Составлен новый список наиболее распространенных и опасных уязвимостей программного обеспечения за 2019-2020 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
Над списком трудились лучшие аналитики MITER, выдав ТОП-25 самых опасных ошибок, влияющих на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам. Аналитика охватывает примерно 27000 CVE, объединённых в Национальную базу данных уязвимостей (NVD).
В основе рейтинга формула расчета, основанная на оценке частоты CVE, степени ее влияния на защищённость и практики ее применения. Именно такой подход, по мнению исследователей, дает объективный взгляд на реальный ландшафт угроз.
Приведенный MITER рейтинг, безусловно, должен стать настольной книгой спеца инфосек.
Нынешний анализ особенно полезен, если учесть, что прошлую оценку проводили только в 2019 году CISA совместно с ФБР, опубликовав список из 10 наиболее часто используемых уязвимостей системы безопасности в 2016-2019 гг.
cwe.mitre.org
CWE -
2021 CWE Top 25 Most Dangerous Software Weaknesses
2021 CWE Top 25 Most Dangerous Software Weaknesses
Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.
Начинаем новую неделю новостями deep state.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
Американский журналист-консерватор Такер Карлсон ранее обвинил АНБ в том, что агентство перехватывало его сообщения и пыталось использовать полученные данные для давления на его программу. Карлсон является одним из наиболее известных телеведущих, работающим на прореспубликанском канале Fox News. Соответственно он неоднократно обвинял Демпартию США в нечестной игре, в том числе на выборах американского Президента.
По результатам нападок на журналиста в АНБ последовал запрос Конгресса, на который Агентство ответило, что не занимается слежкой за гражданами США.
Позже, правда, в АНБ сказали, что Карлсон таки был упомянут в сообщениях неких третьих лиц, видимо неграждан Америки, а вот эти сообщения они уже перехватили. Правда кто журналиста упоминал, электронные шпионы сказать отказались.
Мы же напомним про программу PRISM, информацию о существовании которой слил 8 лет назад товарищ Сноуден, перед тем как смазать лыжи и рвануть в сторону Белокаменной. Именно в рамках этой программы "не следящее за американскими гражданами" АНБ собирало весь трафик, до которого только могло дотянуться, в том числе проходящий по территории Америки.
Но это нам только показалось - просто свет Венеры отразился от верхних слоев атмосферы и вызвал взрыв болотного газа.
therecord.media
NSA review finds that Tucker Carlson’s communications were not targeted
The NSA has found no evidence to support Tucker Carlson’s accusations that the agency had been spying on him in an effort to knock his show off the air, two people familiar with the matter told The Record.
Telegram опасносте!
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Исследователи из японской Trend Micro (мы все помним, что она не совсем японская, но суть не в этом) обнаружили новый функционал вредоноса XCSSET для macOS Big Sur, направленный на кражу Telegram-аккаунтов.
Как мы уже писали эта малварь была найдена в августе прошлого года теми же Trend Micro и активно использовала две 0-day уязвимости в macOS. Судя по функционалу она не принадлежала к кибершпионскому арсеналу, а являлась чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode.
В мае года текущего исследователи из Jamf обнаружили, что XCSSET активно использовал 0-day уязвимость CVE-2021-30657 в Big Sur для того, чтобы делать скриншоты и записывать экран в macOS.
И вот теперь слово снова взяли японские эксперты. Новый функционал XCSSET позволяет вредоносу собирать и отправлять на C2 данные нескольких приложений, среди которых Telegram, Chrome, Opera, Skype и др.
Что касается конкретно Telegram - фактически XCSSET крадет данные активной сессии, что позволит злоумышленнику зайти под ней со своей машины, просто скопировав соответствующую папку.
Будьте осторожны.
Trend Micro
Updated XCSSET Malware Targets Telegram, Other Apps
In our last update on the XCSSET campaign, we updated some of its features targeting latest macOS 11 (Big Sur). Since then, the campaign added more features to its toolset, which we have continually monitored. We have also discovered the mechanism used to…
По наводке Лукацкого посмотрели интересный материал - сколько получают в США специалисты по информационной безопасности.
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
Деньги, конечно, не космические. Но явно выше средней (ок, медианной) зарплаты по США.
Обратили внимание на зарплаты руководителей. Директор ИБ (аналог руководителя группы или направления ИБ) - средняя зарплата 170 тыс. долларов, CISO - средняя зарплата 188 тыс. долларов (в год, естественно). Мы понимаем, что прямое сравнение с российскими реалиями неуместно и тем не менее разница более чем ощутимая.
Поэтому когда мы слышим удивленные рассуждения о том, что очередная российская компания, да еще и обремененная КИИ или персданными, ищет руководителя ИБ для выстраивания с нуля этой самой ИБ на зарплату 200 тыс. рублей и почему-то месяцами не может его найти, мы лишь привычно закатываем глаза к потолку.
