Американская инфосек компания Cybereason выпустила большой отчет, в котором описала масштабную киберкампанию, проводившуюся сразу тремя китайскими APT против телекоммуникационных операторов Юго-Восточной Азии.
Сами исследователи пишут, что стали проводить целевой поиск активности китайских хакерских групп после вскрытой в марте кибероперации китайской APT Hafnium по массовому взлому западных организаций через набор из четырех уязвимостей в Microsoft Exchange (т.н. ProxyLogon).
Что важно вне контекста самих взломов операторов - Cybereason утверждают, что китайцы начали использовать ProxyLogon еще в четвертом квартале 2020 года. Хотя самая ранняя дата эксплуатации этих, которую видели лично мы до этого - это 3 января 2021 года.
Первая часть наблюдаемой активности, обозначенная Cybereason как Soft Cell, является ни чем иным как отдельной масштабной операцией китайской APT 10 aka Stone Panda. Американские эксперты пишут, что старт атак хакеров на ресурсы телекоммуникационных операторов датируется 2018 годом, однако, насколько нам известно, Stone Panda начали охотится за CDR (Call Detail Record, первичная запись о совершенном вызове, основа любого биллинга и прочих телефонных сервисов) как минимум на два года раньше.
Stone Panda хорошо известна американским правоохранителям, которые выдвинули в конце 2018 года обвинения в отношении двух членов APT, приписав им участие в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы, включая НАСА и Министерство энергетики США.
Вторая группа, которой Cybereason приписывает активность по взлому операторов телекома, - APT Naikon. По данным исследователей, их атаки происходили в четвертом квартале 2020 - первом квартале 2021 года.
Naikon aka APT 30 aka Override Panda - группа старая и опытная. Впервые были выявлены в 2010 году, но в 2015 вдруг пропали с радаров инфосека. Вновь всплыли прошлой весной с крупной киберкампанией, направленной на кибершпионаж в странах АТР. А уже этой весной Bitdefender сообщили, что отследили продолжительную киберкампанию Naikon, которая длилась аж с июня 2019 года. Имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же более крупной хакерской группы.
Ну и, наконец, третья часть хакерской активности приписывается исследователями APT 27 aka Emissary Panda. Она характеризовалась использованием авторского бэкдора OWA, который сильно похож на уже известный Iron Tiger, и принадлежащий, собственно, APT 27. Кампания длилась с 2017 года по 1 квартал года этого.
И вот вся эта шатобратия сосредоточилась на получении и поддержке непрерывного доступа к ключевым ресурсам сотовых операторов, включая биллинг, а также постоянной компрометации их сетей. Под прицелом оказались пять крупных сотовых операторов Юго-Восточной Азии. Судя по всему, атаки оказались успешными и китайцы в течение долгого периода времени присутствовали в сетях компаний, получив возможность невозобранно тырить биллинговые данные абонентов.
А что к этому приводит? А к этому приводит, в первую очередь, отсутствие сегментирования сети на технологическую и офисную составляющие. И специалистов инфосек и IT подразделений компании, которые такое допускают, можно смело называть "дурака куски". Не переживайте, в родном Отечестве такие тоже имеются.
Что же касается телекома, то доходили до нас слухи, что ребята из звезднополосатых APT любят в российских операторах попастись. Но утверждать ничего не будем, слухи - они слухи и есть. Может врут.
Сами исследователи пишут, что стали проводить целевой поиск активности китайских хакерских групп после вскрытой в марте кибероперации китайской APT Hafnium по массовому взлому западных организаций через набор из четырех уязвимостей в Microsoft Exchange (т.н. ProxyLogon).
Что важно вне контекста самих взломов операторов - Cybereason утверждают, что китайцы начали использовать ProxyLogon еще в четвертом квартале 2020 года. Хотя самая ранняя дата эксплуатации этих, которую видели лично мы до этого - это 3 января 2021 года.
Первая часть наблюдаемой активности, обозначенная Cybereason как Soft Cell, является ни чем иным как отдельной масштабной операцией китайской APT 10 aka Stone Panda. Американские эксперты пишут, что старт атак хакеров на ресурсы телекоммуникационных операторов датируется 2018 годом, однако, насколько нам известно, Stone Panda начали охотится за CDR (Call Detail Record, первичная запись о совершенном вызове, основа любого биллинга и прочих телефонных сервисов) как минимум на два года раньше.
Stone Panda хорошо известна американским правоохранителям, которые выдвинули в конце 2018 года обвинения в отношении двух членов APT, приписав им участие в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы, включая НАСА и Министерство энергетики США.
