Два независимых исследователя Адам Николсон и d4rkn3ss обнаружили уязвимость, которая затрагивает 758 версий прошивки в 79 различных моделях маршрутизаторов Netgear.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
ZDNET
Unpatched vulnerability identified in 79 Netgear router models
Bug lets attackers run code as "root" on vulnerable routers. Impacted routers go back to 2007.
Немного из истории информационной безопасности.
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
Twitter
World of Engineering
Early attempts to deliver mail by rocket plane in the 1930s
BleepingComputer пишет про очередную любопытную уловку хакеров по скрытию вредоносного кода.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
ZeroDay дает ссылку на очень интересный эксперимент, проведенный группой исследователей из Кембриджа и компании SecuriOT, результаты которого озвучены на НАТОвской киберконференции CyCon.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Судя по поднявшемуся в Twitter шуму, Blu-ray плееры Samsung, в том числе входящие в комплект домашних кинотеатров, по всему миру начали сходить в ума.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Twitter
Scott
@SamsungSupport This is happening to Blu-Ray home theaters around the world. Look at the Samsung Community posts. We don’t need the hardware serviced, we need you to fix the problem! What is up?!? https://t.co/0iDTExuYYr
Бесилово Social Justice Warriors, похоже, добралось и до инфосека. С удивлением обнаружили твит некой афроамериканской инфосек экспертки, в котором она приводит цитату Каролин Вонг, директора по стратегии Cobalt IO, о том, что мало еще в инфосеке женщин и меньшинств. Ведь, как говорит Вонг, разнообразие в рабочих командах повышает эффективность работы (да? а если гориллу добавить, то пятилетку за три года?).
А другая афроамериканская инфосек специалистка, некая Парисс Атена, поддерживает такой дискурс и пишет что, мол, доколе ненавистным руководителям компаний вообще надо приводить какие-либо доводы, чтобы женщины и меньшинства были приняты в штат. Сколько можно нанимать белых цисгендерных мразей?
Сама Парисс является основательницей Black Tech Pipeline, "сервисной платформы, предназначенной для предоставления информации, ресурсов и возможностей черным тех. специалистам". Или правильно говорить "афроспециалисты"?
Кажется, скоро собеседование кандидата на должность CISO будет выглядеть так:
- Что такое семиуровневая модель OSI?
- Я чернокожий трансгендер!
- Вы в деле!
А другая афроамериканская инфосек специалистка, некая Парисс Атена, поддерживает такой дискурс и пишет что, мол, доколе ненавистным руководителям компаний вообще надо приводить какие-либо доводы, чтобы женщины и меньшинства были приняты в штат. Сколько можно нанимать белых цисгендерных мразей?
Сама Парисс является основательницей Black Tech Pipeline, "сервисной платформы, предназначенной для предоставления информации, ресурсов и возможностей черным тех. специалистам". Или правильно говорить "афроспециалисты"?
Кажется, скоро собеседование кандидата на должность CISO будет выглядеть так:
- Что такое семиуровневая модель OSI?
- Я чернокожий трансгендер!
- Вы в деле!
Twitter
Pariss Athena⚡️Black Tech Pipeline Founder
I hate how we have to rely on telling companies they can make so much more money if they re diverse candidates. Why does there need to be a financial or productivity reason as to why you shouldn’t only hire white men? https://t.co/3Kpi7z41Re
Adobe Flash Player все. Ну, почти.
Как сообщает ZeroDay, компания Adobe планирует попросить пользователей удалить со своих компьютеров Flash Player 31 декабря 2020 года.
Все дело в том, что в этот день истекает срок жизни (EOL) Flash Player'а, о чем Adobe объявили еще в июле 2017 года. Компания собирается не только прекратить поддержку продукта и удалить все ссылки на его загрузку, но и сделать невозможным воспроизведение плеером flash-контента. То есть 1 января 2021 года Flash Player превратится в тыкву.
В качестве причины такого решения называется активное использование Flash Player'a со стороны хакеров. Мы, кстати, совсем недавно писали про подобную атаку APT Lazarus, в которой непропатченный плеер использовался в качестве точки компрометации банковской сети.
Прощай, Flash, ты долго нас радовал.
Как сообщает ZeroDay, компания Adobe планирует попросить пользователей удалить со своих компьютеров Flash Player 31 декабря 2020 года.