Вспоминается анекдот про мертвую старушку в борделе за 2 доллара...
CSO
Cybersecurity salaries: What 8 top security jobs pay
IT security is of major concern to all organizations, and they're willing to pay to get top talent. Are you being paid what you are worth? Take a minute to check.
Вчерашнее обновление iOS, iPadOS и MacOS, как оказалось, исправляет очередную 0-day уязвимость CVE-2021-30807 в расширении ядра IOMobileFramebuffer.
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Ошибка приводит, как в последнее время заведено, к удаленному выполнению кода (RCE), да еще с привилегиями ядра. Но самое опасное в том, что, по заявлению Apple, "согласно одному из отчетов уязвимость может активно эксплуатироваться в дикой природе". Правда более никаких данных об этой эксплуатации не приводится.
Между тем в сети появились технические подробности новой ошибки, так что эксплойт, наверняка, уже где-то гуляет. Кроме того, некоторые исследователи высказали предположение, что CVE-2021-30807 могла быть использована кибершпионским ПО Pegasus от израильской NSO Group, что не лишено основания.
Но самое важное во всем этом - побыстрее обновить свои яблочные устройства. Вы же не хотите, чтобы Ицхак Моисеевич читал ваши сообщения сидя в офисе в Герцлии, не так ли?
Загадочная история компании Kaseya продолжается.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Как мы писали на прошлой неделе, представители Kaseya заявили, что получили универсальный дешифратор, который позволит расшифровать данные всех ее клиентов, ставших жертвами ransomware REvil. Источником дешифратора Kaseya называет "доверенную третью сторону".
Само собой, поползли слухи, что компания таки заплатила втихаря через посредника выкуп в 50 млн. долларов, чтобы получить дешифратор.
Однако вчера представители Kaseya прямо заявили, что не платили никакого выкупа ни напрямую, ни через посредника. При этом, по слухам, компания заставляет своих клиентов, которые хотят воспользоваться дешифратором, подписать некий NDA.
С учетом того, что 13 июля сразу после разговора товарища Путина с товарищем Байденом инфраструктура REvil отключилась, то можно сделать определенные предположения о том, какого типа учреждение послужило источником универсального дешифратора.
А может все это нам просто чудится. И ̶б̶а̶б̶к̶а̶ Kaseya врет.
Telegram
SecAtor
Везде уже распиарили новость о том, что спустя почти три недели Kaseya после проваленных переговоров и безуспешных попыток получить ключ дешифрования, наконец-то достали универсальный дешифратор вымогателя REvil для разблокировки систем и помощи пострадавшим…
Британская NCC Group опубликовала данные в отношении выявленной уязвимости CVE-2021-36380 в малоизвестном приложении Sunhillo SureLine производства американской компании Sunhillo.
Выявленная ошибка позволила бы злоумышленнику осуществить модный в этом сезоне RCE с правами root. То есть фактически взять под полный контроль целевую систему. Ну выявили и выявили, казалось бы...
Но дело осложняется тем, что малоизвестное приложение Sunhillo SureLine - это система наблюдения за воздушными судами, которая используется авиаиндустрией по всему миру, в том числе вооруженными силами США. А сама компания Sunhillo - признанный лидер в этой области.
Очередная дырка в OT. И хрен кто про нее узнает, а следовательно не будет резонанса, а значит и старания производителей соблюсти стандарты безопасной разработки будут на уровне плинтуса. Пока не случится "Крепкий орешек - 2". Правда без крепкого орешка.
Выявленная ошибка позволила бы злоумышленнику осуществить модный в этом сезоне RCE с правами root. То есть фактически взять под полный контроль целевую систему. Ну выявили и выявили, казалось бы...
Но дело осложняется тем, что малоизвестное приложение Sunhillo SureLine - это система наблюдения за воздушными судами, которая используется авиаиндустрией по всему миру, в том числе вооруженными силами США. А сама компания Sunhillo - признанный лидер в этой области.
Очередная дырка в OT. И хрен кто про нее узнает, а следовательно не будет резонанса, а значит и старания производителей соблюсти стандарты безопасной разработки будут на уровне плинтуса. Пока не случится "Крепкий орешек - 2". Правда без крепкого орешка.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Рабочий день в европейской части России подошел к концу и все хотят холодного пива (ну или Апероль Шприц, нопремер).
Мы тоже хотим, поэтому в этот раз дадим ссылкой.
Если вкратце - Cisco Talos нашли целых три уязвимости в популярной PDF-читалке Foxit Reader. Все три приводят к удаленному выполнению кода. Производитель их уже исправил в версии 11.0.0.49893. Если ваша версия более ранняя - срочно обновляйтесь.
Мы тоже хотим, поэтому в этот раз дадим ссылкой.
Если вкратце - Cisco Talos нашли целых три уязвимости в популярной PDF-читалке Foxit Reader. Все три приводят к удаленному выполнению кода. Производитель их уже исправил в версии 11.0.0.49893. Если ваша версия более ранняя - срочно обновляйтесь.