Вторая группа, которой Cybereason приписывает активность по взлому операторов телекома, - APT Naikon. По данным исследователей, их атаки происходили в четвертом квартале 2020 - первом квартале 2021 года.
Naikon aka APT 30 aka Override Panda - группа старая и опытная. Впервые были выявлены в 2010 году, но в 2015 вдруг пропали с радаров инфосека. Вновь всплыли прошлой весной с крупной киберкампанией, направленной на кибершпионаж в странах АТР. А уже этой весной Bitdefender сообщили, что отследили продолжительную киберкампанию Naikon, которая длилась аж с июня 2019 года. Имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же более крупной хакерской группы.
Ну и, наконец, третья часть хакерской активности приписывается исследователями APT 27 aka Emissary Panda. Она характеризовалась использованием авторского бэкдора OWA, который сильно похож на уже известный Iron Tiger, и принадлежащий, собственно, APT 27. Кампания длилась с 2017 года по 1 квартал года этого.
И вот вся эта шатобратия сосредоточилась на получении и поддержке непрерывного доступа к ключевым ресурсам сотовых операторов, включая биллинг, а также постоянной компрометации их сетей. Под прицелом оказались пять крупных сотовых операторов Юго-Восточной Азии. Судя по всему, атаки оказались успешными и китайцы в течение долгого периода времени присутствовали в сетях компаний, получив возможность невозобранно тырить биллинговые данные абонентов.
А что к этому приводит? А к этому приводит, в первую очередь, отсутствие сегментирования сети на технологическую и офисную составляющие. И специалистов инфосек и IT подразделений компании, которые такое допускают, можно смело называть "дурака куски". Не переживайте, в родном Отечестве такие тоже имеются.
Что же касается телекома, то доходили до нас слухи, что ребята из звезднополосатых APT любят в российских операторах попастись. Но утверждать ничего не будем, слухи - они слухи и есть. Может врут.
Cybereason
DeadRinger: Exposing Chinese Threat Actors Targeting Major Telcos
Cybereason discovered several previously unidentified attack campaigns (Deadringer) targeting the telecoms industry across Southeast Asia assessed to be the work of several prominent Chinese APT groups...
Forwarded from SecurityLab.ru
♟Новый игрок на кибервымогательской арене, группировка BlackMatter дала свое первое большое интервью СМИ.
🎤В первом интервью беседа с аналитиком велась на русском языке, в котором вымогатели рассказали о планах на будущее.
💻 Группировка работала над созданием одноименного вымогательского ПО в течение шести месяцев.
🔎BlackMatter подробно изучила вымогательские программы LockBit, REvil и DarkSide и взяла от них самое лучшее.
#киберпреступники, #BlackMatter, #интервью
🎤В первом интервью беседа с аналитиком велась на русском языке, в котором вымогатели рассказали о планах на будущее.
💻 Группировка работала над созданием одноименного вымогательского ПО в течение шести месяцев.
🔎BlackMatter подробно изучила вымогательские программы LockBit, REvil и DarkSide и взяла от них самое лучшее.
#киберпреступники, #BlackMatter, #интервью
На этой неделе Google серьезно так потрудились над исправлениями в безопасности ОС Android, прикрыв в общей сложности 33 ошибки.
При этом большая часть уязвимостей носили критический характер и могли привести к самым печальным сценариям: повышение привилегий или нарушение раскрытия информации.
Главной ревенной проблемой можно считать CVE-2021-0519 в платформе Media Framework, сопутствующие повышению привилегий на устройствах Android 8.1 и 9 или раскрытию информации на устройствах Android 10 и 11 благодаря возможности локальному вредоносному приложению обойти защиту операционной системы. Патчем также исправлены 3 ошибки в Framework и 5 ошибок в System.
Вторая часть исправления затрагивает 24 • уязвимости и касается компонентов ядра, MediaTek, Widevine DRM и Qualcomm. Самая серьезная из них может привести к выполнению произвольного кода с привилегиями ядра из-за использования после освобождения.
Успешное эксплуатация наиболее серьезных из этих уязвимостей делает возможным удаленное выполнение кода в контексте привилегированного процесса. В зависимости от привилегий, связанных с этим приложением, злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.
В дополнение к уязвимостям, устраненным с помощью бюллетеня по безопасности Android за август 2021 года, Google также исправил еще три ошибки: повышение привилегий в компоненте Pixel и две другие в компонентах с закрытым исходным кодом Qualcomm. Все эти проблемы исправлены на устройствах Pixel с обновлением от 2021-08-05.
