В деле Kaseya и REvil открываются новые обстоятельства. Конгресс США вызывал на ковер директора ФБР с требованием объяснить задержку с передачей универсального ключа дешифрования жертвам атаки, а также в целом прояснить стратегию ведомства по реагированию и отражению атак ransomware.
Как оказалось, ровно на 3 недели ФБР откладывали передачу технологии пострадавшим от REvil компаниям, в числе которых были и крупные предприятия, школы и больницы, и что стоило бюджету миллионов долларов, по мнению конгрессменов.
На прошлой неделе директор ФБР Кристофер А. Рэй дал показания перед Конгрессом, заявив, что ведомство удерживало расшифровку почти 3 недели, потому что оно планировало операцию по уничтожению российской банды вымогателей REvil.
Однако до того, как ФБР смогло до конца реализовать свой план, REvil прекратили работу, отключив инфраструктуру в середине июля. Рэй отметил перед конгрессом, что задержка была прямым результатом координации ФБР с другими агентствами и зарубежными союзниками, воздерживаясь от предоставления дополнительной информации из-за продолжающегося расследования.
Руководитель ФБР при этом также подчеркнул, что мобилизуются ресурсы не только по стране, но и по всему миру в операции против вымогателей.
Другой причиной задержки в оказании помощи жертвам Kaseya стала временная пауза на тестирование и проверку ключа дешифрования, а также создание дешифратора. Но тут он слукавил, ведь универсальный ключ, предоставленный ФБР, был быстро использован Emsisoft, который протестировал его и разработал дешифратор в течение 10 минут.
Выводы делайте сами.
Как оказалось, ровно на 3 недели ФБР откладывали передачу технологии пострадавшим от REvil компаниям, в числе которых были и крупные предприятия, школы и больницы, и что стоило бюджету миллионов долларов, по мнению конгрессменов.
На прошлой неделе директор ФБР Кристофер А. Рэй дал показания перед Конгрессом, заявив, что ведомство удерживало расшифровку почти 3 недели, потому что оно планировало операцию по уничтожению российской банды вымогателей REvil.
Однако до того, как ФБР смогло до конца реализовать свой план, REvil прекратили работу, отключив инфраструктуру в середине июля. Рэй отметил перед конгрессом, что задержка была прямым результатом координации ФБР с другими агентствами и зарубежными союзниками, воздерживаясь от предоставления дополнительной информации из-за продолжающегося расследования.
Руководитель ФБР при этом также подчеркнул, что мобилизуются ресурсы не только по стране, но и по всему миру в операции против вымогателей.
Другой причиной задержки в оказании помощи жертвам Kaseya стала временная пауза на тестирование и проверку ключа дешифрования, а также создание дешифратора. Но тут он слукавил, ведь универсальный ключ, предоставленный ФБР, был быстро использован Emsisoft, который протестировал его и разработал дешифратор в течение 10 минут.
Выводы делайте сами.
House Committee on Oversight and Reform
Oversight Committee Seeks Answers on FBI’s Handling of Widespread Ransomware Attack
Washington, D.C. (September 29, 2021)— Today, Oversight and Reform Committee Chairwoman Carolyn B. Maloney and Ranking Member James Comer, sent a letter to the Federal Bureau of Investigation (FBI) Director Christopher Wray requesting a briefing on the FBI’s…
Forwarded from infosecurity
😈 Обход обнаружения в CLR: пример атаки и способы ее выявления.
Способы выявления аномальной активности в CLR и новые техники выполнения кода на удаленном хосте.
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
🧷 https://securelist.ru/detection-evasion-in-clr-and-tips-on-how-to-detect-such-attacks/103633/
Способы выявления аномальной активности в CLR и новые техники выполнения кода на удаленном хосте.
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
🧷 https://securelist.ru/detection-evasion-in-clr-and-tips-on-how-to-detect-such-attacks/103633/
securelist.ru
Очистка памяти CLR и способы обнаружения таких атак
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
Conti пригрозили своим «клиентам» дополнительными санкциями в случае слива переговоров и деталей сделки по выкупу журналистам или расследователям.
Причем вымогатели обещают реагировать даже если, уникальный URL-адрес так называемого платежного сайта станет известен журналистам через утечки с порталов сканирования вредоносных программ, таких как, например, VirusTotal, ведь двоичный файл ransomware содержит соответствующие ссылки для доступа к страницам переговоров.
Поэтому в последнее время новостные агентства в сфере кибербезопасности активно сотрудничают с ними, получая доступ к этим секретным чатам и публикуя придавая огласке инциденты, которые скрывались даже самими жертвами.
Conti крайне возмущены разглашением деталей и скринов переговоров JVCKenwood, о которой мы сообщали совсем недавно. В связи с этим, хакеры решили прекратить контакт и опубликовать данные, украденные во время атаки на компанию. Как сообщили Conti, на этой неделе они снова замечали скриншоты из своих переговорных чатов, циркулирующие в социальных сетях, и поэтому хакеры определили новые правила для будущих жертв.
Они заявили, что готовы пожертвовать 10 миллионами ожидаемого выкупа, если обнаружат контакты пострадавшего с журналистами или расследователями, опубликовав все похищенные у компании данные. При этом если это произойдет после того, как выкуп уже оплачен жертвой, которая разгласила переговоры, хакеры сольют чужие файлы в качестве возмездия.
Успех любит тишину, а в условиях активизации борьбы с ransomware - для вымогателей это становится возможностью выживания. Вслед за правительственными структурами, крутить гайки будут и сами хакеры, двигаясь в сторону все большей конспирации своих атак.
Мы помним, как LockBit, Darkside или BlackMatter, пообещали не атаковать критически важную инфраструктуру, Ragnar_Locker также угрожали жертвам слить их данные, если они обратятся в правоохранительные органы. Grief и DoppelPaymer обещали стирать сервера жертв, в случае если они будут использовать профессиональных переговорщиков.
Но на самом деле, мы точно знаем, что эти правила ничего не значат для самих преступников, готовых их нарушать ради наживы.
Причем вымогатели обещают реагировать даже если, уникальный URL-адрес так называемого платежного сайта станет известен журналистам через утечки с порталов сканирования вредоносных программ, таких как, например, VirusTotal, ведь двоичный файл ransomware содержит соответствующие ссылки для доступа к страницам переговоров.
Поэтому в последнее время новостные агентства в сфере кибербезопасности активно сотрудничают с ними, получая доступ к этим секретным чатам и публикуя придавая огласке инциденты, которые скрывались даже самими жертвами.
Conti крайне возмущены разглашением деталей и скринов переговоров JVCKenwood, о которой мы сообщали совсем недавно. В связи с этим, хакеры решили прекратить контакт и опубликовать данные, украденные во время атаки на компанию. Как сообщили Conti, на этой неделе они снова замечали скриншоты из своих переговорных чатов, циркулирующие в социальных сетях, и поэтому хакеры определили новые правила для будущих жертв.
