Google удалили из Play Store иранское приложение для выявления симптомов коронавируса.

Как известно, в Иране ситуация с коронавирусом аховая. Не такая как в Италии, но все же.

Приложение AC19 было выпущено иранцами на прошлой неделе и представляло собой экспертную программу, с помощью которой пользователь мог пройти опрос на наличие симптомов COVID-19. При регистрации AC19 запрашивало телефон пользователя и его согласие на обработку геоданных с целью их загрузки на сервер.

Это выглядит совершенно логично, ибо в случае высокой вероятности заболевания гражданина Ирана коронавирусом правительство должно, по здравому размышлению, знать его телефон и местонахождение.

После выпуска AC19 Министерство здравоохранения Ирана разослало всем иранцам SMS-сообщения с призывом установить приложение для проверки потенциальных симптомов.

Но не так все просто в империи всемирного добра и среди пользователей Play Store тут же нашлись доброхоты, которые обвинили приложение AC19 в кибершпионаже, а также в нагнетании паники. Особо усердствовали иранские диссиденты.

И хотя, со слов антивирусных экспертов из ESET никакого вредоносного функционала AC19 не содержит, Google, не долго думая, вчера удалили приложение из магазина. Комментарии от них по настоящее время не получены.

"...- Почему же они протестуют?
- ...ляди, сэр!"

#коронавирус

https://www.zdnet.com/article/spying-concerns-raised-over-irans-official-covid-19-detection-app/

Как сообщает ZeroDay, команда ученых из Университета Амстердама, Швейцарской высшей технической школы и компании Qualcomm опубликовала сегодня результаты исследования, которые опровергли безопасность модулей памяти с защитой Target Row Refresh (TRR) перед атакой Rowhammer.

Сама атака Rowhammer изначально была разработана учеными в 2014 году как теоретическая. Смысл ее заключается в том, что при современной плотности ячеек памяти электрические помехи могут передаваться между ячейками. Производя серию быстрых циклов записи строки памяти можно изменять информацию, содержащуюся в соседних ячейках.

Впоследствии было разработано множество реализаций Rowhammer, в том числе удаленных, как для ПК, так и для мобильных устройств. Усилия же производителей по защите модулей памяти привели к тому, что был разработан комплекс аппаратных и программных мер по противодействию Rowhammer, который получил название Target Row Refresh (TRR). До последнего времени считалось, что TRR достаточно для надежной защиты памяти.

Однако последнее исследование показывает, что это не так - ученые разработали инструмент под названием TRRespass, который позволяет реализовывать Rowhammer на модулях с TRR.

Из 43 видов протестированных модулей DIMM уязвимыми оказались 13 DIMM от трех крупных производителей (Samsung, Hynix и Micron).

Кроме того, модули памяти LPDDR4, используемые в смартфонах Google, LG, OnePlus и Samsung, также уязвимы перед связкой TRRespass-Rowhammer.

https://download.vusec.net/papers/trrespass_sp20.pdf

Вчера появилась информация о новой уязвимости протокола SMBv3, которая получила название CVE-2020-0796.

Что интересно, сама Microsoft никаких данных в отношении новой дырки не предоставила, однако сведения от корпорации получили ряд поставщиков решений безопасности, которые транслировали их широкой публике.

CVE-2020-0796 позволяет исполнять удаленно вредоносный код на атакованном хосте. Уязвимы Windows 10 v.1903, Windows Server v.1903, Windows 10 v.1909 и Windows Server v.1909, хотя по мнению Fortinet, следует считать уязвимыми также Windows 8 и Windows Server 2012.

Прослеживается очевидная параллель с EternalBlue, NotPetya и WannaCry.

И хотя рабочих эксплойтов пока никто не видел, Cisco Talos полагает, что необходимы отключение сжатия SMBv3 и блокировка порта TCP 445.

Вспоминая масштабность WannaCry рекомендуем всем администраторам озаботится превентивными мерами защиты и ждать патчей от Microsoft.

https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/

​​BREACKING NEWS!

Коронавирус атакует!

У двух сотрудников Exabeam, посещавших конференцию RSA в Сан-Франциско, выявлен коронавирус.