При этом большая часть уязвимостей носили критический характер и могли привести к самым печальным сценариям: повышение привилегий или нарушение раскрытия информации.
Главной ревенной проблемой можно считать CVE-2021-0519 в платформе Media Framework, сопутствующие повышению привилегий на устройствах Android 8.1 и 9 или раскрытию информации на устройствах Android 10 и 11 благодаря возможности локальному вредоносному приложению обойти защиту операционной системы. Патчем также исправлены 3 ошибки в Framework и 5 ошибок в System.
Вторая часть исправления затрагивает 24 • уязвимости и касается компонентов ядра, MediaTek, Widevine DRM и Qualcomm. Самая серьезная из них может привести к выполнению произвольного кода с привилегиями ядра из-за использования после освобождения.
Успешное эксплуатация наиболее серьезных из этих уязвимостей делает возможным удаленное выполнение кода в контексте привилегированного процесса. В зависимости от привилегий, связанных с этим приложением, злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.
В дополнение к уязвимостям, устраненным с помощью бюллетеня по безопасности Android за август 2021 года, Google также исправил еще три ошибки: повышение привилегий в компоненте Pixel и две другие в компонентах с закрытым исходным кодом Qualcomm. Все эти проблемы исправлены на устройствах Pixel с обновлением от 2021-08-05.
Не так давно мы писали про набор уязвимостей NAME:WRECK в стеках TCP/IP, когда уязвимыми оказались сотни миллионов интеллектуальных и промышленных устройств по всему миру.
А уже сегодня исследователи из JFrog и Forescout представили в совместном отчете шестой набор INFRA: HALT из 14 уязвимостей в стеке NicheStack (то есть уже 4 - рамках исследовательской инициативы под названием Project Memoria), затрагивающих широко используемый стек в миллионах устройств Operational Technology (OT), развернутых на производственных предприятиях.
NicheStack - это стек TCP/IP с закрытым исходным кодом для встроенных систем, который предназначен для обеспечения подключения к Интернету промышленного оборудования и используется крупными интеграторами промышленной автоматизации(Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation и Schneider Electric) в своих программируемых логических контроллерах (ПЛК) и других продуктах.
Успешные атаки могут привести к отключению устройств OT и ICS и перехвату их логики. Захваченные устройства могут распространять вредоносное ПО в сети, где они обмениваются данными. То есть хакеры могут с легкостью нарушить работу системы отопления, вентиляции и кондиционирования воздуха в здании или захватить контроллеры, используемые в технологическом цикле другой критически важной инфраструктуры.
Все версии NicheStack до 4.3 уязвимы для INFRA:HALT. Ошибки затрагивают более 6400 OT-устройств, большая часть из которых расположена в Канаде, США, Испании, Швеции и Италии.
Разработчики библиотеки HCC Embedded для NicheStack оперативно выпустили исправление, однако пройдет еще много времени пока поставщики подготовят обновления прошивок, которые, в свою очередь, будет проблематично накатить из-за логистики цепочки поставок и критического характера устройств OT.
Учитывая характер возможных негативных последствий пусть даже одного из 6 тысяч • потенциальных инцидентов, настоятельно рекомендуем ИБ воспользоваться предложенными Forescout средствами и мерами защиты промышленных систем. А после ждать обновлений и новых подгончиков от исследователей: ведь в деле со стеками - еще совсем не вечер.
А уже сегодня исследователи из JFrog и Forescout представили в совместном отчете шестой набор INFRA: HALT из 14 уязвимостей в стеке NicheStack (то есть уже 4 - рамках исследовательской инициативы под названием Project Memoria), затрагивающих широко используемый стек в миллионах устройств Operational Technology (OT), развернутых на производственных предприятиях.
NicheStack - это стек TCP/IP с закрытым исходным кодом для встроенных систем, который предназначен для обеспечения подключения к Интернету промышленного оборудования и используется крупными интеграторами промышленной автоматизации(Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation и Schneider Electric) в своих программируемых логических контроллерах (ПЛК) и других продуктах.
Успешные атаки могут привести к отключению устройств OT и ICS и перехвату их логики. Захваченные устройства могут распространять вредоносное ПО в сети, где они обмениваются данными. То есть хакеры могут с легкостью нарушить работу системы отопления, вентиляции и кондиционирования воздуха в здании или захватить контроллеры, используемые в технологическом цикле другой критически важной инфраструктуры.