Cisco Talos Blog
Vulnerability Spotlight: Use-after-free in Google Chrome could lead to code execution
Marcin Towalski of Cisco Talos discovered this vulnerability.
Cisco Talos recently discovered an exploitable use-after-free vulnerability in Google Chrome.
Google Chrome is a cross-platform web browser — and Chromium is the open-source version of the browser…
Cisco Talos recently discovered an exploitable use-after-free vulnerability in Google Chrome.
Google Chrome is a cross-platform web browser — and Chromium is the open-source version of the browser…
Forwarded from SecurityLab.ru (Pipiggi)
Канадский производитель VPN-сервиса Windscribe не использовал шифрование для защиты своих VPN-серверов, недавно изъятых Службой безопасности Украины (СБУ). Именно благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать проходящий через них трафик.
Ранее в этом месяце компания Windscribe сообщила , что два ее сервера, расположенные на территории Украины, были изъяты в рамках расследования инцидента, имевшего место год назад. Серверы, на которых было запущено ПО OpenVPN, были сконфигурированы таким образом, чтобы использовать устаревшие настройки, признанные уязвимыми еще в 2018 году (уязвимость позволяла третьим сторонам расшифровывать данные).
https://www.securitylab.ru/news/522744.php
Ранее в этом месяце компания Windscribe сообщила , что два ее сервера, расположенные на территории Украины, были изъяты в рамках расследования инцидента, имевшего место год назад. Серверы, на которых было запущено ПО OpenVPN, были сконфигурированы таким образом, чтобы использовать устаревшие настройки, признанные уязвимыми еще в 2018 году (уязвимость позволяла третьим сторонам расшифровывать данные).
https://www.securitylab.ru/news/522744.php
SecurityLab.ru
VPN-сервис Windscribe не использовал шифрование для своих VPN-серверов, изъятых СБУ
Благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать трафик.
Bleeping Computer со ссылкой на MalwareHunterTeam и персонального врага владельцев ransomware Виталя Кремеза пишет, что новая версия работающего по схеме RaaS вымогателя LockBit содержит в себе функцию использования групповых политик Active Directory для шифрования сразу всего домена.
При запуске на контроллере домена вредонос создает несколько групповых политик, отключающих антивирусную защиту и автоматизирующих запуск ransomware на каждом отдельном хосте с обходом UAC.
Как говорит Кремез (а мы ему доверяем) - это первый образец вымогателя,который использует групповые политики для автоматизации процесса шифрования сети жертвы.
LockBit - вымогатель достаточно старый и известный, появился осенью 2019 года. В прошлом году некоторое время входил в т.н. Maze Cartel, вымогательский картель, организованный владельцами самого крупного на тот момент ransomware Maze. Из громких взломов - атака на крупнейшее информационное агентство Индии PTI и швейцарского производителя вертолетов Kopter Group AG. А месяц назад мы даже давали ссылку на отчет Prodaft Threat Intelligence, в котором подробно рассматривалась деятельность владельцев LockBit и их взаимодействие с операторами.
При запуске на контроллере домена вредонос создает несколько групповых политик, отключающих антивирусную защиту и автоматизирующих запуск ransomware на каждом отдельном хосте с обходом UAC.
Как говорит Кремез (а мы ему доверяем) - это первый образец вымогателя,который использует групповые политики для автоматизации процесса шифрования сети жертвы.
LockBit - вымогатель достаточно старый и известный, появился осенью 2019 года. В прошлом году некоторое время входил в т.н. Maze Cartel, вымогательский картель, организованный владельцами самого крупного на тот момент ransomware Maze. Из громких взломов - атака на крупнейшее информационное агентство Индии PTI и швейцарского производителя вертолетов Kopter Group AG. А месяц назад мы даже давали ссылку на отчет Prodaft Threat Intelligence, в котором подробно рассматривалась деятельность владельцев LockBit и их взаимодействие с операторами.
BleepingComputer
LockBit ransomware now encrypts Windows domains using group policies
An new version of the LockBit 2.0 ransomware has been found that automates the encryption of a Windows domain using Active Directory group policies.
И опять про ransomware.
Американская инфорсек компания Recorded Future посредством своего медиарупора TheRecord доводит до широкой инфосек общественности информацию о новом штамме ransomware, который называется BlackMatter.
С прошлой недели новая банда осуществляет набор партнеров для сотрудничества по схеме Ransomware-as-a-Service (RaaS) на известных хакерских форумах. При этом, поскольку и Exploit и XSS запретили прямую рекламу вымогателей после лучей добра, вызванных реакцией американского правительства на последние атаки ransomware, BlackMatter размещает объявления о найме т.н. "initial access brokers", то бишь товарищей, уже имеющих первичный доступ к скомпрометированным сетям.
