Infosecurity Magazine сообщает, что за последние два года чиновники Правительства Великобритании потеряли более 300 электронных устройств (ноутбуки, плантшеты и пр.), содержащих конфиденциальные правительственные данные.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Infosecurity Magazine
Central Government Loses 300+ Devices Since 2018
Latest FOI request reveals a persistent problem across public sector
Обострение геополитической обстановки между Китаем и Индией влечет за собой обострение и в киберпространстве.
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Правозащитная организация Amnesty International достаточно давно воюет с израильской NSO Group по поводу использования различными не вполне демократическими режимами еврейского кибершпионского ПО Pegasus. Последнее является, фактически, легитимизированным инструментом для взлома смартфонов, к примеру, через уязвимости в WhatsApp.
В Израиле правозащитники подали судебный иск в попытке заставить Министерство обороны Израиля отозвать лицензию на экспорт ПО у NSO Group (мы в душе не шарим почему эту лицензию в Израиле выдают военные, но это так).
Но, как и ожидалось, Тель-Авивский окружной суд, руководствуясь принципом "есть два вида сукиных сынов - свои и остальные", вчера в иске отказал.
Amnesty International посылает теперь в сторону израильского судебного корпуса лучи ненависти. Но ребятам не стоит так убиваться.
Ведь в США в настоящее время проходит другое судебное разбирательство - Facebook против NSO Group. А поскольку американский суд руководствуется точно тем же принципом правосудия про сукиных сынов, что и израильтяне, то шансы на выигрыш у компании Цукерберга весьма велики.
Не плачьте правозащитники, будет и на ваше улице праздник.
В Израиле правозащитники подали судебный иск в попытке заставить Министерство обороны Израиля отозвать лицензию на экспорт ПО у NSO Group (мы в душе не шарим почему эту лицензию в Израиле выдают военные, но это так).
Но, как и ожидалось, Тель-Авивский окружной суд, руководствуясь принципом "есть два вида сукиных сынов - свои и остальные", вчера в иске отказал.
Amnesty International посылает теперь в сторону израильского судебного корпуса лучи ненависти. Но ребятам не стоит так убиваться.
Ведь в США в настоящее время проходит другое судебное разбирательство - Facebook против NSO Group. А поскольку американский суд руководствуется точно тем же принципом правосудия про сукиных сынов, что и израильтяне, то шансы на выигрыш у компании Цукерберга весьма велики.
Не плачьте правозащитники, будет и на ваше улице праздник.
Amnesty International
Israel: Court rejects bid to revoke notorious spyware firm NSO Group’s export licence
An Israeli court has rejected an attempt which sought to force Israel’s Ministry of Defence to revoke the security export license of notorius spyware company NSO Group.
Согласно эксклюзивным материалам ZDNet, утечка персональных данных гостей сети отелей MGM Resorts, о которой было впервые сообщено в феврале 2020 года, оказалась гораздо масштабнее чем предполагалось ранее.
Напомним, что ранее считалось, что в результате произошедшего летом 2019 года взлома утекли сведения в отношении 10,6 млн. клиентов гостиничной сети.
В прошедшие выходные некий хакер выложил в даркнете в продажу украденную базу данных MGM Resorts, которая включает в себя информацию в отношении более чем 142 млн. гостей. Хакер утверждает, что получил базу в результате недавнего взлома сервиса DataViper компании Night Lion Security, о котором мы писали буквально вчера.
Между тем, на русскоязычных хакерских форумах циркулировала информация, что всего украдены сведения в отношении более чем 200 млн. клиентов MGM Resorts.
Напомним, что ранее считалось, что в результате произошедшего летом 2019 года взлома утекли сведения в отношении 10,6 млн. клиентов гостиничной сети.
В прошедшие выходные некий хакер выложил в даркнете в продажу украденную базу данных MGM Resorts, которая включает в себя информацию в отношении более чем 142 млн. гостей. Хакер утверждает, что получил базу в результате недавнего взлома сервиса DataViper компании Night Lion Security, о котором мы писали буквально вчера.
Между тем, на русскоязычных хакерских форумах циркулировала информация, что всего украдены сведения в отношении более чем 200 млн. клиентов MGM Resorts.
ZDNet
A hacker is selling details of 142 million MGM hotel guests on the dark web
EXCLUSIVE: The MGM Resorts 2019 data breach is much larger than initially reported.
Инфосек компания Onapsis в мае обнаружила в ряде продуктов немецкого поставщика бизнес-решений SAP уязвимость с оценкой 10 из 10 по шкале критичности.
Сегодня SAP обещает выпустить обновления своего ПО, устраняющего ошибку (на момент написания поста еще не появились), поэтому более подробная информация в ее отношении стала доступна.
