Пост специально для админов.

Сегодня CheckPoint опубликовали отчет, в котором сообщили о многочисленных уязвимостях в популярном клиенте удаленного рабочего стола Apache Guacamole (более 10 млн. загрузок на Docker Hub).

Дырки были найдены в марте, а в конце июня разработчики Guacamole выпустили версию 1.2.0, в которой они устранены. Уязвимости позволяют злоумышленнику, заразившему одну из удаленных систем с установленным клиентом, совершить обратную атаку через протокол RDP и захватить систему, с которой осуществляется удаленное администрирование.

Поскольку некоторые технические подробности ошибок теперь опубликованы Check Point, то высока вероятность того, что в скором времени появятся соответствующие эксплойты.

Как всегда - срочно обновляемся.

ДСКЦ МИД вчера подломали?

Wait, what?

​​Нет у инфосек исследователей занятия любимей, чем спорить друг с другом по поводу названий хакерской группы или киберкампании. Тем более, что они частенько пересекаются.

Не так давно мы писали как при расследовании взлома норвежской компании Visma американские Recorded Future и Microsoft чуть не поругались. Первая утверждала, что за атакой стоит китайская APT 10, работающая на МГБ КНР, а вторая заявляла, что это не так и кибероперация принадлежит китайской же APT 31.

И вот опять.

Вчера компания Cybereason (нам одним их логотип напоминает натянутые на афедрон стринги?) написала про выявленную кампанию по распространению вредоноса FakeSpy под Android, которая, ориентировочно, идет аж с октября 2017 года.

FakeSpy - многофункциональное мобильное malware, которое крадет информацию, включая переписки, финансовые данные и списки контактов, а также отправляет SMS-сообщения. Вредонос маскируется под легальные приложения, основные пути распространения - стандартный или SMS-фишинг.

Автором FakeSpy исследователи назвали китайскоязычную хакерскую группу (напомним, что на китайском языке кроме Китая говорят в Гонконге, Сингапуре и Тайване) под названием Roaming Mantis.

Но всем ресерчерам это понравилось (не исследование, а название группы). Японец Manabu Niseki сегодня написал твит, что он верит в то, что Roaming Mantis это не название группы, а название киберкампании. И Cybereason, а также примкнувшая к ним CSIS Security Group вообще не правы. Тут же нашлись поддерживающие.

И, казалось бы, ну какая особо разница. Тем более, что большая часть групп именуется по названиям выявленных киберопераций за их авторством (как тот же DarkHotel). Но поспорить же любимое дело, вот и ломают копья.

Европейские правоохранительные органы арестовали несколько сотен подозреваемых в участии в организованной преступной деятельности после того, как смогли проникнуть в закрытую мобильную сеть EncroChat.

EncroChat - криптофоны, функционирующие на базе Android либо EncroChat OS. Устройства используют шифрование с момента загрузки, при этом происходит проверка на предмет целостности ПО. Секретный PIN позволяет стереть все содержимое криптофона. По желанию клиента для большей конспирации аппаратно отключаются камера и микрофон. Обмен сообщениями происходит в зашифрованной форме через собственные сервера EncroChat.

Стоимость криптофона составляет 1000 евро, шестимесячная подписка на сервис стоит 1500 евро (кстати, судя по наличию корявого русского перевода в веб-магазине, их продавали и в России).

Неудивительно, что при таких исходных данных EncroChat пользовались популярностью у представителей организованной преступности по всему миру - британцы называют цифру в 60 тыс. абонентов.

Похоже, что в начале этого года французские правоохранительные органы смогли проникнуть в сеть EncroChat и расшифровать переписку пользователей. После этого в апреле была создана совместная французско-голландская следственная группа (JIT), которая проводила дальнейшую разработку с привлечением органов Норвегии, Испании, Швеции и Британии.

13 июня владельцы EncroChat поняли, что их сеть скомпрометирована, после чего разослали всем пользователям рекомендацию физически уничтожить их криптофоны и отключили свои сервера.

В результате совместной операции JIT в только в Нидерландах было арестовано 60 подозреваемых, изъято более 10 тонн (!) кокаина, 70 кг героина, 12 тонн марихуаны и 160 тыс. литров прекурсоров. Изъято более 20 млн. евро наличных.

В Великобритании правоохранительные органы изъяли 54 млн. фунтов стерлингов, 77 единиц огнестрельного оружия, 28 млн. таблеток этизолама и кучу всего прочего.

Внушительный результат.

UPD. Independent пишет, что только в Великобритании было арестовано 760 членов ОПГ.

Компания BMW, посмотрев на финансовые успехи операторов вымогателей, действующих по схеме Ransomware-as-a-Service, решила применить ту же методику в своих автомобилях.

Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют регулярно обновлять программную прошивку последних моделей по воздуху, но и собираются превратить многие опции в автомобиле в программные сервисы.

В числе претендентов на Software-as-a-Service (SaaS) - адаптивный круиз, автоматическое переключение дальнего света и, даже, подогрев сидений.

То есть для того, чтобы подогреть в холодное время года свою пятую точку вам будет необходимо оплатить подписку. Нет, безусловно, на старте вам дадут оплаченный пакет, например на полгода, но дальше - только за безнал.

Мы не сомневаемся, что столь выгодное для производителя начинание будет в скором времени непременно расширено. Например, поворот руля вправо надо будет оплачивать отдельно от поворота руля влево (хотя можно будет и пакетом со скидкой в 10%).

И уже совсем будет неприятно, если в момент ДТП у вас закончится подписка на подушки и замки ремней безопасности.

Кто бы придумал такую подписку, чтобы по истечении полугода продавец машины был должен заплатить за продление возможности пользования нашими деньгами.

​​Сразу две новости про активность операторов ransomware от Security Affairs.

Оператор вымогателя Maze, который теперь Cartel, в воскресенье вечером взломал почтовый сервер Национального управления автомобильных дорог Индии (NHAI), после чего попытался проникнуть во внутреннюю сеть.

Официальные индийские источники заявили в понедельник, что хотя взлом почтового сервера NHAI и имел место, но дальнейшая атака была предотвращена путем его отключения. Соответственно утечка данных не произошла.

Правда Maze Cartel с этим не согласны и опубликовали на своем сайте часть украденной у NHAI информации. Ее исследовали эксперты компании Cyble, как раз специализирующиеся на утечках в результате атак ransomware, и подтвердили присутствие в утечке конфиденциальных данных.

Второй материал - про оператора вымогателя Sodinokibi (он же REvil).

Напомним, что несмотря на то, что Sodinokibi работает по схеме Ransomware-as-a-Service (RaaS), создатель вымогателя является русскоязычной хакерской группой.

Как выясняется, в июне Sodinokibi взломали бразильскую энергетическую компанию Light SA, от которой потребовали выплату к 19 июня 7 миллионов долларов в криптовалюте Monero (оператор вымогателя недавно заявил о переходе на этот вид критпы как самый защищенный от расследования государственных органов). Но к указанному сроку выплата не была произведена, после чего сумма увеличена оператором ransomware до 14 млн. долларов.

Но в этой истории вызывает интерес не сумма выкупа, а тот факт, что, по данным инфосек компании AppGate, при атаке на ресурсы Light SA злоумышленники использовали достаточно старую уязвимость CVE-2018-8453 - дырку в Windows, которая была закрыта еще в октябре 2018 года.

То есть стоимость не проведенного апдейта торчащей в сеть машины может составлять 14 млн. долларов. Хороший стимул для риск-менеджмента в части разработки и неукоснительного соблюдения строгих процедур своевременного обновления использующегося ПО.

Кстати, по поводу вчерашнего поста про планы компании BMW предоставлять ряд функций в автомобиле по схеме Software-as-a-Service (SaaS) родилась интересная мысль.

Наверняка в условиях возможности обновления прошивки по воздуху появятся кастомные сборки автомобильных мозгов, в которых будут разблокированы платные функции. И которые будут непременно глючить.

Представляем себе тред на 4PDA:
- Помогите, после обновления прошивки моя 5-ка превратилась в кирпич;
- После установки версии от Хаттаба машина едет задом наперед. И только на третьей передаче;
- Поставил на свой бумер прошивку от Auid RS8 - оказалось что у меня в машине есть люк. Но нет педалей.

Очередная любопытная история со "случайным" сбором данных пользователей со стороны популярного Интернет-сервиса.

Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.

Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.

Ранее за таким же поведением было замечено приложение TikTok для iOS.

Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.

Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).

​​Немного пятничного вечернего.

Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.

Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.

Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.

Когда мы рассматривали северокорейскую APT Lazarus мы говорили, что в условиях недостатка финансирования со стороны государства хакерские группы из КНДР вынуждены часть своей активности посвящать коммерческому взлому. У Lazarus, например, для этого есть целое подразделение под названием Bluenoroff.

Вчера появилась очередная новость про деятельность как раз этой группы.

Исследователи инфосек компании Sansec обнаружили, что Lazarus как минимум с мая 2019 года получали данные платежных карт клиентов ряда крупных американских Интернет-магазинов. Среди скомпрометированных ресурсов - сайты международной сети по продаже аксессуаров Claire's, компаний Wongs Jewellers, Focus Camera и других.

В качестве основного доказательства причастности Lazarus к этой киберкампании ресерчеры называют использование вредоносной инфраструктуры, которая ранее была замечена в фишинговых атаках северокорейских хакеров.

В отрасли инфосек, кажется, назревает роутергейт.