Они заявили, что готовы пожертвовать 10 миллионами ожидаемого выкупа, если обнаружат контакты пострадавшего с журналистами или расследователями, опубликовав все похищенные у компании данные. При этом если это произойдет после того, как выкуп уже оплачен жертвой, которая разгласила переговоры, хакеры сольют чужие файлы в качестве возмездия.
Успех любит тишину, а в условиях активизации борьбы с ransomware - для вымогателей это становится возможностью выживания. Вслед за правительственными структурами, крутить гайки будут и сами хакеры, двигаясь в сторону все большей конспирации своих атак.
Мы помним, как LockBit, Darkside или BlackMatter, пообещали не атаковать критически важную инфраструктуру, Ragnar_Locker также угрожали жертвам слить их данные, если они обратятся в правоохранительные органы. Grief и DoppelPaymer обещали стирать сервера жертв, в случае если они будут использовать профессиональных переговорщиков.
Но на самом деле, мы точно знаем, что эти правила ничего не значат для самих преступников, готовых их нарушать ради наживы.
Несмотря на все меры противодействия, «золотая лихорадка» ransomware в самом разгаре, по статистике только в первой половине 2021 года количество атак вымогателей увеличилось более чем на 90%, а 69% всех атак на предприятия - это ransomware.
При этом средняя утечка данных обходится жертвам в 4,24 миллиона долларов за инцидент, что является самым высоким показателем за 17 лет. Только за 2020 год количество платежей выкупа превысило более 400 млн. долларов, что в 4 раза превышает показатели 2019.
Но 2021 год рискует стать пиковым по числу инцидентов в этой области: новая группа вымогателей предлагает услугу RaaS в более упрощенном варианте.
Как правило, крупные картели вымогателей, такие как REvil или Conti взимают со своих партнеров комиссию в размере 30% за выкуп. Картели поставляют вредоносное ПО, а злоумышленники проводят атаки. Новая группа Ranion в даркнете предлагает за предоплату свое вредоносное ПО без дополнительных сборов за обслуживание, что потенциально упрощает кибервымогательство, ведь преступникам не требуется возвращать поставщику вредоносного ПО треть суммы выкупа.
Ranion использует шифрование AES 256 и практически не поддается обнаружению средствами защиты. Различные пакеты ВПО Ranion предлагаются к реализации по цене от 150 до 1900 долларов. При этом более дорогие предложения гарантируют полностью необнаруживаемый (FUD) статус.
Предполагается, что клиентам предоставляется уникальная заглушка, что делает каждый файл вредоносного ПО уникальным и, следовательно, трудным для обнаружения. Заглушка является исполняемым файлом и упаковщиком криптографии. Ranion также позволяет диверсифицировать время заражения и начала запуска шифратора.
Кроме того, Ranion предлагают своим клиентам услуги поддержки в режиме реального времени.
Безусловно, Ranion не способен потеснить или составить весомую конкуренцию крупным игрокам ransomware, но окучить жертв меньшего бюджета - в самый раз.
При этом средняя утечка данных обходится жертвам в 4,24 миллиона долларов за инцидент, что является самым высоким показателем за 17 лет. Только за 2020 год количество платежей выкупа превысило более 400 млн. долларов, что в 4 раза превышает показатели 2019.
Но 2021 год рискует стать пиковым по числу инцидентов в этой области: новая группа вымогателей предлагает услугу RaaS в более упрощенном варианте.
Как правило, крупные картели вымогателей, такие как REvil или Conti взимают со своих партнеров комиссию в размере 30% за выкуп. Картели поставляют вредоносное ПО, а злоумышленники проводят атаки. Новая группа Ranion в даркнете предлагает за предоплату свое вредоносное ПО без дополнительных сборов за обслуживание, что потенциально упрощает кибервымогательство, ведь преступникам не требуется возвращать поставщику вредоносного ПО треть суммы выкупа.
Ranion использует шифрование AES 256 и практически не поддается обнаружению средствами защиты. Различные пакеты ВПО Ranion предлагаются к реализации по цене от 150 до 1900 долларов. При этом более дорогие предложения гарантируют полностью необнаруживаемый (FUD) статус.
Предполагается, что клиентам предоставляется уникальная заглушка, что делает каждый файл вредоносного ПО уникальным и, следовательно, трудным для обнаружения. Заглушка является исполняемым файлом и упаковщиком криптографии. Ranion также позволяет диверсифицировать время заражения и начала запуска шифратора.
Кроме того, Ranion предлагают своим клиентам услуги поддержки в режиме реального времени.
Безусловно, Ranion не способен потеснить или составить весомую конкуренцию крупным игрокам ransomware, но окучить жертв меньшего бюджета - в самый раз.
Тем временем, LockBit 2.0 ударили по израильской аэрокосмической и оборонной компании EMIT Aviation Consulting Ltd, у которой теперь осталось 3 дня чтобы договориться с хакерами о выкупе, иначе их ждет серьезная утечка.
В последнее время группа проявляет мощную активность с июля 2021 года: в список недавних жертв входят Riviana, Wormington & Bollinger, Anasia Group, Vlastuin Group, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Day Lewis, Buffington Law Firm и десятки других крупных компаний по всему миру.
Нынешняя жертва - EMIT Aviation Consulting Ltd была основана в 1986 году, занимается проектированием и сборкой самолетов, тактических и субтактических систем БПЛА, а также интегрированных мобильных систем разведки.
Пока что вымогатели еще не предоставили никаких пруфов в качестве доказательства кражи сведений. Поэтому еще и неясно, как и когда злоумышленники проникли в сеть компании.
Наблюдаем, будет интересно.
В последнее время группа проявляет мощную активность с июля 2021 года: в список недавних жертв входят Riviana, Wormington & Bollinger, Anasia Group, Vlastuin Group, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Day Lewis, Buffington Law Firm и десятки других крупных компаний по всему миру.
Нынешняя жертва - EMIT Aviation Consulting Ltd была основана в 1986 году, занимается проектированием и сборкой самолетов, тактических и субтактических систем БПЛА, а также интегрированных мобильных систем разведки.
Пока что вымогатели еще не предоставили никаких пруфов в качестве доказательства кражи сведений. Поэтому еще и неясно, как и когда злоумышленники проникли в сеть компании.
Наблюдаем, будет интересно.
Амбициозные планы раскрыл президент США Джо Байден, который намерен до конца октября объединить 30 стран для борьбы с бандами вымогателей, атаки которых организации по всему миру.
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию в укрывательстве киберпреступников.
Байден также отметил, что под предлогом ransomware в реальности будут налажены контакты по вопросам противодействия более широкому фронту киберугроз, в том числе для противодействия незаконному использованию криптовалюты, а также будут установлены новые правила политики в киберпространстве и соответственно новые санкции.
Безусловно, под США лягут традиционные союзники по НАТО и прочие G-партнеры. Но вот интересно, а Россию и КНР позовут? Или снова будут показывать пальцем и стоять в сторонке.
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию в укрывательстве киберпреступников.
Байден также отметил, что под предлогом ransomware в реальности будут налажены контакты по вопросам противодействия более широкому фронту киберугроз, в том числе для противодействия незаконному использованию криптовалюты, а также будут установлены новые правила политики в киберпространстве и соответственно новые санкции.
