Хьюстон, Хьюстон, у нас проблемы. Но в действительности проблемы у Хьюстона.
Пока не взявшая на себя ответственность и непровозглашённая APT напала на порт.
Пресечена очередная атака на критическую инфраструктуру США. Под ударом оказался один из крупнейших портов - Хьюстон, находящийся в Хьюстонском судоходном канале, на берегу Мексиканского залива. Представители объекта заявили, что успешно отразили атаку и в результате попытки проникновения в сеть не пострадали никакие информационные системы.
В расследовании инцидента принимали участие CISA и ФБР, которые сообщили, что атаки совершены известной АРТ с использованием уязвимостей нулевого дня CVE-2021-40539 в Zoho, о которой мы недавно писали. Вместе с тем, атака пока не атрибутировала публично.
На сегодняшних слушаниях в Сенате официальные лица CISA вновь предупредили общественность и конгрессменов об угрозах, так как уязвимость используется с августа по настоящее время, несмотря на то, что в Zoho исправили дыру еще 8 сентября, когда CISA выпустила первое предупреждение об инцидентах с CVE-2021-40539.
Ничего более об атаке пока ни официальные лица порта Хьюстон, ни CISA не предоставили, сославшись, что идет тесное сотрудничество с разведывательными службами, дабы лучше понять субъекта угрозы и обеспечить защиту своих систем.
Вероятно, проблемы не только у Хьюстона.
Пока не взявшая на себя ответственность и непровозглашённая APT напала на порт.
Пресечена очередная атака на критическую инфраструктуру США. Под ударом оказался один из крупнейших портов - Хьюстон, находящийся в Хьюстонском судоходном канале, на берегу Мексиканского залива. Представители объекта заявили, что успешно отразили атаку и в результате попытки проникновения в сеть не пострадали никакие информационные системы.
В расследовании инцидента принимали участие CISA и ФБР, которые сообщили, что атаки совершены известной АРТ с использованием уязвимостей нулевого дня CVE-2021-40539 в Zoho, о которой мы недавно писали. Вместе с тем, атака пока не атрибутировала публично.
На сегодняшних слушаниях в Сенате официальные лица CISA вновь предупредили общественность и конгрессменов об угрозах, так как уязвимость используется с августа по настоящее время, несмотря на то, что в Zoho исправили дыру еще 8 сентября, когда CISA выпустила первое предупреждение об инцидентах с CVE-2021-40539.
Ничего более об атаке пока ни официальные лица порта Хьюстон, ни CISA не предоставили, сославшись, что идет тесное сотрудничество с разведывательными службами, дабы лучше понять субъекта угрозы и обеспечить защиту своих систем.
Вероятно, проблемы не только у Хьюстона.
SonicWall исправил критическую багу CVE-2021-20034 в системах управления доступом продуктов серии 100 Secure Mobile Access (SMA), включая SMA 200, 210, 400, 410 и 500v.
Продукты SonicWall используют более 500 000 бизнес-клиентов в более, чем 215 странах. Многие из них развернуты в сетях крупнейших организаций, предприятий и государственных учреждений.
Обнаруженная ошибка связана с неправильным ограничением пути к файлу в каталоге с ограниченным доступом. Ее успешная эксплуатация может позволить злоумышленникам удалить произвольные файлы из непропатченных шлюзов безопасного доступа SMA 100 для возврата в заводские настройки и потенциально получить доступ с правами администратора к устройству.
Несмотря на то, что производитель не обнаружил доказательств того, что уязвимость в настоящее время эксплуатируется в дикой природе. Временных мер по устранению вектора атаки нет, в связи с чем SonicWall настоятельно призвал клиентов как можно скорее развернуть с MySonicWall.com обновления безопасности.
Как мы знаем, напутствие не беспочвенно, ведь с начала 2021 года устройства серии SonicWall SMA 100 неоднократно подвергались атакам ransomware, конечной целью которых было проникновение в сеть крупной организации.
Например, UNC2447 (по версии Mandiant) использовала ошибку нулевого дня CVE-2021-20016 в устройствах SonicWall SMA 100 для развертывания FiveHands в конце февраля, а в июле SonicWall фиксировали попытки атак вымогателей на непропатченные продукты серии SMA 100 с истекшим сроком службы (EoL) и продукты безопасного удаленного доступа (SRA).
По прогнозам CISA, CrowdStrike и Coveware, в ближайшее время вымогатели непременно воспользуется брешью в защите SonicWall для атак, если уже не воспользовались моментом и не находятся в сети жертв.
Продукты SonicWall используют более 500 000 бизнес-клиентов в более, чем 215 странах. Многие из них развернуты в сетях крупнейших организаций, предприятий и государственных учреждений.
Обнаруженная ошибка связана с неправильным ограничением пути к файлу в каталоге с ограниченным доступом. Ее успешная эксплуатация может позволить злоумышленникам удалить произвольные файлы из непропатченных шлюзов безопасного доступа SMA 100 для возврата в заводские настройки и потенциально получить доступ с правами администратора к устройству.
Несмотря на то, что производитель не обнаружил доказательств того, что уязвимость в настоящее время эксплуатируется в дикой природе. Временных мер по устранению вектора атаки нет, в связи с чем SonicWall настоятельно призвал клиентов как можно скорее развернуть с MySonicWall.com обновления безопасности.
Как мы знаем, напутствие не беспочвенно, ведь с начала 2021 года устройства серии SonicWall SMA 100 неоднократно подвергались атакам ransomware, конечной целью которых было проникновение в сеть крупной организации.
Например, UNC2447 (по версии Mandiant) использовала ошибку нулевого дня CVE-2021-20016 в устройствах SonicWall SMA 100 для развертывания FiveHands в конце февраля, а в июле SonicWall фиксировали попытки атак вымогателей на непропатченные продукты серии SMA 100 с истекшим сроком службы (EoL) и продукты безопасного удаленного доступа (SRA).
