Несколько дней назад мы разметили пост касательно выпущенного американской консалтинговой компанией Booz Allen Hamilton отчета под названием "Раскрытие логики российских военных киберопераций" по результатам анализа 15-летней "кибердеятельности ГРУ".

Огромное спасибо нашим подписчикам, нам пришло сразу 3 письма с этим отчетом и теперь мы на досуге его изучаем. Сразу можем сказать, что верстка у него просто вырвиглазная.

Ну и, как мы ожидали, никаких технических подробностей в отчете Booz Allen Hamilton попросту нет.

Обязательно напишем отдельным постом наиболее интересные моменты творчества наших американских "инфосек аналитиков".

Zero Day сообщает про взрывной рост количества сообществ в социальных медиа, посвященных организации "zoom-bombing".

В настоящее время организации бомбежки посвящено:
- более 30 дискорд-каналов;
- 3 треда на реддит (2 к настоящему моменту забанено);
- куча Твиттер-аккаунтов;
- несколько тредов на хакерских форумах.

Во всех этих местах хулиганы обмениваются ID встреч ZOOM либо обучают друг друга способам их добычи. Результаты удачной бомбежки, как правило, выкладываются на YouTube, который не банит такие видео пока в них нет открытой порнографии.

А занимаются всем этим, в большинстве своем, школьники, которые остались дома на карантине и теперь маются. Новые времена - новые герои.

Как мы и говорили раньше. Наступила неделя самоизоляции. Количество мамкиных хакеров увеличилось в туеву хучу раз.

​​Джеты выпустили большой обзор на anti-APT решения, в котором провели анализ 9 продуктов от российских и иностранных вендоров.

Среди анализируемых - Касперский, Позитивы, Групп ИБ, АВ Софт, FireEye, Trend Micro, Check Point, Fortinet, Symantec.

Непосредственно итоговых рейтингов в обзоре нет, а есть сравнение продуктов по куче параметров. Поэтому если вам надо определиться с тем, какое anti-APT решение вам необходимо, то будет полезно ознакомиться. Ну и для общего понимания рынка тоже.

Мы же, как и раньше, настаиваем, что основным подходом к построению anti-APT защиты является мультивендорность.

Всеобщее стремление к бесконтрольной цифровизации всего окружающего пространства приводит к ожидаемым результатам.

Исследователи из китайской Tencent Keen Security Lab нашли уязвимость в мультимедийном центре (AVN) автомобилей Toyota и Lexus, благодаря которой получили прямой доступ к CAN-шине.

Технические подробности обещают сообщить только в следующем году. Видимо, по факту окончания отзывной кампании уязвимых автомобилей.

Исследование системы AVN Lexus NX300 2017 модельного года (такие же головные устройства используются, например, в моделях ES и LS) выявило дырку в процессе открытия Bluetooth-соединения, которая позволила получить рутовые права в системе.

В дальнейшем китайцы перепрошили AVN вредоносным кодом, что позволило обойти фильтрацию сообщений CAN-шины. Ну и в завершении банкета исследователи смогли заставить автомобиль выполнять неназванные "физические действия".

Более того, Tencent Keen удалось внедрить код, который автоматически подключается к доступному Wi-Fi соединению и после этого устанавливает связь с управляющим центром.

Говоря проще, с точки зрения обывателя "идеальная" атака выглядит следующим образом.

Вы садитесь в машину, заводите ее, а в это время из соседней тонированной девятки ваш мультимедийный центр ломают по Bluetooth. Ваш AVN неожиданно глючит, вы перезапускаете мотор, после чего мультимедиа перезагружается. Ну а дальше, когда вы подъехали к окошку раздачи в Макдональдс, ваш автомобиль ловит бесплатный Wi-Fi и начинает совершать некие "физические действия".

Новая часть Трансформеров, не меньше.

Правда Toyota оправдывается, что в число этих "физических действий" не входит рулежка, а также нажатие газа и тормоза. Ну так выключение электроусилителя руля в скоростном повороте тоже норм зайдет.Или включение при обгоне треш-композиции "Бетономешалка" на максимальной громкости.

То ли дело раньше - трамблер, подсос, из мультимедиа только пьяный батя с баяном на заднем сиденье...

https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks

​​Неделю назад мы писали про статью Reuters, в которой журналисты сообщали о произошедшей в марте кибератаке на ресурсы Всемирной организации здравоохранения (ВОЗ) с целью скомпрометировать учетные записи электронной почты сотрудников ВОЗ.

Тогда Reuters назвали причастной к атаке хакерскую группу DarkHotel, которая по нашему мнению очень похожа на прокси мощной государственной разведструктуры.

В новом же материале Reuters напрямую обвиняет в атаке иранские государственные структуры.