Интересуют вымогателей исключительно корпоративные сети компаний, имеющих годовой revenue от 100 млн. долларов. Локация жертв - США, Великобритания, Канада или Австралия. Особо указаны исключения в виде медицинских организаций и государственных учреждений. Цена за доступ - от 3 до 100 тысяч долларов.
Также BlackMatter создали в даркнете сайт для утечек (на данный момент пуст). На сайте указан более широкий список запрещенных целей - больницы, объекты критической инфраструктуры, нефтегазовая промышленность, включая трубопроводы (привет Colonial Pipeline), оборонка, НКО и госорганы.
Эксперты Recorded Future полагают, что новый вымогатель может являться реинкарнацией банды Darkside, которую за взлом этого самого трубопровода Colonial Pipeline весной уконтропупили.
Мы же заметим, что вымогатели сделали выводы из последних анальных огораживаний, которые последовали за атаками на некошерные цели. Будь-то объект цепочки поставок, крупный трубопровод или поставщик мяса, от функционирования которого зависит будут ли подданые Ее Величества кушать мсяо или не будут. Поэтому теперь никаких операторов, никакого раздела выкупа - купили доступ и сами атаковали. Штат потребуется более серьезный, да и конспиративность в связи с этим пострадает, зато Байден не обидится и прибылью делиться не надо.
Эволюция ransomware в естественной среде.
Американская инфорсек компания Recorded Future посредством своего медиарупора TheRecord доводит до широкой инфосек общественности информацию о новом штамме ransomware, который называется BlackMatter.
С прошлой недели новая банда осуществляет набор партнеров для сотрудничества по схеме Ransomware-as-a-Service (RaaS) на известных хакерских форумах. При этом, поскольку и Exploit и XSS запретили прямую рекламу вымогателей после лучей добра, вызванных реакцией американского правительства на последние атаки ransomware, BlackMatter размещает объявления о найме т.н. "initial access brokers", то бишь товарищей, уже имеющих первичный доступ к скомпрометированным сетям.
Интересуют вымогателей исключительно корпоративные сети компаний, имеющих годовой revenue от 100 млн. долларов. Локация жертв - США, Великобритания, Канада или Австралия. Особо указаны исключения в виде медицинских организаций и государственных учреждений. Цена за доступ - от 3 до 100 тысяч долларов.
Также BlackMatter создали в даркнете сайт для утечек (на данный момент пуст). На сайте указан более широкий список запрещенных целей - больницы, объекты критической инфраструктуры, нефтегазовая промышленность, включая трубопроводы (привет Colonial Pipeline), оборонка, НКО и госорганы.
Эксперты Recorded Future полагают, что новый вымогатель может являться реинкарнацией банды Darkside, которую за взлом этого самого трубопровода Colonial Pipeline весной уконтропупили.
Мы же заметим, что вымогатели сделали выводы из последних анальных огораживаний, которые последовали за атаками на некошерные цели. Будь-то объект цепочки поставок, крупный трубопровод или поставщик мяса, от функционирования которого зависит будут ли подданые Ее Величества кушать мсяо или не будут. Поэтому теперь никаких операторов, никакого раздела выкупа - купили доступ и сами атаковали. Штат потребуется более серьезный, да и конспиративность в связи с этим пострадает, зато Байден не обидится и прибылью делиться не надо.
Эволюция ransomware в естественной среде.
The Record
BlackMatter ransomware targets companies with revenue of $100 million and more
A new ransomware gang launched into operation this week, claiming to combine the best features of the now-defunct DarkSide and REvil ransomware groups, Recorded Future analysts have discovered.
И в продолжение предыдущего поста - а Байден таки обиделся. Хотя скорее всего у дедушки чайник свистит с переливами да перезвонами.
Вчера на ̶б̶л̶а̶г̶о̶т̶в̶о̶р̶и̶т̶е̶л̶ь̶н̶о̶м̶ ̶у̶ж̶и̶н̶е̶ рабочем совещании в офисе Директора национальной разведки США он заявил, что, по его мнению, "более вероятно, что поскольку мы собираемся закончить - ок, ЕСЛИ мы закончим войной, такими большими пострелушками с мировой державой, - то это скорее всего будет последствием серьезного киберинцидента. И вероятность этого растет по экспоненте".
Ну и контекст понятен - ransomware, Путин, Китай and so on.
По случаю купим билет на какую-нибудь планету, хоть на Транай.
Вчера на ̶б̶л̶а̶г̶о̶т̶в̶о̶р̶и̶т̶е̶л̶ь̶н̶о̶м̶ ̶у̶ж̶и̶н̶е̶ рабочем совещании в офисе Директора национальной разведки США он заявил, что, по его мнению, "более вероятно, что поскольку мы собираемся закончить - ок, ЕСЛИ мы закончим войной, такими большими пострелушками с мировой державой, - то это скорее всего будет последствием серьезного киберинцидента. И вероятность этого растет по экспоненте".