В твиттере появилась схема размещения участников конференции, на которой видно сотрудники каких компаний находились рядом с больными. Среди потенциально зараженных - ESET и Recorded Future

Видимо, IBM что-то знали, когда отказывались от участия в конференции...

#коронавирус

https://twitter.com/SushiDude/status/1237491816146100225

​​Catalin Cimpanu из ZeroDay ожидает рабочего эксплойта новой уязвимости в SMBv3 к концу сегодняшнего дня.

Прислушаться стоит, товарищ в инфосеке разбирается, даром что журналист.

Поэтому времени на закрытие 445 порта все меньше. А то придешь так на работу с утра, а вся твоя сеть превратилась в тыкву.

https://twitter.com/campuscodi/status/1237737910943780864

Итальянский Колледж анестезии, обезболивания, реанимации и интенсивной терапии выпустил немыслимый ранее для европейских стран документ, содержащий рекомендации в отношении критериев выбора пациентов, применительно к которым следует проводить интенсивную терапию в условиях ограниченных медицинских ресурсов.

Фактически итальянцы, столкнувшись с коллапсом своего здравоохранения в условиях все быстрее распространяющегося коронавируса, пришли к выводу, что надо отсекать негодных пациентов в пользу тех, у кого шансов на выздоровление больше.

Вот избранные цитаты (переведены с итальянского на английский @Yascha_Mounk):

- Сегодня некоторые больницы настолько перегружены, что просто не могут лечить каждого пациента. Они начинают проводить сортировку пациентов как в военное время;

- Требуется установить критерии доступа к интенсивной терапии на основе не только медицинских показаний, но и других согласованных критериев, касающихся распределенной справедливости(?) и надлежащего распределения ограниченных ресурсов здравоохранения (!)

- В условиях серьезной нехватки медицинских ресурсов критерии должны гарантировать, что пациенты с наибольшими шансами на терапевтический успех сохранят доступ к интенсивной терапии;

- Эти критерии применимы ко всем пациентам, находящимся в реанимации, а не только к тем, кто заражен CoVid-19;

- Возможно, потребуется установить возрастное ограничение для доступа к интенсивной терапии;

- Помимо возраста необходимо тщательно оценивать наличие сопутствующих заболеваний;

- Пациентам, для которых доступ к интенсивной терапии считается нецелесообразным, таковое решение, тем не менее, должно быть объяснено, доведено до сведения и задокументировано.

В переводе на бытовой язык - если вы старый, если у вас есть хронические заболевания, то, в независимости от того чем вы больны, вас могут в любой момент признать нецелесообразным к интенсивной терапии и отправить помирать домой. Под роспись. В случае перегруженности имеющихся медицинских ресурсов, само собой.

Вполне возможно, что подобная ситуация сложится и у нас. И, самое печальное, сформулированные итальянскими врачами рекомендации выглядят логичными в этих условиях.

Вот только Китай такой сегрегации не проводил. И в кратчайшие сроки использовал все доступные ресурсы для создания условий по лечению всех заболевших. Параллельно со строжайшими мерами карантина. И все это в совокупности дало возможность задавить эпидемию.

Но Италия этого делать не будет. Равно как и другие европейские страны. Скорее всего как и Россия-матушка. Потому что это слишком уж убыточно.

Подумаешь, процент смертности в пару-тройку раз больше чем у китайцев. Зато какие сумки Гуччи шьют...

С добрым утром.

#коронавирус #ХроникиСвободногоМира

http://www.siaarti.it/SiteAssets/News/COVID19%20-%20documenti%20SIAARTI/SIAARTI%20-%20Covid19%20-%20Raccomandazioni%20di%20etica%20clinica.pdf

Microsoft совместно с инфосек компаниями, провайдерами, регистраторами доменов и правоохранительными органами из 35 стран осуществило скоординированную атаку на инфраструктуру командных центров одного из крупнейших в истории ботнетов Necurs.

Necurs является ботнетом, предназначенным для массовых спам-рассылок. Как пишут ZeroDay, ботнет предполагаемо управляется членами Evil Corp.

Специалистам Microsoft удалось вскрыть алгоритм генерации доменных имен Necurs и, таким образом, предсказать более 6 миллионов уникальных доменов, которые будут созданы в течение следующих 25 месяцев. Это позволило создать полный список будущих доменов командных центров Necurs, регистрация которых теперь будет блокироваться.