Все дело в том, что в этот день истекает срок жизни (EOL) Flash Player'а, о чем Adobe объявили еще в июле 2017 года. Компания собирается не только прекратить поддержку продукта и удалить все ссылки на его загрузку, но и сделать невозможным воспроизведение плеером flash-контента. То есть 1 января 2021 года Flash Player превратится в тыкву.
В качестве причины такого решения называется активное использование Flash Player'a со стороны хакеров. Мы, кстати, совсем недавно писали про подобную атаку APT Lazarus, в которой непропатченный плеер использовался в качестве точки компрометации банковской сети.
Прощай, Flash, ты долго нас радовал.
ZDNet
Adobe wants users to uninstall Flash Player by the end of the year
Adobe Flash Player will reach End-Of-Life on December 31, 2020.
Amnesty International сообщает о новом выявленном факте использования кибершпионского ПО Pegasus от израильской NSO Group.
По данным правозащитников, iPhone (данных о модели Amnesty не приводит) марокканского оппозиционного журналиста Омара Ради в период с января 2019 по январь 2020 года был скомпрометирован с использованием IMSI-ловушки (поддельная базовая станция) либо через возможности оператора сотовой связи, после чего его HTTP-трафик стал проходить через подконтрольный злоумышленникам ресурс. Вредоносная инфраструктура, как утверждают правозащитники, принадлежит NSO Group.
Мы не знаем, используют ли российские спецслужбы продукты от NSO Group, но, на всякий случай, рекомендуем активнее пользоваться хорошими платными VPN-сервисами.
По данным правозащитников, iPhone (данных о модели Amnesty не приводит) марокканского оппозиционного журналиста Омара Ради в период с января 2019 по январь 2020 года был скомпрометирован с использованием IMSI-ловушки (поддельная базовая станция) либо через возможности оператора сотовой связи, после чего его HTTP-трафик стал проходить через подконтрольный злоумышленникам ресурс. Вредоносная инфраструктура, как утверждают правозащитники, принадлежит NSO Group.
Мы не знаем, используют ли российские спецслужбы продукты от NSO Group, но, на всякий случай, рекомендуем активнее пользоваться хорошими платными VPN-сервисами.
Amnesty International
Moroccan Journalist Targeted With Network Injection Attacks Using NSO Group’s Tools
In October 2019 Amnesty International published a first report on the use of spyware produced by Israeli company NSO Group against Moroccan human rights defenders Maati Monjib and Abdessadak El Bouchattaoui. Through our continued investigation, Amnesty International’s…
Исследователи из американский Cyble Inc. сообщают, что к ним обратился хакер под псевдонимом spectre с уведомлением о том, что он продает за 25 BTC в дарквеб принадлежащие Индии секретные военные данные.
Указанный хакер в начале этого месяца взял на себя ответственность за взлом и кражу данных у индийского военного подрядчика BEML. Полагалось, что этот инцидент связан с пакистанским хактивистом R3dr0x, который, возможно, и является этим самым spectre.
Первичное расследование Cyble подтверждает, что в распоряжении хакера находятся фотокопии конфиденциальных документов.
Ранее этот же хакер (или хакерская группа) продавал в дарквебе, якобы, турецкие секретные документы, о чем был проинформирован турецкий CERT.
Напомним, что BTC сейчас стоит около 9500 $, поэтому 25 биткоинов составляют весьма приличную сумму. Вполне возможно, что продаваемые данные реальны.
Указанный хакер в начале этого месяца взял на себя ответственность за взлом и кражу данных у индийского военного подрядчика BEML. Полагалось, что этот инцидент связан с пакистанским хактивистом R3dr0x, который, возможно, и является этим самым spectre.
Первичное расследование Cyble подтверждает, что в распоряжении хакера находятся фотокопии конфиденциальных документов.
Ранее этот же хакер (или хакерская группа) продавал в дарквебе, якобы, турецкие секретные документы, о чем был проинформирован турецкий CERT.
Напомним, что BTC сейчас стоит около 9500 $, поэтому 25 биткоинов составляют весьма приличную сумму. Вполне возможно, что продаваемые данные реальны.
Сингапурская инфосек компания Cyfirma, одним из инвесторов которой является Goldman Sachs, предупреждает о том, что северокорейская APT Lazarus, обзор деятельности которой мы делали только на прошлой неделе, запускает массовые фишинговые кампании, направленные на США, Великобританию, Индию, Японию, Сингапур и Южную Корею.
