Исследователь Юлиан Хорошкевич обнаружил ошибку в обработке команд во всем известном интерпретаторе командной строки Windows cmd.exe, которая позволяет осуществлять обход пути.
For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.
Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.
Еще одно подтверждение выражения "кто ищет, тот всегда найдет".
For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.
Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.
Еще одно подтверждение выражения "кто ищет, тот всегда найдет".
В нашей новостной повестке операторы ransomware Maze занимают в последнее время одно из первых мест. То они создают вымогательский картель , то ломают американские компании, обслуживающие ядерные ракеты.
Вчера Maze опубликовали список более чем 10 компаний, ресурсы которых они скомпрометировали. В него входят фирмы из США, Македонии, Бразилии, ОАЭ, а также один бразильский государственный портал.
Ну и, как мы предсказывали, уже появились обвинения России в атаках Maze. По крайней мере, сингапурские исследователи из Cyfirma утверждают, что за Maze стоят APT 28 aka Fancy Bear и APT 29 aka Dukes и Cozy Bear. А за первой из этих хакерских групп, как считается, стоит ГРУ.
Обоснование этого утверждения в виде того, что и операторы Maze и Fancy Bear в ходе атак используют обфускацию, боковое перемещение и кражу личных данных с помощью фишинга обсуждать смысла нет, поскольку это делают вообще все хакерские группы. Равно как и то, что ГРУ стоит за созданием Maze Cartel - вряд ли разведка будет заявлять о факте компрометации той или иной компании, особенно американского военного подрядчика, или атаковать государственный банк Коста-Рики и объявлять об этом публично.
С другой стороны, Cozy Bear были замечены в коммерческом взломе, так что их связь с Maze может присутствовать. Но, как всегда, нужно больше TTPs.
Вчера Maze опубликовали список более чем 10 компаний, ресурсы которых они скомпрометировали. В него входят фирмы из США, Македонии, Бразилии, ОАЭ, а также один бразильский государственный портал.
Ну и, как мы предсказывали, уже появились обвинения России в атаках Maze. По крайней мере, сингапурские исследователи из Cyfirma утверждают, что за Maze стоят APT 28 aka Fancy Bear и APT 29 aka Dukes и Cozy Bear. А за первой из этих хакерских групп, как считается, стоит ГРУ.
Обоснование этого утверждения в виде того, что и операторы Maze и Fancy Bear в ходе атак используют обфускацию, боковое перемещение и кражу личных данных с помощью фишинга обсуждать смысла нет, поскольку это делают вообще все хакерские группы. Равно как и то, что ГРУ стоит за созданием Maze Cartel - вряд ли разведка будет заявлять о факте компрометации той или иной компании, особенно американского военного подрядчика, или атаковать государственный банк Коста-Рики и объявлять об этом публично.
С другой стороны, Cozy Bear были замечены в коммерческом взломе, так что их связь с Maze может присутствовать. Но, как всегда, нужно больше TTPs.
CYFIRMA
MAZE RANSOMWARE GROUP DECLARED SUCCESSFUL EXPLOITS OF MANY ORGANIZATIONS AND RELEASED MASSIVE DATA ON PUBLIC SITE IN ONE DAY -…
CYFIRMA Research – 10 Jun 2020 CYFIRMA’s researchers have tracked Maze as early as Jun last year, and on 10...
Политическая турбулентность в любой стране иногда выносит на поверхность вещи, которые в других случаях власть предпочитает замести под ковер. США в этом плане не исключение. Приближающиеся президентские выборы заставляют игроков в запале делать не совсем логичные с точки зрения национальных интересов вещи.
13 американских сенаторов из стана демократов решили вдруг вспомнить скандал пятилетней давности и наехать на Juniper Networks и АНБ. Ими было направлено письмо в адрес Juniper, в котором сенаторы просят опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.
Напомним, что в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
Позже выяснилось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ и сразу же получившего необходимые сертификаты. А в алгоритме, как нетрудно догадаться, была заложенная на стадии разработки дыра.
По разным оценкам Juniper ввел в использование Dual_EC в своей ScreenOS в период с 2008 по 2012 годы. И все время по декабрь 2015 года АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик. Немало таких устройств приехало и в Россию, Juniper у нас традиционно любят.
Теперь же сенаторы-демократы решили вытащить эту, без сомнения, грязную историю на всеобщий обзор. Поглядим чем закончится.
13 американских сенаторов из стана демократов решили вдруг вспомнить скандал пятилетней давности и наехать на Juniper Networks и АНБ. Ими было направлено письмо в адрес Juniper, в котором сенаторы просят опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.
Напомним, что в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
Позже выяснилось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ и сразу же получившего необходимые сертификаты. А в алгоритме, как нетрудно догадаться, была заложенная на стадии разработки дыра.
По разным оценкам Juniper ввел в использование Dual_EC в своей ScreenOS в период с 2008 по 2012 годы. И все время по декабрь 2015 года АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик. Немало таких устройств приехало и в Россию, Juniper у нас традиционно любят.