Уязвимость, названная исследователями RECON, находилась в компоненте SAP NetWeaver AS и позволяла неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
По утверждению исследователей, RECON затрагивала более 40 тысяч клиентов SAP. При этом надо понимать, что это не гаражные шиномонтажи и шинки площадью менее 20 кв.м., а очень крупные компании - в России клиентами SAP являются Северсталь, Сбербанк, ВымплеКом, Аэрофлот, Сургутнефтегаз, Теле2 и многие другие.
Информации о том, эксплуатировалась ли RECON в дикой природе, нет. Вполне возможно, что хакеры использовали уязвимость.
И это, что называется, зашквар. Дико дорогие решения SAP, которые внедряются через одно место (есть мнение, что внедрение SAP - это одна из апорий Зенона и оно не может быть осуществлено до конца никогда), теперь, как оказывается, еще и дырявые. Ребятам с Космодамианской набережной придется изрядно попотеть, чтобы восстановить репутацию.
А может быть и нет. Потому что, по версии одного из редакторов нашего канала, внедрение SAP это корпоративные понты и признак принадлежности к касте крупного бизнеса, а потому не должно обосновываться рациональными аргументами.
Сегодня SAP обещает выпустить обновления своего ПО, устраняющего ошибку (на момент написания поста еще не появились), поэтому более подробная информация в ее отношении стала доступна.
Уязвимость, названная исследователями RECON, находилась в компоненте SAP NetWeaver AS и позволяла неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
По утверждению исследователей, RECON затрагивала более 40 тысяч клиентов SAP. При этом надо понимать, что это не гаражные шиномонтажи и шинки площадью менее 20 кв.м., а очень крупные компании - в России клиентами SAP являются Северсталь, Сбербанк, ВымплеКом, Аэрофлот, Сургутнефтегаз, Теле2 и многие другие.
Информации о том, эксплуатировалась ли RECON в дикой природе, нет. Вполне возможно, что хакеры использовали уязвимость.
И это, что называется, зашквар. Дико дорогие решения SAP, которые внедряются через одно место (есть мнение, что внедрение SAP - это одна из апорий Зенона и оно не может быть осуществлено до конца никогда), теперь, как оказывается, еще и дырявые. Ребятам с Космодамианской набережной придется изрядно попотеть, чтобы восстановить репутацию.
А может быть и нет. Потому что, по версии одного из редакторов нашего канала, внедрение SAP это корпоративные понты и признак принадлежности к касте крупного бизнеса, а потому не должно обосновываться рациональными аргументами.
BleepingComputer
Critical SAP Recon flaw exposes thousands of customers to attacks
SAP patched a critical vulnerability affecting over 40,000 customers and found in the SAP NetWeaver AS JAVA (LM Configuration Wizard) versions 7.30 to 7.50, a core component of several solutions and products deployed in most SAP environments.
Вчера мы писали, что Amnesty International не смогло добиться в израильском суде отзыва экспортной лицензии у израильской же NSO Group, производящей и продающей различным спецслужбам кибершпионское ПО Pegasus.
Сегодня пришла эксклюзивная новость от The Guardian, которая утверждает, что в прошлом году Национальный разведывательный центр Испании (CNI) с использованием ПО Pegasus атаковал смартфоны трех каталонских политиков, одним из которых является спикер регионального парламента Каталонии Роджер Торрент. При этом никаких судебных обоснований кибератак, по утверждению журналистов, не имелось.
Испанские спецслужбы использовали уязвимость в WhatsApp для того, чтобы получить полный контроль над атакуемыми устройствами, в том числе доступ ко всей содержащейся на смартфоне информации, а также иметь возможность удаленно использовать его камеру и микрофон.
Другой жертвой была бывший депутат каталонского парламента Анна Габриэль, которая в настоящее время находится в бегах в Швейцарии из-за преследования со стороны испанских властей.
Напомним, что в 2017 году в Каталонии прошел референдум, в результате которого больше 90% участников проголосовали за независимость региона от Испании. Испанские власти считают этот референдум незаконным.
Чем дальше раскручивается дело NSO Group, тем больше интересных фактов о деятельности национальных спецслужб в Интернет выплывает наружу.
Сегодня пришла эксклюзивная новость от The Guardian, которая утверждает, что в прошлом году Национальный разведывательный центр Испании (CNI) с использованием ПО Pegasus атаковал смартфоны трех каталонских политиков, одним из которых является спикер регионального парламента Каталонии Роджер Торрент. При этом никаких судебных обоснований кибератак, по утверждению журналистов, не имелось.
Испанские спецслужбы использовали уязвимость в WhatsApp для того, чтобы получить полный контроль над атакуемыми устройствами, в том числе доступ ко всей содержащейся на смартфоне информации, а также иметь возможность удаленно использовать его камеру и микрофон.
Другой жертвой была бывший депутат каталонского парламента Анна Габриэль, которая в настоящее время находится в бегах в Швейцарии из-за преследования со стороны испанских властей.
Напомним, что в 2017 году в Каталонии прошел референдум, в результате которого больше 90% участников проголосовали за независимость региона от Испании. Испанские власти считают этот референдум незаконным.