Что же, впечатляющий пример хорошей координации в области инфосек.

https://www.zdnet.com/article/microsoft-orchestrates-coordinated-takedown-of-necurs-botnet/

По индустрии ходят слухи, что мощная информатака на Group IB в конце прошлой недели в Телеграме была связана, в первую очередь, с тем, что Сачков со товарищи встали на подряд Мэрии Москвы. И что неких конкурентов такой расклад не устроил, в результате чего они и заказали кампанию в отдельных Телеграм-каналах. Негативчик, кстати, был так себе.

На это ГрИБы выкатили встречную волну в центральных ТГ-каналах с лейтмотивом "проклятая фарма дотянулась". Что тоже, честно сказать, не особо контент.

Как известно, в любви и на войне все средства хороши. Особенно если идет война за бабло.

​​Коронавирус пожрал все новости. Остается только шутить.

​​Неустановленные хакеры взломали офисную сеть Европейской сети операторов систем передачи электроэнергии (ENTSO-E), в которую входят 42 оператора электросетей (TSO) из 35 стран ЕС.

Об этом Европейская ассоциация электроэнергетики сообщила в своем официальном заявлении. При этом отмечено, что офисная сеть ENTSO-E не подключена ни к одной операционной системе TSO.

Подробностей атаки европейцы не раскрывают.

Вместе с тем, когда мы вспоминаем про присутствующие в энергетике проблемы с грамотным сегментированием сетей, нам становится не по себе. Потому что если при всех свалившихся на мир кризисах хакеры начнут нарушать работу электросетей, то это может кончится плохо. Особенно когда у пациентов палат интенсивной терапии начнут отключаться аппараты ИВЛ.

https://www.zdnet.com/article/european-electricity-association-warns-of-office-network-breach/

Вчера Microsoft оперативно выпустила экстренный патч, устраняющий уязвимость CVE-2020-0796 в протоколе SMBv3.

Компания зарелизила обновление KB4551762 для Windows 10 (версии 1903 и1909) и Windows Server 2019 (версии 1903 и 1909). В кои-то веки редмондовцы смогли быстро запилить необходимую заплатку.

Как и раньше, мы рекомендуем всем срочно сделать апдейт. Кто не сделает - тот сам себе Буратина.

Но SecAtor не был бы SecAtor'ом, если бы в любой ситуации не находил бы повод для скептицизма. Вот и сейчас у нас есть вопрос - а если бы 10 марта Cisco Talos и Fortinet не опубликовали данные по уязвимости, стали бы Microsoft срочно выпускать патч? Или как всегда сделали бы вид, что ничего не происходит? Тем более, что Security Affairs пишут, что мелкомягкие изначально не планировали закрывать дырку в мартовских обновлениях.

И не поимели бы мы тогда новый шторм какого-нибудь NotVasya или WannaDie? Ведь это именно то, чего нам всем в нынешней кризисной обстановке так не хватает (сарказм).

https://securityaffairs.co/wordpress/99507/security/cve-2020-0796-smbv3-bug-fix.html

Месяц назад мы писали, как американский суд приостановил 10-миллиардный контракт Министерства обороны США с компанией Microsoft в рамках проекта JEDI.

Приостановил не просто так, а в соответствии с жалобой Amazon Web Services. Компания г-на Безоса считалась (видимо самим Безосом) потенциальным победителем тендера, однако, Microsoft дала более лучшее предложение. Ну по крайней мере, так говорит ее вице-президент по коммуникациям.

Адвокаты Amazon заявили, что все это происки Трампа и поэтому суд должен приостановить сделку. Что суд и сделал.

И среди всей этой вакханалии в стороне скромно осталось стоять американское Министерство обороны, несмело JEDI теребя.

Но корпоративные войны корпоративными войнами, а войны реальные обеспечивать надо. Поэтому вчера МО США обратилось в суд с ходатайством о повторном рассмотрении обновленных заявок Amazon и Microsoft. И если последние на это согласились, то Amazon опять против.

Потому что Безос готов воевать за свои бабки до последнего американского солдата.

https://www.zdnet.com/article/department-of-defense-seeks-to-reevaluate-jedi-cloud-contract-bids-after-microsoft-win-paused/

Catalin Cimpanu из ZeroDay таки перекрыло. Зря мы его третьего дня нахваливали.