Безусловно, под США лягут традиционные союзники по НАТО и прочие G-партнеры. Но вот интересно, а Россию и КНР позовут? Или снова будут показывать пальцем и стоять в сторонке.
The White House
Statement by President Joe Biden on Cybersecurity Awareness Month
Cyber threats can affect every American, every business regardless of size, and every community. That’s why my administration is marshalling a
Forwarded from SecurityLab.ru
В США летающие микрочипы следят за людьми и вирусами, подельники REvil потребовали вернуть свою долю, троян GriftHorse заразил 10 млн Android-гаджетов, а новый робот Amazon оказался настоящим кошмаром с точки зрения ИБ. А также традиционные конкурсы с крутыми призами! Смотрите 34-й выпуск наших новостей:
https://www.youtube.com/watch?v=TzC3yRqtoJg
https://www.youtube.com/watch?v=TzC3yRqtoJg
YouTube
Обнаружен новый Android-троян, инженеры создали летающие микрочипы. Security-новости #34 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
Начнем этот день с новостей про наши любимые инфосек компании.
Как вы уже догадались, речь пойдет о FireEye, на полшишечки официально принадлежащей ЦРУ, McAfee и RSA Security, которая была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Мощности всех теперь объединены инвестиционным гигантом Symphony Technology Group (STG), сумевшего за последний год выкупить за 4 миллиарда долларов McAfee Enterprise, за 1,2 миллиарда долларов - продукты FireEye (без киберразведки в виде Mandiat). Годом ранее консорциум выкупил RSA Security за 2 миллиарда долларов.
Сочетание продуктов McAfee Enterprise и FireEye, по мнению STG, немедленно создаст поставщика услуг по кибербезопасности с 40 тыс. клиентов, 5 тыс. сотрудников и годовым доходом в размере почти 2 млрд. долларов.
Инфосек гигната возглавит Брайан Пальм из FireEye. Как распределятся портфели спецслужб в новом консорциуме пока не ясно, но задачи по линии спецслужб никто не отменял.
Как вы уже догадались, речь пойдет о FireEye, на полшишечки официально принадлежащей ЦРУ, McAfee и RSA Security, которая была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Мощности всех теперь объединены инвестиционным гигантом Symphony Technology Group (STG), сумевшего за последний год выкупить за 4 миллиарда долларов McAfee Enterprise, за 1,2 миллиарда долларов - продукты FireEye (без киберразведки в виде Mandiat). Годом ранее консорциум выкупил RSA Security за 2 миллиарда долларов.
Сочетание продуктов McAfee Enterprise и FireEye, по мнению STG, немедленно создаст поставщика услуг по кибербезопасности с 40 тыс. клиентов, 5 тыс. сотрудников и годовым доходом в размере почти 2 млрд. долларов.
Инфосек гигната возглавит Брайан Пальм из FireEye. Как распределятся портфели спецслужб в новом консорциуме пока не ясно, но задачи по линии спецслужб никто не отменял.
Спешим развеять все конспирологические теории в отношении крупнейшего сбоя работы Интернет-сервисов, который, прежде всего, затронул все продукты Facebook, в том числе и всю внутрикорпоративную инфраструктуру компании.
После тщательного анализа ситуации стало известно, что первоначальной причиной начавшегося сбоя стали ошибки при изменении конфигурации магистральных маршрутизаторов, которые отвечают за BGP-сессии и их анонсы, а также за всю автономную систему Facebook, координируя сетевой трафик между ключевыми ЦОДами и вовне. После этого были деактивированы NS-сервера компании и пропали соответствующие DNS-записи.
Из-за того, что засбоили внутренние каналы коммуникации инженерного блока Facebook утратилась оперативность работы служб. Дошло до того, что инженерам приходилось физически штурмовать ЦОДы, поскольку СКУДы также были выведены из строя и не пропускали персонал.
В свою очередь, это нарушение сетевого трафика оказало каскадное влияние на всю сеть (пользователи жаловались на проблемы в работе Telegram, Twitter, Youtube, Google и др.). Подавшиеся панике юзеры массово начали рефрешить запросы к сервисам Facebook (включая Instagram и WhatsApp), что негативным образом сказалось на функционировании DNS-резолверов, благодаря которым замедлилась работа и других связанных с ними Интернет-сегментов.
Пока не понятно, кто был инициатором изменений конфигурации маршрутизаторов и почему они были сделаны, с этим сейчас разбираются соответствующие службы Facebook. Но из-за инцидента рухнули акции компании, а ее главный бенефициар Цукерберг потерял более 6 млрд. долларов.
PS: Анонсированная на хайпе крупнейшая в истории Facebook утечка с данными на 1,5 млрд. пользователей этой социальной сети, согласно расследованию наших уважаемых коллег из @dataleak, является не более чем разводом. До настоящего времени самой крупной подтвержденной утечкой пользователей Facebook остаётся база данных с 533 млн. записей.
После тщательного анализа ситуации стало известно, что первоначальной причиной начавшегося сбоя стали ошибки при изменении конфигурации магистральных маршрутизаторов, которые отвечают за BGP-сессии и их анонсы, а также за всю автономную систему Facebook, координируя сетевой трафик между ключевыми ЦОДами и вовне. После этого были деактивированы NS-сервера компании и пропали соответствующие DNS-записи.
Из-за того, что засбоили внутренние каналы коммуникации инженерного блока Facebook утратилась оперативность работы служб. Дошло до того, что инженерам приходилось физически штурмовать ЦОДы, поскольку СКУДы также были выведены из строя и не пропускали персонал.
В свою очередь, это нарушение сетевого трафика оказало каскадное влияние на всю сеть (пользователи жаловались на проблемы в работе Telegram, Twitter, Youtube, Google и др.). Подавшиеся панике юзеры массово начали рефрешить запросы к сервисам Facebook (включая Instagram и WhatsApp), что негативным образом сказалось на функционировании DNS-резолверов, благодаря которым замедлилась работа и других связанных с ними Интернет-сегментов.
Пока не понятно, кто был инициатором изменений конфигурации маршрутизаторов и почему они были сделаны, с этим сейчас разбираются соответствующие службы Facebook. Но из-за инцидента рухнули акции компании, а ее главный бенефициар Цукерберг потерял более 6 млрд. долларов.
PS: Анонсированная на хайпе крупнейшая в истории Facebook утечка с данными на 1,5 млрд. пользователей этой социальной сети, согласно расследованию наших уважаемых коллег из @dataleak, является не более чем разводом. До настоящего времени самой крупной подтвержденной утечкой пользователей Facebook остаётся база данных с 533 млн. записей.
Twitter
Kevin Beaumont
Facebook Engineering blog is out. Core network failure from config change. engineering.fb.com/2021/10/04/net…
Любопытная новость из этих ваших палестин.
Сразу скажем, что журналисты Motherboard, похоже, не до конца в теме, поэтому передадим суть так, как поняли ее мы (а мы тоже не до конца в теме, если что).