Все версии NicheStack до 4.3 уязвимы для INFRA:HALT. Ошибки затрагивают более 6400 OT-устройств, большая часть из которых расположена в Канаде, США, Испании, Швеции и Италии.
Разработчики библиотеки HCC Embedded для NicheStack оперативно выпустили исправление, однако пройдет еще много времени пока поставщики подготовят обновления прошивок, которые, в свою очередь, будет проблематично накатить из-за логистики цепочки поставок и критического характера устройств OT.
Учитывая характер возможных негативных последствий пусть даже одного из 6 тысяч • потенциальных инцидентов, настоятельно рекомендуем ИБ воспользоваться предложенными Forescout средствами и мерами защиты промышленных систем. А после ждать обновлений и новых подгончиков от исследователей: ведь в деле со стеками - еще совсем не вечер.
Telegram
SecAtor
Специализирующаяся на вопросах корпоративной безопасности Интернета вещей компания Forescout Research Labs совместно с JSOF Research в рамках программы Project Memoria завершили крупнейшее исследование безопасности стека TCP/IP и представили инфосек-сообществу…
Forwarded from Эксплойт | Live
На сайте Мионобороны нашли паспортные данные россиян в открытом доступе
В сети оказались протоколы продажи высвобождаемого имущества министерства.
Выяснилось, что в них прописаны паспортные данные претендентов на участие в торгах.
Эти протоколы можно найти прямо в Google — нужно просто ввести запрос «
Только в одном из таких протоколов содержится серия, номер паспорта и прописка автора заявки на конкурс.
Видимо, оборона личных данных у министерства обороны стоит не на первом месте.
В сети оказались протоколы продажи высвобождаемого имущества министерства.
Выяснилось, что в них прописаны паспортные данные претендентов на участие в торгах.
Эти протоколы можно найти прямо в Google — нужно просто ввести запрос «
паспорт серия site:mil.ru/files filetype:pdf».Только в одном из таких протоколов содержится серия, номер паспорта и прописка автора заявки на конкурс.
Видимо, оборона личных данных у министерства обороны стоит не на первом месте.
Cisco выкатили обновления для VPN-маршрутизаторов серий RV160, RV260 и RV340.
Среди прочих устранены две критические уязвимости - CVE-2021-1609, оценка критичности 9,8 из 10 по CVSS, и CVE-2021-1602, с оценкой критичности 8,2 соответственно. Обе ошибки содержатся в веб-интерфейсе маршрутизаторов и связаны с некорректной проверкой HTTP-запросов.
Первая касается RV340 и позволяет неаутентифицированному злоумышленнику удаленно выполнить код на устройстве (RCE) либо добиться DoS (что уже не так важно после RCE).
Вторая дырка CVE-2021-1602 также позволяет неаутентифицированному пользователю добиться RCE.
И хотя Cisco заявляют, что не наблюдали эксплуатацию этих уязвимостей "in the wild", мы всегда помним про золотые 72 часа, которые требуются в среднем хакерам на реинжиниринг обновлений и разработку эксплойта.
Поэтому если вы используете уязвимые маршрутизаторы - обновляйтесь срочно.
Среди прочих устранены две критические уязвимости - CVE-2021-1609, оценка критичности 9,8 из 10 по CVSS, и CVE-2021-1602, с оценкой критичности 8,2 соответственно. Обе ошибки содержатся в веб-интерфейсе маршрутизаторов и связаны с некорректной проверкой HTTP-запросов.
Первая касается RV340 и позволяет неаутентифицированному злоумышленнику удаленно выполнить код на устройстве (RCE) либо добиться DoS (что уже не так важно после RCE).
Вторая дырка CVE-2021-1602 также позволяет неаутентифицированному пользователю добиться RCE.
И хотя Cisco заявляют, что не наблюдали эксплуатацию этих уязвимостей "in the wild", мы всегда помним про золотые 72 часа, которые требуются в среднем хакерам на реинжиниринг обновлений и разработку эксплойта.
Поэтому если вы используете уязвимые маршрутизаторы - обновляйтесь срочно.
Cisco
Cisco Security Advisory: Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Web Management Vulnerabilities
Multiple vulnerabilities in the web-based management interface of the Cisco Small Business RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers could allow an attacker to do the following:
Execute arbitrary code
Cause a denial of service (DoS)…
Execute arbitrary code
Cause a denial of service (DoS)…
Forwarded from Social Engineering
🔑 #Shodan и дефолтные пароли.
Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.
• Мы уже говорили про такие инструменты как Passhunt, Login Hunter и другие полезные сервисы. Сегодня мы поговорим о #Shodan. Ниже будут представлены готовые запросы и описание, благодаря этой информации ты можешь найти дефолтные пароли различных устройств:
• admin 1234 – basic very unsecure credentials.