Исследователи обнаружили семь шаблонов фишинговых писем от имени Банка Англии, Министерства трудовых ресурсов Сингапура, Министерства финансов Японии и Министерства сельского хозяйства США. В качестве приманки используется тема поддержки бизнеса в период эпидемии COVID-19.
Cyfirma полагает, что в атаках будут использованы миллионы адресов электронной почты, что означает, что фишинговые кампании будут весьма масштабными.
Как мы и говорили ранее, Lazarus очень продуктивная хакерская группа, которая постоянно "радует" нас все новыми и новыми кибероперациями.
Исследователи обнаружили семь шаблонов фишинговых писем от имени Банка Англии, Министерства трудовых ресурсов Сингапура, Министерства финансов Японии и Министерства сельского хозяйства США. В качестве приманки используется тема поддержки бизнеса в период эпидемии COVID-19.
Cyfirma полагает, что в атаках будут использованы миллионы адресов электронной почты, что означает, что фишинговые кампании будут весьма масштабными.
Как мы и говорили ранее, Lazarus очень продуктивная хакерская группа, которая постоянно "радует" нас все новыми и новыми кибероперациями.
Infosecurity Magazine
North Korean #COVID19 Phishing Campaign Targets Six Countries
UK, US, India, Singapore, Japan and South Korea warned of spoofed emails
Становится понятным сколько стоило компании Huawei разрешение британских властей продолжать, пусть и ограниченно, свое участие в строительстве 5G сетей в Великобритании.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим долгом перед США, которые требовали от Лондона безусловного отказа от использования продукции Huawei в телекоммуникационных сетях, британские власти нашли компромисс в виде разрешения китайцам строить сотовые сети нового поколения, но не более 35 процентов и не участвуя в чувствительных сегментах этих сетей.
Месяц назад, видимо под нажимом Вашингтона, представитель премьер-министра Джонсона заявил, что Великобритания откажется от Huawei в британском телекоме к 2023 году.
И вот сегодня китайская ChinaDaily опубликовала новость, что Huawei на этой неделе получит разрешение на строительство в Великобритании исследовательского центра стоимостью в 400 млн. фунтов (почти полмиллиарда долларов США).
В данном центре, который будет размещен в высокотехнологичном кластере Silicon Fen недалеко от Кембриджа, планируется исследовать и разрабатывать чипы для широкополосных сетей. Теперь, как представляется, Huawei просто так из Британии не уйдет.
Подсказываем нашему Минкомсвязи замечательный лайфхак - поднять шумиху вокруг потенциальных бэкдоров в телекоммуникационном оборудовании Huawei, организовать широкое обсуждение необходимости запрета на его использовании в сетях 5G (а можно и 4G зацепить), пообещать плюшки и преференции Ericsson и Nokia Siemens. А потом под эту дудку выцыганить у китайцев центр разработки в Сколково, например. Или в Иннополисе (он там жив еще?). А потом, вдобавок, такую же историю провернуть с финнами и шведами.
По итогу можно поиметь целых 3 передовых центра по разработке телекоммуникационного оборудования. В конце концов, надо брать на вооружение передовые методики по рансому высокотехнологичных гигантов.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим долгом перед США, которые требовали от Лондона безусловного отказа от использования продукции Huawei в телекоммуникационных сетях, британские власти нашли компромисс в виде разрешения китайцам строить сотовые сети нового поколения, но не более 35 процентов и не участвуя в чувствительных сегментах этих сетей.
Месяц назад, видимо под нажимом Вашингтона, представитель премьер-министра Джонсона заявил, что Великобритания откажется от Huawei в британском телекоме к 2023 году.
И вот сегодня китайская ChinaDaily опубликовала новость, что Huawei на этой неделе получит разрешение на строительство в Великобритании исследовательского центра стоимостью в 400 млн. фунтов (почти полмиллиарда долларов США).
В данном центре, который будет размещен в высокотехнологичном кластере Silicon Fen недалеко от Кембриджа, планируется исследовать и разрабатывать чипы для широкополосных сетей. Теперь, как представляется, Huawei просто так из Британии не уйдет.
Подсказываем нашему Минкомсвязи замечательный лайфхак - поднять шумиху вокруг потенциальных бэкдоров в телекоммуникационном оборудовании Huawei, организовать широкое обсуждение необходимости запрета на его использовании в сетях 5G (а можно и 4G зацепить), пообещать плюшки и преференции Ericsson и Nokia Siemens. А потом под эту дудку выцыганить у китайцев центр разработки в Сколково, например. Или в Иннополисе (он там жив еще?). А потом, вдобавок, такую же историю провернуть с финнами и шведами.