По прогнозам CISA, CrowdStrike и Coveware, в ближайшее время вымогатели непременно воспользуется брешью в защите SonicWall для атак, если уже не воспользовались моментом и не находятся в сети жертв.
Совсем немного времени прошло с очередного скандала по поводу использования израильской компанией NSO Group, специализирующейся на кибершпионаже, 0-day уязвимостей для слежки за крупными политиками во многих странах мира. И вот вчера Zerohedge опубликовали материал в отношении связей израильских кибершпионов с администрацией Байдена.
Впрочем, сразу разместим дисклеймер - мы знаем, что Zerohedge это не самый доверенный источник информации в сети, товарищи умеют и любят в conspiracy theory. С другой стороны, множество конспирологий в конце концов оказывалось сущей правдой, а Zerohedge периодически выдает интересные инсайды.
По их данным, чикагское СМИ The Electronic Intifada направило официальный запрос о публичном раскрытии финансовой информации, в ответе на который указывается, что действующий (и предпредыдущий) пресс-секретарь Белого Дома Джейн Псаки в перерывах между служением идеалам американской демократии сотрудничала в качестве "консультанта по кризисным коммуникациям" с другой израильской компанией AnyVision.
AnyVision - это фирма, разрабатывающая технологии распознавания лиц и обработки биометрии. Еврейские дельцы демонстративно придерживались риторики отказа от сотрудничества с "авторитарными" режимами и декларировали продажу своего ПО только передовым западным демократиям и дружащим с ними людоедам. Но это все равно не помогло и в 2019-2020 годах по AnyVision проехался правозащитный каток, в результате чего они были обвинены в скрытом наблюдении за палестинцами в интересах Армии Израиля, что повлекло за собой отказ от инвестирования со стороны западных компаний, к примеру Microsoft.
Теперь же, как говорят Zerohedge, выясняется, что Псаки консультировала израильтян и, вероятнее всего, - консультировала по поводу возможности избежания скандала с правозащитниками. Ирония судьбы в том, что основную скрипку в расследовании деятельности AnyVision сыграл бывший генеральный прокурор США Эрик Холдер, другой член команды Обамы.
И хотя размер контракта Псаки был невелик - всего 5000 долларов, что для такого масштаба фигуры является несомненно смехотворной суммой, факт платного сотрудничества имеет место быть.
Остается выяснить кто сидит на зарплате у NSO Group 😎
Впрочем, сразу разместим дисклеймер - мы знаем, что Zerohedge это не самый доверенный источник информации в сети, товарищи умеют и любят в conspiracy theory. С другой стороны, множество конспирологий в конце концов оказывалось сущей правдой, а Zerohedge периодически выдает интересные инсайды.
По их данным, чикагское СМИ The Electronic Intifada направило официальный запрос о публичном раскрытии финансовой информации, в ответе на который указывается, что действующий (и предпредыдущий) пресс-секретарь Белого Дома Джейн Псаки в перерывах между служением идеалам американской демократии сотрудничала в качестве "консультанта по кризисным коммуникациям" с другой израильской компанией AnyVision.
AnyVision - это фирма, разрабатывающая технологии распознавания лиц и обработки биометрии. Еврейские дельцы демонстративно придерживались риторики отказа от сотрудничества с "авторитарными" режимами и декларировали продажу своего ПО только передовым западным демократиям и дружащим с ними людоедам. Но это все равно не помогло и в 2019-2020 годах по AnyVision проехался правозащитный каток, в результате чего они были обвинены в скрытом наблюдении за палестинцами в интересах Армии Израиля, что повлекло за собой отказ от инвестирования со стороны западных компаний, к примеру Microsoft.
Теперь же, как говорят Zerohedge, выясняется, что Псаки консультировала израильтян и, вероятнее всего, - консультировала по поводу возможности избежания скандала с правозащитниками. Ирония судьбы в том, что основную скрипку в расследовании деятельности AnyVision сыграл бывший генеральный прокурор США Эрик Холдер, другой член команды Обамы.
И хотя размер контракта Псаки был невелик - всего 5000 долларов, что для такого масштаба фигуры является несомненно смехотворной суммой, факт платного сотрудничества имеет место быть.
Остается выяснить кто сидит на зарплате у NSO Group 😎
Zerohedge
Zerohedge
ZeroHedge - On a long enough timeline, the survival rate for everyone drops to zero
Приватность почти 4 млрд. пользователей продается в даркнете всего за 100 тыс. долларов.
На хакерском форуме была выставлена на продажу приватная база данных о более чем 3,8 млрд. зарегистрированных пользователей Clubhouse и их телефонных контактов, в том числе и тех, у кого нет аккаунта в соцсети. Кроме того, база включает: имена, ранги в клубе и ссылки на профили Facebook.
Анонс утечки свидетельствует о компрометации злоумышленниками самого сервиса Clubhouse, после выдвижения соцсетью требования синхронизации приложения со списками контактов своих пользователей, то есть после 24 июля.
Мнения экспертов по этому поводу все же разняться. После недавних скандалов с утечками, которые по факту оказывались результатом парсинга Facebook и Clubhouse, новая база может оказаться их компиляцией. В частности, реализующий базу хакер также предлагает купить приватные массивы Facebook.
Эксклюзивность базы не вызывает споров, а вот уникальность похоже что кто-то уже пытался оценивать, судя по тому, как долго и как безуспешно она реализуется. Однако не стоит исключать, что появлению утечки в паблике не предшествовали ее активные эксплуатации или приватные продажи.
Похоже, что соцмедиа гигантам пора бы уже скомплектовать службы ИБ или хотя посадить кого-нибудь на аутсорс, иначе сложно придумать объяснения утечкам на миллиарды, даже если они добыты в ходе парсинга или вовсе магических обрядов. К - конфиденциальность.