• “default password” – speaks for itself…
• test test port:”80″ – generic test credentials over HTTP.
• “authentication disabled” “RFB 003.008” – no authentication necessary.
• “root@” port:23 -login -password -name -Session – accounts already logged in with root privilege over Telnet, port 23.
• port:23 console gateway – remote access via Telnet, no password required.
• html:”def_wirelesspassword” – default login pages for routers.
• “polycom command shell” – possible authentication bypass to Polycom devices.
• “authentication disabled” port:5900,5901 – VNC services without authentication.
• “server: Bomgar” “200 OK” – Bomgar remote support service.
‼️ Не забывай про другую полезную информацию, которую ты сможешь найти в нашем канале по хештегам #OSINT #Shodan и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.
🖖🏻 Приветствую тебя user_name.
• Устройства на которых не изменены дефолтные пароли, великое множество. Даже в крупных организациях есть вероятность найти камеру, принтер, роутер, IP-телефоны, сетевые устройства или другое оборудование с дефолтными паролями.• Мы уже говорили про такие инструменты как Passhunt, Login Hunter и другие полезные сервисы. Сегодня мы поговорим о #Shodan. Ниже будут представлены готовые запросы и описание, благодаря этой информации ты можешь найти дефолтные пароли различных устройств:
• admin 1234 – basic very unsecure credentials.
• “default password” – speaks for itself…
• test test port:”80″ – generic test credentials over HTTP.
• “authentication disabled” “RFB 003.008” – no authentication necessary.
• “root@” port:23 -login -password -name -Session – accounts already logged in with root privilege over Telnet, port 23.
• port:23 console gateway – remote access via Telnet, no password required.
• html:”def_wirelesspassword” – default login pages for routers.
• “polycom command shell” – possible authentication bypass to Polycom devices.
• “authentication disabled” port:5900,5901 – VNC services without authentication.
• “server: Bomgar” “200 OK” – Bomgar remote support service.
‼️ Не забывай про другую полезную информацию, которую ты сможешь найти в нашем канале по хештегам #OSINT #Shodan и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Большой респект исследователям в сфере облачной безопасности Ширу Тамари и Ами Луттваку из компании Wiz, которые раскрыли новый класс уязвимостей DNS, затрагивающих даже самых крупных поставщиков DNSaaS.
Из неутешительных выводов: любой облачный провайдер, регистратор доменов и хостинг веб-сайтов, которые предоставляют DNSaaS, может быть уязвим. Из шести исследованных спецами основных поставщиков DNSaaS трое были уязвимы.
Вкратце: Wiz заметили, что несколько провайдеров управляемых DNS не заносили в черный список свои собственные DNS-серверы внутри своих бэкэндов. Им удалось добавить сам сервер имен управляемого DNS-провайдера в бэкэнд и указать его на свою внутреннюю сеть, что позволило им перехватить DNS-трафик, попадающий на захваченный управляемый сервер провайдера, но получая не весь DNS-трафик, а только динамические обновления DNS.
Согласно отчету, конечные точки Microsoft Windows раскрывают конфиденциальную информацию о клиентах при выполнении запросов на обновление DNS. Так, за несколько часов мониторинга DNS они получили обновления с 992 597 оконечных точек Windows от примерно 15 000 потенциально уязвимых компаний, включая 15 компаний из списка Fortune 500. В некоторых организациях было более 20 000 оконечных устройств, которые активно передавали свою информацию за пределы.
Успешная эксплуатация позволила им собрать внутренние IP-адреса, раскрыть сетевые сегменты организации, имена компьютеров, их потенциальное содержание, внешние IP-адреса с географическим местоположениям, сайты организации по всему миру, внутренние адреса IPv6 (иногда доступны извне и позволяют войти в организацию), обнаружить билеты NTLM / Kerberos.
Исследователи полагают, что несмотря на то, что они не могли отслеживать весь DNS-трафик компании в реальном времени, собранные данные динамических обновлений DNS - золотая жила для разведки, особенно при проведении точных целевых атак. Кроме того, данные могут помочь для корреляции связей между различными компаниями, что после нанесения на карту может идентифицировать компании, которые, например, нарушили правила OFAC и вели бизнес в странах, находящихся под санкциями, например, в таких как Иран или Кот-д'Ивуар.