Ну и контекст понятен - ransomware, Путин, Китай and so on.
По случаю купим билет на какую-нибудь планету, хоть на Транай.
The White House
Remarks by President Biden at the Office of the Director of National Intelligence
National Counterterrorism CenterLiberty Crossing Intelligence CampusMcLean, Virginia THE PRESIDENT: It’s an honor to be here. I guess you all
Империалистические CISA (Американское агентство кибербезопасности), NCSC (Национальный центр кибербезопаности Великобритании), ACSC (аналог предыдущего учреждения из Австралии) и ФБР выпустили совместный информационный материал, в котором перечислили 30 основных уязвимостей, использовавшихся в 2020-2021 годах киберпреступниками для компрометации корпоративных сетей. В списке дырки и в Citrix, и в Pulse Secure VPN, и в продуктах Microsoft и в другом ПО.
Это, конечно, не откровения инопланетного разума, но, как показывает практика, именно такие достаточно простые документы, структурирующие известные проблемы безопасности, являются основным подспорьем долгой и беспроблемной жизни информационной инфраструктуры.
Поэтому пользуйтесь на здоровье.
Жалко, что наши кибертанковые войска, тот же скрепный ЦИБ, подобными материалами нас радуют крайне редко, если вообще радуют.
(Кстате, вы помните шутку про то, что если автомобиль Иж оставить в глухом лесу в тихую безлунную ночь, то можно услышать, как он гниет? Мы тоже помним)
Это, конечно, не откровения инопланетного разума, но, как показывает практика, именно такие достаточно простые документы, структурирующие известные проблемы безопасности, являются основным подспорьем долгой и беспроблемной жизни информационной инфраструктуры.
Поэтому пользуйтесь на здоровье.
Жалко, что наши кибертанковые войска, тот же скрепный ЦИБ, подобными материалами нас радуют крайне редко, если вообще радуют.
(Кстате, вы помните шутку про то, что если автомобиль Иж оставить в глухом лесу в тихую безлунную ночь, то можно услышать, как он гниет? Мы тоже помним)
Маловато в последнее время информации об активности прогосударственных хакерских групп, которые, как известно, обозначаются как APT. Мы такие материалы любим почитать.
На этой неделе исследователи из команды Unit 42 компании Palo Alto Networks выпустили отчет о киберкампании китайской APT Mustang Panda, в ходе которого использовалась новая версия вредоноса PlugX под названием Thor, а также ставший известным в марте набор уязвимостей в Microsoft Exchange, который получил название ProxyLogon.
Mustang Panda - группа старая и известная. Занимается кибершпионажем, использует, как правило, любимый китайский малварь-набор PlugX, Poison Ivy и Cobalt Strike на закуску. Возможно имеет обособленное подразделение, которое называется RedDelta (по крайней мере TTPs этих двух групп сильно совпадают за небольшим исключением).
И на этом мы закончим про отчет Unit 42, а скажем совершенно про другое.
При написании этого поста, копаясь в старых материалах об активности прогосударственных APT, мы обнаружили интересное совпадение, которое ранее не бросалось нам в глаза. Начнем с ProxyLogon.
Как известно, этот набор эксплойтов четырех уязвимостей в Microsoft Exchange был обнаружен в конце февраля, а 2 марта был исправлен внеочередным патчем. По данным Microsoft, за первичной атакой стоит китайская APT Hafnium, ранее не наблюдавшаяся. По оценке Bloomberg, которая появилась в марте же, количество взломанных Hafnium организаций может приближаться к 60 тыс.
Согласно материалу Volexity, эксплуатация китайскими хакерами ProxyLogon началась 3 января. Таким образом, можно смело утверждать, что работа над поиском уязвимостей велась китайцами как минимум с осени 2020 года.
И вот тут мы обратили внимание на отчет Microsoft от начала февраля, в котором рассказывалось о последствиях взлома компании в ходе кампании Sunburst. Если кто забыл Sunburst - это кибероперация по взлому множества организаций по всему миру через заранее скомпрометированное NMS Orion производства американского разработчика SolarWinds. Именно в этой атаке американское правительство и эксперты с самого начала обвиняли российскую APT, а именно APT 29 aka Cozy Bear, якобы связанную с российской разведкой. Однако более чем за полгода никаких доказательств этого предоставлено не было.
Согласно этому отчету, в результате взлома Microsoft стоящий за атакой Sunburst актор, в числе прочего, выкачал из репозиториев исходные коды некоторых компонентов Azure, Intune и Exchange.
По нашему мнению, это может указывать на то, что за атакой на SolarWinds стояли именно китайские APT, которые получили в ходе нее исходники Exhcange, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Обвинение же российских хакеров в атаке на SolarWinds было ни чем иным как попыткой приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, перевести стрелки на Россию.
Bellingcat, облизывай кеглю.