На хакерском форуме была выставлена на продажу приватная база данных о более чем 3,8 млрд. зарегистрированных пользователей Clubhouse и их телефонных контактов, в том числе и тех, у кого нет аккаунта в соцсети. Кроме того, база включает: имена, ранги в клубе и ссылки на профили Facebook.
Анонс утечки свидетельствует о компрометации злоумышленниками самого сервиса Clubhouse, после выдвижения соцсетью требования синхронизации приложения со списками контактов своих пользователей, то есть после 24 июля.
Мнения экспертов по этому поводу все же разняться. После недавних скандалов с утечками, которые по факту оказывались результатом парсинга Facebook и Clubhouse, новая база может оказаться их компиляцией. В частности, реализующий базу хакер также предлагает купить приватные массивы Facebook.
Эксклюзивность базы не вызывает споров, а вот уникальность похоже что кто-то уже пытался оценивать, судя по тому, как долго и как безуспешно она реализуется. Однако не стоит исключать, что появлению утечки в паблике не предшествовали ее активные эксплуатации или приватные продажи.
Похоже, что соцмедиа гигантам пора бы уже скомплектовать службы ИБ или хотя посадить кого-нибудь на аутсорс, иначе сложно придумать объяснения утечкам на миллиарды, даже если они добыты в ходе парсинга или вовсе магических обрядов. К - конфиденциальность.
Twitter
Jiten Jain
A database of 3.8 billion phone numbers of #Clubhouse users is up for sale on the #Darknet. It also contains Numbers of people in user's PhoneBooks that were Synced. So Chances are high that you are listed even if you haven't had a Clubhouse login. #DataPrivacy
Google выпустила экстренное обновление Chrome 94.0.4606.61 для Windows, Mac и Linux, причиной стала критическая 0-day уязвимость, активно эксплуатируемая в дикой природе.
Ошибка CVE-2021-37973 возникла после устранения недостатков в Portals, новой системе навигации по веб-страницам Google для Chrome. Успешная эксплуатация этой уязвимости может позволить злоумышленникам выполнить произвольный код на компьютерах с уязвимыми версиями Chrome.
Существование эксплойта для CVE-2021-37973 было признано самим разработчиком. Это уже 11 исправленная 0-day уязвимость в веб-браузере Chrome с начала 2021 года.
Несмотря на то, что Google заявила, что обнаружила в дикой природе атаки с использованием CVE-2021-37973 подробности о инцидентов не разглашаются.
Доступ к деталям ограничен до тех пор, пока большинство пользователей не обновят исправление, а также пока дыра не будет устранена также в сторонней библиотеке, от которой аналогичным образом зависят другие проекты.
Настоятельно рекомендуем не дожидаться подробностей и накатывать обновления Google Chrome, которые кстати уже доступны.
Ошибка CVE-2021-37973 возникла после устранения недостатков в Portals, новой системе навигации по веб-страницам Google для Chrome. Успешная эксплуатация этой уязвимости может позволить злоумышленникам выполнить произвольный код на компьютерах с уязвимыми версиями Chrome.
Существование эксплойта для CVE-2021-37973 было признано самим разработчиком. Это уже 11 исправленная 0-day уязвимость в веб-браузере Chrome с начала 2021 года.
Несмотря на то, что Google заявила, что обнаружила в дикой природе атаки с использованием CVE-2021-37973 подробности о инцидентов не разглашаются.
Доступ к деталям ограничен до тех пор, пока большинство пользователей не обновят исправление, а также пока дыра не будет устранена также в сторонней библиотеке, от которой аналогичным образом зависят другие проекты.
Настоятельно рекомендуем не дожидаться подробностей и накатывать обновления Google Chrome, которые кстати уже доступны.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 94.0.4606.61 for Windows, Mac and Linux which will roll out over the coming days/weeks A full list of...
По неведанным причинам ребята из Купертино игнорируют нашего соотечественника. А речь, как бы идет о 3 уязвимостях 0-day в iOS.
Исследователь Денис Токарев опубликовал код эксплоитов на GitHub после того, как Apple отказалась их исправлять. Ранее, разработчик ПО обнаружил 4 уязвимости 0-day и сообщил о них в Apple еще 10 марта. Однако компания молча исправила всего лишь один из них в июле, выпустив версию 14.7 без упоминания исследователя в рекомендациях по безопасности.
Речь идет об этих багах:
- Gamed 0-day (iOS 15.0): предоставляет возможность несанкционированного доступа к конфиденциальным данным с помощью приложений, установленных пользователем из App Store (на странице Apple Security Bounty Program такая бага оценивается в 100 000 долларов).
- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому установленному ПО определять, установлено ли какое-либо приложение на устройстве.
- Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому использующему Wifi приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации о параметрах Wi-Fi без необходимого разрешения.
- Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению получать доступ к журналам аналитики: информация из категории "здоровье", сведения об использовании устройства, информация о времени экрана и количестве сеансов для приложений, данные об используемых аксессуарах с указанием производителя, модели, версии прошивки и присвоенных пользователем имен, языки веб-страниц, которые пользователи просматривали в Safari.
Попытки достучаться до компании не увенчались успехом. К сожалению, Денису так и не удалось получить объяснение о неспособности Apple исправить остальные уязвимости, а также узнать причины отказа признать их. Другие исследователи также подтвердили, что в iOS 15.0 сохраняются все раскрытые ошибки.
Печальная практика Apple снова в деле: это уже далеко не первый случай компрометации Apple своей программы вознаграждения Apple Security Bounty Program для обнаружения уязвимостей, в 2021 году уже известно не об одном таком инциденте. По итогу специалисты до сих пор дожидаются признания, вознаграждения и справедливости, по факту - ошибки исправляются, а компания процветает.
Исследователь Денис Токарев опубликовал код эксплоитов на GitHub после того, как Apple отказалась их исправлять. Ранее, разработчик ПО обнаружил 4 уязвимости 0-day и сообщил о них в Apple еще 10 марта. Однако компания молча исправила всего лишь один из них в июле, выпустив версию 14.7 без упоминания исследователя в рекомендациях по безопасности.