Однако проблема глубже, чем просто недоработка со стороны провайдеров: и тут снова Microsoft, которые установили по умолчанию на серверах Windows опцию, которая дает динамическим обновлениям DNS выходить из локальной сети в Интернет.
Удивительно, что даже такие гиганты как Amazon и Google оказались в списке аутсайдеров, судорожно блокируя регистрацию собственных доменных имен внутри своих серверов. Конечно же, гиганты заявили, что не обнаружили злонамеренной эксплуатации уязвимостей. Мы и не сомневаемся, ведь, о полезной реализации таких глобальных дыр обычно докладывают в отчетах спецслужб.
Из неутешительных выводов: любой облачный провайдер, регистратор доменов и хостинг веб-сайтов, которые предоставляют DNSaaS, может быть уязвим. Из шести исследованных спецами основных поставщиков DNSaaS трое были уязвимы.
Вкратце: Wiz заметили, что несколько провайдеров управляемых DNS не заносили в черный список свои собственные DNS-серверы внутри своих бэкэндов. Им удалось добавить сам сервер имен управляемого DNS-провайдера в бэкэнд и указать его на свою внутреннюю сеть, что позволило им перехватить DNS-трафик, попадающий на захваченный управляемый сервер провайдера, но получая не весь DNS-трафик, а только динамические обновления DNS.
Согласно отчету, конечные точки Microsoft Windows раскрывают конфиденциальную информацию о клиентах при выполнении запросов на обновление DNS. Так, за несколько часов мониторинга DNS они получили обновления с 992 597 оконечных точек Windows от примерно 15 000 потенциально уязвимых компаний, включая 15 компаний из списка Fortune 500. В некоторых организациях было более 20 000 оконечных устройств, которые активно передавали свою информацию за пределы.
Успешная эксплуатация позволила им собрать внутренние IP-адреса, раскрыть сетевые сегменты организации, имена компьютеров, их потенциальное содержание, внешние IP-адреса с географическим местоположениям, сайты организации по всему миру, внутренние адреса IPv6 (иногда доступны извне и позволяют войти в организацию), обнаружить билеты NTLM / Kerberos.
Исследователи полагают, что несмотря на то, что они не могли отслеживать весь DNS-трафик компании в реальном времени, собранные данные динамических обновлений DNS - золотая жила для разведки, особенно при проведении точных целевых атак. Кроме того, данные могут помочь для корреляции связей между различными компаниями, что после нанесения на карту может идентифицировать компании, которые, например, нарушили правила OFAC и вели бизнес в странах, находящихся под санкциями, например, в таких как Иран или Кот-д'Ивуар.
Однако проблема глубже, чем просто недоработка со стороны провайдеров: и тут снова Microsoft, которые установили по умолчанию на серверах Windows опцию, которая дает динамическим обновлениям DNS выходить из локальной сети в Интернет.
Удивительно, что даже такие гиганты как Amazon и Google оказались в списке аутсайдеров, судорожно блокируя регистрацию собственных доменных имен внутри своих серверов. Конечно же, гиганты заявили, что не обнаружили злонамеренной эксплуатации уязвимостей. Мы и не сомневаемся, ведь, о полезной реализации таких глобальных дыр обычно докладывают в отчетах спецслужб.
Blackhat
Black Hat USA 2021
Пожалуй, только ленивый не высказался в отношении инициативы Apple внедрить в экосистему алгоритмы сканирования фотографий пользователей яблока на предмет противоправного контента, в том числе с участием несовершеннолетних. Система коснётся всех устройств пользователей продукции Apple.
Однако нам добавить нечего, и наш читатель прекрасно знает, потому как мы подробно осветили эту проблему еще полтора года назад, выяснив некоторые пикантные детали новой разработки. Оказывается, чтоIT-гигант заранее предусмотрел и внес необходимые изменения в политику конфиденциальности еще в 2019 году.
А для реализации своего коварного плана Apple задействуют систему фильтрации PhotoDNA, которая считывает хеш изображений и уже успешно работает в интересах Facebook, Twitter и Google.
Глобальная перлюстрация потребует больших бюджетов и охватит весь пользовательский медиаконтент, а теперь задумайтесь: неужели обсчитанные и собранные хеш нейтральных объектов сотрутся и забудутся, и не будут структурированы должным образом, буквально по папочкам?
Вот и мы со вчерашнего дня тоже задаемся вопросом: в Google и Amazon не смогли настроить DNSaaS и как бы по запарке пропускали динамические обновления DNS миллионов своих клиентов в отрытую сеть? Но, в целом, убеждены, что в АНБ такими вопросами не задаются.