Чем дальше раскручивается дело NSO Group, тем больше интересных фактов о деятельности национальных спецслужб в Интернет выплывает наружу.
the Guardian
Phone of top Catalan politician 'targeted by government-grade spyware'
Exclusive: Guardian and El País find regional speaker was targeted in ‘possible domestic political espionage’
Китайцы продолжают шалить.
Недавно мы давали пост про обнаружение вшитых производителем бэкдоров в 29 моделях OLT (оконечные устройства в оптоволоконных сетях) от китайской фирмы C-Data.
Сегодня BleepingComputer пишет про новый бэкдор, теперь в китайском ПО.
Бэкдор, получивший название GoldenHelper, был найден исследователями компании Trustwave в программном обеспечении Golden Tax Invoicing Software, предназначенном для выставления счетов и уплаты НДС компаниями, ведущими свой бизнес в Китае.
Кампания по распространению GoldenHelper была активна в период с января 2018 по июль 2019 года (срок регистрации доменов управляющих центров истек в январе 2020), после чего в апреле 2020 была запущена другая кампания по распространению бэкдоров GoldenSpy в программном обеспечении Intelligent Tax, предназначенном для работы с китайскими банками.
Насчет авторов GoldenHelper совершенно ничего не понятно. Дело в том, что в Китае существуют два поставщика Golden Tax Invoicing Software - компании Aisino и Baiwang. Бэкдор был обнаружен в ПО от Baiwang, но подписан он цифровой подписью NouNou Technologies, дочерней компанией Aisino. Причем за распространение GoldenSpy была ответственна именно Aisino.
Если вы к этому моменту уже запутались (мы сами немного потерялись), то резюмируем - в Китае шпионят все!
Выявленный бэкдор достаточно неплохо шифруется. В качестве полезной нагрузки он должен подгружать некий файл taxver.exe. Однако исследователи не смогли найти образец этого файла и проанализировать его вредоносный функционал.
Модель действия безотказная - обязуем желающие выйти на национальный рынок фирмы устанавливать специализированное ПО, а в него вшиваем бэкдор. В смекалке и бесцеремонности китайцам не откажешь.
Недавно мы давали пост про обнаружение вшитых производителем бэкдоров в 29 моделях OLT (оконечные устройства в оптоволоконных сетях) от китайской фирмы C-Data.
Сегодня BleepingComputer пишет про новый бэкдор, теперь в китайском ПО.
Бэкдор, получивший название GoldenHelper, был найден исследователями компании Trustwave в программном обеспечении Golden Tax Invoicing Software, предназначенном для выставления счетов и уплаты НДС компаниями, ведущими свой бизнес в Китае.
Кампания по распространению GoldenHelper была активна в период с января 2018 по июль 2019 года (срок регистрации доменов управляющих центров истек в январе 2020), после чего в апреле 2020 была запущена другая кампания по распространению бэкдоров GoldenSpy в программном обеспечении Intelligent Tax, предназначенном для работы с китайскими банками.
Насчет авторов GoldenHelper совершенно ничего не понятно. Дело в том, что в Китае существуют два поставщика Golden Tax Invoicing Software - компании Aisino и Baiwang. Бэкдор был обнаружен в ПО от Baiwang, но подписан он цифровой подписью NouNou Technologies, дочерней компанией Aisino. Причем за распространение GoldenSpy была ответственна именно Aisino.
Если вы к этому моменту уже запутались (мы сами немного потерялись), то резюмируем - в Китае шпионят все!
Выявленный бэкдор достаточно неплохо шифруется. В качестве полезной нагрузки он должен подгружать некий файл taxver.exe. Однако исследователи не смогли найти образец этого файла и проанализировать его вредоносный функционал.
Модель действия безотказная - обязуем желающие выйти на национальный рынок фирмы устанавливать специализированное ПО, а в него вшиваем бэкдор. В смекалке и бесцеремонности китайцам не откажешь.
BleepingComputer
New GoldenHelper malware found in official Chinese tax software
A new backdoor dubbed GoldenHelper was discovered by Trustwave embedded within Golden Tax Invoicing Software, part of the Chinese government' Golden Tax Project and required for issuing invoices and paying value-add tax (VAT) taxes.
Совсем недавно мы вспоминали апрельский взлом сети португальского энергетического гиганта Energias de Portugal (EDP) со стороны оператора ransomware Maze.
Тогда факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли. А мы, соответственно, предположили, что раз данные не утекли, то значит утек выкуп в адрес оператора Maze в размере 10,9 млн. долларов.
Однако, оказалось все не так просто.
Добрый самаритянин написал нам сегодня, что в попытке расшифровать данные EDP привлекла Microsoft, которая не смогла добиться результата, и (не)бедные португальцы готовы были заплатить 1580 BTC.
Однако на помощь EDP пришел один небезызвестный российский инфосек вендор, руководит которым бывший муж госпожи Касперской. Компания смогла разработать дешифратор, с помощью которого португальский энергетический гигант получил свои данные обратно. Теперь, видимо, заберут обеспечение инфосека EDP под себя.