Американская компания Syniverse, которая является, судя по всему, крупнейшим в мире провайдером SS7 (он же ОКС-7) и обслуживает 95 из 100 ведущих операторов сотовой связи в мире (а всего клиентов-операторов - около 300), в течение 5 лет (!) была скомпрометирована со стороны неизвестных хакеров.
Как сообщила компания 27 сентября в отчете в адрес SEC (американская Комиссия по ценным бумагам), в мае 2021 года было обнаружено вторжение в сеть, по результатам расследования которого выяснилось, что злоумышленники преспокойно сидели себе там аж с мая 2016 года.
Сами Syniverse темнят, несомненно пытаясь преуменьшить масштаб киберинцидента, так что ситуация до конца не ясна, но предположить потенциальные последствия от взлома несложно. Вот они.
Дело в том, что SS7 - это, фактически система управления всей телефонной связью, а заодно еще с ее помощью передаются SMS. Таким образом, скомпрометировав Syniverse хакеры могли получить доступ ко всем передающимся через компанию данным посредством SS7. А это - текст и реквизиты SMS-сообщений (включая 2FA), данные о конкретном вызове, включающие номера абонентов (MSISDN), физический номер SIM-карты (IMSI), данные базовой станции, в зоне действия которой находится абонент и многое другое.
То есть фактически хакеры взломали биллинги и SMS-центры 95 из 100 крупнейших операторов сотовой связи в мире. Какие тут пробивщики в даркнете, о чем вы...
Сразу скажем, что журналисты Motherboard, похоже, не до конца в теме, поэтому передадим суть так, как поняли ее мы (а мы тоже не до конца в теме, если что).
Американская компания Syniverse, которая является, судя по всему, крупнейшим в мире провайдером SS7 (он же ОКС-7) и обслуживает 95 из 100 ведущих операторов сотовой связи в мире (а всего клиентов-операторов - около 300), в течение 5 лет (!) была скомпрометирована со стороны неизвестных хакеров.
Как сообщила компания 27 сентября в отчете в адрес SEC (американская Комиссия по ценным бумагам), в мае 2021 года было обнаружено вторжение в сеть, по результатам расследования которого выяснилось, что злоумышленники преспокойно сидели себе там аж с мая 2016 года.
Сами Syniverse темнят, несомненно пытаясь преуменьшить масштаб киберинцидента, так что ситуация до конца не ясна, но предположить потенциальные последствия от взлома несложно. Вот они.
Дело в том, что SS7 - это, фактически система управления всей телефонной связью, а заодно еще с ее помощью передаются SMS. Таким образом, скомпрометировав Syniverse хакеры могли получить доступ ко всем передающимся через компанию данным посредством SS7. А это - текст и реквизиты SMS-сообщений (включая 2FA), данные о конкретном вызове, включающие номера абонентов (MSISDN), физический номер SIM-карты (IMSI), данные базовой станции, в зоне действия которой находится абонент и многое другое.
То есть фактически хакеры взломали биллинги и SMS-центры 95 из 100 крупнейших операторов сотовой связи в мире. Какие тут пробивщики в даркнете, о чем вы...
VICE
Company That Routes Billions of Text Messages Quietly Says It Was Hacked
Syniverse handles billions of text messages a year, and hackers had unauthorized access to its system for years.
28 сентября в результате спланированной международной операции ФБР, Европола, Интерпола, французской жандармерии при поддержке украинских полицейских в Киеве были арестованы 2 хакера, одним из которых оказался 25-летний программист, принимавший участие в громких атаках ransomware.
Принадлежность подозреваемого к какой-либо конкретной банде вымогателей умалчивается Европолом по «оперативным причинам».
Согласно представленным спецслужбами данным, задержанным вминаются начавшиеся с апреля 2020 года атаки на более чем 100 компаний в Северной Америке и Европе с общим ущербом на сумму более 150 млн. долларов. При этом выкуп этой группы составлял от 5 до 70 миллионов евро. Хакеры украли конфиденциальную информацию у жертв, прежде чем зашифровать их файлы.
В ходе обыска полицейские изъяли компьютеры, используемые для доступа к удаленным серверам, с которых была развернута ransomware, 375000 долларов наличными и 1,3 миллиона долларов в криптовалюте. Кроме того, под арест взяты 2 люксовых автомобиля.
Вторым задержанным оказался сообщник, который помогал хакеру выводить деньги, полученные в качестве выкупа.
На видео задержания становится понятно, что во время обыска силовикам удалось разблокировать девайсы и ПК, в том числе на базе iOS, и это дает все основания считать вполне реальным идентификацию и поимку других участников хакерской группы. Теперь это дело времени и техники, но учитывая тренд - больше даже в оформлении бумаг.
Ранее на территории Украины также проводилась операция, в результате которой завершилась история банды вымогателей Clop. На этот раз, по мнению экспертов, в руки, можно сказать американских правоохранителей, все же попались REvil. Теперь немного проясняется судьба Unknown, да и перспективы всей группы.
Принадлежность подозреваемого к какой-либо конкретной банде вымогателей умалчивается Европолом по «оперативным причинам».
Согласно представленным спецслужбами данным, задержанным вминаются начавшиеся с апреля 2020 года атаки на более чем 100 компаний в Северной Америке и Европе с общим ущербом на сумму более 150 млн. долларов. При этом выкуп этой группы составлял от 5 до 70 миллионов евро. Хакеры украли конфиденциальную информацию у жертв, прежде чем зашифровать их файлы.
В ходе обыска полицейские изъяли компьютеры, используемые для доступа к удаленным серверам, с которых была развернута ransomware, 375000 долларов наличными и 1,3 миллиона долларов в криптовалюте. Кроме того, под арест взяты 2 люксовых автомобиля.
Вторым задержанным оказался сообщник, который помогал хакеру выводить деньги, полученные в качестве выкупа.
На видео задержания становится понятно, что во время обыска силовикам удалось разблокировать девайсы и ПК, в том числе на базе iOS, и это дает все основания считать вполне реальным идентификацию и поимку других участников хакерской группы. Теперь это дело времени и техники, но учитывая тренд - больше даже в оформлении бумаг.
Ранее на территории Украины также проводилась операция, в результате которой завершилась история банды вымогателей Clop. На этот раз, по мнению экспертов, в руки, можно сказать американских правоохранителей, все же попались REvil. Теперь немного проясняется судьба Unknown, да и перспективы всей группы.
Twitter
GarWarner
In European style, the operators are not named, nor was their malware family. But they were active since April 2020 and made ransom demands as high as $70 Million.
Старый-старый анекдот.
Едет богатырь на своем коне по дороге, видит - впереди развилка, три дороги, камень, а на камне надпись: "Налево пойдешь - коня потеряешь, направо пойдешь - жизнь потеряешь, прямо пойдешь - жив будешь, но себя позабудешь".
Задумался богатырь - куда идти, если кругом засада? А тут голос сверху: "Будешь долго думать - прямо здесь пизды получишь!"
https://news.1rj.ru/str/avdno/1102
Едет богатырь на своем коне по дороге, видит - впереди развилка, три дороги, камень, а на камне надпись: "Налево пойдешь - коня потеряешь, направо пойдешь - жизнь потеряешь, прямо пойдешь - жив будешь, но себя позабудешь".