Речь идет об этих багах:
- Gamed 0-day (iOS 15.0): предоставляет возможность несанкционированного доступа к конфиденциальным данным с помощью приложений, установленных пользователем из App Store (на странице Apple Security Bounty Program такая бага оценивается в 100 000 долларов).
- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому установленному ПО определять, установлено ли какое-либо приложение на устройстве.
- Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому использующему Wifi приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации о параметрах Wi-Fi без необходимого разрешения.
- Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению получать доступ к журналам аналитики: информация из категории "здоровье", сведения об использовании устройства, информация о времени экрана и количестве сеансов для приложений, данные об используемых аксессуарах с указанием производителя, модели, версии прошивки и присвоенных пользователем имен, языки веб-страниц, которые пользователи просматривали в Safari.
Попытки достучаться до компании не увенчались успехом. К сожалению, Денису так и не удалось получить объяснение о неспособности Apple исправить остальные уязвимости, а также узнать причины отказа признать их. Другие исследователи также подтвердили, что в iOS 15.0 сохраняются все раскрытые ошибки.
Печальная практика Apple снова в деле: это уже далеко не первый случай компрометации Apple своей программы вознаграждения Apple Security Bounty Program для обнаружения уязвимостей, в 2021 году уже известно не об одном таком инциденте. По итогу специалисты до сих пор дожидаются признания, вознаграждения и справедливости, по факту - ошибки исправляются, а компания процветает.
Eclypsium обнаружили критическую уязвимость в двоичной таблице платформы Microsoft Windows (WPBT), которую можно использовать для проведения атак и установки руткитов на все компьютеры с Windows, произведенные с 2012 года, когда эта функция была впервые представлена в Windows 8.
WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.
Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.
Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.
Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.
Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.
С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇
WPBT - это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.
Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.
Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.
Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.
Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.
С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT 👇👇👇
Чудесная чудесность.
В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.
Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).
Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.
От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.
В iOS 15 функция Find My, позволяющая найти iPhone при потере или краже, работает даже при выключенном устройстве. Каким образом это функционирует - Apple не объясняет.
Инфосек эксперты ломают голову и задаются вопросом - какие же еще функции смартфона будут работать после его "выключения". Мы можем предположить, что наименее угрожающим приватности будет отбивка в Apple последнего местоположения iPhone перед выключением, хотя это и подтверждает, что устройство без вашего ведома отстреливает свою геолокацию (что, в принципе, и раньше было понятно).
Все остальные варианты означают, что теперь даже Power Off не спасет от всепроникающего присутствия Apple. Только в фольгу и под одеяло.
От создателей "Мы придумали как выключать, но не выключать Wi-Fi и Bluetooth" - теперь то же самое, но только со всем iPhone.
Twitter
Costin Raiu
In iOS 15, the phone is findable even when “Powered off”.
Разработчик Ethereum Foundation проживавший в Сингапуре гражданин США Вирджил Гриффит получит 20 лет тюрьмы после участия в конференции по криптовалюте в КНДР.
В ноябре 2019 года исследователь был арестован сотрудниками ФБР США. По версии спецслужб, он выехал в Северную Корею для проведения презентация о том, как использовать криптовалюту и технологию блокчейн для отмывания денег и уклонения от санкций. Кроме того, рассказал и о том, как Северная Корея может использовать криптовалюту, чтобы стать независимой от мировой банковской системы.
А самое главное, по мнению Министерства юстиции США, Гриффит общался там по техническим вопросам с участниками, которые (о, боже!) работали на правительство КНДР. При этом он посетил Корею, несмотря на отказ Госдепартамента США и не имея лицензии Министерства финансов и Управления по контролю за иностранными активами (OFAC).
Безусловно, рассчитывая получить меньший срок в условиях неотвратимости наказания, в суде Вирджил Гриффит признал себя виновным в оказании помощи КНДР в уклонении от санкций США. Окончательный вердикт суд вынесет 18 января 2022 года.
Если отбросить грозные пасквили американских обвинителей, 20 лет жизни будет стоить разработчику поездка в КНДР с презентацией продукта, который при желании северокорейцы и без конференции вполне могли бы вполне и сами освоить.
Но прекрасно понимаем, что дело ни в поездке и ни в мировой финансовой независимости, тут дело принципа. Да, и отличный повод нарисовался, чтобы начать с подсудимым диалог до вынесения судом окончательного вердикта.
В ноябре 2019 года исследователь был арестован сотрудниками ФБР США. По версии спецслужб, он выехал в Северную Корею для проведения презентация о том, как использовать криптовалюту и технологию блокчейн для отмывания денег и уклонения от санкций. Кроме того, рассказал и о том, как Северная Корея может использовать криптовалюту, чтобы стать независимой от мировой банковской системы.
А самое главное, по мнению Министерства юстиции США, Гриффит общался там по техническим вопросам с участниками, которые (о, боже!) работали на правительство КНДР. При этом он посетил Корею, несмотря на отказ Госдепартамента США и не имея лицензии Министерства финансов и Управления по контролю за иностранными активами (OFAC).
Безусловно, рассчитывая получить меньший срок в условиях неотвратимости наказания, в суде Вирджил Гриффит признал себя виновным в оказании помощи КНДР в уклонении от санкций США. Окончательный вердикт суд вынесет 18 января 2022 года.
Если отбросить грозные пасквили американских обвинителей, 20 лет жизни будет стоить разработчику поездка в КНДР с презентацией продукта, который при желании северокорейцы и без конференции вполне могли бы вполне и сами освоить.