И, как всегда, у нас три вопроса.
Во-первых, что случилось с информацией EDP, которую, мы не сомневаемся, оператор Maze успел украсть. С момента взлома прошло три месяца, однако в паблике она так и не появилась. Или в них нет совершенно ничего интересного, или португальцы все-таки заплатили выкуп либо его часть.
Во-вторых, работает ли дешифратор на других взломах? Если да, то у вендора с Водного Стадиона появится большое количество новых клиентов, поскольку Maze является самой активной ransomware в обозримой части Вселенной.
И, наконец, в-третьих - какой налог на прибыль заплатит эта страшно секретная инфосек компания с полученных от португалов денег - 20% или 3%? И если второе, то купит ли после этого Евгений Валентинович себе тур на орбиту от SpaceX?
Тогда факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли. А мы, соответственно, предположили, что раз данные не утекли, то значит утек выкуп в адрес оператора Maze в размере 10,9 млн. долларов.
Однако, оказалось все не так просто.
Добрый самаритянин написал нам сегодня, что в попытке расшифровать данные EDP привлекла Microsoft, которая не смогла добиться результата, и (не)бедные португальцы готовы были заплатить 1580 BTC.
Однако на помощь EDP пришел один небезызвестный российский инфосек вендор, руководит которым бывший муж госпожи Касперской. Компания смогла разработать дешифратор, с помощью которого португальский энергетический гигант получил свои данные обратно. Теперь, видимо, заберут обеспечение инфосека EDP под себя.
И, как всегда, у нас три вопроса.
Во-первых, что случилось с информацией EDP, которую, мы не сомневаемся, оператор Maze успел украсть. С момента взлома прошло три месяца, однако в паблике она так и не появилась. Или в них нет совершенно ничего интересного, или португальцы все-таки заплатили выкуп либо его часть.
Во-вторых, работает ли дешифратор на других взломах? Если да, то у вендора с Водного Стадиона появится большое количество новых клиентов, поскольку Maze является самой активной ransomware в обозримой части Вселенной.
И, наконец, в-третьих - какой налог на прибыль заплатит эта страшно секретная инфосек компания с полученных от португалов денег - 20% или 3%? И если второе, то купит ли после этого Евгений Валентинович себе тур на орбиту от SpaceX?
Telegram
SecAtor
Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие…
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие…
Вчера уже практически в ночи Microsoft выпустили июльский Security Update, в котором, в числе прочего, исправили уязвимость CVE-2020-1350 в Windows Server, которая была актуальная в течение 17 (!) лет.
CVE-2020-1350 выявлена исследователями израильского инфосек вендора CheckPoint в апреле, в мае технические детали были переданы в Microsoft, а в начале июля последние признали, что уязвимость оценивается в 10 из 10 с точки зрения критичности.
Ошибка скрывалась в механизме обработки больших DNS-запросов, благодаря ее использованию хакер мог добиться удаленного выполнения кода, в результате чего взять атакованный сервер под контроль.
Как часто бывает в таких случаях, исследователи и Microsoft заявляют, что данных об использовании CVE-2020-1350 в дикой природе нет, но весьма вероятно, что за 17 лет существования уязвимости ее кто-нибудь нашел и воспользовался.
Как всегда, всех, кого этот вопрос касается, призываем пропатчится.
CVE-2020-1350 выявлена исследователями израильского инфосек вендора CheckPoint в апреле, в мае технические детали были переданы в Microsoft, а в начале июля последние признали, что уязвимость оценивается в 10 из 10 с точки зрения критичности.
Ошибка скрывалась в механизме обработки больших DNS-запросов, благодаря ее использованию хакер мог добиться удаленного выполнения кода, в результате чего взять атакованный сервер под контроль.
Как часто бывает в таких случаях, исследователи и Microsoft заявляют, что данных об использовании CVE-2020-1350 в дикой природе нет, но весьма вероятно, что за 17 лет существования уязвимости ее кто-нибудь нашел и воспользовался.
Как всегда, всех, кого этот вопрос касается, призываем пропатчится.
Просто оставим здесь рекомендацию Зака Виттакера из TechCrunch по поводу предложения Twitter о персонализированной рекламе.
https://twitter.com/zackwhittaker/status/1283116894199873536
https://twitter.com/zackwhittaker/status/1283116894199873536
Twitter
Zack Whittaker
Free advice if you see this. The less companies track you, the better.
Если помните, в марте был небольшой скандальчик по поводу того, что "хакеры" из Digital Revolution подломали одного из подрядчиков ЦИБ ФСБ и выложили в сеть секретную документацию о программных разработках. Мы по этому поводу тогда писали пост, в котором выразили мнение, что Digital Revolution это не более чем контролируемый канал слива информации, за которым стоят хмурые ребята из Центрального разведывательного управления США.