Однако нам добавить нечего, и наш читатель прекрасно знает, потому как мы подробно осветили эту проблему еще полтора года назад, выяснив некоторые пикантные детали новой разработки. Оказывается, чтоIT-гигант заранее предусмотрел и внес необходимые изменения в политику конфиденциальности еще в 2019 году.
А для реализации своего коварного плана Apple задействуют систему фильтрации PhotoDNA, которая считывает хеш изображений и уже успешно работает в интересах Facebook, Twitter и Google.
Глобальная перлюстрация потребует больших бюджетов и охватит весь пользовательский медиаконтент, а теперь задумайтесь: неужели обсчитанные и собранные хеш нейтральных объектов сотрутся и забудутся, и не будут структурированы должным образом, буквально по папочкам?
Вот и мы со вчерашнего дня тоже задаемся вопросом: в Google и Amazon не смогли настроить DNSaaS и как бы по запарке пропускали динамические обновления DNS миллионов своих клиентов в отрытую сеть? Но, в целом, убеждены, что в АНБ такими вопросами не задаются.
Telegram
SecAtor
Никогда такого не было и вот опять.
Jane Horvath, CPO Apple, выступая на CES заявила, что яблочники таки сканируют фотографии, чтобы проверить – нет ли на них изображения насилия над детьми. Соответствующие изменения в политику конфиденциальности были внесены…
Jane Horvath, CPO Apple, выступая на CES заявила, что яблочники таки сканируют фотографии, чтобы проверить – нет ли на них изображения насилия над детьми. Соответствующие изменения в политику конфиденциальности были внесены…
Говорят, что на Raid вывалили часть украденной у Oriflame базы с данными клиентов, в том числе удостоверения личности. Пока что слили данные граждан Казахстана (более 700 тыс.) и Грузии (более 25 тыс.).
Следующей порцией обещают слить данные 800 тыс. клиентов из России. Также утекли данные граждан Великобритании, Китая, Испании, Украины.
Похоже обнальщикам-скупщикам цветного металла скоро попрет.
Следующей порцией обещают слить данные 800 тыс. клиентов из России. Также утекли данные граждан Великобритании, Китая, Испании, Украины.
Похоже обнальщикам-скупщикам цветного металла скоро попрет.
Nozomi Networks расчехлила программируемые логические контроллеры безопасности (ПЛК) компании Mitsubishi, обнаружив множество неисправленных уязвимостей безопасности, которые подвергают их дистанционным атакам, в том числе несанкционированному входу в модуль ЦП и даже возникновению состояние отказа в обслуживании (DoS).
Ошибки затрагивают механизм аутентификации в протоколе связи MELSEC, который используется для обмена данными с целевыми устройствами путем чтения и записи данных в модуль ЦП, и включают:
- CVE-2021-20594: используемые во время аутентификации имена пользователей, эффективно поддаются перебору.
- CVE-2021-20598: система защиты от брутфорса жестко ограничивает на продолжительный срок любую сетевую активность при малейших попытках атаки, блокируя доступ законным пользователям.
- CVE-2021-20597: утечка секретов, эквивалентных паролю, может способствовать успешной аутентификации с ПЛК; и передача токенов сеанса в открытом виде, которые не привязаны к IP-адресу, что позволяет злоумышленнику повторно использовать один и тот же токен с другого IP-адреса после того, как он был сгенерирован.
При этом комплексная эксплуатация ошибок открывает возможность аутентифицироваться с помощью ПЛК и взять под управление все функций безопасности, блокируя доступ пользователей к ПЛК или изменяя их пароли.
В отчете Nozomi Networks не привели технических подробностей уязвимостей или кода PoC для демонстрации атак во избежание возможных зловредных последствий. А Mitsubishi Electric тем временем вовсю принялись за исправления, которые обещают выпустить в самое ближайшее время, на первое время предлагая комбинацию мер по снижению рисков их потенциальной эксплуатации по простой схеме: брандмауэр, IP-фильтр и смена паролей через USB.
Ошибки затрагивают механизм аутентификации в протоколе связи MELSEC, который используется для обмена данными с целевыми устройствами путем чтения и записи данных в модуль ЦП, и включают:
- CVE-2021-20594: используемые во время аутентификации имена пользователей, эффективно поддаются перебору.
- CVE-2021-20598: система защиты от брутфорса жестко ограничивает на продолжительный срок любую сетевую активность при малейших попытках атаки, блокируя доступ законным пользователям.