Теперь же сенаторы-демократы решили вытащить эту, без сомнения, грязную историю на всеобщий обзор. Поглядим чем закончится.
ZDNet
Congress asks Juniper for the results of its 2015 NSA backdoor investigation
Thirteen US government officials ask Juniper to publish the findings of its 2015 investigation.
Сегодня хоть и не пятница, но предпраздничный день. Поэтому подвезли пятничного контента.
Мы не знаем, что там Евгений Валентинович (tm) Маск со своими подчиненными в офисе на Водном стадионе делает, но не все это выдерживают.
Вот и один из бывших сотрудников Лаборатории Касперского (имя писать не будем, но он особо и не скрывается, при желании можно найти) сразу после увольнения свистнул кукушкой и написал в Твиттер леденящую душу историю, как Касперский его невозобранно травил:
- вешал под фальшпотолок микрофоны;
- подкупал водителя такси, чтобы он врезался вместе с сабжем во встречный BMW;
- посылал слежку ФСБ на черных Land Rover'ах;
- спалил хату родственников в Калифорнии и какой-то ресторан в Казахстане;
- натравливал на сабжа военные вертолеты и перевернутые джипы (?);
- но в целом все хорошо (это цитата!!!).
Евгений Валентинович (тм), вызовите пациенту белую карету уже, погибает ведь человек. В конце концов, он работал в Вашей компании.
https://twitter.com/newesprod/status/1270782152674873346
Мы не знаем, что там Евгений Валентинович (tm) Маск со своими подчиненными в офисе на Водном стадионе делает, но не все это выдерживают.
Вот и один из бывших сотрудников Лаборатории Касперского (имя писать не будем, но он особо и не скрывается, при желании можно найти) сразу после увольнения свистнул кукушкой и написал в Твиттер леденящую душу историю, как Касперский его невозобранно травил:
- вешал под фальшпотолок микрофоны;
- подкупал водителя такси, чтобы он врезался вместе с сабжем во встречный BMW;
- посылал слежку ФСБ на черных Land Rover'ах;
- спалил хату родственников в Калифорнии и какой-то ресторан в Казахстане;
- натравливал на сабжа военные вертолеты и перевернутые джипы (?);
- но в целом все хорошо (это цитата!!!).
Евгений Валентинович (тм), вызовите пациенту белую карету уже, погибает ведь человек. В конце концов, он работал в Вашей компании.
https://twitter.com/newesprod/status/1270782152674873346
Крупнейший провайдер Австрии A1 Telekom официально признал, что подразделению информационной безопасности компании понадобилось более полугода, чтобы устранить последствия компрометации сети неизвестными хакерами.
Офисный сегмент внутренней сети A1 Telekom был заражен в ноябре 2019 года, что было обнаружено только месяц спустя. И с декабря 2019 года по май года текущего инфосек специалисты зачищали следы присутствия злоумышленников, удаляя оставленные ими бэкдоры.
Австрийская компания заявила, что технический сегмент ее сети не был затронут благодаря грамотному сегментированию, технологические процессы не нарушены и конфиденциальные данные абонентов не попали в руки хакеров.
Австрийский исследователь Кристиан Хащек сообщил, что к взлому A1 Telekom может быть причастна хакерская группа Gallium. Эта APT описана Microsoft (других данных мы не нашли), согласно информации которой хакерская группа нацелена, в основном, на телекоммуникационные компании.
Используемые Gallium вредоносные инструменты, в частности видоизмененные Gh0st RAT или China Choper, не уникальны, хотя дают некоторые основания считать, что группа связана с Китаем или КНДР.
Что мы думаем по этому поводу?
Во-первых, подобная многомесячная борьба с проникшими во внутреннюю сеть хакерами не нова, в истории отечественного инфосека есть подобные истории.
Во-вторых, мы в миллионный раз напоминаем про необходимость сегментирования сетей объектов критической инфраструктуры, к коей, несомненно, относятся крупные телекоммуникационные операторы-провайдеры. И к нашим компаниям это относится более чем. Вы даже не представляете, какой там зоопарк...
Офисный сегмент внутренней сети A1 Telekom был заражен в ноябре 2019 года, что было обнаружено только месяц спустя. И с декабря 2019 года по май года текущего инфосек специалисты зачищали следы присутствия злоумышленников, удаляя оставленные ими бэкдоры.
Австрийская компания заявила, что технический сегмент ее сети не был затронут благодаря грамотному сегментированию, технологические процессы не нарушены и конфиденциальные данные абонентов не попали в руки хакеров.
Австрийский исследователь Кристиан Хащек сообщил, что к взлому A1 Telekom может быть причастна хакерская группа Gallium. Эта APT описана Microsoft (других данных мы не нашли), согласно информации которой хакерская группа нацелена, в основном, на телекоммуникационные компании.
Используемые Gallium вредоносные инструменты, в частности видоизмененные Gh0st RAT или China Choper, не уникальны, хотя дают некоторые основания считать, что группа связана с Китаем или КНДР.