По итогу можно поиметь целых 3 передовых центра по разработке телекоммуникационного оборудования. В конце концов, надо брать на вооружение передовые методики по рансому высокотехнологичных гигантов.
China Daily
Huawei to get green light for $500m R&D center in UK: media
Chinese telecommunication giant Huawei is expected to receive planning permission this week to build a 400-million-pound ($494.24 million, 3.51 billion yuan) research and development center in the UK, British media The Times reported on June 21.
Вчера была раскрыта уязвимость CVE-2020-8102 в антивирусном решении румынской Bitdefender.
Ошибка, выявленная инфосек блогером Владимиром Палантом, заключается в некорректной работе встроенного безопасного браузера Safepay, благодаря чему злоумышленник может с помощью специальным образом сформированной web-страницы удаленно выполнить код на атакованной машине.
Уязвимость актуальна для версии Bitdefender 24.0.20. 116 и более ранних. Обновление уже выпущено.
Это далеко не первый раз, когда дырки находятся именно в антивирусном ПО. Похожая ошибка была выявлена в 2019 году в безопасном браузере Касперского. В марте текущего года найдена уязвимость в движке JavaScript антивирусного решения компании Avast. А летом прошлого года хакеры так вообще взломали сеть японской Mitsubishi Electric через дырку в японском же антивирусе Trend Micro.
Так что вопрос "Кто стрижет цирюльника?" остается актуальным в современной инфосек отрасли.
Ошибка, выявленная инфосек блогером Владимиром Палантом, заключается в некорректной работе встроенного безопасного браузера Safepay, благодаря чему злоумышленник может с помощью специальным образом сформированной web-страницы удаленно выполнить код на атакованной машине.
Уязвимость актуальна для версии Bitdefender 24.0.20. 116 и более ранних. Обновление уже выпущено.
Это далеко не первый раз, когда дырки находятся именно в антивирусном ПО. Похожая ошибка была выявлена в 2019 году в безопасном браузере Касперского. В марте текущего года найдена уязвимость в движке JavaScript антивирусного решения компании Avast. А летом прошлого года хакеры так вообще взломали сеть японской Mitsubishi Electric через дырку в японском же антивирусе Trend Micro.
Так что вопрос "Кто стрижет цирюльника?" остается актуальным в современной инфосек отрасли.
cve.mitre.org
CVE -
CVE-2020-8102
CVE-2020-8102
Common Vulnerabilities and Exposures (CVE®) is a list of entries — each containing an identification number, a denoscription, and at least one public reference — for publicly known cybersecurity vulnerabilities. Assigned by CVE Numbering Authorities (CNAs)…
После обзора на APT Lazarus, который был размещен на нашем канале на прошлой неделе, мы подумали и решили в очередной раз поменять формат подачи подобных материалов.
Дело в том, что попытки сделать более-менее полный обзор деятельности той или иной хакерской группы слишком раздувает объем публикуемого материала (Lazarus еле-еле влез в 6 постов, с учетом того, что последний пост мы беспощадно резали, оставляя только тезисы). Да и содержание становится неровным - обзоры интересных атак перемежаются с дежурной информацией, от которой хочется зевать.
Мы неустанно стремимся улучшить представляемые на канале материалы и количество трансформаций, которые нам предстоит претерпеть на этом тернистом пути, нас нисколько не пугает.
В связи с этим, мы посовещались и решили в будущем все-таки ограничиваться масштабом одного (в исключительных случаях - двух) постов, в которых будем рассказывать про наиболее интересные и масштабные атаки, которые совершались прогосударственными и коммерческими хакерами. Перейдем, так сказать, от рассказа про действующее лицо к описанию его конкретных деяний. Кратко рассказывая, тем не менее, про ответственных за эти атаки акторов.
И первые материалы дадим уже на этой неделе.
Дело в том, что попытки сделать более-менее полный обзор деятельности той или иной хакерской группы слишком раздувает объем публикуемого материала (Lazarus еле-еле влез в 6 постов, с учетом того, что последний пост мы беспощадно резали, оставляя только тезисы). Да и содержание становится неровным - обзоры интересных атак перемежаются с дежурной информацией, от которой хочется зевать.