Но прекрасно понимаем, что дело ни в поездке и ни в мировой финансовой независимости, тут дело принципа. Да, и отличный повод нарисовался, чтобы начать с подсудимым диалог до вынесения судом окончательного вердикта.
www.justice.gov
United States Citizen Pleads Guilty To Conspiring To Assist North Korea In Evading Sanctions
Microsoft Threat Intelligence Center сообщил об обнаружении нового вредоносного ПО FoggyWeb, который представляет собой пассивный и узконаправленный бэкдор для разворачивания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов Active Directory (AD FS).
FoggyWeb применяется для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена.
FoggyWeb работает как постоянный бэкдор, который позволяет злоумышленникам удаленно красть конфиденциальную информацию путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов, перехвата запросов GET/POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля и запускать их на скомпрометированном сервере.
Использование FoggyWeb в дикой природе, по данным MSTIC, реализуется с апреля 2021 года. Специалисты его характеризуют как «вредоносную резидентную DLL в памяти», поскольку устанавливается с помощью загрузчика с использованием техники перехвата порядка поиска DLL.
И, конечно же, такой изящный инструмент не остался без атрибуции и не может не принадлежать russian hackers, о чем MSTIC публично заявили, без какой-либо детальной проработки вопроса, как прочем и ранее отнесенные к Nobelium другие штаммы вредоносного ПО: BoomBox, EnvyScout, VaporRage, NativeZone (май) и GoldMax, Sibot, GoldFinder (март), а в принципе и не только штаммы - но и целые кампании, о чем мы уже писали.
Очень удобно, но, к сожалению, не всегда профессионально.
FoggyWeb применяется для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена.
FoggyWeb работает как постоянный бэкдор, который позволяет злоумышленникам удаленно красть конфиденциальную информацию путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов, перехвата запросов GET/POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля и запускать их на скомпрометированном сервере.
Использование FoggyWeb в дикой природе, по данным MSTIC, реализуется с апреля 2021 года. Специалисты его характеризуют как «вредоносную резидентную DLL в памяти», поскольку устанавливается с помощью загрузчика с использованием техники перехвата порядка поиска DLL.
И, конечно же, такой изящный инструмент не остался без атрибуции и не может не принадлежать russian hackers, о чем MSTIC публично заявили, без какой-либо детальной проработки вопроса, как прочем и ранее отнесенные к Nobelium другие штаммы вредоносного ПО: BoomBox, EnvyScout, VaporRage, NativeZone (май) и GoldMax, Sibot, GoldFinder (март), а в принципе и не только штаммы - но и целые кампании, о чем мы уже писали.
Очень удобно, но, к сожалению, не всегда профессионально.
Microsoft News
FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor
In-depth analysis of newly detected NOBELIUM malware: a post-exploitation backdoor that Microsoft Threat Intelligence Center (MSTIC) refers to as FoggyWeb. NOBELIUM uses FoggyWeb to remotely exfiltrate the configuration database of compromised AD FS servers…
Производитель сетевых хранилищ (NAS) QNAP исправил свою систему управления видео QVR, устранив 2 критически важные проблемы, которые могут быть использованы для выполнения произвольных команд.
ПО QVR - это профессиональное решение, которое позволяет осуществлять видеонаблюдение, запись, воспроизведение и оповещение о тревогах в реальном времени с использованием IP-камер.
В целом, QNAP устранила в общей сложности 3 уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых CVE-2021-34351 и CVE-2021-34348 получили оценки 9,8 из 10 соответственно. Обе ошибки в совокупности позволяют удаленному злоумышленнику запускать команды в уязвимых системах и получать полный контроль над устройством. Третья бага CVE-2021-34349 с оценкой 7,2, принадлежит к тому же классу ошибок.
Исправленные критические уязвимости затрагивают продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, в связи с чем QNAP выпустили обновление ПО QVR 5.1.5 build 20210803.
И это не зря, ведь мы помним, как Qlocker уже использовали уязвимости в HBS (жестко заданные учетные данные) для массового взлома и шифрования данных на NAS-устройствах QNAP, потребовав выкуп размере 500 долларов за восстановление. Всего за пять дней операторам ransomware удалось поднять на этой кампании более 260 тыс. долларов.
Кроме того, периодически кадры с камер наблюдения попадают в сеть. В марте хакеры слили съемки с камер Verkada, установленных в крупных американских компаниях и госорганах, в том числе Tesla, Equinox и др.
ПО QVR - это профессиональное решение, которое позволяет осуществлять видеонаблюдение, запись, воспроизведение и оповещение о тревогах в реальном времени с использованием IP-камер.
В целом, QNAP устранила в общей сложности 3 уязвимости, связанные с внедрением команд в программное обеспечение QVR для управления видеонаблюдением, две из которых CVE-2021-34351 и CVE-2021-34348 получили оценки 9,8 из 10 соответственно. Обе ошибки в совокупности позволяют удаленному злоумышленнику запускать команды в уязвимых системах и получать полный контроль над устройством. Третья бага CVE-2021-34349 с оценкой 7,2, принадлежит к тому же классу ошибок.
Исправленные критические уязвимости затрагивают продукты с QVR, срок эксплуатации которых истек (EoL). Даже если устройства больше не поддерживаются, многие клиенты, вероятно, все еще используют их, в связи с чем QNAP выпустили обновление ПО QVR 5.1.5 build 20210803.
И это не зря, ведь мы помним, как Qlocker уже использовали уязвимости в HBS (жестко заданные учетные данные) для массового взлома и шифрования данных на NAS-устройствах QNAP, потребовав выкуп размере 500 долларов за восстановление. Всего за пять дней операторам ransomware удалось поднять на этой кампании более 260 тыс. долларов.
Кроме того, периодически кадры с камер наблюдения попадают в сеть. В марте хакеры слили съемки с камер Verkada, установленных в крупных американских компаниях и госорганах, в том числе Tesla, Equinox и др.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Command Injection Vulnerabilities in QVR - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку канал дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку канал дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Воскресным вечером активно набирающий популярность мессенджер для зашифрованного обмена сообщениями Signal пострадал из-за короткого перебоя в работе, в результате чего услуги на платформе были прерваны. Также были зафиксированы сбои в работе некоторых других приложений, включая платформу знакомств Tinder и популярный сайт новостей и обсуждений Reddit.