На этой неделе исследователи из команды Unit 42 компании Palo Alto Networks выпустили отчет о киберкампании китайской APT Mustang Panda, в ходе которого использовалась новая версия вредоноса PlugX под названием Thor, а также ставший известным в марте набор уязвимостей в Microsoft Exchange, который получил название ProxyLogon.
Mustang Panda - группа старая и известная. Занимается кибершпионажем, использует, как правило, любимый китайский малварь-набор PlugX, Poison Ivy и Cobalt Strike на закуску. Возможно имеет обособленное подразделение, которое называется RedDelta (по крайней мере TTPs этих двух групп сильно совпадают за небольшим исключением).
И на этом мы закончим про отчет Unit 42, а скажем совершенно про другое.
При написании этого поста, копаясь в старых материалах об активности прогосударственных APT, мы обнаружили интересное совпадение, которое ранее не бросалось нам в глаза. Начнем с ProxyLogon.
Как известно, этот набор эксплойтов четырех уязвимостей в Microsoft Exchange был обнаружен в конце февраля, а 2 марта был исправлен внеочередным патчем. По данным Microsoft, за первичной атакой стоит китайская APT Hafnium, ранее не наблюдавшаяся. По оценке Bloomberg, которая появилась в марте же, количество взломанных Hafnium организаций может приближаться к 60 тыс.
Согласно материалу Volexity, эксплуатация китайскими хакерами ProxyLogon началась 3 января. Таким образом, можно смело утверждать, что работа над поиском уязвимостей велась китайцами как минимум с осени 2020 года.
И вот тут мы обратили внимание на отчет Microsoft от начала февраля, в котором рассказывалось о последствиях взлома компании в ходе кампании Sunburst. Если кто забыл Sunburst - это кибероперация по взлому множества организаций по всему миру через заранее скомпрометированное NMS Orion производства американского разработчика SolarWinds. Именно в этой атаке американское правительство и эксперты с самого начала обвиняли российскую APT, а именно APT 29 aka Cozy Bear, якобы связанную с российской разведкой. Однако более чем за полгода никаких доказательств этого предоставлено не было.
Согласно этому отчету, в результате взлома Microsoft стоящий за атакой Sunburst актор, в числе прочего, выкачал из репозиториев исходные коды некоторых компонентов Azure, Intune и Exchange.
По нашему мнению, это может указывать на то, что за атакой на SolarWinds стояли именно китайские APT, которые получили в ходе нее исходники Exhcange, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
Обвинение же российских хакеров в атаке на SolarWinds было ни чем иным как попыткой приходящей к власти администрации Байдена и подконтрольных масс-медиа, традиционно дружными с частью китайской элиты, перевести стрелки на Россию.
Bellingcat, облизывай кеглю.
Unit 42
THOR: Previously Unseen PlugX Variant Deployed During Microsoft Exchange Server Attacks by PKPLUG Group
We provide a technical overview of the previously unseen PlugX variant THOR, indicators of compromise and a new tool for payload decryption.
После начавшейся силовой зачистки специализирующиеся на европейском рынке хакеры меняют свою тактику и переходят на новое ПО, которое активно распространяется через Google Play под названием Protection Guard, обладателями замечательного софта стали боле чем 5000 пользователей в Италии, Австралии и Испании.
Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.
Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.
В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.
Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.
История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».
Исследователи ThreatFabric обнаружили ранее недокументированный троян удаленного доступа (RAT) на базе Android под названием Vultur, который использует доступ к экрану Virtual Network Computing (VNC) для кражи паролей к банковским приложениям и криптокошелькам.
Реализованный Vultur вектор, сочетающий запись экрана и кейлоггеры в качестве основной стратегии для автоматического и масштабируемого сбора учетных данных для входа в систему, в дикой природе встречается впервые.
В отличие от традиционных уже банковских троянов MysteryBot , Grandoreiro , Banker.BR и Vizom акторы предпочли долгим разработкам HTML-оверлеев банальную запись экрана, получая в моменте конечный результат. Для взаимодействия со скомпрометированным телефоном в режиме реального времени Vultur использует WebRTC. В целом, разработчики ПО ушли от необходимости регистрировать новое устройство и существенно затруднили свою детекцию.
Более того, Vultur использует ngrok для предоставления доступа к локальным серверам за NAT и межсетевыми экранами в общедоступный Интернет через защищенные туннели, чтобы обеспечить удаленный доступ к серверу VNC, работающему локально на телефоне, а также устанавливает соединения с C2 для получения команд через Firebase Cloud Messaging (FCM), результаты которых, включая извлеченные данные и снимки экрана, затем передаются обратно на сервер. В результате расследования ThreatFabric также выявили частичное совпадение кода Vultur с другим широко известным вредоносным ПО Brunhilda, реализуемом в формате DaaS дроппером.