Мы неустанно стремимся улучшить представляемые на канале материалы и количество трансформаций, которые нам предстоит претерпеть на этом тернистом пути, нас нисколько не пугает.
В связи с этим, мы посовещались и решили в будущем все-таки ограничиваться масштабом одного (в исключительных случаях - двух) постов, в которых будем рассказывать про наиболее интересные и масштабные атаки, которые совершались прогосударственными и коммерческими хакерами. Перейдем, так сказать, от рассказа про действующее лицо к описанию его конкретных деяний. Кратко рассказывая, тем не менее, про ответственных за эти атаки акторов.
И первые материалы дадим уже на этой неделе.
Telegram
SecAtor
I resurrect myself
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими…
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими…
Спонсируемая Евросоюзом некоммерческая организация Shadowserver Foundation провела глобальное исследование , в котором ресерчеры искали по всему Интернету незакрытые IPP-порты сетевых принтеров.
IPP (Internet Printing Protocol) - это построенный на базе HTTP протокол для печати документов по сети. Поддерживает управление доступом, аутентификацию и SSL-шифрование. Несмотря на это, многие владельцы сетевых принтеров пренебрегают этими возможностями и оставляют подключенные к Интернет устройства открытыми для доступа из вне.
Shadowserver Foundation просканировали 4 миллиарда маршрутизируемых IP-адресов и обнаружили около 80 тыс. открытых принтеров, что составляет около 1/8 от их общего количества.
Как злоумышленник может воспользоваться открытым IPP-портом? Для начала, многие модели принтеров при запросе возвращают достаточный объем информации - имя принтера, его местоположение, модель, версия прошивки, название организации и даже иногда данные о WiFi-окружении. А уже потом хакер вполне может и взломать принтер, чтобы использовать его как точку проникновения во внутреннюю сеть.
Кстати, в 2019 году Microsoft обвиняла APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ, в атаках на различные IoT-устройства, в том числе на сетевые принтеры, в целях компрометации корпоративных сетей.
Лидером по количеству открытых принтеров является Южная Корея - более 37 тысяч выявленных устройств. Но и в России нашлось почти 800 незащищенных IPP-портов. Быстро признавайтесь, кто не закрыл свой сетевой принтер?
IPP (Internet Printing Protocol) - это построенный на базе HTTP протокол для печати документов по сети. Поддерживает управление доступом, аутентификацию и SSL-шифрование. Несмотря на это, многие владельцы сетевых принтеров пренебрегают этими возможностями и оставляют подключенные к Интернет устройства открытыми для доступа из вне.
Shadowserver Foundation просканировали 4 миллиарда маршрутизируемых IP-адресов и обнаружили около 80 тыс. открытых принтеров, что составляет около 1/8 от их общего количества.
Как злоумышленник может воспользоваться открытым IPP-портом? Для начала, многие модели принтеров при запросе возвращают достаточный объем информации - имя принтера, его местоположение, модель, версия прошивки, название организации и даже иногда данные о WiFi-окружении. А уже потом хакер вполне может и взломать принтер, чтобы использовать его как точку проникновения во внутреннюю сеть.
Кстати, в 2019 году Microsoft обвиняла APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ, в атаках на различные IoT-устройства, в том числе на сетевые принтеры, в целях компрометации корпоративных сетей.
Лидером по количеству открытых принтеров является Южная Корея - более 37 тысяч выявленных устройств. Но и в России нашлось почти 800 незащищенных IPP-портов. Быстро признавайтесь, кто не закрыл свой сетевой принтер?
А помните мы писали про то, как хакеры северокорейской APT Lazarus потеряли (точнее не смогли украсть) почти 900 млн. долларов из-за одной опечатки - "fandation" вместо "foundation". И тогда же мы сказали, что это была далеко не первая их опечатка.
Ну так ребята из Пхеньяна продолжают задорно наступать на те же грабли.
Вчера ресерчеры из южнокорейской IssueMakersLab обнаружили фишинговую атаку за авторством хакерской группы Kimsuky, работающей на 5-й Департамент РГБ КНДР aka Bureau 35. Атака была ориентирована на пользователей сети, говорящих на китайском языке.
А сегодня группа исследователей Blackorbird, про которую мы писали ранее и которая, судя по всему, является китайской, указала на то, что корейцы перепутали один из иероглифов в китайском написании слова "пароль" - 密"吗" вместо 密"码".
Как говорится, в слове "хрен" сделал четыре ошибки.