Signal сослался на проблемы с хостингом, собственно всему виной и оказался Amazon со своими облачными решениями Amazon Web Services (AWS), сервера в северном штате Вирджиния по непонятным причинам стали "ложиться". По словам разработчиков Signal, к 07:00 по Гринвичу обслуживание абонентов уже было восстановлено и обмен сообщениями стал доступен для 99% пользователей и компания активно работает над оставшимся 1%.
Мы прекрасно помним, как глас вездесущего Илона Маска вызвал бунт скачиваний после его рекомендаций использовать приложение Signal. Совет стал реакцией на изменения в политике конфиденциальности WhatsApp, которое теперь будет в принудительной форме передавать часть данных пользователей Facebook.
Будем надеяться, что перебои в работе были случайностью, а не происками каких-нибудь АНБ. Ну, а что пользователи прибавляются и трафик растет, а съемники старые стоят, вот пришлось воткнуть новые.
Signal сослался на проблемы с хостингом, собственно всему виной и оказался Amazon со своими облачными решениями Amazon Web Services (AWS), сервера в северном штате Вирджиния по непонятным причинам стали "ложиться". По словам разработчиков Signal, к 07:00 по Гринвичу обслуживание абонентов уже было восстановлено и обмен сообщениями стал доступен для 99% пользователей и компания активно работает над оставшимся 1%.
Мы прекрасно помним, как глас вездесущего Илона Маска вызвал бунт скачиваний после его рекомендаций использовать приложение Signal. Совет стал реакцией на изменения в политике конфиденциальности WhatsApp, которое теперь будет в принудительной форме передавать часть данных пользователей Facebook.
Будем надеяться, что перебои в работе были случайностью, а не происками каких-нибудь АНБ. Ну, а что пользователи прибавляются и трафик растет, а съемники старые стоят, вот пришлось воткнуть новые.
I24news
Encrypted messaging app Signal operational after outage - I24NEWS
Other apps like Tinder and Reddit also experienced simultaneous outages - Click the link for more details.
Без комментариев.
https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene/?show=Y
https://rtvi.com/news/gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene/?show=Y
RTVI
Силовики проводят обыски в Group-IB. Руководство компании может быть задержано
В московском офисе Group-IB идут обыски, рассказал RTVI источник, близкий к правоохранительным органам. Другой источник добавил, что в офисе идут следственные действия по уголовному делу, в рамках которого задержан основатель и гендиректор компании Group…
Поспорили два мужика - бывают чудеса или нет.
- Вот смотри, упал поп с колокольни и не разбился! Разве не чудо?
- Это случайность.
- А вот он второй раз полез на колокольню, упал и опять не разбился!
- Это совпадение.
- А он третий раз полез, упал и снова целый!
- А это уже привычка.
- Вот смотри, упал поп с колокольни и не разбился! Разве не чудо?
- Это случайность.
- А вот он второй раз полез на колокольню, упал и опять не разбился!
- Это совпадение.
- А он третий раз полез, упал и снова целый!
- А это уже привычка.
Компания Trend Micro выпустила исправления для критической уязвимости CVE-2021-36745 (рейтинг CVSS 9,8), которая позволяет злоумышленникам обойти аутентификацию в Trend Micro ServerProtect.
ServerProtect - это решение для обнаружения вредоносного ПО корпоративного уровня в реальном времени, которое должно обеспечивать защиту серверов от malware, а также автоматизировать операции по обеспечению безопасности.
Об уязвимости стало известно еще в апреле. Его обнаружил Юто Маэда из Института киберзащиты, • который сообщил о баге в рамках Zero Day Initiative (ZDI) компании Trend Micro.
По заявлению производителя уязвимость затрагивает решения ServerProtect for Storage (SPFS) 6.0 для Windows, ServerProtect для EMC Celerra (SPEMC) 5.8, ServerProtect для файловых серверов сетевого устройства (SPNAF) 5.8 и ServerProtect для Microsoft Windows / Novell Netware (SPNT) 5.8.
Смягчающим фактором для этого типа уязвимости является то, что злоумышленнику требуется физический или удаленный доступ к уязвимой машине. Таким образом, вероятность успеха эксплуатации снижается, если удаленный доступ недоступен и безопасность периметра актуальна.
Однако, несмотря на то, что для эксплойта может потребоваться выполнение условий, в Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок. И мы тоже.
ServerProtect - это решение для обнаружения вредоносного ПО корпоративного уровня в реальном времени, которое должно обеспечивать защиту серверов от malware, а также автоматизировать операции по обеспечению безопасности.
Об уязвимости стало известно еще в апреле. Его обнаружил Юто Маэда из Института киберзащиты, • который сообщил о баге в рамках Zero Day Initiative (ZDI) компании Trend Micro.
По заявлению производителя уязвимость затрагивает решения ServerProtect for Storage (SPFS) 6.0 для Windows, ServerProtect для EMC Celerra (SPEMC) 5.8, ServerProtect для файловых серверов сетевого устройства (SPNAF) 5.8 и ServerProtect для Microsoft Windows / Novell Netware (SPNT) 5.8.
Смягчающим фактором для этого типа уязвимости является то, что злоумышленнику требуется физический или удаленный доступ к уязвимой машине. Таким образом, вероятность успеха эксплуатации снижается, если удаленный доступ недоступен и безопасность периметра актуальна.
Однако, несмотря на то, что для эксплойта может потребоваться выполнение условий, в Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок. И мы тоже.
Мотавшего 9-ти летний срок в США за мошенничество с платежными картами админа форумов CardPlanet и DirectConnection, известного в даркнете k0pa, а в жизни 31-летнего гражданина России Алексея Буркова, вопреки многолетней практике со стороны американских властей экстрадировали в РФ.