Общеизвестно, что с информационной безопасностью домашних маршрутизаторов имеются определенные проблемы. И мы про них неоднократно писали - вот, например, последний пост.

Однако, перефразируя незабвенного особиста-контрразведчика из фильма ДМБ - дела оказались не просто плохие, а еще хуже.

Немецкий Институт связи Фраунхофера провел исследование 127 моделей маршрутизаторов от 7 ведущих брендов, подавляющее большинство которых (больше 90%) работает на Linux. Результаты обескураживают.

Ресерчеры не нашли ни одного (!) роутера не имеющего проблемы с информационной безопасностью:
- 46 маршрутизаторов из 127 за последний год не получили ни одного обновления безопасности;
- в тех маршрутизаторах, которые все-таки обновлялись, зачастую не исправлены известные уязвимости;
- некоторые из маршрутизаторов имеют легко подбираемые вшитые пароли, которые не может изменить пользователь;
- из большинства образцов прошивок можно вытащить закрытый криптографический ключ, что делает шифрование уязвимым.

Больше всего поразил исследователей тот факт, что большинство устройств работают с ядром Linux 2.6, которое было актуально в период с 2003 по 2011 год.

По степени безопасности производители расположились так - на первом месте AVM, дальше ASUS и Netgear, и в конце списка - D-Link, Linksys, TP-Link и Zyxel.

Самый худший результат показал маршрутизатор Linksys WRT54GL, работающий на Linux 2.4.20 выпуска 2002 года и подверженный 570 известным уязвимостям.

На этом фоне совершенно неудивительно, что периодически хакеры взламывают маршрутизаторы для создания бот-сетей и проникновения в домашние сети.

Разработчики Signal тролят Telegram.

Ранее в воскресенье представитель Telegram Майк Равдоникас заявил в интервью Hong Kong Free Press, что мессенджер временно отклоняет запросы от властей Гонконга из-за принятия нового спорного Закона о национальной безопасности.

Правда Равдоникас заметил, что ранее Telegram не передавал никаких данных гонконгским органам. Как это согласуется с выражением "временно отклоняет" не совсем понятно.

На это разработчики Signal написали, что они бы тоже приостановили исполнение запросов гонконгской полиции, но дело в том, что они и не начинали раскрывать данные пользователей. И вообще у них этих данных и нет, так что и раскрывать нечего.

На этом фоне Signal занял первое место в чартах Android-приложений в Гонконге.

На пост замглавы Минкомсвязи может быть назначен Алексей Телков, сейчас технический директор Tele2 в России. Потенциально Телков сможет курировать в министерстве телекоммуникационную отрасль,- РБК.

По поводу появившегося вчера анонса назначения Алексея Телкова из Теле2 на должность замглавы Минкомсвязи (по слухам, будет курировать телекоммуникационную отрасль) вместо товарища Иванова, не разделяем оптимизма профильных телекоммуникационных каналов.

И все из-за нашей любимой информационной безопасности.

Как нам подсказывают, при всех несомненных достоинствах кандидата у него есть два серьезных недостатка. Во-первых, Телков - человек весьма упертый, склонный сливать неинтересные ему проблемы в треш. А во-вторых, на вопросы инфосека он плевал с высокой колокольни.

С учетом и так имеющихся на сегодняшний день проблем с информационной безопасностью в телекоме, всякими безумными инициативами типа ЕИС ПСА, данное назначение выглядит не слишком обнадеживающим.

Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.

5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.

DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.

Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.

Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).

Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.

Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.

​​Товарищи, а у нас тут прямо ЧП нарисовалось.

По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.

В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).

Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.

Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.

​​Помнится, не далее как зимой активно обсуждалась 0-day уязвимость CVE-2019-19781 в Citrix ADC и Citrix Gateway, которая оставалась незамеченной не менее месяца и которая использовалась различными хакерскими группами, в том числе прогосударственными, для проникновения в интересующие их сети.

Так тут новых дырок подвезли.

Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.

Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.

Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.

​​Несколько дней назад мы писали про новый вредонос EvilQuest для MacOS, который, маскируясь под ransomware, крадет данные с зараженных машин. Проблема усугубляется тем, что он действительно шифрует пользовательские файлы и не предоставляет никаких реальных механизмов для их расшифровки, даже после выплаты жертвой денежных средств.

Теперь хорошая новость.

Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.

Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.

Пользуйтесь на здоровье.

Вчера Министерство юстиции США (DOJ) выдвинуло обвинение против гражданина Казахстана Андрея Турчина, который известен в хакерской среде как fxmsp.

Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.

DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.

Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.

Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.

PRIVACY Affairs провели расследование и составили индекс актуальных цен на различные услуги, предлагаемые в дарквебе.

К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.

Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.

Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.

Полный список можно посмотреть в оригинальной статье.