Он разразился пространным материалом о том, как российские, северокорейские и китайские прогосударственные хакерские группы используют тему коронавируса для реализации фишинговых атак.

Китайцы и Ким Чен Ин в данном случае нам побоку. А вот "российские прокси" рассмотрим подробнее.

Итак, в середине февраля некая хакерская группа организовала фишинговую рассылку в украинском сегменте сети от имени Министерства здравоохранения Украины. Во вложении, как водится, сидел троян.

Cimpanu со ссылкой на китайского инфосек вендора QiAnXin сообщает, что к атаке причастна группа Hades. Правда сами QiAnXin про это ничего не пишут.

Hades традиционно считается русскоязычной группой. Одной из известных ее активностей является возможная причастность к созданию и распространению Olympic Destroyer в 2018 году.

(На самом деле, есть весьма убедительные основания полагать, что Hades все-таки украинская группа, а не российская)

Ну а Hades уже, как считается, связана с APT28 aka Fancy Bear (которая тоже, кстати, вроде как ответственна за Olympic Destroyer, никакого когнитивного диссонанса). А Fancy Bear - это же ГРУ.

Так Cimpanu и пишет - "поскольку в это же время в украинских сетях прокатилась волна спама и сообщений в социальных медиа про COVID-19, которая в итоге стала вирусной и привела к гражданским волнениям, а Hades, согласно некоторым данным, связана с APT28, то ̶о̶к̶у̶н̶ь̶ ̶э̶т̶о̶ ̶р̶ы̶б̶а̶ это все информационно-пропагандистская кампания ГРУ."

Так и хочется спросить - простите, часовню тоже мы развалили?

https://twitter.com/campuscodi/status/1238338751325261825

Кому хамона?

https://twitter.com/TAdviser/status/1238177955823656961

Только мы хотели похвалить Positive Technologies за новую версию MaxPatrol, как они выдали бенц. С другой стороны, не все же Сачкову и Касперскому косячить…

Видимо вчера, на волне отмечания нового релиза своего SIEM, "позитивы" так лихо бахнули, что сегодняшнюю ленту SecurityLab готовили в состоянии предсмертном. Ну то есть терять, вроде как, уже нечего, давление 250 на 190, печень отказала, интоксикация и инсульт, а поэтому можно все!

Как бы там ни было, сегодня SecurityLab (официальный рупор Positive Technologies, напомним еще раз) пригласил всех на вебинар компании Axoft по решениям FireEye.

"Простая рекламная коллаборация", - подумает большинство. Ага, щаз.

В инфосек FireEye известна как крайне близкая к ЦРУ контора. Причем связь эту товарищи и не скрывают особо - инвестором FireEye является In-Q-Tel, официальный венчурный фонд ребят из Ленгли.

Поэтому anti-APT решения от FireEye, with the highest level of probability, ловит все что угодно, кроме американских APT. Ну потому что если ты левой рукой делаешь хакерские инструменты в рамках Vault 7, то создавать правой защиту от них было бы странно. Не думаем, что ЦРУшники настолько головой ударенные.

А Positive любит работать с "государственными структурами и крупными системообразующими компаниями". Они вон в Венесуэле государственную систему ИБ строят. Наверное, на основе anti-APT решений FireEye, хе-хе. И будет теперь Венесуэла ловить APT, но не все. АНБшных Equation или ЦРУшных Longhorn, к примеру, не получится.

Но, с другой стороны, "позитивов" тоже понять можно. Ведь атриум на Преображенке сам себя не оплатит...

Яндекс, Сбертех, Рамблер, Мэйл.Ру и Лаборатория Касперского перевели сотрудников на удаленный офис.

#коронавирус

​​И в продолжение предыдущего поста.

Судя по всему очень скоро от "multi-layered security strategy" нам придется переходить к "multi-vendor".

И вот это случилось. Хакеры таки грохнули сеть больницы, напрямую задействованной в борьбе с коронавирусной инфекцией.

Чешское телевидение сообщает, что Университетская клиника Брно подверглась кибератаке, в результате которой ее сеть перестала функционировать. Под атаку также попали подразделения клиники - детская больница и родильный дом.

