​​А у Honda-то все невесело, оказывается. Вчерашняя атака вымогателя Ekans вывела из строя не только сервис обслуживания клиентов и финансовые сервисы компании.

Как пишет BBC, зашифрована внутренняя сеть, включая почтовые сервера. Но что более неприятно, кибератака повлияла на производственные системы Honda за пределами Японии. А это означает потерю больших денег. Сегментирование сети - не, не слышали.

Вот какие еще примеры нужны принимающим решения лицам, чтобы понять необходимость и важность информационной безопасности как для бизнеса, так и для государства? Вопрос риторический.

Лучше еще пару единых регистров запилить.

Что-то взгрустнулось нам и решили мы поделиться своим настроением с подписчиками. Иногда грустить бывает полезно.

В 1997 году в свет вышел альбом The Offspring под названием Ixnay Of The Hombre, на котором была представлена песня Gone Away.

По легенде, лидер группы Декстер Холланд написал ее после того, как его подруга погибла в автокатастрофе. Так ли это - нам достоверно не известно, но в песне действительно поется о потере любимого человека. И музыка, и текст очень искренние.

В 2017 году оригинальный клип на песню 1997 года был размещен на Youtube. И неожиданно пользователи стали посвящать комментарии под видео своим близким, которых они потеряли.

Комментарии в память умерших детей, родителей, супругов и просто любимых женщин и мужчин. Комментарии от умирающих людей, которые просят не забывать их. И дополнения от их родных, внесенные после их смерти. Тысячи комментариев.

Клип The Offspring стал мемориальной стеной, на которой каждый может поделиться своим горем и его поддержат другие. Ничего подобного мы больше не видели.

Если честно, мы знали про это явление давно. Но как-то в жизненной круговерти забыли про него. А сегодня вспомнили и все вместе погрустили.

Пройдут годы, забудут и Билли Айлиш, и реперов всех мастей и окрасов, а Gone Away все-так же будет собирать на своей стене комментарии скорбящих людей. Мы в это верим.

https://www.youtube.com/watch?v=40V9_1PMUGM

В процессорах ARM выявлена новая уязвимость.

На этой неделе Chipmaker Arm выпустили руководство с описанием мер по устранению новой уязвимости в архитектуре Cortex-A, она же Armv8-A. Ошибку назвали Straght Line Speculation или SLS.

Построенные на основе архитектуры ARM процессоры используются преимущественно в мобильных устройствах, Интернете вещей и пр.

Разработчики сообщают, что SLS является новой разновидностью уязвимости Spectre, которая вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу.

Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.

Chipmaker Arm работают над устранением SLS с прошлого года и утверждают, что угроза использования уязвимости со стороны злоумышленников относительно невелика. По крайне мере, рабочего эксплойта еще никто не видел.

Мы неоднократно говорили, что кибератаки в существенном количестве случаев неотрывно связаны с геополитическими интересами тех или иных игроков.

Ну так вот не мы одни так думаем. Товарищи из Quointelligence начинают цикл из небольших статей, в которых они постараются разъяснить свою точку зрения о важности учета геополитических реалий при анализе киберугроз.

С большим интересом ознакомимся и вам рекомендуем.

​​Исследователь Юлиан Хорошкевич обнаружил ошибку в обработке команд во всем известном интерпретаторе командной строки Windows cmd.exe, которая позволяет осуществлять обход пути.

For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.

Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.

Еще одно подтверждение выражения "кто ищет, тот всегда найдет".

​​В нашей новостной повестке операторы ransomware Maze занимают в последнее время одно из первых мест. То они создают вымогательский картель , то ломают американские компании, обслуживающие ядерные ракеты.

Вчера Maze опубликовали список более чем 10 компаний, ресурсы которых они скомпрометировали. В него входят фирмы из США, Македонии, Бразилии, ОАЭ, а также один бразильский государственный портал.

Ну и, как мы предсказывали, уже появились обвинения России в атаках Maze. По крайней мере, сингапурские исследователи из Cyfirma утверждают, что за Maze стоят APT 28 aka Fancy Bear и APT 29 aka Dukes и Cozy Bear. А за первой из этих хакерских групп, как считается, стоит ГРУ.

Обоснование этого утверждения в виде того, что и операторы Maze и Fancy Bear в ходе атак используют обфускацию, боковое перемещение и кражу личных данных с помощью фишинга обсуждать смысла нет, поскольку это делают вообще все хакерские группы. Равно как и то, что ГРУ стоит за созданием Maze Cartel - вряд ли разведка будет заявлять о факте компрометации той или иной компании, особенно американского военного подрядчика, или атаковать государственный банк Коста-Рики и объявлять об этом публично.