История Vultur еще раз показывает, как акторы переходят с MaaS на непубличное ПО, адаптированное под преступную специализацию хакеров, а если на жаргоне одного известного рэпера - то: «I bealive forever, I bealive that I can Fly, Я поднял свой левел, пока кто-то не вникал».
Threatfabric
Vultur, with a V for VNC
New Android RAT Vultur using keylogging and VNC-based screen recording to target banking apps.
Исследователи SentinelOne опубликовали отчет о результатах расследования кибератаки на Иранскую железную дорогу (IRIR).
Сама атака произошла 9 июля, в результате нее из строя вышли система управления поездами, а также билетные сервисы. Итогом стала отмена части пассажирских и грузовых перевозок. А взломанные информационные табло на ж/д вокзалах Ирана предлагали для получения дополнительной информации звонить по телефону офиса Верховного аятоллы Ирана Али Хаменеи.
Изначально иранские власти опровергали факт атаки, охарактеризовав сбой как техническую проблему, однако на следующий день таки были вынуждены ее признать. Уже изначально по тролингу Хаменени можно было предположить, что за атакой стоит Израиль. Тем более, что перекидывание киберплюхами - это излюбленное занятие иранских и израильских хакеров.
Первоначальный анализ использованного в ходе атаки вредоносного ПО сделала иранская компания Amnpardaz. Основываясь на этом анализе SentinelOne смогли восстановить большую часть компонентов атаки, которые привели к неизвестному ранее актору.
Основным инструментом хакеров послужил набор из трех вредоносов - вайпера файловой системы, который получил название Meteor (название авторы малвари забыли внутри кода), блокировщик экрана, а также вайпера MBR. Соответственно вся атака получила название MeteorExpress.
Интересный факт - при развертывании в атакуемой системе вредонос проверял установлен ли в ней Антивирус Касперского и если находил его, то самоликвидировался.
Изучение кода использованной малвари дало странные результаты. С одной стороны при разработке вредоносов использовался ряд продвинутых техник вплоть до обширной проверки ошибок при развертывании в целевой системе, с другой - наличие грубых просчетов OPSEC, сборная солянка из открытого и авторского кода и применение устаревшего ПО.
Судя по всему вредоносы писались под конкретную атаку несогласованной командой хакеров, среди которых были как профессоналы, так и дилетанты.
Никакого атрибутирования автора атаки SentinelOne не проводят, равно как не указывает первичного вектора компрометации сети IRIR. Однозначно ясно лишь, что основной целью киберкампании было выведение из ее строя, при этом нападающие были знакомы с особенностями функционирования сети, что означает наличие предварительного этапа разведки, который остался незамеченным подразделением информационной безопасности.
Сама атака произошла 9 июля, в результате нее из строя вышли система управления поездами, а также билетные сервисы. Итогом стала отмена части пассажирских и грузовых перевозок. А взломанные информационные табло на ж/д вокзалах Ирана предлагали для получения дополнительной информации звонить по телефону офиса Верховного аятоллы Ирана Али Хаменеи.
Изначально иранские власти опровергали факт атаки, охарактеризовав сбой как техническую проблему, однако на следующий день таки были вынуждены ее признать. Уже изначально по тролингу Хаменени можно было предположить, что за атакой стоит Израиль. Тем более, что перекидывание киберплюхами - это излюбленное занятие иранских и израильских хакеров.
Первоначальный анализ использованного в ходе атаки вредоносного ПО сделала иранская компания Amnpardaz. Основываясь на этом анализе SentinelOne смогли восстановить большую часть компонентов атаки, которые привели к неизвестному ранее актору.
Основным инструментом хакеров послужил набор из трех вредоносов - вайпера файловой системы, который получил название Meteor (название авторы малвари забыли внутри кода), блокировщик экрана, а также вайпера MBR. Соответственно вся атака получила название MeteorExpress.
Интересный факт - при развертывании в атакуемой системе вредонос проверял установлен ли в ней Антивирус Касперского и если находил его, то самоликвидировался.
Изучение кода использованной малвари дало странные результаты. С одной стороны при разработке вредоносов использовался ряд продвинутых техник вплоть до обширной проверки ошибок при развертывании в целевой системе, с другой - наличие грубых просчетов OPSEC, сборная солянка из открытого и авторского кода и применение устаревшего ПО.
Судя по всему вредоносы писались под конкретную атаку несогласованной командой хакеров, среди которых были как профессоналы, так и дилетанты.
Никакого атрибутирования автора атаки SentinelOne не проводят, равно как не указывает первичного вектора компрометации сети IRIR. Однозначно ясно лишь, что основной целью киберкампании было выведение из ее строя, при этом нападающие были знакомы с особенностями функционирования сети, что означает наличие предварительного этапа разведки, который остался незамеченным подразделением информационной безопасности.
SentinelOne
MeteorExpress | Mysterious Wiper Paralyzes Iranian Trains with Epic Troll - SentinelLabs
In the midst of an epic troll on a country-wide railway system, we discovered a new threat actor and their reusable wiper called Meteor.