Запланированные операции временно приостановлены, доступ к анализам пациентов отсутствует, базы данных не функционируют.

А еще в Университетской клинике Брно проводились исследования анализов пациентов, у которых имеется подозрение на коронавирус. Теперь все образцы будут отправлены в Остраву.

Скорее всего, клиника словила банальный ransomware. Что привело к тяжелым последствиям. И это лишний раз свидетельствует о крайней важности информационной безопасности. Правда, не все это понимают.

Кстати, "русский след" уже нашелся - в завершении статьи сообщается, что в начале декабря 2019 года "российский компьютерный вирус Ryuk" парализовал работу больницы в Бенешове. Ждем второй части марлезонского балета.

#коронавирус

В современном мире все взаимосвязано. И если ты сегодня решил подзаработать немножечко лавэ на пустом месте, то завтра это может привести к тому, что кто-нибудь немножечко помрет. А может и не немножечко.

Неожиданные последствия ожидаемой жадности софтверных гигантов выявлены исследователями команды Unit 42 компании Paolo Alto Networks. По данным их отчета, до 83% медицинских аппаратов визуализации (КТ, МРТ, маммография и пр.) подключенных к сети уязвимы.

Причина проста - жизненный цикл подобных устройств очень долог. Да и стоят они недешево, в силу чего эксплуатируются в больницах годами, если не десятилетиями. А вот срок технической поддержки стоящего на них ПО, к примеру операционной системы Windows 7, намного короче. Ну и плюс пофигистическое отношение ответственных лиц к элементарным мерам информационной безопасности, конечно.

В качестве примера в отчете приводится случай с неназванной больницей, один из аппаратов маммографии которой был поражен червем Conficker, впервые появившимся в 2008 году. Далее червь, проникший таким образом в больничную сеть, заразил другие медицинские устройства - рентгенаппарат, еще один аппарат маммографии и ряд других. В результате этого веселья восстановление нормальной работы сети и подключенных к ней устройств заняло неделю.

Прекрасная иллюстрация симбиоза некомпетентности ИТ специалистов больницы и жадности боссов от софтверной индустрии. Мамона рулит!

Надо еще жару, да. Чтобы в разгар пандемии десятилетний троян повырубал аппараты КТ, с помощью которых диагностируется тяжесть поражения легких.

Хотя, даже после этого никто не одумается. Господь, кажется жги!

https://fortune.com/2020/03/13/hospital-hacked-ransomware-medical-imaging-machine/

Европол объявил об удачной операции по задержанию преступной группы, специализировавшейся на замене сим-карт и последующем выводе денежных средств с привязанных к ним банковских счетов.

Только в Испании фродстеры сняли более 3 млн. евро. В составе группы - итальянцы, испанцы, колумбийцы и румыны. Только цыган не хватает.

Следует эту новость показать российским властям, которые все жаждут ЕИС ПСА внедрить. Чтобы цыгане по единому телефонному номеру жен потом воровали.

​​Евгений Валентинович Маск (tm) дал интервью Zero Day, в котором разъяснил за последствия политики американской партии против продуктов Лаборатории Касперского.

Он сообщил журналистам, что причины бана антивирусных решений в США ему достоверно неизвестны, но, вероятно, в их числе - способность выявлять не только коммерческие трояны и бэкдоры, но и государственные. В том числе принадлежащие американским спецслужбам. После всех историй с хакерским джентльменским набором Vault 7 от ЦРУ мы в этом нисколько не сомневаемся.

Хочется, однако, отметить, что американские спецслужбы, хоть они и гады, действуют предельно целесообразно и логично с точки зрения соблюдения своих государственных интересов. В отличие от отечественных рыцарей плаща и топора, спокойно смотрящих на продажу ЦРУшных инфосек-решений.

И еще один момент хотели бы отметить. Касперский сообщает, что, несмотря на санкции США, благодаря росту популярности его ПО во всем остальном мире все потенциальные убытки были покрыты и с финансами у компании все хорошо. А зачем тогда персонал резать? Кто-то что-то недоговаривает...

https://www.zdnet.com/article/kaspersky-speaks-on-us-government-ban-and-a-closed-russian-internet/