Просто оставим здесь рекомендацию Зака Виттакера из TechCrunch по поводу предложения Twitter о персонализированной рекламе.

https://twitter.com/zackwhittaker/status/1283116894199873536

​​Если помните, в марте был небольшой скандальчик по поводу того, что "хакеры" из Digital Revolution подломали одного из подрядчиков ЦИБ ФСБ и выложили в сеть секретную документацию о программных разработках. Мы по этому поводу тогда писали пост, в котором выразили мнение, что Digital Revolution это не более чем контролируемый канал слива информации, за которым стоят хмурые ребята из Центрального разведывательного управления США.

Не прошло и полгода, как сегодня Yahoo News выдало на гора эксклюзивный материал, в котором утверждается, что в 2018 году Президент США Трамп подписал президентское заключение, которым дал добро своим спецслужбам на проведение киберопераций против Ирана, России, Китая и Северной Кореи.

Сразу сделаем пометку, что это не значит, что ранее американские спецслужбы сидели на пятой точке ровно. Это совсем не так и без всяких санкций Трампа ЦРУ проводила кибератаки через подконтрольную хакерскую группу Longhorn aka Lambert, данные в отношении которой появились на публике, в частности, в ходе утечки Vault 7 от WikiLeaks.

Например, Ассанж опубликовал материалы обсуждения членами Longhorn мер защиты от раскрытия своей хакерской деятельности, чтобы не повторить судьбу другой американской APT Equation, подконтрольной АНБ. Которая тоже атаковала цели по всему миру задолго до Трампа и его одобрения. Мы писали про это здесь.

Теперь же новые полномочия ЦРУ позволяют проводить не только взломы в целях киберразведки, но и кибероперации для нанесения ущерба критически важной инфраструктуре, по аналогии с операцией Stuxnet. А также дают возможность атаковать организации, специализирующиеся на социальных медиа, что мы и видели на примере атаки на Агентство интернет-исследований.

С благословения Трампа, как утверждает Yahoo News, хакеры ЦРУ сделали следующее:
- украли вредоносный инструментарий у иранской APT34 и придали его огласке в Telegram;
- деаномизировали сотрудников разведки КСИР Ирана в Telegram;
- взломали двух подрядчиков ФСБ и выложили данные по разрабатываемому кибероружию в сеть через Digital Revolution (мы были правы!);
- и кое-что еще.

Остается посмотреть, чем ответят российские спецслужбы. Наверное, опять запретят Telegram.

Представители Twitter уверены, что произошедший вчера взлом ряда официальных аккаунтов знаменитостей и компаний был осуществлен в результате использования внутреннего инструментария социальной сети.

Twitter сообщил, что обнаружил скоординированную атаку с использованием социальной инженерии на некоторых своих сотрудников, имеющих доступ к внутренним системам и инструментам.

Напомним, что вчера была сломана куча аккаунтов известных людей, таких как Билл Гейтс, Элон Маск и даже Барака Обама, через которые хакеры пытались склонить пользователей на мошенническую схему с криптовалютой "crypto giveaway".

Кстати, взломы популярных аккаунтов для продвижения подобного скама не новость. В марте злоумышленники, возможно что и те же, взломали официальный аккаунт Microsoft на Youtube, где больше 13 часов крутили запись одного из выступлений Гейтса с текстовой информацией о "crypto giveaway".

​​Нас тут спросили, почему мы давно не давали обзоры активности APT или хотя бы их конкретных атак.

Ответим картинкой из Twitter (конечно, мы будем и дальше рассматривать APT как и обещали).

Команда X-Force компании IBM нашла в сети открытый по ошибке сервер, принадлежащий инфраструктуре иранской APT 35, на котором хакеры размещали свои обучающие видео.

В найденных видероликах показывается, как взламывать аккаунты с использованием списка скомпрометированных учетных данных, как искать личную информацию в них для составления полного информационного профиля жертвы и как выкачивать содержащуюся в них информацию, а также многое другое.

APT 35 ака Magic Hound, Cobalt Gypsy и Charming Kitten - это иранская прогосударственная хакерская группа, специализирующаяся на кибершпионаже и краже информации. Впервые ее активность зафиксирована в 2014 году. Работают хакеры преимущественно по странам Ближнего Востока, особое внимание уделяют Саудовской Аравии.