Ну так ребята из Пхеньяна продолжают задорно наступать на те же грабли.
Вчера ресерчеры из южнокорейской IssueMakersLab обнаружили фишинговую атаку за авторством хакерской группы Kimsuky, работающей на 5-й Департамент РГБ КНДР aka Bureau 35. Атака была ориентирована на пользователей сети, говорящих на китайском языке.
А сегодня группа исследователей Blackorbird, про которую мы писали ранее и которая, судя по всему, является китайской, указала на то, что корейцы перепутали один из иероглифов в китайском написании слова "пароль" - 密"吗" вместо 密"码".
Как говорится, в слове "хрен" сделал четыре ошибки.
Путин только что объявил о снижении налога на прибыль высокотехнологичных компаний с 20 до 3%!
Это, без лишних слов, очень круто.
Мы вчера предлагали выцыганить у мировых технологических гигантов строительство исследовательских центров в России с использованием передовых британских практик по их принуждению под предлогом возможного запрета на использование продукции на территории страны. Мы, конечно, шутили.
Но власти, как оказалось, придумали более гуманный способ. Такая адекватность радует. Главное, чтобы не забыли инфосек компании включить в список. Глядишь, и Group-IB из сингапурской обратно в российскую переименуется.
P.S. Как высокотехнологичные пролетарии, увеличение НДФЛ с 13 до 15 процентов для топ-менеджеров, зарабатывающих более 5 млн. рублей в год, также горячо поддерживаем. Так их, буржуинов.
Это, без лишних слов, очень круто.
Мы вчера предлагали выцыганить у мировых технологических гигантов строительство исследовательских центров в России с использованием передовых британских практик по их принуждению под предлогом возможного запрета на использование продукции на территории страны. Мы, конечно, шутили.
Но власти, как оказалось, придумали более гуманный способ. Такая адекватность радует. Главное, чтобы не забыли инфосек компании включить в список. Глядишь, и Group-IB из сингапурской обратно в российскую переименуется.
P.S. Как высокотехнологичные пролетарии, увеличение НДФЛ с 13 до 15 процентов для топ-менеджеров, зарабатывающих более 5 млн. рублей в год, также горячо поддерживаем. Так их, буржуинов.
Telegram
SecAtor
Становится понятным сколько стоило компании Huawei разрешение британских властей продолжать, пусть и ограниченно, свое участие в строительстве 5G сетей в Великобритании.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим…
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим…
Как мы рассказывали 10 дней назад, по данным издания Motherboard, Facebook заплатила шестизначную сумму в долларах некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил, который в течение нескольких лет преследовал в сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием.
ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Сегодня Motherboard сообщили подробности этого кейса и все стало еще интереснее.
Оказывается, взлом Tails, а точнее встроенного в ОС видеопроигрывателя GNOME Videos, произошел еще в 2017 году. Но до сих пор разработчики не знают, какая 0-day уязвимость была использована нанятой Facebook компанией для взлома. Более того, о существовании некой дыры, которая позволила взломать пользователя, они узнали из статьи Motherboard.
Facebook в настоящее время заявляет, что сообщать какие-либо подробности об уязвимости нет смысла, поскольку разработчики Tails и GNOME "случайно" исправили ее во время одного из обновлений.
ФБР на вопрос журналистов об использовании переданного ему Facebook эксплойта в других расследованиях отказалось от комментариев.
Само собой, что часть инфосек сообщества склоняется к версии, что на самом деле выявленная по заказу Facebook 0-day уязвимость в Tails и GNOME не устранена, а ее эксплойт работоспособен и используется ФБР и по сей день.
Цукерберг пробивает очередное дно.
И эти люди запрещают ковыряться мне в носу (с)
ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Сегодня Motherboard сообщили подробности этого кейса и все стало еще интереснее.
Оказывается, взлом Tails, а точнее встроенного в ОС видеопроигрывателя GNOME Videos, произошел еще в 2017 году. Но до сих пор разработчики не знают, какая 0-day уязвимость была использована нанятой Facebook компанией для взлома. Более того, о существовании некой дыры, которая позволила взломать пользователя, они узнали из статьи Motherboard.
Facebook в настоящее время заявляет, что сообщать какие-либо подробности об уязвимости нет смысла, поскольку разработчики Tails и GNOME "случайно" исправили ее во время одного из обновлений.
ФБР на вопрос журналистов об использовании переданного ему Facebook эксплойта в других расследованиях отказалось от комментариев.
Само собой, что часть инфосек сообщества склоняется к версии, что на самом деле выявленная по заказу Facebook 0-day уязвимость в Tails и GNOME не устранена, а ее эксплойт работоспособен и используется ФБР и по сей день.
Цукерберг пробивает очередное дно.
И эти люди запрещают ковыряться мне в носу (с)
Vice
Privacy-Focused OS Wants to Know How Facebook and the FBI Hacked it
The developers of Tails and a video player targeted by Facebook and the FBI in an operation to catch a child predator are still in the dark about how the feds hacked the software.
На фоне того, что Telegram начал передавать информацию российским правоохранительным органам, а базы данных его пользователей утекают в сеть (о наличии которых в привате, кстати, мы говорили давно), приходят очередные неутешительные новости.
Сенаторы США Линдси Грэм, Том Коттон и Марша Блэкберн внесли законопроект, который обязывает всех производителей устройств и сервис-провайдеров обеспечить доступ правоохранительным органам к
зашифрованным данным пользователей, а также "создать призовой конкурс для разработчиков законных решений по организации доступа к криптосреде".
Естественно, для доступа к шифрованным данным требуется ордер американского суда, но будем честными - когда какую-либо спецслужбу отсутствие такого ордера останавливало, при условии, что имелась техническая возможность по доступу к ним.
Опять же, все мы помни принятый после 9/11 USA PATRIOT Act, который действовал в течение 14 лет и который разрешал американским спецслужбам, в частности, прослушивать телефонные переговоры по всему миру без каких-либо судебных решений. Гарантий, что после организации технического доступа к шифрованному трафику не примут какой-нибудь National Defense Act, который позволит вытаскивать данные без судебного ордера, никто, естественно, не дает.
Очевидно, почему это беспокоит нас - большинство мировых Интернет-сервисов работают в американской юрисдикции. А те, кто не работают, будут быстро принуждены к исполнению положений нового закона путем угрозы блокировки работы на американском рынке и американских биржах, а также замораживания счетов в американских банках. И вот уже Big Brother зрит за всеми нами.
И еще одно, неожиданное, последствие из возможного принятия нового американского закона. Как известно, американские спецслужбы с радостью передают своим партнерам данные различных Интернет-сервисов, особенно молодым неокрепшим демократическим режимам. А в правоохранительных органах этих юных демократий (не будем показывать пальцем), в свою очередь, работают не совсем финансово обеспеченные люди. Которые не откажутся от того, чтобы заработать пару-тройку тысяч долларов за предоставление лицам из криминальной среды (в том числе из сети) данных, которые можно будет запросить у американцев.
Радует одно - обязать на законодательном уровне встраивать бэкдоры в ПО американцы пока не додумались. Но лиха беда начало, думаем, что скоро увидим и такие инициативы.
Сенаторы США Линдси Грэм, Том Коттон и Марша Блэкберн внесли законопроект, который обязывает всех производителей устройств и сервис-провайдеров обеспечить доступ правоохранительным органам к
зашифрованным данным пользователей, а также "создать призовой конкурс для разработчиков законных решений по организации доступа к криптосреде".
Естественно, для доступа к шифрованным данным требуется ордер американского суда, но будем честными - когда какую-либо спецслужбу отсутствие такого ордера останавливало, при условии, что имелась техническая возможность по доступу к ним.
Опять же, все мы помни принятый после 9/11 USA PATRIOT Act, который действовал в течение 14 лет и который разрешал американским спецслужбам, в частности, прослушивать телефонные переговоры по всему миру без каких-либо судебных решений. Гарантий, что после организации технического доступа к шифрованному трафику не примут какой-нибудь National Defense Act, который позволит вытаскивать данные без судебного ордера, никто, естественно, не дает.
Очевидно, почему это беспокоит нас - большинство мировых Интернет-сервисов работают в американской юрисдикции. А те, кто не работают, будут быстро принуждены к исполнению положений нового закона путем угрозы блокировки работы на американском рынке и американских биржах, а также замораживания счетов в американских банках. И вот уже Big Brother зрит за всеми нами.
И еще одно, неожиданное, последствие из возможного принятия нового американского закона. Как известно, американские спецслужбы с радостью передают своим партнерам данные различных Интернет-сервисов, особенно молодым неокрепшим демократическим режимам. А в правоохранительных органах этих юных демократий (не будем показывать пальцем), в свою очередь, работают не совсем финансово обеспеченные люди. Которые не откажутся от того, чтобы заработать пару-тройку тысяч долларов за предоставление лицам из криминальной среды (в том числе из сети) данных, которые можно будет запросить у американцев.