Не прошло и полгода, как сегодня Yahoo News выдало на гора эксклюзивный материал, в котором утверждается, что в 2018 году Президент США Трамп подписал президентское заключение, которым дал добро своим спецслужбам на проведение киберопераций против Ирана, России, Китая и Северной Кореи.
Сразу сделаем пометку, что это не значит, что ранее американские спецслужбы сидели на пятой точке ровно. Это совсем не так и без всяких санкций Трампа ЦРУ проводила кибератаки через подконтрольную хакерскую группу Longhorn aka Lambert, данные в отношении которой появились на публике, в частности, в ходе утечки Vault 7 от WikiLeaks.
Например, Ассанж опубликовал материалы обсуждения членами Longhorn мер защиты от раскрытия своей хакерской деятельности, чтобы не повторить судьбу другой американской APT Equation, подконтрольной АНБ. Которая тоже атаковала цели по всему миру задолго до Трампа и его одобрения. Мы писали про это здесь.
Теперь же новые полномочия ЦРУ позволяют проводить не только взломы в целях киберразведки, но и кибероперации для нанесения ущерба критически важной инфраструктуре, по аналогии с операцией Stuxnet. А также дают возможность атаковать организации, специализирующиеся на социальных медиа, что мы и видели на примере атаки на Агентство интернет-исследований.
С благословения Трампа, как утверждает Yahoo News, хакеры ЦРУ сделали следующее:
- украли вредоносный инструментарий у иранской APT34 и придали его огласке в Telegram;
- деаномизировали сотрудников разведки КСИР Ирана в Telegram;
- взломали двух подрядчиков ФСБ и выложили данные по разрабатываемому кибероружию в сеть через Digital Revolution (мы были правы!);
- и кое-что еще.
Остается посмотреть, чем ответят российские спецслужбы. Наверное, опять запретят Telegram.
Не прошло и полгода, как сегодня Yahoo News выдало на гора эксклюзивный материал, в котором утверждается, что в 2018 году Президент США Трамп подписал президентское заключение, которым дал добро своим спецслужбам на проведение киберопераций против Ирана, России, Китая и Северной Кореи.
Сразу сделаем пометку, что это не значит, что ранее американские спецслужбы сидели на пятой точке ровно. Это совсем не так и без всяких санкций Трампа ЦРУ проводила кибератаки через подконтрольную хакерскую группу Longhorn aka Lambert, данные в отношении которой появились на публике, в частности, в ходе утечки Vault 7 от WikiLeaks.
Например, Ассанж опубликовал материалы обсуждения членами Longhorn мер защиты от раскрытия своей хакерской деятельности, чтобы не повторить судьбу другой американской APT Equation, подконтрольной АНБ. Которая тоже атаковала цели по всему миру задолго до Трампа и его одобрения. Мы писали про это здесь.
Теперь же новые полномочия ЦРУ позволяют проводить не только взломы в целях киберразведки, но и кибероперации для нанесения ущерба критически важной инфраструктуре, по аналогии с операцией Stuxnet. А также дают возможность атаковать организации, специализирующиеся на социальных медиа, что мы и видели на примере атаки на Агентство интернет-исследований.
С благословения Трампа, как утверждает Yahoo News, хакеры ЦРУ сделали следующее:
- украли вредоносный инструментарий у иранской APT34 и придали его огласке в Telegram;
- деаномизировали сотрудников разведки КСИР Ирана в Telegram;
- взломали двух подрядчиков ФСБ и выложили данные по разрабатываемому кибероружию в сеть через Digital Revolution (мы были правы!);
- и кое-что еще.
Остается посмотреть, чем ответят российские спецслужбы. Наверное, опять запретят Telegram.
Yahoo
Exclusive: Secret Trump order gives CIA more powers to launch cyberattacks
The Central Intelligence Agency has conducted a series of covert cyber operations against Iran and other targets since winning a secret victory in 2018 when President Trump signed what amounts to a sweeping authorization for such activities, according to…
Представители Twitter уверены, что произошедший вчера взлом ряда официальных аккаунтов знаменитостей и компаний был осуществлен в результате использования внутреннего инструментария социальной сети.
Twitter сообщил, что обнаружил скоординированную атаку с использованием социальной инженерии на некоторых своих сотрудников, имеющих доступ к внутренним системам и инструментам.
Напомним, что вчера была сломана куча аккаунтов известных людей, таких как Билл Гейтс, Элон Маск и даже Барака Обама, через которые хакеры пытались склонить пользователей на мошенническую схему с криптовалютой "crypto giveaway".
Кстати, взломы популярных аккаунтов для продвижения подобного скама не новость. В марте злоумышленники, возможно что и те же, взломали официальный аккаунт Microsoft на Youtube, где больше 13 часов крутили запись одного из выступлений Гейтса с текстовой информацией о "crypto giveaway".
Twitter сообщил, что обнаружил скоординированную атаку с использованием социальной инженерии на некоторых своих сотрудников, имеющих доступ к внутренним системам и инструментам.