С другой стороны, Cozy Bear были замечены в коммерческом взломе, так что их связь с Maze может присутствовать. Но, как всегда, нужно больше TTPs.

Политическая турбулентность в любой стране иногда выносит на поверхность вещи, которые в других случаях власть предпочитает замести под ковер. США в этом плане не исключение. Приближающиеся президентские выборы заставляют игроков в запале делать не совсем логичные с точки зрения национальных интересов вещи.

13 американских сенаторов из стана демократов решили вдруг вспомнить скандал пятилетней давности и наехать на Juniper Networks и АНБ. Ими было направлено письмо в адрес Juniper, в котором сенаторы просят опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.

Напомним, что в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.

Позже выяснилось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ и сразу же получившего необходимые сертификаты. А в алгоритме, как нетрудно догадаться, была заложенная на стадии разработки дыра.

По разным оценкам Juniper ввел в использование Dual_EC в своей ScreenOS в период с 2008 по 2012 годы. И все время по декабрь 2015 года АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик. Немало таких устройств приехало и в Россию, Juniper у нас традиционно любят.

Теперь же сенаторы-демократы решили вытащить эту, без сомнения, грязную историю на всеобщий обзор. Поглядим чем закончится.

Сегодня хоть и не пятница, но предпраздничный день. Поэтому подвезли пятничного контента.

Мы не знаем, что там Евгений Валентинович (tm) Маск со своими подчиненными в офисе на Водном стадионе делает, но не все это выдерживают.

Вот и один из бывших сотрудников Лаборатории Касперского (имя писать не будем, но он особо и не скрывается, при желании можно найти) сразу после увольнения свистнул кукушкой и написал в Твиттер леденящую душу историю, как Касперский его невозобранно травил:

- вешал под фальшпотолок микрофоны;
- подкупал водителя такси, чтобы он врезался вместе с сабжем во встречный BMW;
- посылал слежку ФСБ на черных Land Rover'ах;
- спалил хату родственников в Калифорнии и какой-то ресторан в Казахстане;
- натравливал на сабжа военные вертолеты и перевернутые джипы (?);
- но в целом все хорошо (это цитата!!!).

Евгений Валентинович (тм), вызовите пациенту белую карету уже, погибает ведь человек. В конце концов, он работал в Вашей компании.

https://twitter.com/newesprod/status/1270782152674873346

Крупнейший провайдер Австрии A1 Telekom официально признал, что подразделению информационной безопасности компании понадобилось более полугода, чтобы устранить последствия компрометации сети неизвестными хакерами.

Офисный сегмент внутренней сети A1 Telekom был заражен в ноябре 2019 года, что было обнаружено только месяц спустя. И с декабря 2019 года по май года текущего инфосек специалисты зачищали следы присутствия злоумышленников, удаляя оставленные ими бэкдоры.

Австрийская компания заявила, что технический сегмент ее сети не был затронут благодаря грамотному сегментированию, технологические процессы не нарушены и конфиденциальные данные абонентов не попали в руки хакеров.

Австрийский исследователь Кристиан Хащек сообщил, что к взлому A1 Telekom может быть причастна хакерская группа Gallium. Эта APT описана Microsoft (других данных мы не нашли), согласно информации которой хакерская группа нацелена, в основном, на телекоммуникационные компании.

Используемые Gallium вредоносные инструменты, в частности видоизмененные Gh0st RAT или China Choper, не уникальны, хотя дают некоторые основания считать, что группа связана с Китаем или КНДР.

Что мы думаем по этому поводу?

Во-первых, подобная многомесячная борьба с проникшими во внутреннюю сеть хакерами не нова, в истории отечественного инфосека есть подобные истории.

Во-вторых, мы в миллионный раз напоминаем про необходимость сегментирования сетей объектов критической инфраструктуры, к коей, несомненно, относятся крупные телекоммуникационные операторы-провайдеры. И к нашим компаниям это относится более чем. Вы даже не представляете, какой там зоопарк...

Наивно было бы предполагать, что хакеры не воспользуются такой благодатной темой, как уличные протесты в США.

Так они и воспользовались.

По сообщению BleepingComputer, исследователи Abuse[.]ch выявили фишинговую кампанию, в качестве приманки в которой используется предложение анонимно проголосовать по поводу Black Lives Matter. Ну, а в приложенной "форме для голосования" содержится банковский троян TrickBot.