Радует одно - обязать на законодательном уровне встраивать бэкдоры в ПО американцы пока не додумались. Но лиха беда начало, думаем, что скоро увидим и такие инициативы.
www.judiciary.senate.gov
Graham, Cotton, Blackburn Introduce Balanced Solution to Bolster National Security, End Use of Warrant-Proof Encryption that Shields…
WASHINGTON – Senate Judiciary Committee Chairman Lindsey Graham (R-South Carolina) and U.S. Senators...
Twitter продолжает жечь.
Вчера CRO финской компании F-Secure, достаточно известного игрока на инфосек рынке, Микко Хиппонен сообщил, что Twitter пометил его аккаунт как "политический контент", что накладывает определенные ограничения. Обжалование не помогло, техподдержка подтвердила свое решение, заявив, что Хиппонен нарушил некие требования политики по политическому контенту.
При этом многочисленные аккаунты пользователей (преимущественно женщин из американского инфосек) с BLM в каждом втором твите и сжатым черным кулаком на аватаре Twitter политическими не считает. Мы уж молчим про критику Трампа как кандидата на предстоящих в США выборах.
Видимо, Хиппонен слишком много писал про хакеров и malware, а надо было все больше про diversity.
Вчера CRO финской компании F-Secure, достаточно известного игрока на инфосек рынке, Микко Хиппонен сообщил, что Twitter пометил его аккаунт как "политический контент", что накладывает определенные ограничения. Обжалование не помогло, техподдержка подтвердила свое решение, заявив, что Хиппонен нарушил некие требования политики по политическому контенту.
При этом многочисленные аккаунты пользователей (преимущественно женщин из американского инфосек) с BLM в каждом втором твите и сжатым черным кулаком на аватаре Twitter политическими не считает. Мы уж молчим про критику Трампа как кандидата на предстоящих в США выборах.
Видимо, Хиппонен слишком много писал про хакеров и malware, а надо было все больше про diversity.
Twitter
@mikko
Bad news. Three weeks ago, Twitter categorized my account as 'Political Content' and restricted it accordingly. I appealed the decision and got today a confirmation that I violate their policy. They don't tell me how and where I violate it though. PS. My…
Вчера Nvidia выпустила июньский апдейт безопасности своих продуктов, в котором исправила ряд серьезных уязвимостей в драйверах и Virtual GPU Manager.
Некоторые из ошибок имеют высокую степень критичности и могут привести к отказу в обслуживании, повышению привилегий, выполнению кода, а также к раскрытию информации.
Утешает то, что эти уязвимости должны эксплуатироваться локальным пользователем, то есть либо злоумышленник должен иметь физический доступ к атакуемой машине, либо заранее ее скомпрометировать.
В любом случае, как всегда - все срочно обновляемся.
Некоторые из ошибок имеют высокую степень критичности и могут привести к отказу в обслуживании, повышению привилегий, выполнению кода, а также к раскрытию информации.
Утешает то, что эти уязвимости должны эксплуатироваться локальным пользователем, то есть либо злоумышленник должен иметь физический доступ к атакуемой машине, либо заранее ее скомпрометировать.
В любом случае, как всегда - все срочно обновляемся.
Исследователи инфосек компании Cyble, которые отслеживают деятельность операторов ransomware, сообщают, что оператор вымогателя Maze разместил на своем ресурсе подтверждение взлома сети компании LG Electronics.
LG является одним из мировых лидеров среди производителей электроники, имеющим оборот почти в 50 млрд. долларов.
Maze предоставили три скриншота, судя по которым украдены данные прошивок устройств LG, а также исходные коды программного обеспечения компании.
Будем смотреть за развитием событий. Если другой информации из LG не появится, значит корейцы заплатили оператору Maze выкуп, который может составить несколько десятков миллионов долларов.
LG является одним из мировых лидеров среди производителей электроники, имеющим оборот почти в 50 млрд. долларов.
Maze предоставили три скриншота, судя по которым украдены данные прошивок устройств LG, а также исходные коды программного обеспечения компании.
Будем смотреть за развитием событий. Если другой информации из LG не появится, значит корейцы заплатили оператору Maze выкуп, который может составить несколько десятков миллионов долларов.