Но радоваться хакеру не приходится, в аэропорту его ждал прием, хакеру вменяют аналогичные уголовные обвинения только уже по российскому законодательству. Как сообщают МВД России, Бурков обвиняется в причастности к изготовлению и продаже поддельных банковских карт и торговле конфиденциальными данными клиентов финансовых учреждений.
Как известно, большую часть своей прибыли хакер организовал через кардинг-форум CardPlanet, на котором в период с 2008 по 2013 год было продано более 150 000 платежных карт. Свой авторитет одного из самых влиятельных хакеров Бурков заработал в ходе проекта DirectConnection, на базе которого было сформирована подпольная элита хакеров, вступить можно было лишь по 3 инвайтам и через депозит в 5 тысяч долларов.
В 2013 году американские спецслужбы раскрыли преступный синдикат и нацелились на его организатора. В 2015 году им удалось спланировать операцию и задержать хакера в Израиле, куда Бурков выехал для проведения отпуска. Сразу после ареста российские правоохранители пытались экстрадировать Буркова в Россию для привлечения его к уголовной ответственности, опередив в этом вопросе США.
После многолетних юридических и политических баталий в 2017 году Израиль обвинил Россию в попытке повлиять на решение вопроса об экстрадиции Буркова путем фальсификации ареста ее гражданина в РФ и навязывании сделки. В 2019 году израильские власти экстрадировали Буркова в США, где в январе 2020 года он признал себя виновным и через полгода был приговорен к девяти годам лишения свободы.
В ходе расследования сотрудники ФБР охарактеризовали Буркова как «чрезвычайно важный актив» для российского правительства, что в условиях тайны относительно обстоятельств принятого решения вызывает еще больше вопросов у экспертов инфосека, до последнего считавших за парадигму почти нулевой уровень сотрудничества двух держав по вопросам ИБ.
Озвученная в ходе контактов Кремля и Вашингтона телефонная линия все же заработала. Вероятно, это уже не первый звонок. Что же касается уголовного преследования и судьбы Буркова, то это больше вопрос не процессуального характера.
Но радоваться хакеру не приходится, в аэропорту его ждал прием, хакеру вменяют аналогичные уголовные обвинения только уже по российскому законодательству. Как сообщают МВД России, Бурков обвиняется в причастности к изготовлению и продаже поддельных банковских карт и торговле конфиденциальными данными клиентов финансовых учреждений.
Как известно, большую часть своей прибыли хакер организовал через кардинг-форум CardPlanet, на котором в период с 2008 по 2013 год было продано более 150 000 платежных карт. Свой авторитет одного из самых влиятельных хакеров Бурков заработал в ходе проекта DirectConnection, на базе которого было сформирована подпольная элита хакеров, вступить можно было лишь по 3 инвайтам и через депозит в 5 тысяч долларов.
В 2013 году американские спецслужбы раскрыли преступный синдикат и нацелились на его организатора. В 2015 году им удалось спланировать операцию и задержать хакера в Израиле, куда Бурков выехал для проведения отпуска. Сразу после ареста российские правоохранители пытались экстрадировать Буркова в Россию для привлечения его к уголовной ответственности, опередив в этом вопросе США.
После многолетних юридических и политических баталий в 2017 году Израиль обвинил Россию в попытке повлиять на решение вопроса об экстрадиции Буркова путем фальсификации ареста ее гражданина в РФ и навязывании сделки. В 2019 году израильские власти экстрадировали Буркова в США, где в январе 2020 года он признал себя виновным и через полгода был приговорен к девяти годам лишения свободы.
В ходе расследования сотрудники ФБР охарактеризовали Буркова как «чрезвычайно важный актив» для российского правительства, что в условиях тайны относительно обстоятельств принятого решения вызывает еще больше вопросов у экспертов инфосека, до последнего считавших за парадигму почти нулевой уровень сотрудничества двух держав по вопросам ИБ.
Озвученная в ходе контактов Кремля и Вашингтона телефонная линия все же заработала. Вероятно, это уже не первый звонок. Что же касается уголовного преследования и судьбы Буркова, то это больше вопрос не процессуального характера.
мвд.рф
МВД России публикует видео депортации из США в Россию обвиняемого в киберпреступлениях
Новости официального сайта МВД России
Forwarded from SecurityLab.ru
Семейный дуэт этичных хакеров помогает вернуть «потерянные» биткоины, в Литве призвали отказаться от двух китайских смартфонов из-за секретных функций, кибератака на компанию NEW Cooperative в США может превзойти по ущербу взлом Colonial Pipeline, а ФБР из-за тайной операции три недели утаивало от жертв REvil ключ дешифрования.
Смотрите 33-й выпуск наших новостей: https://www.youtube.com/watch?v=7rWQTXL87j0
Смотрите 33-й выпуск наших новостей: https://www.youtube.com/watch?v=7rWQTXL87j0
YouTube
Cекреты китайских смартфонов, кибератака оставила людей без мяса и зерна. Security-новости #33 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
Крупнейшего телекоммуникационного провайдера Афганистана Roshan атаковали китайские АРТ, которым более года удавалось сливать из его систем гигабайты технических данных. Атаки подчеркивают особый интерес китайской разведки к региону.
Раскрыть китайский след смогли исследователи Future's Insikt Group, констатировавших, что после известных событий и прихода к власти Талибов количество утечек резко возросло.
Roshan - единственный стабильный оператор мобильной связи, работающий по всему Афганистану, охватывающий все 34 провинции с более чем 6,5 миллионами активных абонентов. Согласно интернет-анализу Kentik, он выступает крупнейшим поставщиком доступа в Интернет и главным шлюзом с внешним сегментом.
Future's Insikt Group зафиксировали проникновение в корпоративный почтовый сервер оператора в ходе анализа трафика, в том числе соединений зараженной системы с серверами управления и контроля.