Кажется данные о COVID-19 начинают терять свою популярность в качестве приманки в фишинговых рассылках, на их место приходит новая хайповая тема про BLM.

​​Как мы знаем, Facebook, как владелец WhatsApp, судится с израильской компанией NSO Group за продажу ряду правительств своего шпионского ПО Pegasus, которое позволяло контролировать переписку пользователей в мессенджере путем заражения их смартфонов.

NSO Group продавало свои кибершпионские инструменты исключительно спецслужбам и правоохранительным органам разных стран в целях предотвращения преступлений. Естественно, что разные спецслужбы трактуют понятие "преступление" по-разному, в связи с чем и разразился скандал, когда некоторые страны Ближнего Востока стали преследовать с использованием Pegasus политических оппонентов действующей власти и журналистов.

Но, как оказывается, Facebook тоже не чужда тому, чтобы кого-нибудь подломать. Естественно, в интересах правосудия.

Как пишет Motherboard, компания Цукерберга заплатила шестизначную сумму (в долларах, разумеется) некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил.

Злоумышленник в течение нескольких лет преследовал по сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием. ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.

Примечательно, что, по данным Motherboard, неясно, были ли ФБР вообще в курсе активности Facebook до получения эксплойта.

И, спрашивается, чем действия Facebook в этом эпизоде отличаются от действий NSO Group. Фактически ничем - и те и другие разработали инструмент для взлома и передали его правоохранительным органам. Подаст ли теперь The Tor Project, как спонсор разработки Tails, в суд на Facebook за взлом их программного продукта?

Возможно вы эту новость уже видели и тем не менее.

В пятницу Twitter объявил, что заблокировал более 32 тысяч учетных записей, связанных с Россией, Китаем и Турцией (на самом деле заблокировали в четверг, а в пятницу раскрыли подробности). Кроме того, все данные об этих учетных записях (и логи тоже? и переписку?) Twitter передал Австралийскому институту стратегической политики (ASPI) и Стендфордской Интернет-обсерватории (SIO) для дальнейших исследований.

Учетки, относящиеся ко всем трем странам, обвиняются в пропаганде в пользу действующей власти. Например, российские - в пропаганде Единой России и критику "политических диссидентов".

Мы не больше администрации Twitter любим Единую Россию, но все же хотим задаться вопросом - а какого хрена какие-то функционеры сервиса, руководствуясь своим частным мнением, начинают цензурировать контент? Напомним, что Вконтакте, например, в конце 2011 года не прогнулся под ФСБ и не стал блокировать учетки оппозиции. А Twitter'у можно, значит?

И пока все ломают копья вокруг Единого Реестра (мы на этот счет тоже имеем свое аргументированное мнение и обязательно его опубликуем позже), цифровой концлагерь приходит совсем с другой стороны. Со стороны транснациональной олигархии, завладевшей контролем над ведущими мировыми Интернет-сервисами и теперь диктующей всем что писать и как думать.

А если ты не согласен, что только Black Lives Matter и думаешь, что важны жизни вообще всех людей, или не хочешь преклоняться перед гопотой и мыть им ноги, то ты будешь подвергнут остракизму, заблокирован, а все твои личные данные будут переданы на изучение "правильным" ребятам из ASPI или SIO.

"В концлагере моей мечты все будет наоборот и надзирателями будут евреи" (одна российская либертарианка).

"Я не разделяю ваших убеждений, но готов умереть за ваше право их высказать" (парафраз слов Вольтера).

Почувствуйте разницу.

По данным BleepingComputer, польские исследователи из компании REDTEAM. PL поймали в ханипот образец вымогателя Black Kingdom, который нацелен на корпоративные сети с непропатченным Pulse Secure VPN.

Вредонос использует уязвимость CVE-2019-11510, которая была исправлена еще в апреле 2019 года. Тем не менее, многие компании до сих пор не обновили свои VPN, что может стоить им финансовых потерь.

Напомним, что в мае британская энергетическая компания Elexon, которая занимается распределением транзита электроэнергии по всей Великобритании, была атакована ransomware Sodinokibi (она же REvil) как раз через уязвимость в устаревшей версии Pulse Secure VPN.

Своевременно обновляйте корпоративное ПО.

А пока в мире нестабильность и коронавирус, польские милитаристы все еще грезят о "Польска от можа до можа".

Как выяснила CNN, в конце мая недалеко от чешского города Пельгржимов, польские военные, охранявшие границу в период эпидемии коронавируса, пересекли границу с Чехией и поставили на ее территории свой пограничный пункт. После чего стали заворачивать чехов, которые шли в местную церковь.