Доказательств, как обычно, никаких, но, как мы думаем, в данном случае американские журналисты могут оказаться правыми. Единственный вопрос - а зачем это Ирану? И гипотетический ответ мы можем дать.

Дело в том, что коронавирусная эпидемия в Иране протекает весьма жестко и сама первоначальная вспышка инфекции, внезапно произошедшая спустя почти 2 месяца(!) после начала распространения заболевания в Китае, вполне могла подтолкнуть иранское руководство к мнению, что заражение носит характер искусственный. Да и очень странным кажется тот факт, что вирус очень бодро распространился среди высшего руководства Ирана.

К тому же, поскольку Иран как и прежде находится под международными санкциями, инициированными США, уровень его сотрудничества с международным медицинским сообществом может показаться правительству Ирана недостаточным для эффективной борьбы с коронавирусом. Вот и пытаются иранцы получить данные по лечению где только можно.

Посмотрим, будет ли развиваться ситуация дальше. Хотя более вероятно, что всем будет не до неудачной попытки взлома ВОЗ.

"Я чувствую себя все чудесатее и чудесатее" (Алиса в стране чудес)

Не успели мы развести конспирологию с возможной причастностью Ирана к кибератаке на ВОЗ, как подвезли новых интересных подробностей.

Китайские исследователи из Qihoo 360 (они, кстати, часто у нас мелькают) сообщили о выявленной ранее кампании по распространению вредоносного ПО с использованием уязвимостей CVE-2019-17026 для Firefox и CVE-2020-0674 для Internet Explorer.

Целью кибератак были китайские правительственные структуры и японские предприятия. Последний факт подтверждается JPCERT. Уязвимости в браузерах использовались хакерами для загрузки в атакованную систему трояна Gh0st RAT.

Qihoo 360 считает, что данная атака была произведена группой DarkHotel, которую они называют APT-C-06 и связывают с Южной Кореей (а мы добавим - тогда уж с южнокорейской разведкой).

А теперь, внимание, вопрос. Если первоначальные источники Reuters правы и кибератака на ВОЗ производилась DarkHotel, то что же внутри информационных ресурсов Всемирной организации здравоохранения закопано такого, что Южная Корея решила их ломануть (если, конечно, китайцы правы в части связи хакерской группы с полуостровным государством)?

Вопрос "Кто стрижет цирюльника?" регулярно возникает в новостной повестке инфосека.

Хакерский форум OGUsers .com был взломан неизвестным хакером, о чем сообщила администрация ресурса. По их словам, кто-то использовал уязвимость в механизме загрузки аватара и получил доступ к текущей базе данных ресурса. Количество скомпрометированных пользователей составляет около 200 тыс.

OGUsers .com является одной из самых крупных площадок по продаже данных взломанных аккаунтов социальных сетей, а также по организации атак через подмену SIM-карт.

В мае 2019 года OGUsers .com уже был взломан, предположительно конкурирующим хакерским ресурсом, тогда утекли данные более чем 113 тыс. пользователей.

https://www.zdnet.com/article/hacking-forum-gets-hacked-for-the-second-time-in-a-year/

Приходит все больше подтверждений , что пользователи устройств Apple защищены не сильно лучше, чем все остальные.

Как оказалось, в январском и мартовском апдейтах Apple закрыла целых семь 0-day уязвимостей в браузере Safari, цепочка применений которых позволяла злоумышленнику получить беспрепятственный доступ к камере, микрофону, геолокации, а в некоторых случаях и к сохраненной парольной информации MacBook или iPhone.

Все уязвимости были выявлены исследователем Райаном Пикреном, который получил за это 75 тыс. долларов.

Основные ошибки в Safari скрывались в кривом механизме обработки URL и в доверенном характере некоторых сайтов, типа skype .com. В результате чего злоумышленник мог замаскировать свой сайт под доверенный и получить дефолтный доступ не только к камере и микрофону, но и к автозаполняемым паролям.

История, на наш взгляд, отвратительная. Apple так долго кичившаяся безопасностью своего ПО, на деле, как оказывается, не соблюдает элементарные стандарты инфосека.

И таки кому теперь верить?

https://thehackernews.com/2020/04/hacking-iphone-macbook-camera.html

​​Felix Aime, участник Kaspersky GReAT team, презентовал генератор названий для APT, который позволит больше не ломать исследователям голову над тем как назвать новую хакерскую группу.

Действительно, все эти самоповторения типа различного рода "Bear" или "Panda" изрядно надоели. Никакого креатива.

Поэтому пользуйтесь на здоровье - http://apt.naming-engine.tech

Самое интересно, что у нас пока получилось - Agressive Donkey. Замечательное название для какой-нибудь мексиканской APT. Если они там есть, конечно.