Ну так-то это не в первый раз уже.
Мы тут между себя шутим, что если АНБ рекомендует предпринимать конкретные меры по защите своих устройств, то значит сами они пользуются совершенно другими методами проникновения.
Мы тут между себя шутим, что если АНБ рекомендует предпринимать конкретные меры по защите своих устройств, то значит сами они пользуются совершенно другими методами проникновения.
Telegram
Информация опасносте
Мы живем в то странное время, когда NSA (NSA!) публикует инструкции о том, как обезопасить свои личные устройства с беспроводными коммуникациями - Bluetooth, NFC, WiFi. Рекомендации из серии «отключайте те каналы, которые не используете, не пользуйтесь публичным…
Американские исследователи из Malwarebytes нашли интересную приманку, посвященную протестной активности в Крыму. В приманке, соответственно, сидит троян.
Отчет получился прямо смешной.
Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.
Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.
Теперь о забавном.
Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина (да продлит Акатош его дни, скрепность +15) на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".
Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.
Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.
Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.
Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.
Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?
Отчет получился прямо смешной.
Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.
Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.
Теперь о забавном.
Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина (да продлит Акатош его дни, скрепность +15) на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".
Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.
Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.
Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.
Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.
Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?
ThreatDown by Malwarebytes
Crimea “manifesto” deploys VBA Rat using double attack vectors - ThreatDown by Malwarebytes
This blog post was authored by Hossein Jazi. On July 21, 2021, we identified a suspicious document named “Манифест.docx” (“Manifest.docx”) that downloads and executes two templates: one is macro…
Forwarded from Эксплойт | Live
Систему электронного голосования, которую будут использовать на выборах в Госдуму, проверяют на прочность.
Во-первых, стартовало предварительное тестирование. Оно нужно, чтобы проверить, работает ли все без багов и удобна ли система пользователям.
Во-вторых, и это самое интересное, хакерам предложили систему поломать, пообещав заплатить в случае успеха.
Ну и из новинок в системе. К сентябрьским выборам появилась функция "Отложенное решение". Она защитит пользователей от технических сбоев: если у голосующего падает интернет, или зависает гаджет, он сможет заново открыть бюллетень спустя некоторое время и проголосовать.
Во-первых, стартовало предварительное тестирование. Оно нужно, чтобы проверить, работает ли все без багов и удобна ли система пользователям.
Во-вторых, и это самое интересное, хакерам предложили систему поломать, пообещав заплатить в случае успеха.
Ну и из новинок в системе. К сентябрьским выборам появилась функция "Отложенное решение". Она защитит пользователей от технических сбоев: если у голосующего падает интернет, или зависает гаджет, он сможет заново открыть бюллетень спустя некоторое время и проголосовать.
Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, подала иск против Почтовой службы США (USPS) по поводу того, что последняя реализует массовую шпионскую программу в сети.
Американская почта - это независимое правительственное агентство, в котором работают более 600 тыс. человек. Управляется USPS американскими властями, поскольку руководящий почтой Совет управляющих назначается Президентом США по представлению Сената.
В иске, поданном в соответствии с американским Законом о свободе информации (FOIA) в округе Колумбия, EFF утверждает, что USPS после протрамповских протестов в Вашингтоне в начале этого года запустила Программу тайных сетевых операций (ICOP), в рамках которой собирает и анализирует данные о активности американских граждан в соцсетях. Сюда входят Twitter, Facebook, Parler и Telegram.
При этом, по словам представителей EFF, юридические основания для подобной деятельности со стороны USPS отсутствуют. Кроме того, Почтовая служба периодически терпит убытки, в связи с чем активисты задаются вопросом на какие шиши почтальоны следят за пользователями.
Хорошо, что Почта России так не может. Она в настоящее время изучает BBS.
Американская почта - это независимое правительственное агентство, в котором работают более 600 тыс. человек. Управляется USPS американскими властями, поскольку руководящий почтой Совет управляющих назначается Президентом США по представлению Сената.
В иске, поданном в соответствии с американским Законом о свободе информации (FOIA) в округе Колумбия, EFF утверждает, что USPS после протрамповских протестов в Вашингтоне в начале этого года запустила Программу тайных сетевых операций (ICOP), в рамках которой собирает и анализирует данные о активности американских граждан в соцсетях. Сюда входят Twitter, Facebook, Parler и Telegram.
При этом, по словам представителей EFF, юридические основания для подобной деятельности со стороны USPS отсутствуют. Кроме того, Почтовая служба периодически терпит убытки, в связи с чем активисты задаются вопросом на какие шиши почтальоны следят за пользователями.
Хорошо, что Почта России так не может. Она в настоящее время изучает BBS.
Cybernews
The US Postal Service sued for alleged massive spying program
EFF lawsuit claims that the US Postal Service secretly combed through the online posts of social media users.