Инцидент в итоге удалось разрешить и поляки вернулись в свою страну после ноты чешского МИД. При этом официальное разъяснение польская сторона так и не дала, хотя неофициально военные Польши, заявили, что это было недоразумение и Чехию они оккупировали случайно.

Поскольку в прошлый раз, 82 года назад, такая "случайная оккупация" привела к аннексии поляками Тешинской области Чехословакии в размере 800 квадратных километров, то чехи напряглись.

Команда ресерчеров инфосек компании Cyble в ходе исследования дарквеба наткнулась на хакера, продающего сборку украденных пользовательских данных, содержащую сведения более чем о миллиарде записей.

В продаваемую базу входят данные с AliExpress (300 млн. пользователей), Ebay (145 млн.), Sony Online Entertainment (24 млн.), Sony Playstation Network (77 млн.) и др.

Радует одно, что слитые базы данных достаточно старые (встречаются даже датируемые 2011 годом). Не радует то, что такие уважаемые конторы как Sony допускают утечки пользовательской информации.

Напомним, что в январе 2019 года появились сборки украденных данных Collection #1, #2 и т.д., содержавшие в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.

Российское правительство отозвало законопроект о регулировании Big Data.

"С учетом обсуждений, в том числе в Правительстве Российской Федерации,принято решение об отзыве" - заявила заместитель министра связи Бокова.

Это хорошая новость, поскольку положения законопроекта были весьма странные - Big Data это вообще вся информация кроме персональных данных, а оператор Big Data, по логике, все кто ее обрабатывают любым образом (то есть вообще все юридические и физические лица в стране, цены на квартиры на Циан посмотрел - все, ты оператор больших данных).

Очень надеемся, что точно также поступят и с новым законопроектом о криптовалюте, в случае принятия которого вся крипта в России просто умрет, потянув за собой заодно игровую валюту, например.

Кстати, законопроект о криптовалюте лоббировался одновременно ФСБ и FATF (Financial Action Task Force on Money Laundering), межправительственной организацией, учрежденной странами G7 и имеющей штаб-квартиру в Париже. Тот самый случай когда ради разделки зайца и волк и лиса готовы дружить.

По данным инфосек компаний Sanguine Security и ESET, хакеры из группы Magecart взломали три крупных онлайн-магазина и внедрили в них свой вредоносный код, с помощью которого воровали вводимые покупателями данные платежных карт.

Сайты компании Clair's и ее партнера Icing были скомпрометированы в период с 25 по 30 апреля, в результате чего все платежные данные перенаправлялись на принадлежащий хакерам домен claires-assets .com, зарегистрированный всего за 4 недели до атаки. В итоге все, кто делал покупки на этом сайте в указанный период времени, подвержены риску потери денег со своих платежных карт.

Еще один сайт, принадлежащий европейской торговой сети Intersport (точнее его локальные версии для Хорватии, Сербии, Словении, Черногории и Боснии), был взломан 30 апреля. 3 мая вредоносный код вычистили, но 14 мая ресурсы взломали опять. В этот раз все поправили в течение нескольких часов. Intersport, кстати, имеет и российскую локальную версию своего сайта.

Надо заметить, что и Clair's и Intersport являются очень крупными ретейлерами, имеющими миллиардные обороты. По идее, вопросы информационной безопасности, особенно касающиеся платежных данных покупателей, должны быть решены у них на высоком уровне. Но, увы...

А с учетом все возрастающих объемов онлайн продаж в связи с эпидемией COVID-19, мы с ужасом думаем о возможных внедрениях вредоносов в онлайн-площадки российских ритейлеров. Особенно зная их привычки резать косты по любому поводу.

​​Вроде бы очередная новость об утечке. Но на деле не все так просто.

Ноам Ротем и Ран Локар, исследователи vpnMentor, обнародовали сегодня отчет о выявленной в конце мая масштабной утечке данных специализированных приложений для знакомств - 3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и ряда других.

Среди этих приложений есть как традиционные (типа SugarD, аналог отечественной Zolushka Project, или Casualx), так и, действительно, специфические - для любителей группового секса, ЛГБТ-знакомств, фетишистов и даже людей, страдающих герпесом (?).

В сливе содержалось более 845 Гб данных, в их числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовую информацию, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты. По оценке vpnMentor, утечка касалась сотен тысяч, если не миллионов пользователей сервисов.

Все сведения были отсортированы по названиям сервисов и лежали в неправильно настроенной Amazon S3 корзине, из-за чего стали видны снаружи.