Множество ошибок выявленных в работе сервиса видеоконференций ZOOM в конце рабочей (а в нашем случае нерабочей) недели получило достойное завершение.

Forbes сообщило, что, согласно доклада группы Citizen Lab Университета Торонто (они, кстати, у нас уже светились в связи с расследованием деятельности израильской NSO Group по распространению своего шпионского ПО Pegasus), ZOOM в ряде случаев отправляет ключи шифрования сессии в Китай.

Несмотря на то, что ZOOM никогда не скрывали своей связи с Китаем (к примеру, R&D подразделение сервиса расположено в Поднебесной, да и директор платформы с говорящей фамилией Юань родом из китайской провинции Шаньдун), теперь их требуют объясниться по предъявленным претензиям более конкретно.

Есть ощущение, что, в связи с использованием возможностей ZOOM многими правительственными органами США и Канады, так просто от сервиса не отстанут. В частности, дополнительные вопросы могут возникнуть у американской комиссии по ценным бумагам (SEC), которая традиционно участвует в различных разборках на стороне правоохранительного блока США.

О, сколько нам открытий чудных... (А.С. Пушкин)

Такое происходит в мире инфосека, что только держись.

Как мы помним, несколько месяцев назад Facebook, как владелец WhatsApp, подал в суда на израильскую компанию NSO Group за продажу ряду правительств своего шпионского ПО Pegasus, которое позволяло контролировать переписку пользователей в мессенджере путем заражения его смартфона.

Ну, тут генеральный директор NSO Group Шалев Хулио в суде и бахнул - оказывается два представителя Facebook обращались к израильтянам в октябре 2017 года и хотели приобрести право на использование некоторых возможностей Pegasus.

По данным NSO Group, часть их шпионских механизмов Facebook планировали использовать внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.

"Представители Facebook заявили, что Facebook обеспокоены тем, что их метод сбора пользовательских данных с помощью Onavo Protect менее эффективен на устройствах Apple, поэтому Facebook хочет использовать предполагаемые механизмы Pegasus для мониторинга пользователей на устройствах Apple и готовы платить за возможность их использования в Onavo Protect."

Однако, как уверяет NSO, они не стали сотрудничать с Facebook в связи с тем, что последние не являются официальной государственной организацией.

В 2019 году после ряда скандалов поддержка и распространение Onavo Protect была прекращена.

Какая прелестная прелесть.

https://www.vice.com/en_us/article/pke9k9/facebook-wanted-nso-spyware-to-monitor-users

Ну то есть тот факт, что сам Касперский - выпускник ВШ КГБ, никого не смущает...

Уже и не стесняются открыто (есть еще олухи, кто доверяет этой "защите"): "Выпускник академии ФСБ Михаил Прибочий стал управляющим директором «Лаборатории Касперского» в России".

А теперь скажем как есть. И пусть нас за это обвинят в проплаченности Касперским (ау, Евгений Валентинович, где наш бюджет на апрель?).

Тот, кто утверждает, что в данный исторический момент Касперский дружит с ФСБ - ни хрена не шарит в российском инфосеке. Без обид.

Mozilla выпустила апдейты, устраняющие две 0-day уязвимости в браузерах Firefox и Firefox ESR.

По данным Mozilla, уязвимости использовали ошибку Use-After-Free (UAF), позволяли удаленно запускать вредоносный код и активно эксплуатировались в дикой природе.

Всем, кто пользует FireFox, рекомендуем срочно обновиться.

https://www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploited-firefox-zero-days/

Tele2 отслеживает перемещение своих пользователей.

На самом деле то, что сотовые операторы могут отслеживать перемещения своих пользователей - давно не новость.

Услуги по отслеживанию абонентов присутствуют в том или ином виде у всех операторов - например, Мегафон Радар. Все это можно элементарно погуглить в сети.

Технический биллинг предполагает запись не только номера базовой станции, в области действия которой находится абонент при совершении какой-либо активности (вызов, отправка/получение SMS, передача данных), но и так называемого "сектора" - направления нахождения абонента относительно БС.

Более того, оператор может получить данные о местонахождении абонента с точностью до нескольких десятков метров просто инициируя переключение базовых станций, к которым он подключен, и применяя метод триангуляции.

Все это делается по умолчанию. Но есть еще и более продвинутые системы, позволяющие получать данные о нахождении абонента даже при его неактивности, но при условии регистрации в сети, то есть включенного телефона.

Каждый оператор уже давно имеет в своей структуре подразделения Big Data, которые собирают все подряд данные (не только биллинговые) об абоненте. Сколько и как денег положил, какие оплаты делал с мобильного счета и пр. и пр. Оператор агрегирует все эти сведения с целью дальнейшей их обработки и монетизации тем или иным образом.