Задумался богатырь - куда идти, если кругом засада? А тут голос сверху: "Будешь долго думать - прямо здесь пизды получишь!"
https://news.1rj.ru/str/avdno/1102
Telegram
Антивирусное ДНО
https://www.facebook.com/100001831018214/posts/6160647420672897
Apache Software Foundation выпустила версию 2.4.50 веб-сервера HTTP для исправления 2 уязвимостей в системе безопасности, связанных с ошибками обхода пути и раскрытия файлов на HTTP-сервере. Баги активно эксплуатируются в дикой природе.
HTTP-сервер Apache - это кроссплатформенный веб-сервер с открытым исходным кодом, который чрезвычайно популярен среди частных и корпоративных пользователей благодаря своей универсальности, надежности и доступности.
Первая уязвимость CVE-2021-41773 обнаружена командой cPanel 29 сентября 2021 года и позволяет субъектам сопоставлять URL-адреса с файлами за пределами ожидаемого корня документа путем запуска атаки обхода пути. Чтобы атака сработала, жертва должна запустить Apache HTTP Server 2.4.49, а также иметь отключенный параметр управления доступом 'require all denied' (это конфигурация включена по умолчанию).
Ошибка затрагивает только Apache HTTP Server 2.4.49, более ранние версии Apache Server или версии с другой конфигурацией доступа не подвержены этой уязвимости. Кроме того, использование этой уязвимости может привести к утечке источника интерпретируемых файлов, таких как сценарии CGI.
Apache также устранили уязвимость в обработке запросов HTTP/2 (CVE-2021-41524), которая позволяет злоумышленнику выполнить атаку отказа в обслуживании (DoS) на сервере. Бага также свойственна только для Apache Server версии 2.4.49, активной эксплуатации не подвержена. Ошибка была обнаружена еще 3 недели назад, исправлена в конце прошлого месяца и включена в версию 2.4.50.
Согласно статистике Shodan, в сети представлено более 100 тыс. экземпляров Apache HTTP Server 2.4.49, многие из которых могут быть уязвимы. Поскольку версия 2.4.49 была выпущена всего несколько недель назад, вероятно, многие пользователи все еще не обновились.
Пользователям Apache настоятельно рекомендуем как можно скорее внести исправления, чтобы ограничить уязвимость обхода пути и снизить любой риск, связанный с активным использованием уязвимостей.
HTTP-сервер Apache - это кроссплатформенный веб-сервер с открытым исходным кодом, который чрезвычайно популярен среди частных и корпоративных пользователей благодаря своей универсальности, надежности и доступности.
Первая уязвимость CVE-2021-41773 обнаружена командой cPanel 29 сентября 2021 года и позволяет субъектам сопоставлять URL-адреса с файлами за пределами ожидаемого корня документа путем запуска атаки обхода пути. Чтобы атака сработала, жертва должна запустить Apache HTTP Server 2.4.49, а также иметь отключенный параметр управления доступом 'require all denied' (это конфигурация включена по умолчанию).
Ошибка затрагивает только Apache HTTP Server 2.4.49, более ранние версии Apache Server или версии с другой конфигурацией доступа не подвержены этой уязвимости. Кроме того, использование этой уязвимости может привести к утечке источника интерпретируемых файлов, таких как сценарии CGI.
Apache также устранили уязвимость в обработке запросов HTTP/2 (CVE-2021-41524), которая позволяет злоумышленнику выполнить атаку отказа в обслуживании (DoS) на сервере. Бага также свойственна только для Apache Server версии 2.4.49, активной эксплуатации не подвержена. Ошибка была обнаружена еще 3 недели назад, исправлена в конце прошлого месяца и включена в версию 2.4.50.
Согласно статистике Shodan, в сети представлено более 100 тыс. экземпляров Apache HTTP Server 2.4.49, многие из которых могут быть уязвимы. Поскольку версия 2.4.49 была выпущена всего несколько недель назад, вероятно, многие пользователи все еще не обновились.
Пользователям Apache настоятельно рекомендуем как можно скорее внести исправления, чтобы ограничить уязвимость обхода пути и снизить любой риск, связанный с активным использованием уязвимостей.
Twitter
PT SWARM
🔥 We have reproduced the fresh CVE-2021-41773 Path Traversal vulnerability in Apache 2.4.49. If files outside of the document root are not protected by "require all denied" these requests can succeed. Patch ASAP! httpd.apache.org/security/vulne…
В контроллерах Honeywell Experion PKS и ACE обнаружены критические уязвимости, и по этому поводу обеспокоена даже CISA. Настолько, что во вторник агентство даже выпустило на этот счет отдельные рекомендации и озвучило опасения.
И не удивительно, ведь Experion (PKS) - это распределенная система управления (DCS), предназначенная для управления крупными производственными процессами, охватывающими множество секторов, от нефтехимических заводов до атомных электростанций, где важны высокая надежность и безопасность.
Ошибки были обнаружены гуру промышленной кибербезопасности Claroty, затрагивают все версии контроллеров Honeywell Experion Process Knowledge System C200, C200E, C300 и ACE.
В целом, картина следующая:
⁃ CVE-2021-38397 (оценка по CVSS: 10,0!!!) - неограниченная загрузка файла с опасным типом.
⁃ CVE-2021-38395 (оценка по CVSS: 9,1) - неправильная нейтрализация специальных элементов в выходных данных, используемых нижестоящим компонентом.
⁃ CVE-2021-38399 (оценка по CVSS: 7,5) - относительный обход пути.
Проблемы связаны с процедурой загрузки кода, которая необходима для программирования логики, работающей в контроллере, что позволяет злоумышленнику имитировать процесс и загружать произвольные двоичные файлы CLL.
Согласно еще февральскому отчету Honeywell, библиотека компонентов управления (CCL) могла изменяться злоумышленником и загружаться в контроллер. В таком случае устройство загружает исполняемые файлы без выполнения проверки или дезинфекции, давая злоумышленнику возможность загружать исполняемые файлы и запускать несанкционированный нативный код удаленно без аутентификации.
Умелая эксплуатация дыр позволит злоумышленнику получить доступ к неавторизованным файлам и каталогам, и, что еще хуже, удаленно выполнить произвольный код (или вызвать состояние отказа в обслуживании).
Чтобы предотвратить загрузку измененного CCL с вредоносным кодом в контроллер, Honeywell внедрила дополнительные исправления безопасности, подписав каждый двоичный файл CCL, проверенный перед его использованием, криптографической подписью.
Пользователям настоятельно рекомендуется накатить исправления как можно скорее, чтобы полностью нивелировать эти уязвимости, одна из которых имеет оценку 10 из 10, что встречается крайне редко в практике.
И не удивительно, ведь Experion (PKS) - это распределенная система управления (DCS), предназначенная для управления крупными производственными процессами, охватывающими множество секторов, от нефтехимических заводов до атомных электростанций, где важны высокая надежность и безопасность.
Ошибки были обнаружены гуру промышленной кибербезопасности Claroty, затрагивают все версии контроллеров Honeywell Experion Process Knowledge System C200, C200E, C300 и ACE.