Проведя анализ, исследователи пришли к выводу, что все сервисы принадлежат одному разработчику, который в некоторых приложениях был указан как Cheng Du New Tech Zone. Тогда Ротем и Локар обратились к разработчику одного из приложений - 3somes - с предупреждением об утечке. Несмотря на то, что никакого ответа не последовало, на следующий же день данные, относящиеся ко всем приложениям были скрыты, что подтвердило версию о едином разработчике.

По нашему мнению, исследователи vpnMentor обнаружили данные в процессе их перекачки от китайского разработчика неустановленному адресату. Вполне возможно, что китайским спецслужбам. Сами же приложения для знакомств сделаны таким образом, что позволяют разработчику получать полный доступ ко всей конфиденциальной информации пользователей, циркулирующей внутри приложения.

Для чего это надо? Для сбора компромата и информации о пристрастиях того или иного пользователя. Кто знает, возможно среди любителей престарелых дам есть бравый американский военный, а в числе фетишистов обнаружится европейский политик. Методы работы все те же, просто инструментарий новый.

Positive Technologies на прошлой неделе опубликовали отчет об уязвимостях в GPRS Tunneling Protocol (GTP), которые будут влиять на работу 5G сетей даже после их отпочкования от 4G.

Последствия использования этих уязвимостей хакерами:
- атаки на отказ в обслуживании (DoS) оборудования оператора (как мы понимаем имеется в виду GGSN, приблуда для предоставления мобильных данных);
- телекоммуникационный фрод;
- раскрытие информации об абоненте, в том числе его геолокация.

Любопытно, что, по утверждению Позитивов, в ряде случаев атакующему не обязательно иметь доступ к межоператорской сети, а достаточно подключенного к сети смартфона или мобильного модема.

Positive Technologies продолжают усиленно рыть тему уязвимости телекоммуникационных протоколов (SS7, Diameter, теперь GTP), за счет чего являются лидерами в России (а вполне возможно и в мире) по этому сегменту инфосека. И это хорошо.

А мы напоминаем, что GGSN, по идее, является объектом критической информационной инфраструктуры, поскольку его работа затрагивает огромное количество абонентов. Мы не в курсе, провели ли наши сотовые операторы категоризацию своих объектов КИИ, но отказ в обслуживании GGSN по новому УК является составом статьи 274.1. А кого наша Фемида посчитает виноватым в произошедшем, атакующих или обеспечивающих безопасность, - только ей самой и известно.

А мы в очередной раз удостоверяемся в справедливости старой поговорки из Клиники - если одна злая баба вышла, то другая злая баба зашла.

Только мы написали про уязвимости в телекоммуникационном протоколе GTP, выявленные Positive Technologies, как пришла новость про проблемы у T-Mobile.

T-Mobile это третий по размеру абонентской базы американский сотовый оператор, обслуживающий около 80 млн. человек и имеющий оборот более 40 млрд. долларов США.

Вчера произошел серьезный сбой в работе оборудования оператора, в результате которого в течение дня миллионы абонентов были лишены голосовых услуг и SMS, а также сервиса мобильных данных.

Наверное не стоит лишний раз напоминать сколько денег может стоить T-Mobile такой факап. Не знаем как там с переносом мобильных номеров обстоит дело в США, но и без того уверены, что сотни тысяч абонентов убегут к конкурентам - AT&T, Verizon и Sprint.

Некоторые сразу назвали сбой T-Mobile последствием DDoS-атаки на сеть сотового оператора, в то время как другие инфосек эксперты заявили, что никакой DDoS-атаки не было.

Мы же вполне допускаем возможность специализированной телекоммуникационной атаки по уязвимым протоколам SS7, Diameter и пр., про дырки в которых как раз много пишут Позитивы.

Израильские исследователи из Университета Бен-Гуриона и Института Вейцмана открыли новый способ подслушивания на расстоянии, который они назвали Lamphone.

Суть нового метода заключается в том, что лампы освещения, улавливая звук, производят микровибрации, которые можно отфиксировать с помощью электрооптического датчика, подключенного к телескопу.

В натурном эксперименте исследователи, сняв данные о вибрации с 12-ватной светодиодной лампочки с расстояния 25 метров, преобразовав их в цифру и проанализировав с помощью Google Cloud Speech API, смогли распознать песни Beatles и Coldplay, а также речь Трампа про Great again.

Варианты защиты? Либо утяжелять лампочки, либо завешивать окна непроницаемыми шторами. Ну, или вести секретные переговоры при выключенном свете.