Первые атаки на Roshan датируются июлем 2020 года и были инициированы АРТ Calypso, которая оставалась в сети оператора вплоть до сентября 2021 года. Кроме того, с марта по май этого года фиксировались подключения этому же взломанному серваку с инфраструктуры другой китайской APT RedFoxtrot, которая, как предполагается, связана с подразделением подразделением 69010 НОАК, дислоцированным в Урумчи, Синьцзян.
Согласно отчету Insikt, RedFoxtrot также проникала в этот период в сети еще одного афганского оператора связи. Об устремлениях группы к телекоммуникационному сектору Афганистана, Индии, Пакистана и Казахстана Insikt сообщали еще в июне.
Последние атаки на Roshan были реализованы с применением свойственной группам ТТР, и были связаны с кластером PlugX и Winnti, последний из которых продемонстрировал повышенную активность эксфильтрации. Хакерам удалось вытянуть не менее 4 ГБ данных за последние 4 итерации, в целом реальные контуры утечки назвать сложно в силу значительного объема.
Установить содержание утечек исследователи не смогли, однако предположили, что украденные данные представляют интерес для хакеров с точи зрения разведки будущих целей. Также Insikt не смогли установить обстоятельства взлома серверов Roshan, предполагая, что доступ был получен путем бокового перемещения с других скомпрометированных устройств в сети оператора.
Интерес китайских АРТ к сетевой инфраструктуре Афганистана понятен и прогнозируем. Еще в 2019 году Cybereason раскрыла многолетнюю кампанию кибершпионажа на поставщиков телекоммуникационных услуг сотовой связи в Азии, Африке, на Ближнем Востоке и в Европе, для доступа к системам которых активно применялось боковое перемещение, предоставляя хакерам доступ к метаданным разговоров и активности абонентов. В августе Cybereason вновь детектил китайский след в атаках на телеком Юго-Восточной Азии.
Представители китайской стороны опровергли доводы Future's Insikt Group и посоветовали исследователям поднабрать побольше пруфов, в особенности, когда речь идет о сложных киберинцидентах. Вообще с атрибуцией у западных инфосек-компаний все достаточно сложно, а вот с выводами всегда проще, уж мы то знаем.
Раскрыть китайский след смогли исследователи Future's Insikt Group, констатировавших, что после известных событий и прихода к власти Талибов количество утечек резко возросло.
Roshan - единственный стабильный оператор мобильной связи, работающий по всему Афганистану, охватывающий все 34 провинции с более чем 6,5 миллионами активных абонентов. Согласно интернет-анализу Kentik, он выступает крупнейшим поставщиком доступа в Интернет и главным шлюзом с внешним сегментом.
Future's Insikt Group зафиксировали проникновение в корпоративный почтовый сервер оператора в ходе анализа трафика, в том числе соединений зараженной системы с серверами управления и контроля.
Первые атаки на Roshan датируются июлем 2020 года и были инициированы АРТ Calypso, которая оставалась в сети оператора вплоть до сентября 2021 года. Кроме того, с марта по май этого года фиксировались подключения этому же взломанному серваку с инфраструктуры другой китайской APT RedFoxtrot, которая, как предполагается, связана с подразделением подразделением 69010 НОАК, дислоцированным в Урумчи, Синьцзян.
Согласно отчету Insikt, RedFoxtrot также проникала в этот период в сети еще одного афганского оператора связи. Об устремлениях группы к телекоммуникационному сектору Афганистана, Индии, Пакистана и Казахстана Insikt сообщали еще в июне.
Последние атаки на Roshan были реализованы с применением свойственной группам ТТР, и были связаны с кластером PlugX и Winnti, последний из которых продемонстрировал повышенную активность эксфильтрации. Хакерам удалось вытянуть не менее 4 ГБ данных за последние 4 итерации, в целом реальные контуры утечки назвать сложно в силу значительного объема.
Установить содержание утечек исследователи не смогли, однако предположили, что украденные данные представляют интерес для хакеров с точи зрения разведки будущих целей. Также Insikt не смогли установить обстоятельства взлома серверов Roshan, предполагая, что доступ был получен путем бокового перемещения с других скомпрометированных устройств в сети оператора.
Интерес китайских АРТ к сетевой инфраструктуре Афганистана понятен и прогнозируем. Еще в 2019 году Cybereason раскрыла многолетнюю кампанию кибершпионажа на поставщиков телекоммуникационных услуг сотовой связи в Азии, Африке, на Ближнем Востоке и в Европе, для доступа к системам которых активно применялось боковое перемещение, предоставляя хакерам доступ к метаданным разговоров и активности абонентов. В августе Cybereason вновь детектил китайский след в атаках на телеком Юго-Восточной Азии.
Представители китайской стороны опровергли доводы Future's Insikt Group и посоветовали исследователям поднабрать побольше пруфов, в особенности, когда речь идет о сложных киберинцидентах. Вообще с атрибуцией у западных инфосек-компаний все достаточно сложно, а вот с выводами всегда проще, уж мы то знаем.
Recordedfuture
4 Chinese APT Groups Identified Targeting Mail Server of Afghan Telecommunications Firm Roshan
Insikt Group has detected intrusion activity targeting a mail server of Roshan, one of Afghanistan’s largest telecommunications providers.
Forwarded from Social Engineering
🔘 Фишинг и AirTag.
• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
🖖🏻 Приветствую тебя user_name.
• Вчера Брайан Кребс опубликовал в своем блоге интересную статью, касательно AirTag. Дело в том, что если AirTag находится в "режиме пропажи", то любой нашедший эту метку, может просканировать её с помощью мобильного телефона и получить номер телефона владельца. Однако этой функцией можно злоупотребить и владелец метки может указать вместо номера телефона любую информацию, в том числе и адрес фишинговой страницы.• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
Сегодня ночью злоумышленники в рамках масштабной фишинговой кампании атаковали россиян от имени ФНС России.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.