В целом, картина следующая:
⁃ CVE-2021-38397 (оценка по CVSS: 10,0!!!) - неограниченная загрузка файла с опасным типом.
⁃ CVE-2021-38395 (оценка по CVSS: 9,1) - неправильная нейтрализация специальных элементов в выходных данных, используемых нижестоящим компонентом.
⁃ CVE-2021-38399 (оценка по CVSS: 7,5) - относительный обход пути.
Проблемы связаны с процедурой загрузки кода, которая необходима для программирования логики, работающей в контроллере, что позволяет злоумышленнику имитировать процесс и загружать произвольные двоичные файлы CLL.
Согласно еще февральскому отчету Honeywell, библиотека компонентов управления (CCL) могла изменяться злоумышленником и загружаться в контроллер. В таком случае устройство загружает исполняемые файлы без выполнения проверки или дезинфекции, давая злоумышленнику возможность загружать исполняемые файлы и запускать несанкционированный нативный код удаленно без аутентификации.
Умелая эксплуатация дыр позволит злоумышленнику получить доступ к неавторизованным файлам и каталогам, и, что еще хуже, удаленно выполнить произвольный код (или вызвать состояние отказа в обслуживании).
Чтобы предотвратить загрузку измененного CCL с вредоносным кодом в контроллер, Honeywell внедрила дополнительные исправления безопасности, подписав каждый двоичный файл CCL, проверенный перед его использованием, криптографической подписью.
Пользователям настоятельно рекомендуется накатить исправления как можно скорее, чтобы полностью нивелировать эти уязвимости, одна из которых имеет оценку 10 из 10, что встречается крайне редко в практике.
us-cert.cisa.gov
Honeywell Experion PKS and ACE Controllers | CISA
1. EXECUTIVE SUMMARY
CVSS v3 10.0
ATTENTION: Exploitable remotely/low attack complexity
Vendor: Honeywell
Equipment: Experion Process Knowledge System (PKS) C200, C200E, C300 and ACE Controllers
Vulnerabilities: Unrestricted Upload of File with Dangerous…
CVSS v3 10.0
ATTENTION: Exploitable remotely/low attack complexity
Vendor: Honeywell
Equipment: Experion Process Knowledge System (PKS) C200, C200E, C300 and ACE Controllers
Vulnerabilities: Unrestricted Upload of File with Dangerous…
Подошла очередная порция обновлений от Google, которая объявила о выпуске новых исправлений безопасности для мобильной операционной системы Android, которых обнаружилось далеко за 50.
10 уязвимостей были устранены с помощью обновлений от 01.10.2021. Самая серьезная уязвимость связана с ошибкой в компоненте операционной системы, которая может быть использована для удаленного выполнения кода. Также среди закрытых дыр были ошибки в среде выполнения Android, Framework, Media Framework и System, которых позволяли повышать привилегии, приводили к раскрытию информации и отказу в обслуживании.
Порция обновлений от 5 октября устраняет 41 уязвимость, 3 из которых из относятся к категории критических. Согласно мнению Google, наиболее серьезной из них является ошибка в системных компонентах. Проблема затрагивает версии Android 8.1, 9, 10, 11 и отслеживается как CVE-2021-0870. Критическая уязвимость позволяет удаленному злоумышленнику выполнить произвольный код в контексте привилегированного процесса. Остальные 40 проблем влияют на элементы ядра, телекоммуникации и Qualcomm, которые связанны с повышением привилегий и раскрытием информации.
В дополнение к исправлениям обновление получат устройства Google Pixel, в которых выявлено еще 20 уязвимостей согласно бюллетеню Pixel Security Bulletin.
От слов к делу – накатываем патчи и исправления.
10 уязвимостей были устранены с помощью обновлений от 01.10.2021. Самая серьезная уязвимость связана с ошибкой в компоненте операционной системы, которая может быть использована для удаленного выполнения кода. Также среди закрытых дыр были ошибки в среде выполнения Android, Framework, Media Framework и System, которых позволяли повышать привилегии, приводили к раскрытию информации и отказу в обслуживании.
Порция обновлений от 5 октября устраняет 41 уязвимость, 3 из которых из относятся к категории критических. Согласно мнению Google, наиболее серьезной из них является ошибка в системных компонентах. Проблема затрагивает версии Android 8.1, 9, 10, 11 и отслеживается как CVE-2021-0870. Критическая уязвимость позволяет удаленному злоумышленнику выполнить произвольный код в контексте привилегированного процесса. Остальные 40 проблем влияют на элементы ядра, телекоммуникации и Qualcomm, которые связанны с повышением привилегий и раскрытием информации.
В дополнение к исправлениям обновление получат устройства Google Pixel, в которых выявлено еще 20 уязвимостей согласно бюллетеню Pixel Security Bulletin.
От слов к делу – накатываем патчи и исправления.
Злая и вовсе не шутка произошла с Twitch. Сеть взломали.
И случилось это в аккурат после демарша стримеров в августе, устроивших бойкот администрации сети, не предпринявшей должных мер реагирования на рейды ненависти, в ходе которых Интернет-тролли массового забрасывали чаты стримеров расистскими, унизительными и оскорбляющими репликами.
Неизвестный хакер создал на 4chan ветку и опубликовал torrent-файл объемом 128 ГБ, сопроводив сообщение хэштегом DoBetterTwitch, появившимся по инициативе администрации хостинга в качестве ее ответной реакции на обозначенные стримерами проблемы.
Слитый в сеть архив включает в себя:
⁃ Информация о выплатах авторам на Twitch за последние 3 года.
⁃ Исходный код Twitch с историей коммитов от самого начала разработки.
⁃ Исходный код клиентов Twitch для мобильных, настольных ПК и видеоигр.
⁃ Код, связанный с проприетарными SDK и внутренними сервисами AWS, используемыми Twitch.
⁃ Неизданный конкурент Steam от Amazon Game Studios, под кодовым названием Vapor.
⁃ Данные о других свойствах Twitch, таких как IGDB и CurseForge.
⁃ Инструменты внутренней безопасности Twitch.
⁃ Зашифрованные пароли некоторых пользователей.
Данные были, предположительно украдены из более чем 6000 внутренних репозиториев Twitch Git. По предварительной оценке, они являются подлинными.
Twitch до настоящего времени не комментирует инцидент. Однако им это определённо придется сделать, ведь, по заявлению анонима, это всего лишь первая часть утечки.
И случилось это в аккурат после демарша стримеров в августе, устроивших бойкот администрации сети, не предпринявшей должных мер реагирования на рейды ненависти, в ходе которых Интернет-тролли массового забрасывали чаты стримеров расистскими, унизительными и оскорбляющими репликами.
Неизвестный хакер создал на 4chan ветку и опубликовал torrent-файл объемом 128 ГБ, сопроводив сообщение хэштегом DoBetterTwitch, появившимся по инициативе администрации хостинга в качестве ее ответной реакции на обозначенные стримерами проблемы.
Слитый в сеть архив включает в себя:
⁃ Информация о выплатах авторам на Twitch за последние 3 года.