- CVE-2021-20597: утечка секретов, эквивалентных паролю, может способствовать успешной аутентификации с ПЛК; и передача токенов сеанса в открытом виде, которые не привязаны к IP-адресу, что позволяет злоумышленнику повторно использовать один и тот же токен с другого IP-адреса после того, как он был сгенерирован.
При этом комплексная эксплуатация ошибок открывает возможность аутентифицироваться с помощью ПЛК и взять под управление все функций безопасности, блокируя доступ пользователей к ПЛК или изменяя их пароли.
В отчете Nozomi Networks не привели технических подробностей уязвимостей или кода PoC для демонстрации атак во избежание возможных зловредных последствий. А Mitsubishi Electric тем временем вовсю принялись за исправления, которые обещают выпустить в самое ближайшее время, на первое время предлагая комбинацию мер по снижению рисков их потенциальной эксплуатации по простой схеме: брандмауэр, IP-фильтр и смена паролей через USB.
Nozomi Networks
New Research Uncovers 5 Vulnerabilities in Mitsubishi Safety PLCs
Nozomi Networks Labs has discovered five vulnerabilities affecting Mitsubishi Safety PLCs—asset owners should apply mitigations immediately.
Последнее время мы неоднократно становились свидетелями того, как вопреки интересам своих клиентов и принципам инфосек-индустрии американские технологические гиганты и компаний в сфере ИБ негласно сотрудничали с национальными спецслужбами.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
WSJ
WSJ News Exclusive | U.S. Taps Amazon, Google, Microsoft, Others to Help Fight Ransomware, Cyber Threats
The creation of a joint initiative under an agency of the Department of Homeland Security follows cyberattacks on critical U.S. infrastructure.
Forwarded from S.E.Reborn
Известные как Defray, а после июня 2020 - вымогатели RansomEXX атаковали не менее известного тайваньского производителя компьютерного оборудования Gigabyte.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Forwarded from SecurityLab.ru
В спецвыпуске security-новостей главред SecurityLab.ru Александр Антипов расскажет о значимых инцидентах, связанных с уязвимостями веб-приложений. У него в гостях – Ярослав Бабин, руководитель отдела анализа защищенности приложений Positive Technologies.
https://www.youtube.com/watch?v=A0pqOvkHZsI
https://www.youtube.com/watch?v=A0pqOvkHZsI
YouTube
Разбор инцидентов GitHub и других веб-приложений в спецвыпуске Security-новостей, #26
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
После обнаруженной Unit 42 в марте активности в отношении устройств IoT ботнет Mirai начал новую экспансию.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Juniper Networks
Freshly Disclosed Vulnerability CVE-2021-20090 Exploited in the Wild
Juniper Threat Labs has discovered an active exploitation of the CVE-2021-20090 vulnerability. Learn more in this blog.
Вспоминали буквально на днях, как Microsoft втайне пачтили свои же бэкдоры после шумихи, устроенной Shadow Brokers. Примерно таким же образом, Apple исправляли ошибку в Apple Wireless Direct Link, которая могла использоваться для выхода из сетей с воздушным зазором.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Medium
Escaping from a truly air gapped network via Apple AWDL
In the following post I go through how to escape from a truly air gapped network using Apple Wireless Direct Link -network and leveraging…
Владельцам популярных в России сетевых хранилищ NAS Synology стоит задуматься о своей безопасности, в частности о стойкости своего пароля к хранилищу. Тайваньский производитель предупредил клиентов,что ботнет StealthWorker ориентирован на получение доступа к устройствам хранения путем атаки brute-force и последующей эксплуатацией ransomware.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Synology
Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Inc.
Synology newsroom is the source for news about Synology Inc. Read our press releases and keep up with product updates and company news.
Компания по кибербезопасности Zimperium обнаружила новый троян FlyTrap для Android, которому удалось с марта заразить более 10 000 жертв в 144 странах.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
И тут 👆у нас для вас еще более печальные новости.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
www.av-test.org
Stopped in its Tracks: Stalkerware for Spying Under Android
More and more dubious apps offer their services for spying and stalking, in order to secretly surveil unwitting persons, acquaintances or (ex-)partners. With a good security app for Android, it's also possible to unmask these deceitful attackers.
Исследователи Дэн Петро и Аллан Сесил из BiShopFox Labs обнаружили критическую уязвимость в аппаратных генераторах случайных чисел (ГСЧ) миллиардов устройств Интернета вещей (IoT).
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Bishop Fox
You're Doing IoT Security RNG: The Crack in the Foundation of IoT
Learn why hardware random number generators (RNG) used by billions of IoT devices to create encryption keys don't always generate random numbers.