В число обрабатываемых Big Data данных об абоненте входит и его геолокация. Чтобы потом, например, присылать ему рекламные SMS исходя из его маршрута. Естественно, что все это делается автоматически, дабы не нарушать Законы о связи и персданных.

Что же касается ДИТ Правительства Москвы, то он работает с сотовыми операторами не первый год. И глупо было бы предполагать, что мэрия не будет использовать наработанные механизмы в период самоизоляции.

То, что большинство об этом не знало до сего момента, не значит, что этого не существовало.

Похоже, что всем известный zoom bombing, когда киберхулиганы закидывают незащищенные видеоконференции на платформе ZOOM порнороликами, оскорблениями и другими непотребностями, становится делом опасным.

В пятницу офис Прокурора Восточного округа штата Мичиган выпустил официальное заявление, в котором назвал zoom bombing взломом видеоконференций и сообщил, что теперь он может рассматриваться как преступление, причем не только штата, но и федеральное. В качестве наказания - штрафы и лишение свободы.

"Вы думаете, что zoom bombing это смешно? Давайте посмотрим, как вы посмеетесь после того, как вас арестуют" - сказал прокурор.

Ну, то есть, настрой у американских правоохранителей весьма серьезный. Если вспомнить, что в США прецедентное право, то можно предположить, что скоро указанная практика распространится на всю территорию страны.

Как это может коснуться нас? А очень просто.

В условиях карантинной самоизоляции тысячи российских мамкиных хакеров могут соблазниться возможностью пошалить в американских видеоконференциях. Тем более это активно и открыто обсуждают в Discord и на Reddit.

А потом, когда вся карантинная "радость" закончится (а мы в этом уверены), лет через пару ребята решат съездить после сессии в США. Или в Канаду. Или в одну из сотен стран, с которыми у США подписано соглашение об экстрадиции.

И внезапно вместо солнечной Калифорнии или лазурной Доминиканы окажутся на холодных мичиганских нарах. Не сомневайтесь, затюканный до состояния грогги ZOOM предоставит американцам все имеющиеся логи.

Берегите детей от необдуманных поступков в киберпространстве. Домострой подскажет как.

Особенности национального карантина в Великобритании. А потом они удивляются, что у них тренд заболеваемости уверенно стремится занять первое место.

Похоже они решили уйти по-английски. Все и насовсем.

https://twitter.com/SurreyRoadCops/status/1246528503966838790

В предустановленном ПО десктопов и ноутбуков от HP с операционной системой Windows выявлены уязвимости, позволяющие повышать локальные права пользователя.

Исследователь Билл Демиркапи еще в прошлом году обнаружил 10 (!) уязвимостей в ПО HP Support Assistant, предустанавливаемом на компьютеры HP с 2012 года, которые позволяют удаленное исполнение кода, удаление файлов и локальное повышение привилегий.

В результате выпуска HP двух апдейтов в декабре 2019 года и в марте текущего большая часть уязвимостей была устранена, однако три ошибки остались актуальными. Они позволяют осуществить локальное повышение прав, что может быть использовано злоумышленником после первичного проникновения в атакуемую систему.

По утверждению Билла Демиркапи, в целях исключения угроз безопасности требуется полностью удалить уязвимое программное обеспечение - HP Support Assistant и HP Support Solutions Framework.

Рекомендуем прислушаться.

https://www.bleepingcomputer.com/news/security/windows-pcs-exposed-to-attacks-by-critical-hp-support-assistant-bugs/

​​По данным NetMarketShare, в марте 2020 года Microsoft Edge впервые обогнал по количеству установок Firefox.

В целом, это достаточно печально. Хотя разработчики Firefox периодически допускают возникновение уязвимостей, они, как правило, оперативно реагируют на сообщения исследователей и своевременно выпускают апдейты. В отличие от.

Другим несомненным преимуществом лисиного браузера является его нацеленность на сохранение приватности пользователей. И, хотя борьба с отслеживанием различными сервисами fingerprint'ов пользовательской системы пока идет ни шатко ни валко, дорогу осилит идущий.

А вот Edge, согласно недавним исследованиям, из всех крупных браузеров является наименее приватным.

Если такая тенденция продолжится, то скоро не останется иных браузеров кроме произведенных крупными софтверными корпорациями. А им приватность пользователя ни к чему.

Вот и будет у нас выбор - сливать свои данные в Google или в Microsoft. Как говорится, никто не неволит.

Этот пост проплачен Mozilla (нет).

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-now-2nd-most-popular-desktop-browser-beats-firefox/