⁃ Исходный код Twitch с историей коммитов от самого начала разработки.
⁃ Исходный код клиентов Twitch для мобильных, настольных ПК и видеоигр.
⁃ Код, связанный с проприетарными SDK и внутренними сервисами AWS, используемыми Twitch.
⁃ Неизданный конкурент Steam от Amazon Game Studios, под кодовым названием Vapor.
⁃ Данные о других свойствах Twitch, таких как IGDB и CurseForge.
⁃ Инструменты внутренней безопасности Twitch.
⁃ Зашифрованные пароли некоторых пользователей.
Данные были, предположительно украдены из более чем 6000 внутренних репозиториев Twitch Git. По предварительной оценке, они являются подлинными.
Twitch до настоящего времени не комментирует инцидент. Однако им это определённо придется сделать, ведь, по заявлению анонима, это всего лишь первая часть утечки.
The Verge
Twitch source code and creator payouts part of massive leak
Twitch is reportedly aware of the breach.
Раскрыт таинственный бэкдор UEFI Bootkit ESPecter.
Исследователи по кибербезопасности из ESET опубликовали детали ранее недокументированного буткита UEFI (Unified Extensible Firmware Interface), который использовался злоумышленниками под Windows еще в далеком 2012 году путем модификации легитимного двоичного файла Windows Boot Manager.
Как мы знаем, всегда верхом мастерства и заманчивой целью для злоумышленников являлась возможность закрепиться в целевой системе еще до загрузки операционной системы.
Представители словацкого инфосека прозвали новое вредоносное ПО ESPecter за его способность сохраняться в системном разделе EFI (ESP), а также обходить принудительное использование подписи драйверов Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для осуществления шпионских действий, например кражи информации, записи клавиатурных нажатий и мониторинга действий пользователя, периодически делая снимки экрана.
Удивительно, что механизм проникновения вредоносной программы пока неизвестен, несмотря на то, что корни ESPecter можно проследить как минимум до 2012 года, когда он возник как буткит для систем с устаревшими версиями BIOS. Причем авторы malware регулярно добавляют поддержку новых версий ОС Windows, практически не внося никаких изменений в модули вредоносного ПО.
По мнению специалистов, самое большое изменение произошло в 2020 году, когда авторы ESPecter, по-видимому, решили перенести свои вредоносные программы с устаревших систем BIOS на современные системы UEFI.
В системах, поддерживающих устаревший режим загрузки BIOS, ESPecter получал контроль, изменяя код основной загрузочной записи (MBR), расположенный в первом физическом секторе диска, для внедрения вредоносного драйвера ядра, осуществляющего загрузку дополнительных модулей и настройки кейлоггера перед стиранием собственных следов с машины.
Независимо от используемого варианта MBR или UEFI, развертывание драйвера приводит к внедрению вредоносных компонентов в определенные системные процессы для установления связи с удаленным сервером. Таким образом, злоумышленники без проблем способны захватить скомпрометированный компьютер и взять над ним полное управление и контроль, не говоря уже о загрузке и выполнении других вредоносных программ или команд, полученных с сервера.
С нетерпением ждем от антивирусной компании ESET (и не только), соответствующих рекомендаций и решений по безопасности, так как существующие механизмы безопасности, такие как UEFI Secure Boot не в силах противостоять таинственному бэкдору.
Исследователи по кибербезопасности из ESET опубликовали детали ранее недокументированного буткита UEFI (Unified Extensible Firmware Interface), который использовался злоумышленниками под Windows еще в далеком 2012 году путем модификации легитимного двоичного файла Windows Boot Manager.
Как мы знаем, всегда верхом мастерства и заманчивой целью для злоумышленников являлась возможность закрепиться в целевой системе еще до загрузки операционной системы.
Представители словацкого инфосека прозвали новое вредоносное ПО ESPecter за его способность сохраняться в системном разделе EFI (ESP), а также обходить принудительное использование подписи драйверов Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для осуществления шпионских действий, например кражи информации, записи клавиатурных нажатий и мониторинга действий пользователя, периодически делая снимки экрана.
Удивительно, что механизм проникновения вредоносной программы пока неизвестен, несмотря на то, что корни ESPecter можно проследить как минимум до 2012 года, когда он возник как буткит для систем с устаревшими версиями BIOS. Причем авторы malware регулярно добавляют поддержку новых версий ОС Windows, практически не внося никаких изменений в модули вредоносного ПО.
По мнению специалистов, самое большое изменение произошло в 2020 году, когда авторы ESPecter, по-видимому, решили перенести свои вредоносные программы с устаревших систем BIOS на современные системы UEFI.
В системах, поддерживающих устаревший режим загрузки BIOS, ESPecter получал контроль, изменяя код основной загрузочной записи (MBR), расположенный в первом физическом секторе диска, для внедрения вредоносного драйвера ядра, осуществляющего загрузку дополнительных модулей и настройки кейлоггера перед стиранием собственных следов с машины.
Независимо от используемого варианта MBR или UEFI, развертывание драйвера приводит к внедрению вредоносных компонентов в определенные системные процессы для установления связи с удаленным сервером. Таким образом, злоумышленники без проблем способны захватить скомпрометированный компьютер и взять над ним полное управление и контроль, не говоря уже о загрузке и выполнении других вредоносных программ или команд, полученных с сервера.
С нетерпением ждем от антивирусной компании ESET (и не только), соответствующих рекомендаций и решений по безопасности, так как существующие механизмы безопасности, такие как UEFI Secure Boot не в силах противостоять таинственному бэкдору.
С огромным уважением, но пока с небольшой долей скепсиса относимся к исследованию израильских представителей ифносека, которые без сомнений удивили результатами своих исследований.
Специалисты из Исследовательского центра кибербезопасности Университета Бен-Гуриона в Негеве разработали новый механизм кражи данных, получивший название LANtenna Attack, который использует кабели Ethernet в качестве «передающей антенны» для получения конфиденциальных данных из систем с воздушными зазорами.
LANTENNA - новый тип электромагнитной атаки, позволяющий злоумышленнику получить конфиденциальные данные из изолированных сетей посредством вредоносного кода на компьютерах жертвы собирая конфиденциальные данные, кодируя их с помощью радиоволн и передавая их через кабеля Ethernet, используемые в качестве антенн.
Ближайший принимающий радиоприемник (SDR) способен перехватывать сигналы по беспроводной сети, декодировать данные и отправлять их злоумышленнику, например, находящемуся в соседней комнате. В ходе испытания данные, которые получили с компьютера "жертвы", передавались по кабелю Ethernet и принимались на расстоянии 2 метров друг от друга.
Для реализации сценария атаки злоумышленникам необходимо физически скомпрометировать систему air.gapped, как вариант, используя инсайдера или путем обмана персонала, имеющего доступ к системе, для подключения зараженного USB-накопителя. Примечательно, что разработанный вредоносный код может работать в обычном процессе в пользовательском режиме, а также изнутри виртуальной машины.
Ожидать атаки в «дикой природе», вероятно, не стоит, однако дух все же захватывает.