Известна тем, что в 2018 году создала фишинговый сайт израильской инфосек компании ClearSky, которая, в свою очередь, активно расследовала деятельность APT 35. Также группа подозревается во взломе в 2017 году ресурсов HBO, после чего в сети были размещены сценарии пяти серий Игры престолов, а взломщики требовали 6 миллионов долларов за то, чтобы остальные украденные данные остались неопубликованными.

Мы неоднократно писали, что различные прогосударственные хакерские группы в течение всей эпидемии COVID-19 атаковали ресурсы медицинских организаций с целью добыть сведения о вакцине и методах лечения коронавируса. Кого там только не было - и корейцы, и вьетнамцы, и даже индийцы.

И вот праздник пришел на нашу улицу.

Согласно опубликованному сегодня заявлению Национального центра кибербезопасности (NCSC) Великобритании, подготовленному совместно с канадцами и американцами, российская APT 29 атаковала медицинские организации в Британии, США и Канаде с целью highly likely (ну куда ж без него) заполучить данные о разрабатываемых вакцинах.

APT 29 aka Cozy Bear и the Dukes, это российская хакерская группа, которая, как считается, работает на ГРУ.

В качестве доказательства прилагается отчет, содержащий TTPs, доказывающие причастность APT 29 к нападениям. В сообщении NCSC указывается, что с выводами отчета согласны АНБ и Агентство кибербезопасности и инфраструктуры МНБ США.

Глава МИД Великобритании также выступил с осуждением активности российских хакеров.

Отчет NCSC мы изучили и скажем следующее - несмотря на обилие технических деталей ни одного прямого свидетельства причастности Cozy Bear к указанным атакам в нем нет. Возможно, если покопаться дальше, попробивать админки и т.д., то искомые доказательства можно найти, но это требует времени и усилий (если кто-то решится на такое и получит результаты - будем рады ознакомиться).

Более того, в отчете сами британцы упоминают, что один из выявленных векторов атаки применяется южнокорейской APT DarkHotel, которая ранее была замечена в атаках на ресурсы ВОЗ и китайские медицинские учреждения.

В догонку к вчерашнему посту про нападение APT 29 на ресурсы медицинских организаций Великобритании, Канады и США.

Не мы одним обратили внимание на слабость доказательной базы NCSC. Вот Брайан Бартоломью из исследовательской команды Kaspersky GReAT с нами солидарен.

Пока что это выгладит больше как политический движ. Как всегда, требуем больше TTPs.

​​Американцы крайне серьезно отнеслись к потенциальной угрозе использования опубликованной на днях уязвимости CVE-2020-1350 aka SIGRed в Microsoft Windows Server.

Американское Агентство кибербезопасности и инфраструктуры (CISA) обратилось ко всем федеральным органам исполнительной власти и учреждениям США с требованием (!) провести в течение 24 часов (до 14:00 EST 17 июля) экстренное обновление всех уязвимых систем во всех информационных системах.

CISA говорит в своем сообщении, что "эта уязвимость представляет неприемлемо высокий риск для федеральной исполнительной власти и требует немедленных и неотложных действий".

Также в сообщении содержатся рекомендации удаления из сетей систем под управлением Windows Server в случае, если они не могут быть обновлены в течение 7 дней. Кроме того CISA рекомендует применить все указанные меры и органам власти штатов и муниципалами.

Чтобы был более понятен масштаб поднятого кипиша - ВСЕ федеральные органы власти США, за исключением Минобороны и спецслужб, обязаны исполнять требования CISA.

Ну а что же наши ответственные учреждения? А, как всегда, ничего. На гладкой поверхности болота российского государственного инфосека не всколыхнулась ни одна кочка. Конец недели же, какая информационная безопасность, вы о чем...

​​Мы всегда говорили, что стремление автоматизировать все, что только можно, до добра не доведет. Ибо чем больше степень автоматизации какого-либо процесса, тем больше в нем потенциальных уязвимостей, которыми могут воспользоваться злоумышленники.

Китайские исследователи из команды Xuanwu Lab компании Tencent разработали новую атаку под названием BadPower, с помощью которой смогли менять напряжение на выходе быстрых зарядных устройств и, в некоторых случаях, поджечь заряжаемую технику.

Быстрые зарядки обмениваются информацией с заряжаемым устройством и, при необходимости, способны поднять напряжение до нужных значений. Меняя прошивку быстрой зарядки ресерчеры смогли превысить максимально допустимое значение напряжения для конкретного заряжаемого устройства. То есть, к примеру, смартфон запрашивает у взломанной зарядки 5 В, а зарядка выдает ему 20 В.

