся четыре приводят к повышению привилегий.
Microsoft как всегда не делится техническими подробностями. Вместе с тем, Google TAG заявили, что CVE-2021-33742, приводящая к RCE, судя по всему, используется некой государственной APT для атак против целей в Восточной Европе и на Ближнем Востоке.
Касперские же сообщили, что две ошибки связанные с повышением привилегий были частью сложной цепочки эксплойтов, которая использовалась в апреле новым актором PuzzleMaker для атак на ряд компаний (при этом эксплойт RCE найти не удалось).
Всем пользователям Windows рекомендуем срочно обновиться!
Перечислять уязвимости мы не будем, но отметим, что эксплуатация одной из них приводит к удаленному выполнению кода (RCE), одна связана с раскрытием информации, а оставшиеся четыре приводят к повышению привилегий.
Microsoft как всегда не делится техническими подробностями. Вместе с тем, Google TAG заявили, что CVE-2021-33742, приводящая к RCE, судя по всему, используется некой государственной APT для атак против целей в Восточной Европе и на Ближнем Востоке.
Касперские же сообщили, что две ошибки связанные с повышением привилегий были частью сложной цепочки эксплойтов, которая использовалась в апреле новым актором PuzzleMaker для атак на ряд компаний (при этом эксплойт RCE найти не удалось).
Всем пользователям Windows рекомендуем срочно обновиться!
Twitter
Shane Huntley
More details will be on CVE-2021-33742 will come from the team, but for context this seem to be a commercial exploit company providing capability for limited nation state Eastern Europe / Middle East targeting.
Forwarded from SecurityLab.ru (Pipiggi)
Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? И нет, мы не о книгах.
⠀
Израиль использует технологию искусственного интеллекта в борьбе с исламистами в секторе Газа. На основе данных, собранных с помощью сигнального, визуального, человеческого, географического и других интеллектов были разработаны рекомендации для войск Армии обороны Израиля.
⠀
Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей с Александром Антиповым, главным редактором SecurityLab.
▪️как военный дрон нарушил первый закон робототехники;
▪️как Интерпол перехватил похищенные $83 млн;
▪️как жители Австралии и США стали веганами из-за кибератаки на JBS.
⠀
+ самый жаркий 🔥конкурс - на кону набор авторских соусов от Napalmfarm.
⠀
Подробнее в выпуске - https://youtu.be/atKG765ZjMw
⠀
Израиль использует технологию искусственного интеллекта в борьбе с исламистами в секторе Газа. На основе данных, собранных с помощью сигнального, визуального, человеческого, географического и других интеллектов были разработаны рекомендации для войск Армии обороны Израиля.
⠀
Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей с Александром Антиповым, главным редактором SecurityLab.
▪️как военный дрон нарушил первый закон робототехники;
▪️как Интерпол перехватил похищенные $83 млн;
▪️как жители Австралии и США стали веганами из-за кибератаки на JBS.
⠀
+ самый жаркий 🔥конкурс - на кону набор авторских соусов от Napalmfarm.
⠀
Подробнее в выпуске - https://youtu.be/atKG765ZjMw
YouTube
Боевой ИИ в деле, Интерпол перехватил $83 млн, США остались без мяса. Security-новости, #20
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:40 Искусственный интеллект впервые использовали в военных действиях - https://www.securitylab.ru/news/520673.php
2:36 Боевой ИИ впервые…
0:40 Искусственный интеллект впервые использовали в военных действиях - https://www.securitylab.ru/news/520673.php
2:36 Боевой ИИ впервые…