Напомним, что вчера была сломана куча аккаунтов известных людей, таких как Билл Гейтс, Элон Маск и даже Барака Обама, через которые хакеры пытались склонить пользователей на мошенническую схему с криптовалютой "crypto giveaway".
Кстати, взломы популярных аккаунтов для продвижения подобного скама не новость. В марте злоумышленники, возможно что и те же, взломали официальный аккаунт Microsoft на Youtube, где больше 13 часов крутили запись одного из выступлений Гейтса с текстовой информацией о "crypto giveaway".
ZDNet
Twitter confirms internal tools used in bitcoin-promoting attack
Twitter said it detected what it believes to be a coordinated social engineering attack by people who successfully targeted some of the company's employees that have access to internal systems and tools.
Команда X-Force компании IBM нашла в сети открытый по ошибке сервер, принадлежащий инфраструктуре иранской APT 35, на котором хакеры размещали свои обучающие видео.
В найденных видероликах показывается, как взламывать аккаунты с использованием списка скомпрометированных учетных данных, как искать личную информацию в них для составления полного информационного профиля жертвы и как выкачивать содержащуюся в них информацию, а также многое другое.
APT 35 ака Magic Hound, Cobalt Gypsy и Charming Kitten - это иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже и краже информации. Впервые ее активность зафиксирована в 2014 году. Работают хакеры преимущественно по странам Ближнего Востока, особое внимание уделяют Саудовской Аравии.
Известна тем, что в 2018 году создала фишинговый сайт израильской инфосек компании ClearSky, которая, в свою очередь, активно расследовала деятельность APT 35. Также группа подозревается во взломе в 2017 году ресурсов HBO, после чего в сети были размещены сценарии пяти серий Игры престолов, а взломщики требовали 6 миллионов долларов за то, чтобы остальные украденные данные остались неопубликованными.
В найденных видероликах показывается, как взламывать аккаунты с использованием списка скомпрометированных учетных данных, как искать личную информацию в них для составления полного информационного профиля жертвы и как выкачивать содержащуюся в них информацию, а также многое другое.
APT 35 ака Magic Hound, Cobalt Gypsy и Charming Kitten - это иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже и краже информации. Впервые ее активность зафиксирована в 2014 году. Работают хакеры преимущественно по странам Ближнего Востока, особое внимание уделяют Саудовской Аравии.
Известна тем, что в 2018 году создала фишинговый сайт израильской инфосек компании ClearSky, которая, в свою очередь, активно расследовала деятельность APT 35. Также группа подозревается во взломе в 2017 году ресурсов HBO, после чего в сети были размещены сценарии пяти серий Игры престолов, а взломщики требовали 6 миллионов долларов за то, чтобы остальные украденные данные остались неопубликованными.
ZDNet
Iranian cyberspies leave training videos exposed online
Cyber-security firm IBM X-Force finds video recordings used to train Iranian state hackers.
Мы неоднократно писали, что различные прогосударственные хакерские группы в течение всей эпидемии COVID-19 атаковали ресурсы медицинских организаций с целью добыть сведения о вакцине и методах лечения коронавируса. Кого там только не было - и корейцы, и вьетнамцы, и даже индийцы.
И вот праздник пришел на нашу улицу.
Согласно опубликованному сегодня заявлению Национального центра кибербезопасности (NCSC) Великобритании, подготовленному совместно с канадцами и американцами, российская APT 29 атаковала медицинские организации в Британии, США и Канаде с целью highly likely (ну куда ж без него) заполучить данные о разрабатываемых вакцинах.
APT 29 aka Cozy Bear и the Dukes, это российская хакерская группа, которая, как считается, работает на ГРУ.
В качестве доказательства прилагается отчет, содержащий TTPs, доказывающие причастность APT 29 к нападениям. В сообщении NCSC указывается, что с выводами отчета согласны АНБ и Агентство кибербезопасности и инфраструктуры МНБ США.
Глава МИД Великобритании также выступил с осуждением активности российских хакеров.
Отчет NCSC мы изучили и скажем следующее - несмотря на обилие технических деталей ни одного прямого свидетельства причастности Cozy Bear к указанным атакам в нем нет. Возможно, если покопаться дальше, попробивать админки и т.д., то искомые доказательства можно найти, но это требует времени и усилий (если кто-то решится на такое и получит результаты - будем рады ознакомиться).
Более того, в отчете сами британцы упоминают, что один из выявленных векторов атаки применяется южнокорейской APT DarkHotel, которая ранее была замечена в атаках на ресурсы ВОЗ и китайские медицинские учреждения.
И вот праздник пришел на нашу улицу.
Согласно опубликованному сегодня заявлению Национального центра кибербезопасности (NCSC) Великобритании, подготовленному совместно с канадцами и американцами, российская APT 29 атаковала медицинские организации в Британии, США и Канаде с целью highly likely (ну куда ж без него) заполучить данные о разрабатываемых вакцинах.