В ряде случаев для этого необходим физический доступ к зарядке, однако иногда перепрошивку можно сделать путем атаки с подключаемого к зарядке ноутбука или смартфона, который был предварительно взломан.

Китайцы проанализировали 35 моделей быстрых зарядок и обнаружили, что 18 из них (от 8 поставщиков) уязвимы, 11 могут быть атакованы с предварительно скомпрометированного заряжаемого устройства. Иногда для исправления уязвимости достаточно обновить прошивку зарядного устройства. Но, как оказалось, 18 из 34 производителей чипов на этом рынке не предусмотрели возможность обновления программы, поэтому построенные на их основе быстрые зарядки невозможно исправить.

Исследователи из Xuanwu Lab предлагают ряд защитных мер, в том числе микросхемы-предохранители или проверку поддерживающими быструю зарядку устройствами входного напряжения и тока, но очевидно, что все это уродливые костыли.

Проще просто отказаться от быстрых зарядок.

Команда Shadow Intelligence сообщает, что хакер под псевдонимом WWW продает за 15 BTC в даркнете два 0-day эксплойта.

Первый - для IE11 под Windows 10, полностью тихий, позволяет удаленное выполнение кода на атакованной машине.

Второй - для Exel 2007-2019/365, базируется на первом эксплойте, требует включенное редактирование, в ходе работы всплывают некоторые ошибки.

Не используйте IE11, это дырявое гуано.

​​Полтора месяца назад мы писали про обмен кибератаками между Израилем и Ираном. Напомним, что в апреле инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения.

В ответ 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. Спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.

А еще через десять дней хакерская группа, называющие себя Хакеры Спасителя, вероятно проиранская, взломала более 1000 израильских сайтов.

И вот, как сообщает ZeroDay, на прошлой неделе израильское Управление по водным ресурсам заявило, что в июне произошли новые кибератаки на систему водоснабжения - первая была нацелена на водные насосы в области Галилея, вторая - на водные насосы в регионального совете Мате-Йехуда.

Честно говоря, кибератаки странные, поскольку израильская пресса сообщает, что "под атаку попали небольшие дренажные сооружения в сельхоз секторе, которые были тут же отремонтированы местными жителями, таким образом никакого вреда нанесено не было".

Между тем, апрельская атака была весьма масштабной. Возможно израильтяне придумали информационный повод для "ответной" кибератаки. Или иранские хакеры измельчали.

А что, кого-то такое отношение к инфосеку в российских госкомпаниях еще удивляет? Или неожиданностью является тот факт, что американские спецслужбы пытаются использовать все имеющиеся в доступности инструменты?

Адовенькая история про то, как ФБР использует систему бронировки авиабилетов Sabre, которой пользуется огромное количество авиакомпаний, включая Аэрофлот, для мониторинга перемещения нужных людей

https://www.forbes.com/sites/thomasbrewster/2020/07/16/the-fbi-is-secretly-using-a-2-billion-company-for-global-travel-surveillance--the-us-could-do-the-same-to-track-covid-19/

​​Комитет по разведке и безопасности (ISC) британского Парламента сообщил о публикации отчета о российском вмешательстве в британские выборы.

На сайте без шифрования трафика. А сам отчет лежит на Google Docs. Инфосек сообщество потешается - https://twitter.com/GossiTheDog/status/1285508883084201988

​​Кто про что, а вшивый про баню. В смысле, наш канал - про проблемы в информационной безопасности крупных отраслевых игроков.

Вчера ZeroDay сообщили, что одна из крупнейших аргентинских телеком компаний Telecom Argentina была удачно взломана на прошедших выходных оператором ransomware Sodinokibi. В результате атаки хакеры взяли под контроль внутреннюю сеть жертвы.

Несмотря на то, что Telecom Argentina своевременно выявили взлом и начали предпринимать меры по его купированию, пострадали более 18 тыс. рабочих станций. Соответственно информация была скопирована, а затем зашифрована (оператор Sodinokibi, как известно, практикует публикацию украденных данных если жертва не заплатила требуемые деньги).

Злоумышленники вымогают более 7,5 млн. долларов США в криптовалюте Monero. Завтра сумма увеличится до 15 млн., что сделает выкуп одним из самых больших в этом году.

Это плохая новость для Telecom Argentina. Хорошая - предоставление услуг связи абонентам не пострадало. Это значит, что сеть была грамотно сегментирована.