Что мы думаем по этому поводу?
Во-первых, подобная многомесячная борьба с проникшими во внутреннюю сеть хакерами не нова, в истории отечественного инфосека есть подобные истории.
Во-вторых, мы в миллионный раз напоминаем про необходимость сегментирования сетей объектов критической инфраструктуры, к коей, несомненно, относятся крупные телекоммуникационные операторы-провайдеры. И к нашим компаниям это относится более чем. Вы даже не представляете, какой там зоопарк...
ZDNET
Hackers breached A1 Telekom, Austria's largest ISP
A1 needed more than six months to kick the hackers off its network. Whsitleblower claims the intruders were Chinese hackers.
Наивно было бы предполагать, что хакеры не воспользуются такой благодатной темой, как уличные протесты в США.
Так они и воспользовались.
По сообщению BleepingComputer, исследователи Abuse[.]ch выявили фишинговую кампанию, в качестве приманки в которой используется предложение анонимно проголосовать по поводу Black Lives Matter. Ну, а в приложенной "форме для голосования" содержится банковский троян TrickBot.
Кажется данные о COVID-19 начинают терять свою популярность в качестве приманки в фишинговых рассылках, на их место приходит новая хайповая тема про BLM.
Так они и воспользовались.
По сообщению BleepingComputer, исследователи Abuse[.]ch выявили фишинговую кампанию, в качестве приманки в которой используется предложение анонимно проголосовать по поводу Black Lives Matter. Ну, а в приложенной "форме для голосования" содержится банковский троян TrickBot.
Кажется данные о COVID-19 начинают терять свою популярность в качестве приманки в фишинговых рассылках, на их место приходит новая хайповая тема про BLM.
BleepingComputer
Fake Black Lives Matter voting campaign spreads Trickbot malware
A phishing email campaign asking you to vote anonymously about Black Lives Matter is spreading the TrickBot information-stealing malware.
Как мы знаем, Facebook, как владелец WhatsApp, судится с израильской компанией NSO Group за продажу ряду правительств своего шпионского ПО Pegasus, которое позволяло контролировать переписку пользователей в мессенджере путем заражения их смартфонов.
NSO Group продавало свои кибершпионские инструменты исключительно спецслужбам и правоохранительным органам разных стран в целях предотвращения преступлений. Естественно, что разные спецслужбы трактуют понятие "преступление" по-разному, в связи с чем и разразился скандал, когда некоторые страны Ближнего Востока стали преследовать с использованием Pegasus политических оппонентов действующей власти и журналистов.
Но, как оказывается, Facebook тоже не чужда тому, чтобы кого-нибудь подломать. Естественно, в интересах правосудия.
Как пишет Motherboard, компания Цукерберга заплатила шестизначную сумму (в долларах, разумеется) некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил.
Злоумышленник в течение нескольких лет преследовал по сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием. ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Примечательно, что, по данным Motherboard, неясно, были ли ФБР вообще в курсе активности Facebook до получения эксплойта.
И, спрашивается, чем действия Facebook в этом эпизоде отличаются от действий NSO Group. Фактически ничем - и те и другие разработали инструмент для взлома и передали его правоохранительным органам. Подаст ли теперь The Tor Project, как спонсор разработки Tails, в суд на Facebook за взлом их программного продукта?
NSO Group продавало свои кибершпионские инструменты исключительно спецслужбам и правоохранительным органам разных стран в целях предотвращения преступлений. Естественно, что разные спецслужбы трактуют понятие "преступление" по-разному, в связи с чем и разразился скандал, когда некоторые страны Ближнего Востока стали преследовать с использованием Pegasus политических оппонентов действующей власти и журналистов.
Но, как оказывается, Facebook тоже не чужда тому, чтобы кого-нибудь подломать. Естественно, в интересах правосудия.
Как пишет Motherboard, компания Цукерберга заплатила шестизначную сумму (в долларах, разумеется) некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил.
Злоумышленник в течение нескольких лет преследовал по сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием. ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Примечательно, что, по данным Motherboard, неясно, были ли ФБР вообще в курсе активности Facebook до получения эксплойта.
И, спрашивается, чем действия Facebook в этом эпизоде отличаются от действий NSO Group. Фактически ничем - и те и другие разработали инструмент для взлома и передали его правоохранительным органам. Подаст ли теперь The Tor Project, как спонсор разработки Tails, в суд на Facebook за взлом их программного продукта?
VICE
Facebook Helped the FBI Hack a Child Predator
Facebook paid a cybersecurity firm six figures to develop a zero-day in Tails to identify a man who extorted and threatened girls.
Возможно вы эту новость уже видели и тем не менее.
В пятницу Twitter объявил, что заблокировал более 32 тысяч учетных записей, связанных с Россией, Китаем и Турцией (на самом деле заблокировали в четверг, а в пятницу раскрыли подробности). Кроме того, все данные об этих учетных записях (и логи тоже? и переписку?) Twitter передал Австралийскому институту стратегической политики (ASPI) и Стендфордской Интернет-обсерватории (SIO) для дальнейших исследований.
Учетки, относящиеся ко всем трем странам, обвиняются в пропаганде в пользу действующей власти. Например, российские - в пропаганде Единой России и критику "политических диссидентов".
Мы не больше администрации Twitter любим Единую Россию, но все же хотим задаться вопросом - а какого хрена какие-то функционеры сервиса, руководствуясь своим частным мнением, начинают цензурировать контент? Напомним, что Вконтакте, например, в конце 2011 года не прогнулся под ФСБ и не стал блокировать учетки оппозиции. А Twitter'у можно, значит?
И пока все ломают копья вокруг Единого Реестра (мы на этот счет тоже имеем свое аргументированное мнение и обязательно его опубликуем позже), цифровой концлагерь приходит совсем с другой стороны. Со стороны транснациональной олигархии, завладевшей контролем над ведущими мировыми Интернет-сервисами и теперь диктующей всем что писать и как думать.
А если ты не согласен, что только Black Lives Matter и думаешь, что важны жизни вообще всех людей, или не хочешь преклоняться перед гопотой и мыть им ноги, то ты будешь подвергнут остракизму, заблокирован, а все твои личные данные будут переданы на изучение "правильным" ребятам из ASPI или SIO.
"В концлагере моей мечты все будет наоборот и надзирателями будут евреи" (одна российская либертарианка).
"Я не разделяю ваших убеждений, но готов умереть за ваше право их высказать" (парафраз слов Вольтера).
Почувствуйте разницу.
В пятницу Twitter объявил, что заблокировал более 32 тысяч учетных записей, связанных с Россией, Китаем и Турцией (на самом деле заблокировали в четверг, а в пятницу раскрыли подробности). Кроме того, все данные об этих учетных записях (и логи тоже? и переписку?) Twitter передал Австралийскому институту стратегической политики (ASPI) и Стендфордской Интернет-обсерватории (SIO) для дальнейших исследований.
Учетки, относящиеся ко всем трем странам, обвиняются в пропаганде в пользу действующей власти. Например, российские - в пропаганде Единой России и критику "политических диссидентов".
Мы не больше администрации Twitter любим Единую Россию, но все же хотим задаться вопросом - а какого хрена какие-то функционеры сервиса, руководствуясь своим частным мнением, начинают цензурировать контент? Напомним, что Вконтакте, например, в конце 2011 года не прогнулся под ФСБ и не стал блокировать учетки оппозиции. А Twitter'у можно, значит?
И пока все ломают копья вокруг Единого Реестра (мы на этот счет тоже имеем свое аргументированное мнение и обязательно его опубликуем позже), цифровой концлагерь приходит совсем с другой стороны. Со стороны транснациональной олигархии, завладевшей контролем над ведущими мировыми Интернет-сервисами и теперь диктующей всем что писать и как думать.
А если ты не согласен, что только Black Lives Matter и думаешь, что важны жизни вообще всех людей, или не хочешь преклоняться перед гопотой и мыть им ноги, то ты будешь подвергнут остракизму, заблокирован, а все твои личные данные будут переданы на изучение "правильным" ребятам из ASPI или SIO.
"В концлагере моей мечты все будет наоборот и надзирателями будут евреи" (одна российская либертарианка).
"Я не разделяю ваших убеждений, но готов умереть за ваше право их высказать" (парафраз слов Вольтера).
Почувствуйте разницу.
Twitter
Disclosing networks of state-linked information operations we’ve removed
Today we are disclosing 32,242 accounts to our archive of state-linked information operations — the only one of its kind in the industry.
По данным BleepingComputer, польские исследователи из компании REDTEAM. PL поймали в ханипот образец вымогателя Black Kingdom, который нацелен на корпоративные сети с непропатченным Pulse Secure VPN.
Вредонос использует уязвимость CVE-2019-11510, которая была исправлена еще в апреле 2019 года. Тем не менее, многие компании до сих пор не обновили свои VPN, что может стоить им финансовых потерь.
Напомним, что в мае британская энергетическая компания Elexon, которая занимается распределением транзита электроэнергии по всей Великобритании, была атакована ransomware Sodinokibi (она же REvil) как раз через уязвимость в устаревшей версии Pulse Secure VPN.
Своевременно обновляйте корпоративное ПО.
Вредонос использует уязвимость CVE-2019-11510, которая была исправлена еще в апреле 2019 года. Тем не менее, многие компании до сих пор не обновили свои VPN, что может стоить им финансовых потерь.
Напомним, что в мае британская энергетическая компания Elexon, которая занимается распределением транзита электроэнергии по всей Великобритании, была атакована ransomware Sodinokibi (она же REvil) как раз через уязвимость в устаревшей версии Pulse Secure VPN.
Своевременно обновляйте корпоративное ПО.
BleepingComputer
Black Kingdom ransomware hacks networks with Pulse VPN flaws
Operators of Black Kingdom ransomware are targeting enterprises with unpatched Pulse Secure VPN software or initial access on the network, security researchers have found.
А пока в мире нестабильность и коронавирус, польские милитаристы все еще грезят о "Польска от можа до можа".
Как выяснила CNN, в конце мая недалеко от чешского города Пельгржимов, польские военные, охранявшие границу в период эпидемии коронавируса, пересекли границу с Чехией и поставили на ее территории свой пограничный пункт. После чего стали заворачивать чехов, которые шли в местную церковь.
Инцидент в итоге удалось разрешить и поляки вернулись в свою страну после ноты чешского МИД. При этом официальное разъяснение польская сторона так и не дала, хотя неофициально военные Польши, заявили, что это было недоразумение и Чехию они оккупировали случайно.
Поскольку в прошлый раз, 82 года назад, такая "случайная оккупация" привела к аннексии поляками Тешинской области Чехословакии в размере 800 квадратных километров, то чехи напряглись.
Как выяснила CNN, в конце мая недалеко от чешского города Пельгржимов, польские военные, охранявшие границу в период эпидемии коронавируса, пересекли границу с Чехией и поставили на ее территории свой пограничный пункт. После чего стали заворачивать чехов, которые шли в местную церковь.
Инцидент в итоге удалось разрешить и поляки вернулись в свою страну после ноты чешского МИД. При этом официальное разъяснение польская сторона так и не дала, хотя неофициально военные Польши, заявили, что это было недоразумение и Чехию они оккупировали случайно.
Поскольку в прошлый раз, 82 года назад, такая "случайная оккупация" привела к аннексии поляками Тешинской области Чехословакии в размере 800 квадратных километров, то чехи напряглись.
CNN
Poland invaded the Czech Republic last month, but says it was just a big misunderstanding
The Polish military has admitted it accidentally invaded the Czech Republic last month, but it insists its brief occupation of a small part of the country was simply a “misunderstanding.”
Команда ресерчеров инфосек компании Cyble в ходе исследования дарквеба наткнулась на хакера, продающего сборку украденных пользовательских данных, содержащую сведения более чем о миллиарде записей.
В продаваемую базу входят данные с AliExpress (300 млн. пользователей), Ebay (145 млн.), Sony Online Entertainment (24 млн.), Sony Playstation Network (77 млн.) и др.
Радует одно, что слитые базы данных достаточно старые (встречаются даже датируемые 2011 годом). Не радует то, что такие уважаемые конторы как Sony допускают утечки пользовательской информации.
Напомним, что в январе 2019 года появились сборки украденных данных Collection #1, #2 и т.д., содержавшие в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
В продаваемую базу входят данные с AliExpress (300 млн. пользователей), Ebay (145 млн.), Sony Online Entertainment (24 млн.), Sony Playstation Network (77 млн.) и др.
Радует одно, что слитые базы данных достаточно старые (встречаются даже датируемые 2011 годом). Не радует то, что такие уважаемые конторы как Sony допускают утечки пользовательской информации.
Напомним, что в январе 2019 года появились сборки украденных данных Collection #1, #2 и т.д., содержавшие в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Российское правительство отозвало законопроект о регулировании Big Data.
"С учетом обсуждений, в том числе в Правительстве Российской Федерации,принято решение об отзыве" - заявила заместитель министра связи Бокова.
Это хорошая новость, поскольку положения законопроекта были весьма странные - Big Data это вообще вся информация кроме персональных данных, а оператор Big Data, по логике, все кто ее обрабатывают любым образом (то есть вообще все юридические и физические лица в стране, цены на квартиры на Циан посмотрел - все, ты оператор больших данных).
Очень надеемся, что точно также поступят и с новым законопроектом о криптовалюте, в случае принятия которого вся крипта в России просто умрет, потянув за собой заодно игровую валюту, например.
Кстати, законопроект о криптовалюте лоббировался одновременно ФСБ и FATF (Financial Action Task Force on Money Laundering), межправительственной организацией, учрежденной странами G7 и имеющей штаб-квартиру в Париже. Тот самый случай когда ради разделки зайца и волк и лиса готовы дружить.
"С учетом обсуждений, в том числе в Правительстве Российской Федерации,принято решение об отзыве" - заявила заместитель министра связи Бокова.
Это хорошая новость, поскольку положения законопроекта были весьма странные - Big Data это вообще вся информация кроме персональных данных, а оператор Big Data, по логике, все кто ее обрабатывают любым образом (то есть вообще все юридические и физические лица в стране, цены на квартиры на Циан посмотрел - все, ты оператор больших данных).
Очень надеемся, что точно также поступят и с новым законопроектом о криптовалюте, в случае принятия которого вся крипта в России просто умрет, потянув за собой заодно игровую валюту, например.
Кстати, законопроект о криптовалюте лоббировался одновременно ФСБ и FATF (Financial Action Task Force on Money Laundering), межправительственной организацией, учрежденной странами G7 и имеющей штаб-квартиру в Париже. Тот самый случай когда ради разделки зайца и волк и лиса готовы дружить.
TAdviser.ru
В России утвердили первый национальный стандарт в области больших данных
Основными потребителями технологий Big Data являются банки, телеком-операторы и крупные ритейлеры. Главными проблемами развития направления больших данных являются нехватка квалифицированных кадров, отсутствие достаточного опыта российских внедрений, а также…
По данным инфосек компаний Sanguine Security и ESET, хакеры из группы Magecart взломали три крупных онлайн-магазина и внедрили в них свой вредоносный код, с помощью которого воровали вводимые покупателями данные платежных карт.
Сайты компании Clair's и ее партнера Icing были скомпрометированы в период с 25 по 30 апреля, в результате чего все платежные данные перенаправлялись на принадлежащий хакерам домен claires-assets .com, зарегистрированный всего за 4 недели до атаки. В итоге все, кто делал покупки на этом сайте в указанный период времени, подвержены риску потери денег со своих платежных карт.
Еще один сайт, принадлежащий европейской торговой сети Intersport (точнее его локальные версии для Хорватии, Сербии, Словении, Черногории и Боснии), был взломан 30 апреля. 3 мая вредоносный код вычистили, но 14 мая ресурсы взломали опять. В этот раз все поправили в течение нескольких часов. Intersport, кстати, имеет и российскую локальную версию своего сайта.
Надо заметить, что и Clair's и Intersport являются очень крупными ретейлерами, имеющими миллиардные обороты. По идее, вопросы информационной безопасности, особенно касающиеся платежных данных покупателей, должны быть решены у них на высоком уровне. Но, увы...
А с учетом все возрастающих объемов онлайн продаж в связи с эпидемией COVID-19, мы с ужасом думаем о возможных внедрениях вредоносов в онлайн-площадки российских ритейлеров. Особенно зная их привычки резать косты по любому поводу.
Сайты компании Clair's и ее партнера Icing были скомпрометированы в период с 25 по 30 апреля, в результате чего все платежные данные перенаправлялись на принадлежащий хакерам домен claires-assets .com, зарегистрированный всего за 4 недели до атаки. В итоге все, кто делал покупки на этом сайте в указанный период времени, подвержены риску потери денег со своих платежных карт.
Еще один сайт, принадлежащий европейской торговой сети Intersport (точнее его локальные версии для Хорватии, Сербии, Словении, Черногории и Боснии), был взломан 30 апреля. 3 мая вредоносный код вычистили, но 14 мая ресурсы взломали опять. В этот раз все поправили в течение нескольких часов. Intersport, кстати, имеет и российскую локальную версию своего сайта.
Надо заметить, что и Clair's и Intersport являются очень крупными ретейлерами, имеющими миллиардные обороты. По идее, вопросы информационной безопасности, особенно касающиеся платежных данных покупателей, должны быть решены у них на высоком уровне. Но, увы...
А с учетом все возрастающих объемов онлайн продаж в связи с эпидемией COVID-19, мы с ужасом думаем о возможных внедрениях вредоносов в онлайн-площадки российских ритейлеров. Особенно зная их привычки резать косты по любому поводу.
ZDNet
Web skimmers found on the websites of Intersport, Claire's, and Icing
The malicious code has now been removed from all stores, but users are advised to review card statements for suspicious transactions.
Вроде бы очередная новость об утечке. Но на деле не все так просто.
Ноам Ротем и Ран Локар, исследователи vpnMentor, обнародовали сегодня отчет о выявленной в конце мая масштабной утечке данных специализированных приложений для знакомств - 3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и ряда других.
Среди этих приложений есть как традиционные (типа SugarD, аналог отечественной Zolushka Project, или Casualx), так и, действительно, специфические - для любителей группового секса, ЛГБТ-знакомств, фетишистов и даже людей, страдающих герпесом (?).
В сливе содержалось более 845 Гб данных, в их числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовую информацию, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты. По оценке vpnMentor, утечка касалась сотен тысяч, если не миллионов пользователей сервисов.
Все сведения были отсортированы по названиям сервисов и лежали в неправильно настроенной Amazon S3 корзине, из-за чего стали видны снаружи.
Проведя анализ, исследователи пришли к выводу, что все сервисы принадлежат одному разработчику, который в некоторых приложениях был указан как Cheng Du New Tech Zone. Тогда Ротем и Локар обратились к разработчику одного из приложений - 3somes - с предупреждением об утечке. Несмотря на то, что никакого ответа не последовало, на следующий же день данные, относящиеся ко всем приложениям были скрыты, что подтвердило версию о едином разработчике.
По нашему мнению, исследователи vpnMentor обнаружили данные в процессе их перекачки от китайского разработчика неустановленному адресату. Вполне возможно, что китайским спецслужбам. Сами же приложения для знакомств сделаны таким образом, что позволяют разработчику получать полный доступ ко всей конфиденциальной информации пользователей, циркулирующей внутри приложения.
Для чего это надо? Для сбора компромата и информации о пристрастиях того или иного пользователя. Кто знает, возможно среди любителей престарелых дам есть бравый американский военный, а в числе фетишистов обнаружится европейский политик. Методы работы все те же, просто инструментарий новый.
Ноам Ротем и Ран Локар, исследователи vpnMentor, обнародовали сегодня отчет о выявленной в конце мая масштабной утечке данных специализированных приложений для знакомств - 3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и ряда других.
Среди этих приложений есть как традиционные (типа SugarD, аналог отечественной Zolushka Project, или Casualx), так и, действительно, специфические - для любителей группового секса, ЛГБТ-знакомств, фетишистов и даже людей, страдающих герпесом (?).
В сливе содержалось более 845 Гб данных, в их числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовую информацию, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты. По оценке vpnMentor, утечка касалась сотен тысяч, если не миллионов пользователей сервисов.
Все сведения были отсортированы по названиям сервисов и лежали в неправильно настроенной Amazon S3 корзине, из-за чего стали видны снаружи.
Проведя анализ, исследователи пришли к выводу, что все сервисы принадлежат одному разработчику, который в некоторых приложениях был указан как Cheng Du New Tech Zone. Тогда Ротем и Локар обратились к разработчику одного из приложений - 3somes - с предупреждением об утечке. Несмотря на то, что никакого ответа не последовало, на следующий же день данные, относящиеся ко всем приложениям были скрыты, что подтвердило версию о едином разработчике.
По нашему мнению, исследователи vpnMentor обнаружили данные в процессе их перекачки от китайского разработчика неустановленному адресату. Вполне возможно, что китайским спецслужбам. Сами же приложения для знакомств сделаны таким образом, что позволяют разработчику получать полный доступ ко всей конфиденциальной информации пользователей, циркулирующей внутри приложения.
Для чего это надо? Для сбора компромата и информации о пристрастиях того или иного пользователя. Кто знает, возможно среди любителей престарелых дам есть бравый американский военный, а в числе фетишистов обнаружится европейский политик. Методы работы все те же, просто инструментарий новый.
Positive Technologies на прошлой неделе опубликовали отчет об уязвимостях в GPRS Tunneling Protocol (GTP), которые будут влиять на работу 5G сетей даже после их отпочкования от 4G.
Последствия использования этих уязвимостей хакерами:
- атаки на отказ в обслуживании (DoS) оборудования оператора (как мы понимаем имеется в виду GGSN, приблуда для предоставления мобильных данных);
- телекоммуникационный фрод;
- раскрытие информации об абоненте, в том числе его геолокация.
Любопытно, что, по утверждению Позитивов, в ряде случаев атакующему не обязательно иметь доступ к межоператорской сети, а достаточно подключенного к сети смартфона или мобильного модема.
Positive Technologies продолжают усиленно рыть тему уязвимости телекоммуникационных протоколов (SS7, Diameter, теперь GTP), за счет чего являются лидерами в России (а вполне возможно и в мире) по этому сегменту инфосека. И это хорошо.
А мы напоминаем, что GGSN, по идее, является объектом критической информационной инфраструктуры, поскольку его работа затрагивает огромное количество абонентов. Мы не в курсе, провели ли наши сотовые операторы категоризацию своих объектов КИИ, но отказ в обслуживании GGSN по новому УК является составом статьи 274.1. А кого наша Фемида посчитает виноватым в произошедшем, атакующих или обеспечивающих безопасность, - только ей самой и известно.
Последствия использования этих уязвимостей хакерами:
- атаки на отказ в обслуживании (DoS) оборудования оператора (как мы понимаем имеется в виду GGSN, приблуда для предоставления мобильных данных);
- телекоммуникационный фрод;
- раскрытие информации об абоненте, в том числе его геолокация.
Любопытно, что, по утверждению Позитивов, в ряде случаев атакующему не обязательно иметь доступ к межоператорской сети, а достаточно подключенного к сети смартфона или мобильного модема.
Positive Technologies продолжают усиленно рыть тему уязвимости телекоммуникационных протоколов (SS7, Diameter, теперь GTP), за счет чего являются лидерами в России (а вполне возможно и в мире) по этому сегменту инфосека. И это хорошо.
А мы напоминаем, что GGSN, по идее, является объектом критической информационной инфраструктуры, поскольку его работа затрагивает огромное количество абонентов. Мы не в курсе, провели ли наши сотовые операторы категоризацию своих объектов КИИ, но отказ в обслуживании GGSN по новому УК является составом статьи 274.1. А кого наша Фемида посчитает виноватым в произошедшем, атакующих или обеспечивающих безопасность, - только ей самой и известно.
Positive-Tech
Threat vector: GTP. Vulnerabilities in LTE and 5G networks 2020
With new 5G networks, mobile operators face numerous challenges. One of them is the GTP protocol, used alongside SS7 and Diameter on core networks to transmit user and control traffic. Stay ahead of the curve with knowledge and preparation. Download the «Threat…
А мы в очередной раз удостоверяемся в справедливости старой поговорки из Клиники - если одна злая баба вышла, то другая злая баба зашла.