APT 29 aka Cozy Bear и the Dukes, это российская хакерская группа, которая, как считается, работает на ГРУ.
В качестве доказательства прилагается отчет, содержащий TTPs, доказывающие причастность APT 29 к нападениям. В сообщении NCSC указывается, что с выводами отчета согласны АНБ и Агентство кибербезопасности и инфраструктуры МНБ США.
Глава МИД Великобритании также выступил с осуждением активности российских хакеров.
Отчет NCSC мы изучили и скажем следующее - несмотря на обилие технических деталей ни одного прямого свидетельства причастности Cozy Bear к указанным атакам в нем нет. Возможно, если покопаться дальше, попробивать админки и т.д., то искомые доказательства можно найти, но это требует времени и усилий (если кто-то решится на такое и получит результаты - будем рады ознакомиться).
Более того, в отчете сами британцы упоминают, что один из выявленных векторов атаки применяется южнокорейской APT DarkHotel, которая ранее была замечена в атаках на ресурсы ВОЗ и китайские медицинские учреждения.
www.ncsc.gov.uk
Advisory: APT29 targets COVID-19 vaccine development
Detection and mitigation advice for organisations involved in coronavirus vaccine development targeted with custom malware by APT29.
В догонку к вчерашнему посту про нападение APT 29 на ресурсы медицинских организаций Великобритании, Канады и США.
Не мы одним обратили внимание на слабость доказательной базы NCSC. Вот Брайан Бартоломью из исследовательской команды Kaspersky GReAT с нами солидарен.
Пока что это выгладит больше как политический движ. Как всегда, требуем больше TTPs.
Не мы одним обратили внимание на слабость доказательной базы NCSC. Вот Брайан Бартоломью из исследовательской команды Kaspersky GReAT с нами солидарен.
Пока что это выгладит больше как политический движ. Как всегда, требуем больше TTPs.
Twitter
Brian Bartholomew
OK so cat's out of the bag now. According to NCSC / CSE, WellMess is APT29. Unfortunately, the advisory published provides 0 info explaining WHY this is APT29. The days of saying "Trust us" are gone. Let's please provide some info on claims like this. ht…
Американцы крайне серьезно отнеслись к потенциальной угрозе использования опубликованной на днях уязвимости CVE-2020-1350 aka SIGRed в Microsoft Windows Server.
Американское Агентство кибербезопасности и инфраструктуры (CISA) обратилось ко всем федеральным органам исполнительной власти и учреждениям США с требованием (!) провести в течение 24 часов (до 14:00 EST 17 июля) экстренное обновление всех уязвимых систем во всех информационных системах.
CISA говорит в своем сообщении, что "эта уязвимость представляет неприемлемо высокий риск для федеральной исполнительной власти и требует немедленных и неотложных действий".
Также в сообщении содержатся рекомендации удаления из сетей систем под управлением Windows Server в случае, если они не могут быть обновлены в течение 7 дней. Кроме того CISA рекомендует применить все указанные меры и органам власти штатов и муниципалами.
Чтобы был более понятен масштаб поднятого кипиша - ВСЕ федеральные органы власти США, за исключением Минобороны и спецслужб, обязаны исполнять требования CISA.
Ну а что же наши ответственные учреждения? А, как всегда, ничего. На гладкой поверхности болота российского государственного инфосека не всколыхнулась ни одна кочка. Конец недели же, какая информационная безопасность, вы о чем...
Американское Агентство кибербезопасности и инфраструктуры (CISA) обратилось ко всем федеральным органам исполнительной власти и учреждениям США с требованием (!) провести в течение 24 часов (до 14:00 EST 17 июля) экстренное обновление всех уязвимых систем во всех информационных системах.
CISA говорит в своем сообщении, что "эта уязвимость представляет неприемлемо высокий риск для федеральной исполнительной власти и требует немедленных и неотложных действий".
Также в сообщении содержатся рекомендации удаления из сетей систем под управлением Windows Server в случае, если они не могут быть обновлены в течение 7 дней. Кроме того CISA рекомендует применить все указанные меры и органам власти штатов и муниципалами.
Чтобы был более понятен масштаб поднятого кипиша - ВСЕ федеральные органы власти США, за исключением Минобороны и спецслужб, обязаны исполнять требования CISA.
Ну а что же наши ответственные учреждения? А, как всегда, ничего. На гладкой поверхности болота российского государственного инфосека не всколыхнулась ни одна кочка. Конец недели же, какая информационная безопасность, вы о чем...
Мы всегда говорили, что стремление автоматизировать все, что только можно, до добра не доведет. Ибо чем больше степень автоматизации какого-либо процесса, тем больше в нем потенциальных уязвимостей, которыми могут воспользоваться злоумышленники.
Китайские исследователи из команды Xuanwu Lab компании Tencent разработали новую атаку под названием BadPower, с помощью которой смогли менять напряжение на выходе быстрых зарядных устройств и, в некоторых случаях, поджечь заряжаемую технику.
Быстрые зарядки обмениваются информацией с заряжаемым устройством и, при необходимости, способны поднять напряжение до нужных значений. Меняя прошивку быстрой зарядки ресерчеры смогли превысить максимально допустимое значение напряжения для конкретного заряжаемого устройства. То есть, к примеру, смартфон запрашивает у взломанной зарядки 5 В, а зарядка выдает ему 20 В.
В ряде случаев для этого необходим физический доступ к зарядке, однако иногда перепрошивку можно сделать путем атаки с подключаемого к зарядке ноутбука или смартфона, который был предварительно взломан.
Китайцы проанализировали 35 моделей быстрых зарядок и обнаружили, что 18 из них (от 8 поставщиков) уязвимы, 11 могут быть атакованы с предварительно скомпрометированного заряжаемого устройства. Иногда для исправления уязвимости достаточно обновить прошивку зарядного устройства. Но, как оказалось, 18 из 34 производителей чипов на этом рынке не предусмотрели возможность обновления программы, поэтому построенные на их основе быстрые зарядки невозможно исправить.
Исследователи из Xuanwu Lab предлагают ряд защитных мер, в том числе микросхемы-предохранители или проверку поддерживающими быструю зарядку устройствами входного напряжения и тока, но очевидно, что все это уродливые костыли.
Проще просто отказаться от быстрых зарядок.
Китайские исследователи из команды Xuanwu Lab компании Tencent разработали новую атаку под названием BadPower, с помощью которой смогли менять напряжение на выходе быстрых зарядных устройств и, в некоторых случаях, поджечь заряжаемую технику.
Быстрые зарядки обмениваются информацией с заряжаемым устройством и, при необходимости, способны поднять напряжение до нужных значений. Меняя прошивку быстрой зарядки ресерчеры смогли превысить максимально допустимое значение напряжения для конкретного заряжаемого устройства. То есть, к примеру, смартфон запрашивает у взломанной зарядки 5 В, а зарядка выдает ему 20 В.
В ряде случаев для этого необходим физический доступ к зарядке, однако иногда перепрошивку можно сделать путем атаки с подключаемого к зарядке ноутбука или смартфона, который был предварительно взломан.
Китайцы проанализировали 35 моделей быстрых зарядок и обнаружили, что 18 из них (от 8 поставщиков) уязвимы, 11 могут быть атакованы с предварительно скомпрометированного заряжаемого устройства. Иногда для исправления уязвимости достаточно обновить прошивку зарядного устройства. Но, как оказалось, 18 из 34 производителей чипов на этом рынке не предусмотрели возможность обновления программы, поэтому построенные на их основе быстрые зарядки невозможно исправить.
Исследователи из Xuanwu Lab предлагают ряд защитных мер, в том числе микросхемы-предохранители или проверку поддерживающими быструю зарядку устройствами входного напряжения и тока, но очевидно, что все это уродливые костыли.
Проще просто отказаться от быстрых зарядок.
Команда Shadow Intelligence сообщает, что хакер под псевдонимом WWW продает за 15 BTC в даркнете два 0-day эксплойта.
Первый - для IE11 под Windows 10, полностью тихий, позволяет удаленное выполнение кода на атакованной машине.
Второй - для Exel 2007-2019/365, базируется на первом эксплойте, требует включенное редактирование, в ходе работы всплывают некоторые ошибки.
Не используйте IE11, это дырявое гуано.
Первый - для IE11 под Windows 10, полностью тихий, позволяет удаленное выполнение кода на атакованной машине.
Второй - для Exel 2007-2019/365, базируется на первом эксплойте, требует включенное редактирование, в ходе работы всплывают некоторые ошибки.
Не используйте IE11, это дырявое гуано.
Полтора месяца назад мы писали про обмен кибератаками между Израилем и Ираном. Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
А еще через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
И вот, как сообщает ZeroDay, на прошлой неделе израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Честно говоря, кибератаки странные, поскольку израильская пресса сообщает, что "под атаку попали небольшие дренажные сооружения в сельхоз секторе, которые были тут же отремонтированы местными жителями, таким образом никакого вреда нанесено не было".
Между тем, апрельская атака была весьма масштабной. Возможно израильтяне придумали информационный повод для "ответной" кибератаки. Или иранские хакеры измельчали.
В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
А еще через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.
И вот, как сообщает ZeroDay, на прошлой неделе израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.
Честно говоря, кибератаки странные, поскольку израильская пресса сообщает, что "под атаку попали небольшие дренажные сооружения в сельхоз секторе, которые были тут же отремонтированы местными жителями, таким образом никакого вреда нанесено не было".
Между тем, апрельская атака была весьма масштабной. Возможно израильтяне придумали информационный повод для "ответной" кибератаки. Или иранские хакеры измельчали.
ZDNET
Two more cyber-attacks hit Israel's water system
First attack hit in April when hackers tried to modify water chlorine levels, officials said.