Интересно, какую сумму аргентинский оператор тратил на инофсек. Думаем, что недостаточную. Кроилово, как известно, приводит к попадалову. Для информационной безопасности эта прописная истина более чем актуальна.

Яростно поддерживаем!

https://twitter.com/alukatsky/status/1285563712355672064

​​После появившегося на прошлой неделе заявления Национального центра кибербезопасности (NCSC) Великобритании о причастности российской хакерской группы Cozy Bear к атакам на медицинские организации в Британии, США и Канаде с целью заполучить данные о разрабатываемых вакцинах настала очередь китайских Panda's (так часто называют китайские APT).

Министерство юстиции США, по данным ZDNet, предъявило обвинения двум китайским хакерам, которые подозреваются в атаках на технологический и биотехнологический сектора, включая фирмы, занимающиеся разработкой вакцины от COVID-19.

Об этом было заявлено сегодня на пресс-конференции помощника генерального прокурора США Джона Демерса. Министерство юстиции полагает, что хакеры работали как в личных интересах, так и по заказу МГБ Китая.

Демерс сказал, что "Китай занял теперь место наряду с Россией, Ираном и Северной Кореей в постыдном клубе наций, предоставляющих убежище для киберпреступников в обмен на их работу в пользу приютившего их государства".

И ведь хочется возразить помощнику прокурора, особенно вспоминая АНБшную Equation, ЦРУшную Longhorn или британскую Regin. А потом понимаешь, что нет, не получится. Ведь в странах Five Eyes хакеров никто на государство работать не уговаривает - они сразу в погонах.

​​На прошлой неделе ведущий производитель банкоматов Diebold Nixdorf выдал алерт, в котором сообщил, что злоумышленники стали взламывать его банкоматы по всей Европе, используя т.н. Black Box в атаке типа Jackpotting.

Хакеры раздобыли где-то внутреннее ПО банкоматов Diebold Nixdorf и построили на его основе свои Black Box - устройства, эмулирующие мозги банкомата. Далее злоумышленники физически разбирают переднюю обшивку банкомата чтобы получить доступ к USB-кабелю диспенсера CMD-V4.

Диспенсер - это та самая шуршащяя хрень, которая выдает банкноты из кассет банкомата. Подключив к нему Black Box хакер заставляет банкомат практически фонтанировать купюрами как в американских фильмах про выигрыши в казино - отсюда и название атаки Jackpotting.

Самым интересным в этой конкретной атаке является вопрос откуда злоумышленники достали образцы внутреннего ПО Diebold. Предполагаем инсайд, хотя возможно и подломали сеть производителя.

​​Adobe выпустила внеплановые обновления безопасности для Photoshop, Prelude и Bridge.

Апдейтами устранены 13 уязвимостей, 12 из которых являются критическими и могут привести к удаленному выполнению кода. Еще одна уязвимость была устранена в Adobe Mobile Reader под Android. Для их использования хакеру необходимо убедить атакуемого пользователя открыть вредоносный файл типа MOV, MP4 и 3GP, либо перейти по ссылке на специальным образом созданный сайт.

Ошибки были найдены исследователем Мэтом Пауэллом в рамках Trend Micro Zero Day Initiative. Использовались ли эти уязвимости в дикой природе - не сообщается.

Как всегда, призываем всех, кто используюет эти программные продукты, срочно обновиться.

​​Актуальное

Госдепартамент США объявил сегодня вознаграждение в размере до 1 млн. долларов за информацию, которая может привести к аресту украинских граждан Артема Радченко и Александра Еременко (за каждого).

В январе 2019 года Радченко и Еременко были предъявлены обвинения во взломе в составе группы системы электронного сбора, анализа и поиска данных (EDGAR) американской Комиссии по ценным бумагам (SEC).

Согласно обвинительному заключению, в период с мая по октябрь 2016 года, взломав SEC EDGAR, хакеры во главе с Радченко и Еременко похитили тысячи файлов системы, включая непубличную финансовую информацию, которую SEC получает от торгуемых на бирже компаний.

Используя украденные инсайды, злоумышленники через трейдеров сами играли на бирже, в результате чего получили более 4 млн. долларов. Кроме того, Радченко и Еременко эти инсайды продавали.

Схема красивая, однако. Но нам интересно другое - чем занимались инфосек специалисты SEC, одного из главных жупелов США в торговых и корпоративных войнах, если хакеры в течение 4 месяцев имели свободный доступ к взломанной системе? Очевидно, что курили бамбук.