Специалисты из Исследовательского центра кибербезопасности Университета Бен-Гуриона в Негеве разработали новый механизм кражи данных, получивший название LANtenna Attack, который использует кабели Ethernet в качестве «передающей антенны» для получения конфиденциальных данных из систем с воздушными зазорами.
LANTENNA - новый тип электромагнитной атаки, позволяющий злоумышленнику получить конфиденциальные данные из изолированных сетей посредством вредоносного кода на компьютерах жертвы собирая конфиденциальные данные, кодируя их с помощью радиоволн и передавая их через кабеля Ethernet, используемые в качестве антенн.
Ближайший принимающий радиоприемник (SDR) способен перехватывать сигналы по беспроводной сети, декодировать данные и отправлять их злоумышленнику, например, находящемуся в соседней комнате. В ходе испытания данные, которые получили с компьютера "жертвы", передавались по кабелю Ethernet и принимались на расстоянии 2 метров друг от друга.
Для реализации сценария атаки злоумышленникам необходимо физически скомпрометировать систему air.gapped, как вариант, используя инсайдера или путем обмана персонала, имеющего доступ к системе, для подключения зараженного USB-накопителя. Примечательно, что разработанный вредоносный код может работать в обычном процессе в пользовательском режиме, а также изнутри виртуальной машины.
Ожидать атаки в «дикой природе», вероятно, не стоит, однако дух все же захватывает.
Мы периодически пишем про APT (Advanced Persistent Threat), под которыми в настоящее время понимаются высококвалифицированные хакерские группы, как правило работающие на то или иное государство.
Часто такие хакерские группы имеют одновременно несколько названий - например APT 27 aka Lucky Mouse aka Bronze Union aka Emissary Panda aka TG-3390 aka...
Или всем известные (мы надеемся, не зря же столько про них писали) киберхонгильдоны Lazarus aka Hidden Cobra aka Labyrinth Chollima aka APT-C-26 aka APT 38 aka...
Мы как-то давно ссылались на то, что в этих названиях сам чорт ногу сломит, но не объясняли почему так происходит. Так вот за нас это прекрасно сделали журналисты из SecurityWeek.
Поэтому если вам интересна тема APT - обязательно почитайте. Это действительно интересно.
Часто такие хакерские группы имеют одновременно несколько названий - например APT 27 aka Lucky Mouse aka Bronze Union aka Emissary Panda aka TG-3390 aka...
Или всем известные (мы надеемся, не зря же столько про них писали) киберхонгильдоны Lazarus aka Hidden Cobra aka Labyrinth Chollima aka APT-C-26 aka APT 38 aka...
Мы как-то давно ссылались на то, что в этих названиях сам чорт ногу сломит, но не объясняли почему так происходит. Так вот за нас это прекрасно сделали журналисты из SecurityWeek.
Поэтому если вам интересна тема APT - обязательно почитайте. Это действительно интересно.
SecurityWeek
What’s in a Threat Group Name? An Inside Look at the Intricacies of Nation-State Attribution
Understanding the naming conventions of various threat groups can help us better understand the overall threat landscape
Исследователи из Cybereason обнаружили новый RAT ShellClient, использовавшийся хакерами в операции, направленной на кибершпионаж в отношении аэрокосмических и телекоммуникационных предприятий.
Киберкампания, названная GhostShell, была обнаружена экспертами в июле 2021 года. В ходе расследования Cybereason выявили ранее не встречавшийся RAT (Remote Access Trojan) ShellClient, который находится в разработке с ноября 2018 года. Удалось найти пять различных версий трояна, с каждой новой малварь прирастала новыми функциями.
Интересен метод организации связи RAT с С2 - для управления используется хранилище Dropbox, которое сканируется вредоносом каждые 2 секунды.
Основные TTPs злоумышленника ранее не встречались, поэтому стоящую за атакой хакерскую группу исследователи атрибутировали как новую APT и назвали MalKamak. Сначала Cybereason посчитали, что автором GhostShell является российская APT Turla, однако, проведя проверку, от этой версии американцы отказались (а заодно у них, похоже, появились вопросы к объективности Symantec, хе-хе).
В дальнейшем исследователи нашли несколько отдаленных сходств с TTPs иранских хакерских групп Chafer aka APT 39 aka Remix Kitten и Agrius. И хотя таких совпадений приличное количество, среди них нет ни одного серьезного признака, который бы помог связать MalKamak с иранцами напрямую (про APT Chafer мы немного писали в прошлом году).
Этот факт, впрочем, как всегда абсолютно не смущает бодрых инфосек журналистов, которые, путая педали, побежали рассказывать всему миру про новых иранских хакеров.
И в завершении повествования отметим, что, по данным Cybereason, в числе целей кибершпионажа MalKamak есть и российские аэрокосмические и телекоммуникационные компании. Впрочем, кому это интересно...
Киберкампания, названная GhostShell, была обнаружена экспертами в июле 2021 года. В ходе расследования Cybereason выявили ранее не встречавшийся RAT (Remote Access Trojan) ShellClient, который находится в разработке с ноября 2018 года. Удалось найти пять различных версий трояна, с каждой новой малварь прирастала новыми функциями.
Интересен метод организации связи RAT с С2 - для управления используется хранилище Dropbox, которое сканируется вредоносом каждые 2 секунды.
Основные TTPs злоумышленника ранее не встречались, поэтому стоящую за атакой хакерскую группу исследователи атрибутировали как новую APT и назвали MalKamak. Сначала Cybereason посчитали, что автором GhostShell является российская APT Turla, однако, проведя проверку, от этой версии американцы отказались (а заодно у них, похоже, появились вопросы к объективности Symantec, хе-хе).
В дальнейшем исследователи нашли несколько отдаленных сходств с TTPs иранских хакерских групп Chafer aka APT 39 aka Remix Kitten и Agrius. И хотя таких совпадений приличное количество, среди них нет ни одного серьезного признака, который бы помог связать MalKamak с иранцами напрямую (про APT Chafer мы немного писали в прошлом году).
Этот факт, впрочем, как всегда абсолютно не смущает бодрых инфосек журналистов, которые, путая педали, побежали рассказывать всему миру про новых иранских хакеров.
И в завершении повествования отметим, что, по данным Cybereason, в числе целей кибершпионажа MalKamak есть и российские аэрокосмические и телекоммуникационные компании. Впрочем, кому это интересно...
Cybereason
Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms
The highly-targeted attacks against aerospace and telecoms firms by new Iranian threat actor MalKamak includes newly discovered malware that evaded security tools since 2018 and abuses Dropbox services for command and control...
Простите, не смогли удержаться.
Вчера произошло раскрытие технических подробностей Authentication Bypass в IP-камерах известного производителя Dahua, которые активно продаются в том числе и в России.
Оказалось, что у этих камер просто dahua проблем с кибербезопасностью.
Вчера произошло раскрытие технических подробностей Authentication Bypass в IP-камерах известного производителя Dahua, которые активно продаются в том числе и в России.
Оказалось, что у этих камер просто dahua проблем с кибербезопасностью.
Packetstormsecurity
Dahua Authentication Bypass ≈ Packet Storm
Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers