Сегодня, кстати, годовщина.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
www.abc.net.au
First mobile phone virus discovered
The first computer virus that can infect mobile phones has been discovered by researchers in France.
I resurrect myself
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
В марте 2013 Lazarus атаковали ресурсы Южной Кореи в ходе кибероперации, которая получила название DarkSeoul. Под удар попали сети 3 крупных банков (Jeju, Nonghyup и Shinhan) и 3 телевизионных компаний (KBS, MBC и YTN) Южной Кореи. Всего атакованными оказались 45-50 тыс. систем.
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
Перенесемся в 2014 год.
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus
Каждый из нас множество раз ошибался при подготовке тех или иных документов. Какова стоимость одной такой опечатки? Вероятно, не больше стоимости времени, потраченного на ее исправление. Или, если такая опечатка ушла в пост, то она стоит максимум недоумения обратившего на нее внимание подписчика. Хакерам Lazarus опечатка стоила почти 900 миллионов долларов.
В ночь с 4 на 5 февраля 2016 года, дня, который являлся выходным в Бангладеш и США, было взломано ПО системы межбанковских расчетов SWIFT Центрального Банка Бангладеш (далее - ББ), после чего злоумышленники сгенерировали несколько десятков платежных поручений в адрес ФРС Нью-Йорка о переводе денежных средств со счета ББ в размере 951 млн. долларов на счета нескольких бенефициаров в различных банках мира.
Первые 4 платежных поручения были исполнены, а вот в пятом хакеры сделали маленькую ошибку – вместо “foundation” написали “fandation” (впрочем, это была не первая опечатка Lazarus), что привлекло внимание финансовых контролеров и дальнейшие транзакции были заморожены.
В итоге ББ потерял “всего” 81 млн. долларов, которые ушли на счета в филиппинские банки. В дальнейшем часть этих денег все-таки вернулась в Бангладеш, часть была заморожена, но несколько десятков млн. все-таки исчезли и, скорее всего, были выведены северокорейскими хакерами.
Скандал получился очень громким. К расследованию подключились многие инфосек компании, а также, как обычно, не обошлось без ФБР, поскольку ФРС Нью-Йорка все-таки американская организация.
Дальнейшее изучение атаки показало, что первые мероприятия по разведке сети ББ начались еще в январе 2015 года. В марте сеть была скомпрометирована, в нее были внедрены бэкдоры и хакеры Lazarus стали изучать ее изнутри, собирать данные пользователей и вообще создавать позиции для более глубокого проникновения. В августе 2015 года уже взломанная сеть ББ была соединена с сетью SWIFT, при этом в процессе сопряжения были допущены явные нарушения информационной безопасности.
Чуть ранее, 15 мая 2015 года в филиппинском банке RCBC были открыты 5 долларовых счетов на фиктивных лиц, которые останутся пустыми до 5 февраля 2016 года.
19 или 20 января 2016 года сервера SWIFT в Банке Бангладеш были взломаны, на них установлены бэкдоры, после чего 24 января скомпрометированы учетные записи двух сотрудников ББ, имеющих полномочия на осуществления банковских переводов в SWIFT. После осуществления транзакций, 6 февраля вредонос потер большую часть следов своей активности, в частности сгенерированные сообщения SWIFT.
Анализ использовавшегося в процессе взлома вредоносного ПО, показал, что оно создано специально для работы в SWIFT Alliance Access, хотя и было модифицировано под конкретную сетевую инфраструктуру ББ. Malware применяло интересные трюки для сокрытия следов своей деятельности – например, обходило механизм контроля корректности транзакций через принтер (данные о всех транзакциях печатаются для просмотра человеком) путем перехвата и модификации отправляемых на печать сообщений с их последующим удалением.
Ну и, как и раньше, последующий анализ применяемых в процессе взлома Банка Бангладеш TTPs дал достаточные основания считать группу Lazarus ответственной за эту атаку. В качестве доказательств были и пересечения используемой инфраструктуры, и сходства в вредоносном ПО с использовавшимся в ходе DarkSeoul и Operation Blockbuster.
Взлом Банка Бангладеш привлек внимание к проблеме существования специализированного ПО для взлома SWIFT. Выяснилось, что в январе 2016 года более 12 млн. долларов было переведено хакерами через SWIFT из эквадорского банка BDA на счета в Гонконге. А в мае 2016 года вьетнамский банк Tie Phong признался, что в четвертом квартале 2015 года хакеры украли через SWIFT более 1,36 млн. долларов.
Но на этом кейсы со взломом SWIFT не закончились.
#APT #Lazarus
В ночь с 4 на 5 февраля 2016 года, дня, который являлся выходным в Бангладеш и США, было взломано ПО системы межбанковских расчетов SWIFT Центрального Банка Бангладеш (далее - ББ), после чего злоумышленники сгенерировали несколько десятков платежных поручений в адрес ФРС Нью-Йорка о переводе денежных средств со счета ББ в размере 951 млн. долларов на счета нескольких бенефициаров в различных банках мира.
Первые 4 платежных поручения были исполнены, а вот в пятом хакеры сделали маленькую ошибку – вместо “foundation” написали “fandation” (впрочем, это была не первая опечатка Lazarus), что привлекло внимание финансовых контролеров и дальнейшие транзакции были заморожены.
В итоге ББ потерял “всего” 81 млн. долларов, которые ушли на счета в филиппинские банки. В дальнейшем часть этих денег все-таки вернулась в Бангладеш, часть была заморожена, но несколько десятков млн. все-таки исчезли и, скорее всего, были выведены северокорейскими хакерами.
Скандал получился очень громким. К расследованию подключились многие инфосек компании, а также, как обычно, не обошлось без ФБР, поскольку ФРС Нью-Йорка все-таки американская организация.
Дальнейшее изучение атаки показало, что первые мероприятия по разведке сети ББ начались еще в январе 2015 года. В марте сеть была скомпрометирована, в нее были внедрены бэкдоры и хакеры Lazarus стали изучать ее изнутри, собирать данные пользователей и вообще создавать позиции для более глубокого проникновения. В августе 2015 года уже взломанная сеть ББ была соединена с сетью SWIFT, при этом в процессе сопряжения были допущены явные нарушения информационной безопасности.
Чуть ранее, 15 мая 2015 года в филиппинском банке RCBC были открыты 5 долларовых счетов на фиктивных лиц, которые останутся пустыми до 5 февраля 2016 года.
19 или 20 января 2016 года сервера SWIFT в Банке Бангладеш были взломаны, на них установлены бэкдоры, после чего 24 января скомпрометированы учетные записи двух сотрудников ББ, имеющих полномочия на осуществления банковских переводов в SWIFT. После осуществления транзакций, 6 февраля вредонос потер большую часть следов своей активности, в частности сгенерированные сообщения SWIFT.
Анализ использовавшегося в процессе взлома вредоносного ПО, показал, что оно создано специально для работы в SWIFT Alliance Access, хотя и было модифицировано под конкретную сетевую инфраструктуру ББ. Malware применяло интересные трюки для сокрытия следов своей деятельности – например, обходило механизм контроля корректности транзакций через принтер (данные о всех транзакциях печатаются для просмотра человеком) путем перехвата и модификации отправляемых на печать сообщений с их последующим удалением.
Ну и, как и раньше, последующий анализ применяемых в процессе взлома Банка Бангладеш TTPs дал достаточные основания считать группу Lazarus ответственной за эту атаку. В качестве доказательств были и пересечения используемой инфраструктуры, и сходства в вредоносном ПО с использовавшимся в ходе DarkSeoul и Operation Blockbuster.
Взлом Банка Бангладеш привлек внимание к проблеме существования специализированного ПО для взлома SWIFT. Выяснилось, что в январе 2016 года более 12 млн. долларов было переведено хакерами через SWIFT из эквадорского банка BDA на счета в Гонконге. А в мае 2016 года вьетнамский банк Tie Phong признался, что в четвертом квартале 2015 года хакеры украли через SWIFT более 1,36 млн. долларов.
Но на этом кейсы со взломом SWIFT не закончились.
#APT #Lazarus
В мае 2016 года Symantec сообщили, что обнаружили еще более раннюю атаку на один из филиппинских банков, которая произошла в период до октября 2016 года. И опять, сходство программного кода в выявленном вайпере вело прямиком к Lazarus. Также Symantec упоминали об обнаруженных атаках хакеров на польский финансовый сектор.
Окончательную же точку в принадлежности атак на SWIFT группе Lazarus поставило расследование Лаборатории Касперского, результаты которого вышли весной 2017 года. В отчете инфосек вендор, в частности, сообщал о двух инцидентах с банками, которые он расследовал.
Первый инцидент произошел с "банком из Юго-Восточной Азии", назовем его Банк А (у нас есть догадка, что за финансовое учреждение скрывается под этим оперативным псевдонимом, но мы ее озвучивать не будем). Взлом сети (в том числе серверов SWIFT) банка был обнаружен в августе 2016 года, хотя по утверждению Касперских, произошел он более чем за 7 месяцев до этого, еще до кражи денег из Банка Бангладеш.
Точкой компрометации банковской сети послужил веб-сервер, который, судя по всему, был взломан в период проведения его пентеста со стороны привлеченной Банком А инфосек компании. То есть хакеры Lazarus замаскировали свою атаку под легальные попытки найти уязвимость во внешнем периметре сети. Это очень круто.
После того, как атака на Банк Бангладеш всплыла на поверхность, хакеры заморозили свою активность внутри сети Банка А, но спустя 2 месяца возобновили ее вновь. В мае 2016 года SWIFT Alliance обновил свое программное обеспечение с учетом бангладешской атаки, на что Lazarus ответили обновлением используемого вредоносного ПО. Успели ли хакеры украсть какие-либо деньги ЛК не сообщали.
Спустя несколько дней после начала активного вмешательства Lazarus в работу SWIFT, к расследованию были подключены Касперские. Северокорейские хакеры обнаружили это и стали активно скрывать следы своего присутствия в сети Банка А. Бодалово продолжалось около 2 месяцев, по итогу чего ЛК все-таки получили часть фактуры, включая некоторые образцы используемых вредоносов.
Второй инцидент произошел с "европейским банком" (назовем его Банк Б, из подробностей расследования понятно, что это польский банк), который был взломан в январе 2017 года. Взлом произошел через атаку на водопой, путем взлома и заражения одного из польских правительственных сайтов, с которого был подгружен вредонос, использовавший уязвимость в необновленном Adobe Flash Player (интересно, что у программы стояло автообновление, но она, видимо из-за сетевых проблем, не получила своевременный апдейт).
В этом случае Lazarus пытались шифроваться под русскоязычных хакеров, разместив в одном из эксплойтов выражения "chainik", "BabaLena", "vyzov-chainika" и "podgotovkaskotiny". Откуда Хон Гиль Доны взяли "подготовку скотины" – только им и известно.
Лаборатория Касперского нашла признаки компрометации со стороны Lazarus сайтов для дальнейших атак на водопой в России, Австралии, Уругвае, Мексике, Индии, Нигерии и Перу. Причем эти атаки были направлены не только на банковский сектор, но и на бизнес, связанный с криптовалютой. Финансовые учреждения по крайней мере 18 стран были атакованы Lazarus.
И это тоже еще не все.
#APT #Lazarus
Окончательную же точку в принадлежности атак на SWIFT группе Lazarus поставило расследование Лаборатории Касперского, результаты которого вышли весной 2017 года. В отчете инфосек вендор, в частности, сообщал о двух инцидентах с банками, которые он расследовал.
Первый инцидент произошел с "банком из Юго-Восточной Азии", назовем его Банк А (у нас есть догадка, что за финансовое учреждение скрывается под этим оперативным псевдонимом, но мы ее озвучивать не будем). Взлом сети (в том числе серверов SWIFT) банка был обнаружен в августе 2016 года, хотя по утверждению Касперских, произошел он более чем за 7 месяцев до этого, еще до кражи денег из Банка Бангладеш.
Точкой компрометации банковской сети послужил веб-сервер, который, судя по всему, был взломан в период проведения его пентеста со стороны привлеченной Банком А инфосек компании. То есть хакеры Lazarus замаскировали свою атаку под легальные попытки найти уязвимость во внешнем периметре сети. Это очень круто.
После того, как атака на Банк Бангладеш всплыла на поверхность, хакеры заморозили свою активность внутри сети Банка А, но спустя 2 месяца возобновили ее вновь. В мае 2016 года SWIFT Alliance обновил свое программное обеспечение с учетом бангладешской атаки, на что Lazarus ответили обновлением используемого вредоносного ПО. Успели ли хакеры украсть какие-либо деньги ЛК не сообщали.
Спустя несколько дней после начала активного вмешательства Lazarus в работу SWIFT, к расследованию были подключены Касперские. Северокорейские хакеры обнаружили это и стали активно скрывать следы своего присутствия в сети Банка А. Бодалово продолжалось около 2 месяцев, по итогу чего ЛК все-таки получили часть фактуры, включая некоторые образцы используемых вредоносов.
Второй инцидент произошел с "европейским банком" (назовем его Банк Б, из подробностей расследования понятно, что это польский банк), который был взломан в январе 2017 года. Взлом произошел через атаку на водопой, путем взлома и заражения одного из польских правительственных сайтов, с которого был подгружен вредонос, использовавший уязвимость в необновленном Adobe Flash Player (интересно, что у программы стояло автообновление, но она, видимо из-за сетевых проблем, не получила своевременный апдейт).
В этом случае Lazarus пытались шифроваться под русскоязычных хакеров, разместив в одном из эксплойтов выражения "chainik", "BabaLena", "vyzov-chainika" и "podgotovkaskotiny". Откуда Хон Гиль Доны взяли "подготовку скотины" – только им и известно.
Лаборатория Касперского нашла признаки компрометации со стороны Lazarus сайтов для дальнейших атак на водопой в России, Австралии, Уругвае, Мексике, Индии, Нигерии и Перу. Причем эти атаки были направлены не только на банковский сектор, но и на бизнес, связанный с криптовалютой. Финансовые учреждения по крайней мере 18 стран были атакованы Lazarus.
И это тоже еще не все.
#APT #Lazarus
12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего эксплойт EternalBlue и бэкдор DoublePulsar, которые принадлежали работающей под крышей АНБ группе Equation и были опубликованы таинственными хакерами Shadow Brockers в своем сливе Lost In Translation. По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов. Американцами и британцами, а также рядом инфосек вендоров авторами WannaCry считается как раз APT Lazarus. Но про WannaCry все слышали, поэтому мы особо заострять внимание на этом не будем.
Между делом Lazarus полезли еще и в мобильный сектор, когда начали создавать вредоносы под Android и с помощью фишинга заражать ими пользователей из Южной Кореи.
В 2017 года Lazarus атаковали южнокорейские критовалютные биржи и пользователей, владеющих криптой. В начале года они атаковали криптобиржу Bithumb, украв криптовалюты на сумму, эквивалентную 7 млн. долларов и личные данные более 30 тысяч пользователей. В конце этого же года, Lazarus развернули фишинговую кампанию, направленную на пользователей корейского текстового редактора Hangul, а также на криптовалютные биржи.
В том же 2017 году корейцы начали распространять троян удаленного доступа RATANKBA, больше 50% заражений которым пришлось на Индию.
В начале 2018 года они атаковали турецкий банковский сектор. Тогда же атаковали американские онлайн казино.
В то же году Lazarus запустили Operation AppleJeus, в рамках которой рассылали фишинговые письма со ссылкой на приложение, предназначенное для торговли криптовалютами. На деле, в загружаемом приложении скрывался модифицированный RAT FallChill, предназначенный не только для устройств под управлением Windows, но и для MacOS. Троян собирал информацию с зараженной машины, шифровал ее и отправлял на свой управляющий центр.
В том же году была вскрыта их киберкампания по созданию глобальной киберразведывательной сети, получившая название Operation GhostSecret.
В 2019 году северокорейские хакеры продолжили атаковать криптовалютный бизнес и проводить киберразведку. И прочее, и прочее…
В общем, как вы уже поняли, хакеры из группы Lazarus являются одними из самых продуктивных в мире. Их атаки отслеживаются и по сей момент – последнюю новость про Lazarus мы писали буквально неделю назад, когда была выявлена рассылка вредоноса, маскирующегося под предложение о работе от компании Disney.
Без всякого сомнения, Lazarus это высокопрофессиональные хакеры, обладающие как необходимой технической подготовкой, так и умением планировать долгосрочные многоэтапные киберкампании.
#APT #Lazarus
Между делом Lazarus полезли еще и в мобильный сектор, когда начали создавать вредоносы под Android и с помощью фишинга заражать ими пользователей из Южной Кореи.
В 2017 года Lazarus атаковали южнокорейские критовалютные биржи и пользователей, владеющих криптой. В начале года они атаковали криптобиржу Bithumb, украв криптовалюты на сумму, эквивалентную 7 млн. долларов и личные данные более 30 тысяч пользователей. В конце этого же года, Lazarus развернули фишинговую кампанию, направленную на пользователей корейского текстового редактора Hangul, а также на криптовалютные биржи.
В том же 2017 году корейцы начали распространять троян удаленного доступа RATANKBA, больше 50% заражений которым пришлось на Индию.
В начале 2018 года они атаковали турецкий банковский сектор. Тогда же атаковали американские онлайн казино.
В то же году Lazarus запустили Operation AppleJeus, в рамках которой рассылали фишинговые письма со ссылкой на приложение, предназначенное для торговли криптовалютами. На деле, в загружаемом приложении скрывался модифицированный RAT FallChill, предназначенный не только для устройств под управлением Windows, но и для MacOS. Троян собирал информацию с зараженной машины, шифровал ее и отправлял на свой управляющий центр.
В том же году была вскрыта их киберкампания по созданию глобальной киберразведывательной сети, получившая название Operation GhostSecret.
В 2019 году северокорейские хакеры продолжили атаковать криптовалютный бизнес и проводить киберразведку. И прочее, и прочее…
В общем, как вы уже поняли, хакеры из группы Lazarus являются одними из самых продуктивных в мире. Их атаки отслеживаются и по сей момент – последнюю новость про Lazarus мы писали буквально неделю назад, когда была выявлена рассылка вредоноса, маскирующегося под предложение о работе от компании Disney.
Без всякого сомнения, Lazarus это высокопрофессиональные хакеры, обладающие как необходимой технической подготовкой, так и умением планировать долгосрочные многоэтапные киберкампании.
#APT #Lazarus
Инфосек компания Intego выявила в дикой природе новый образец вредоноса Shlayer, предназначенного для MacOS.
Shlayer распространяется под видом обновления Adobe Flash Player. В целях скрытия от антивирусного ПО он загружается как образ диска, который монтируется после открытия и показывает инструкции по дальнейшей установке.
Самое удивительное, что инструкция советует пользователю "нажать правой кнопкой мыши на Flash Installer и выбрать пункт Открыть". Как известно, в родных мышах Apple просто нет правой кнопки мыши, кнопка там одна. Равно как и на тачпадах макбуков кнопки вообще отсутствуют. И не все знают как эмулировать нажатие несуществующей правой кнопки.
Лично нас такая несостыковка напрягла бы. Но если пользователь достаточно упорен в своем стремлении поставить таки странный Flash Player, то вместо инсталлятора он запустит bash-скрипт, который извлекает из запароленного ZIP-архива вредонос и запускает его, после чего выходит из терминала. А уже потом загружается легальный установщик Adobe Flash Player.
Такой механизм работы свидетельствует, что хакеры придумывают новые способы обхода антивирусной защиты.
Что же, MacOS уже не такая безопасная, как считалось ранее.
Shlayer распространяется под видом обновления Adobe Flash Player. В целях скрытия от антивирусного ПО он загружается как образ диска, который монтируется после открытия и показывает инструкции по дальнейшей установке.
Самое удивительное, что инструкция советует пользователю "нажать правой кнопкой мыши на Flash Installer и выбрать пункт Открыть". Как известно, в родных мышах Apple просто нет правой кнопки мыши, кнопка там одна. Равно как и на тачпадах макбуков кнопки вообще отсутствуют. И не все знают как эмулировать нажатие несуществующей правой кнопки.
Лично нас такая несостыковка напрягла бы. Но если пользователь достаточно упорен в своем стремлении поставить таки странный Flash Player, то вместо инсталлятора он запустит bash-скрипт, который извлекает из запароленного ZIP-архива вредонос и запускает его, после чего выходит из терминала. А уже потом загружается легальный установщик Adobe Flash Player.
Такой механизм работы свидетельствует, что хакеры придумывают новые способы обхода антивирусной защиты.
Что же, MacOS уже не такая безопасная, как считалось ранее.
Threat Post
Shlayer Mac Malware Returns with Extra Sneakiness
Spreading via poisoned Google search results, this new version of Mac's No. 1 threat comes with added stealth.
Ресерчер Томми Мьюр обнаружил в популярном видеоплеере VLC уязвимость CVE-2020-13428, которая позволяет злоумышленнику вызвать сбой программы или удаленно выполнить произвольный код в атакуемой системе с привилегиями пользователя, запустившего VLC.
Хакер может сделать это используя подготовленный специальным образом файл или видеострим. Уязвимость актуальна для версии видеоплеера 3.0.10 и более ранних.
И хотя эксплойта этой уязвимости пока не выявлено, рекомендуем всем срочно обновить VLC до версии 3.0.11
https://www.videolan.org/security/sb-vlc3011.html
Хакер может сделать это используя подготовленный специальным образом файл или видеострим. Уязвимость актуальна для версии видеоплеера 3.0.10 и более ранних.
И хотя эксплойта этой уязвимости пока не выявлено, рекомендуем всем срочно обновить VLC до версии 3.0.11
https://www.videolan.org/security/sb-vlc3011.html
Ровно десять лет назад, 18 июня 2010 года, белорусский исследователь Сергей Уласень обнаружил вредонос Stuxnet, самый известный образец кибероружия, который спецслужбы Израиля и США использовали для выведения из строя центрифуг для обогащения урана, задействованных в иранской ядерной программе.
Два независимых исследователя Адам Николсон и d4rkn3ss обнаружили уязвимость, которая затрагивает 758 версий прошивки в 79 различных моделях маршрутизаторов Netgear.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
ZDNET
Unpatched vulnerability identified in 79 Netgear router models
Bug lets attackers run code as "root" on vulnerable routers. Impacted routers go back to 2007.
Немного из истории информационной безопасности.
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
Twitter
World of Engineering
Early attempts to deliver mail by rocket plane in the 1930s
BleepingComputer пишет про очередную любопытную уловку хакеров по скрытию вредоносного кода.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
ZeroDay дает ссылку на очень интересный эксперимент, проведенный группой исследователей из Кембриджа и компании SecuriOT, результаты которого озвучены на НАТОвской киберконференции CyCon.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Судя по поднявшемуся в Twitter шуму, Blu-ray плееры Samsung, в том числе входящие в комплект домашних кинотеатров, по всему миру начали сходить в ума.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Twitter
Scott
@SamsungSupport This is happening to Blu-Ray home theaters around the world. Look at the Samsung Community posts. We don’t need the hardware serviced, we need you to fix the problem! What is up?!? https://t.co/0iDTExuYYr
Бесилово Social Justice Warriors, похоже, добралось и до инфосека. С удивлением обнаружили твит некой афроамериканской инфосек экспертки, в котором она приводит цитату Каролин Вонг, директора по стратегии Cobalt IO, о том, что мало еще в инфосеке женщин и меньшинств. Ведь, как говорит Вонг, разнообразие в рабочих командах повышает эффективность работы (да? а если гориллу добавить, то пятилетку за три года?).
А другая афроамериканская инфосек специалистка, некая Парисс Атена, поддерживает такой дискурс и пишет что, мол, доколе ненавистным руководителям компаний вообще надо приводить какие-либо доводы, чтобы женщины и меньшинства были приняты в штат. Сколько можно нанимать белых цисгендерных мразей?
Сама Парисс является основательницей Black Tech Pipeline, "сервисной платформы, предназначенной для предоставления информации, ресурсов и возможностей черным тех. специалистам". Или правильно говорить "афроспециалисты"?
Кажется, скоро собеседование кандидата на должность CISO будет выглядеть так:
- Что такое семиуровневая модель OSI?
- Я чернокожий трансгендер!
- Вы в деле!
А другая афроамериканская инфосек специалистка, некая Парисс Атена, поддерживает такой дискурс и пишет что, мол, доколе ненавистным руководителям компаний вообще надо приводить какие-либо доводы, чтобы женщины и меньшинства были приняты в штат. Сколько можно нанимать белых цисгендерных мразей?
Сама Парисс является основательницей Black Tech Pipeline, "сервисной платформы, предназначенной для предоставления информации, ресурсов и возможностей черным тех. специалистам". Или правильно говорить "афроспециалисты"?
Кажется, скоро собеседование кандидата на должность CISO будет выглядеть так:
- Что такое семиуровневая модель OSI?
- Я чернокожий трансгендер!
- Вы в деле!
Twitter
Pariss Athena⚡️Black Tech Pipeline Founder
I hate how we have to rely on telling companies they can make so much more money if they re diverse candidates. Why does there need to be a financial or productivity reason as to why you shouldn’t only hire white men? https://t.co/3Kpi7z41Re
Adobe Flash Player все. Ну, почти.
Как сообщает ZeroDay, компания Adobe планирует попросить пользователей удалить со своих компьютеров Flash Player 31 декабря 2020 года.
Все дело в том, что в этот день истекает срок жизни (EOL) Flash Player'а, о чем Adobe объявили еще в июле 2017 года. Компания собирается не только прекратить поддержку продукта и удалить все ссылки на его загрузку, но и сделать невозможным воспроизведение плеером flash-контента. То есть 1 января 2021 года Flash Player превратится в тыкву.
В качестве причины такого решения называется активное использование Flash Player'a со стороны хакеров. Мы, кстати, совсем недавно писали про подобную атаку APT Lazarus, в которой непропатченный плеер использовался в качестве точки компрометации банковской сети.
Прощай, Flash, ты долго нас радовал.
Как сообщает ZeroDay, компания Adobe планирует попросить пользователей удалить со своих компьютеров Flash Player 31 декабря 2020 года.
Все дело в том, что в этот день истекает срок жизни (EOL) Flash Player'а, о чем Adobe объявили еще в июле 2017 года. Компания собирается не только прекратить поддержку продукта и удалить все ссылки на его загрузку, но и сделать невозможным воспроизведение плеером flash-контента. То есть 1 января 2021 года Flash Player превратится в тыкву.
В качестве причины такого решения называется активное использование Flash Player'a со стороны хакеров. Мы, кстати, совсем недавно писали про подобную атаку APT Lazarus, в которой непропатченный плеер использовался в качестве точки компрометации банковской сети.
Прощай, Flash, ты долго нас радовал.
ZDNet
Adobe wants users to uninstall Flash Player by the end of the year
Adobe Flash Player will reach End-Of-Life on December 31, 2020.
Amnesty International сообщает о новом выявленном факте использования кибершпионского ПО Pegasus от израильской NSO Group.
По данным правозащитников, iPhone (данных о модели Amnesty не приводит) марокканского оппозиционного журналиста Омара Ради в период с января 2019 по январь 2020 года был скомпрометирован с использованием IMSI-ловушки (поддельная базовая станция) либо через возможности оператора сотовой связи, после чего его HTTP-трафик стал проходить через подконтрольный злоумышленникам ресурс. Вредоносная инфраструктура, как утверждают правозащитники, принадлежит NSO Group.
Мы не знаем, используют ли российские спецслужбы продукты от NSO Group, но, на всякий случай, рекомендуем активнее пользоваться хорошими платными VPN-сервисами.
По данным правозащитников, iPhone (данных о модели Amnesty не приводит) марокканского оппозиционного журналиста Омара Ради в период с января 2019 по январь 2020 года был скомпрометирован с использованием IMSI-ловушки (поддельная базовая станция) либо через возможности оператора сотовой связи, после чего его HTTP-трафик стал проходить через подконтрольный злоумышленникам ресурс. Вредоносная инфраструктура, как утверждают правозащитники, принадлежит NSO Group.
Мы не знаем, используют ли российские спецслужбы продукты от NSO Group, но, на всякий случай, рекомендуем активнее пользоваться хорошими платными VPN-сервисами.
Amnesty International
Moroccan Journalist Targeted With Network Injection Attacks Using NSO Group’s Tools
In October 2019 Amnesty International published a first report on the use of spyware produced by Israeli company NSO Group against Moroccan human rights defenders Maati Monjib and Abdessadak El Bouchattaoui. Through our continued investigation, Amnesty International’s…
Исследователи из американский Cyble Inc. сообщают, что к ним обратился хакер под псевдонимом spectre с уведомлением о том, что он продает за 25 BTC в дарквеб принадлежащие Индии секретные военные данные.
Указанный хакер в начале этого месяца взял на себя ответственность за взлом и кражу данных у индийского военного подрядчика BEML. Полагалось, что этот инцидент связан с пакистанским хактивистом R3dr0x, который, возможно, и является этим самым spectre.
Первичное расследование Cyble подтверждает, что в распоряжении хакера находятся фотокопии конфиденциальных документов.
Ранее этот же хакер (или хакерская группа) продавал в дарквебе, якобы, турецкие секретные документы, о чем был проинформирован турецкий CERT.
Напомним, что BTC сейчас стоит около 9500 $, поэтому 25 биткоинов составляют весьма приличную сумму. Вполне возможно, что продаваемые данные реальны.
Указанный хакер в начале этого месяца взял на себя ответственность за взлом и кражу данных у индийского военного подрядчика BEML. Полагалось, что этот инцидент связан с пакистанским хактивистом R3dr0x, который, возможно, и является этим самым spectre.
Первичное расследование Cyble подтверждает, что в распоряжении хакера находятся фотокопии конфиденциальных документов.
Ранее этот же хакер (или хакерская группа) продавал в дарквебе, якобы, турецкие секретные документы, о чем был проинформирован турецкий CERT.
Напомним, что BTC сейчас стоит около 9500 $, поэтому 25 биткоинов составляют весьма приличную сумму. Вполне возможно, что продаваемые данные реальны.
Сингапурская инфосек компания Cyfirma, одним из инвесторов которой является Goldman Sachs, предупреждает о том, что северокорейская APT Lazarus, обзор деятельности которой мы делали только на прошлой неделе, запускает массовые фишинговые кампании, направленные на США, Великобританию, Индию, Японию, Сингапур и Южную Корею.
Исследователи обнаружили семь шаблонов фишинговых писем от имени Банка Англии, Министерства трудовых ресурсов Сингапура, Министерства финансов Японии и Министерства сельского хозяйства США. В качестве приманки используется тема поддержки бизнеса в период эпидемии COVID-19.
Cyfirma полагает, что в атаках будут использованы миллионы адресов электронной почты, что означает, что фишинговые кампании будут весьма масштабными.
Как мы и говорили ранее, Lazarus очень продуктивная хакерская группа, которая постоянно "радует" нас все новыми и новыми кибероперациями.
Исследователи обнаружили семь шаблонов фишинговых писем от имени Банка Англии, Министерства трудовых ресурсов Сингапура, Министерства финансов Японии и Министерства сельского хозяйства США. В качестве приманки используется тема поддержки бизнеса в период эпидемии COVID-19.
Cyfirma полагает, что в атаках будут использованы миллионы адресов электронной почты, что означает, что фишинговые кампании будут весьма масштабными.
Как мы и говорили ранее, Lazarus очень продуктивная хакерская группа, которая постоянно "радует" нас все новыми и новыми кибероперациями.
Infosecurity Magazine
North Korean #COVID19 Phishing Campaign Targets Six Countries
UK, US, India, Singapore, Japan and South Korea warned of spoofed emails
Становится понятным сколько стоило компании Huawei разрешение британских властей продолжать, пусть и ограниченно, свое участие в строительстве 5G сетей в Великобритании.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим долгом перед США, которые требовали от Лондона безусловного отказа от использования продукции Huawei в телекоммуникационных сетях, британские власти нашли компромисс в виде разрешения китайцам строить сотовые сети нового поколения, но не более 35 процентов и не участвуя в чувствительных сегментах этих сетей.
Месяц назад, видимо под нажимом Вашингтона, представитель премьер-министра Джонсона заявил, что Великобритания откажется от Huawei в британском телекоме к 2023 году.
И вот сегодня китайская ChinaDaily опубликовала новость, что Huawei на этой неделе получит разрешение на строительство в Великобритании исследовательского центра стоимостью в 400 млн. фунтов (почти полмиллиарда долларов США).
В данном центре, который будет размещен в высокотехнологичном кластере Silicon Fen недалеко от Кембриджа, планируется исследовать и разрабатывать чипы для широкополосных сетей. Теперь, как представляется, Huawei просто так из Британии не уйдет.
Подсказываем нашему Минкомсвязи замечательный лайфхак - поднять шумиху вокруг потенциальных бэкдоров в телекоммуникационном оборудовании Huawei, организовать широкое обсуждение необходимости запрета на его использовании в сетях 5G (а можно и 4G зацепить), пообещать плюшки и преференции Ericsson и Nokia Siemens. А потом под эту дудку выцыганить у китайцев центр разработки в Сколково, например. Или в Иннополисе (он там жив еще?). А потом, вдобавок, такую же историю провернуть с финнами и шведами.
По итогу можно поиметь целых 3 передовых центра по разработке телекоммуникационного оборудования. В конце концов, надо брать на вооружение передовые методики по рансому высокотехнологичных гигантов.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим долгом перед США, которые требовали от Лондона безусловного отказа от использования продукции Huawei в телекоммуникационных сетях, британские власти нашли компромисс в виде разрешения китайцам строить сотовые сети нового поколения, но не более 35 процентов и не участвуя в чувствительных сегментах этих сетей.
Месяц назад, видимо под нажимом Вашингтона, представитель премьер-министра Джонсона заявил, что Великобритания откажется от Huawei в британском телекоме к 2023 году.
И вот сегодня китайская ChinaDaily опубликовала новость, что Huawei на этой неделе получит разрешение на строительство в Великобритании исследовательского центра стоимостью в 400 млн. фунтов (почти полмиллиарда долларов США).
В данном центре, который будет размещен в высокотехнологичном кластере Silicon Fen недалеко от Кембриджа, планируется исследовать и разрабатывать чипы для широкополосных сетей. Теперь, как представляется, Huawei просто так из Британии не уйдет.
Подсказываем нашему Минкомсвязи замечательный лайфхак - поднять шумиху вокруг потенциальных бэкдоров в телекоммуникационном оборудовании Huawei, организовать широкое обсуждение необходимости запрета на его использовании в сетях 5G (а можно и 4G зацепить), пообещать плюшки и преференции Ericsson и Nokia Siemens. А потом под эту дудку выцыганить у китайцев центр разработки в Сколково, например. Или в Иннополисе (он там жив еще?). А потом, вдобавок, такую же историю провернуть с финнами и шведами.
По итогу можно поиметь целых 3 передовых центра по разработке телекоммуникационного оборудования. В конце концов, надо брать на вооружение передовые методики по рансому высокотехнологичных гигантов.
China Daily
Huawei to get green light for $500m R&D center in UK: media
Chinese telecommunication giant Huawei is expected to receive planning permission this week to build a 400-million-pound ($494.24 million, 3.51 billion yuan) research and development center in the UK, British media The Times reported on June 21.