Только мы написали про уязвимости в телекоммуникационном протоколе GTP, выявленные Positive Technologies, как пришла новость про проблемы у T-Mobile.
T-Mobile это третий по размеру абонентской базы американский сотовый оператор, обслуживающий около 80 млн. человек и имеющий оборот более 40 млрд. долларов США.
Вчера произошел серьезный сбой в работе оборудования оператора, в результате которого в течение дня миллионы абонентов были лишены голосовых услуг и SMS, а также сервиса мобильных данных.
Наверное не стоит лишний раз напоминать сколько денег может стоить T-Mobile такой факап. Не знаем как там с переносом мобильных номеров обстоит дело в США, но и без того уверены, что сотни тысяч абонентов убегут к конкурентам - AT&T, Verizon и Sprint.
Некоторые сразу назвали сбой T-Mobile последствием DDoS-атаки на сеть сотового оператора, в то время как другие инфосек эксперты заявили, что никакой DDoS-атаки не было.
Мы же вполне допускаем возможность специализированной телекоммуникационной атаки по уязвимым протоколам SS7, Diameter и пр., про дырки в которых как раз много пишут Позитивы.
Только мы написали про уязвимости в телекоммуникационном протоколе GTP, выявленные Positive Technologies, как пришла новость про проблемы у T-Mobile.
T-Mobile это третий по размеру абонентской базы американский сотовый оператор, обслуживающий около 80 млн. человек и имеющий оборот более 40 млрд. долларов США.
Вчера произошел серьезный сбой в работе оборудования оператора, в результате которого в течение дня миллионы абонентов были лишены голосовых услуг и SMS, а также сервиса мобильных данных.
Наверное не стоит лишний раз напоминать сколько денег может стоить T-Mobile такой факап. Не знаем как там с переносом мобильных номеров обстоит дело в США, но и без того уверены, что сотни тысяч абонентов убегут к конкурентам - AT&T, Verizon и Sprint.
Некоторые сразу назвали сбой T-Mobile последствием DDoS-атаки на сеть сотового оператора, в то время как другие инфосек эксперты заявили, что никакой DDoS-атаки не было.
Мы же вполне допускаем возможность специализированной телекоммуникационной атаки по уязвимым протоколам SS7, Diameter и пр., про дырки в которых как раз много пишут Позитивы.
Securityweek
T-Mobile Outage Mistaken for Massive DDoS Attack on U.S. | SecurityWeek.Com
T-Mobile on Monday suffered a major outage in the United States and it ended up being reported as a “massive” DDoS attack.
Израильские исследователи из Университета Бен-Гуриона и Института Вейцмана открыли новый способ подслушивания на расстоянии, который они назвали Lamphone.
Суть нового метода заключается в том, что лампы освещения, улавливая звук, производят микровибрации, которые можно отфиксировать с помощью электрооптического датчика, подключенного к телескопу.
В натурном эксперименте исследователи, сняв данные о вибрации с 12-ватной светодиодной лампочки с расстояния 25 метров, преобразовав их в цифру и проанализировав с помощью Google Cloud Speech API, смогли распознать песни Beatles и Coldplay, а также речь Трампа про Great again.
Варианты защиты? Либо утяжелять лампочки, либо завешивать окна непроницаемыми шторами. Ну, или вести секретные переговоры при выключенном свете.
Суть нового метода заключается в том, что лампы освещения, улавливая звук, производят микровибрации, которые можно отфиксировать с помощью электрооптического датчика, подключенного к телескопу.
В натурном эксперименте исследователи, сняв данные о вибрации с 12-ватной светодиодной лампочки с расстояния 25 метров, преобразовав их в цифру и проанализировав с помощью Google Cloud Speech API, смогли распознать песни Beatles и Coldplay, а также речь Трампа про Great again.
Варианты защиты? Либо утяжелять лампочки, либо завешивать окна непроницаемыми шторами. Ну, или вести секретные переговоры при выключенном свете.
Threat Post
‘Lamphone’ Hack Uses Lightbulb Vibrations to Eavesdrop on Homes
A new hack allowed researchers to discern sound - including "Let it Be" by the Beatles, and audio from a Donald Trump speech - from lightbulb vibrations.
Сегодня, кстати, годовщина.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
www.abc.net.au
First mobile phone virus discovered
The first computer virus that can infect mobile phones has been discovered by researchers in France.
I resurrect myself
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
В марте 2013 Lazarus атаковали ресурсы Южной Кореи в ходе кибероперации, которая получила название DarkSeoul. Под удар попали сети 3 крупных банков (Jeju, Nonghyup и Shinhan) и 3 телевизионных компаний (KBS, MBC и YTN) Южной Кореи. Всего атакованными оказались 45-50 тыс. систем.
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
Перенесемся в 2014 год.
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus