А что, кого-то такое отношение к инфосеку в российских госкомпаниях еще удивляет? Или неожиданностью является тот факт, что американские спецслужбы пытаются использовать все имеющиеся в доступности инструменты?
Forwarded from Информация опасносте
Адовенькая история про то, как ФБР использует систему бронировки авиабилетов Sabre, которой пользуется огромное количество авиакомпаний, включая Аэрофлот, для мониторинга перемещения нужных людей
https://www.forbes.com/sites/thomasbrewster/2020/07/16/the-fbi-is-secretly-using-a-2-billion-company-for-global-travel-surveillance--the-us-could-do-the-same-to-track-covid-19/
https://www.forbes.com/sites/thomasbrewster/2020/07/16/the-fbi-is-secretly-using-a-2-billion-company-for-global-travel-surveillance--the-us-could-do-the-same-to-track-covid-19/
Forbes
The FBI Is Secretly Using A $2 Billion Travel Company As A Global Surveillance Tool
An unprecedented order on a huge travel company reveals how the FBI tracks suspects around the world.
Комитет по разведке и безопасности (ISC) британского Парламента сообщил о публикации отчета о российском вмешательстве в британские выборы.
На сайте без шифрования трафика. А сам отчет лежит на Google Docs. Инфосек сообщество потешается - https://twitter.com/GossiTheDog/status/1285508883084201988
На сайте без шифрования трафика. А сам отчет лежит на Google Docs. Инфосек сообщество потешается - https://twitter.com/GossiTheDog/status/1285508883084201988
Twitter
Kevin Beaumont
The Russia security election meddling report has been published on a website without traffic encryption 😂 https://t.co/oRPJMs9IoK
Кто про что, а вшивый про баню. В смысле, наш канал - про проблемы в информационной безопасности крупных отраслевых игроков.
Вчера ZeroDay сообщили, что одна из крупнейших аргентинских телеком компаний Telecom Argentina была удачно взломана на прошедших выходных оператором ransomware Sodinokibi. В результате атаки хакеры взяли под контроль внутреннюю сеть жертвы.
Несмотря на то, что Telecom Argentina своевременно выявили взлом и начали предпринимать меры по его купированию, пострадали более 18 тыс. рабочих станций. Соответственно информация была скопирована, а затем зашифрована (оператор Sodinokibi, как известно, практикует публикацию украденных данных если жертва не заплатила требуемые деньги).
Злоумышленники вымогают более 7,5 млн. долларов США в криптовалюте Monero. Завтра сумма увеличится до 15 млн., что сделает выкуп одним из самых больших в этом году.
Это плохая новость для Telecom Argentina. Хорошая - предоставление услуг связи абонентам не пострадало. Это значит, что сеть была грамотно сегментирована.
Интересно, какую сумму аргентинский оператор тратил на инофсек. Думаем, что недостаточную. Кроилово, как известно, приводит к попадалову. Для информационной безопасности эта прописная истина более чем актуальна.
Вчера ZeroDay сообщили, что одна из крупнейших аргентинских телеком компаний Telecom Argentina была удачно взломана на прошедших выходных оператором ransomware Sodinokibi. В результате атаки хакеры взяли под контроль внутреннюю сеть жертвы.
Несмотря на то, что Telecom Argentina своевременно выявили взлом и начали предпринимать меры по его купированию, пострадали более 18 тыс. рабочих станций. Соответственно информация была скопирована, а затем зашифрована (оператор Sodinokibi, как известно, практикует публикацию украденных данных если жертва не заплатила требуемые деньги).
Злоумышленники вымогают более 7,5 млн. долларов США в криптовалюте Monero. Завтра сумма увеличится до 15 млн., что сделает выкуп одним из самых больших в этом году.
Это плохая новость для Telecom Argentina. Хорошая - предоставление услуг связи абонентам не пострадало. Это значит, что сеть была грамотно сегментирована.
Интересно, какую сумму аргентинский оператор тратил на инофсек. Думаем, что недостаточную. Кроилово, как известно, приводит к попадалову. Для информационной безопасности эта прописная истина более чем актуальна.
После появившегося на прошлой неделе заявления Национального центра кибербезопасности (NCSC) Великобритании о причастности российской хакерской группы Cozy Bear к атакам на медицинские организации в Британии, США и Канаде с целью заполучить данные о разрабатываемых вакцинах настала очередь китайских Panda's (так часто называют китайские APT).
Министерство юстиции США, по данным ZDNet, предъявило обвинения двум китайским хакерам, которые подозреваются в атаках на технологический и биотехнологический сектора, включая фирмы, занимающиеся разработкой вакцины от COVID-19.
Об этом было заявлено сегодня на пресс-конференции помощника генерального прокурора США Джона Демерса. Министерство юстиции полагает, что хакеры работали как в личных интересах, так и по заказу МГБ Китая.
Демерс сказал, что "Китай занял теперь место наряду с Россией, Ираном и Северной Кореей в постыдном клубе наций, предоставляющих убежище для киберпреступников в обмен на их работу в пользу приютившего их государства".
И ведь хочется возразить помощнику прокурора, особенно вспоминая АНБшную Equation, ЦРУшную Longhorn или британскую Regin. А потом понимаешь, что нет, не получится. Ведь в странах Five Eyes хакеров никто на государство работать не уговаривает - они сразу в погонах.
Министерство юстиции США, по данным ZDNet, предъявило обвинения двум китайским хакерам, которые подозреваются в атаках на технологический и биотехнологический сектора, включая фирмы, занимающиеся разработкой вакцины от COVID-19.
Об этом было заявлено сегодня на пресс-конференции помощника генерального прокурора США Джона Демерса. Министерство юстиции полагает, что хакеры работали как в личных интересах, так и по заказу МГБ Китая.
Демерс сказал, что "Китай занял теперь место наряду с Россией, Ираном и Северной Кореей в постыдном клубе наций, предоставляющих убежище для киберпреступников в обмен на их работу в пользу приютившего их государства".
И ведь хочется возразить помощнику прокурора, особенно вспоминая АНБшную Equation, ЦРУшную Longhorn или британскую Regin. А потом понимаешь, что нет, не получится. Ведь в странах Five Eyes хакеров никто на государство работать не уговаривает - они сразу в погонах.
ZDNet
DOJ indicts two Chinese hackers for attempted IP theft of COVID-19 research | ZDNet
The DOJ suggests in the indictment that the hackers were working for both themselves and for the benefit the Chinese government's Ministry of State Security.
На прошлой неделе ведущий производитель банкоматов Diebold Nixdorf выдал алерт, в котором сообщил, что злоумышленники стали взламывать его банкоматы по всей Европе, используя т.н. Black Box в атаке типа Jackpotting.
Хакеры раздобыли где-то внутреннее ПО банкоматов Diebold Nixdorf и построили на его основе свои Black Box - устройства, эмулирующие мозги банкомата. Далее злоумышленники физически разбирают переднюю обшивку банкомата чтобы получить доступ к USB-кабелю диспенсера CMD-V4.
Диспенсер - это та самая шуршащяя хрень, которая выдает банкноты из кассет банкомата. Подключив к нему Black Box хакер заставляет банкомат практически фонтанировать купюрами как в американских фильмах про выигрыши в казино - отсюда и название атаки Jackpotting.
Самым интересным в этой конкретной атаке является вопрос откуда злоумышленники достали образцы внутреннего ПО Diebold. Предполагаем инсайд, хотя возможно и подломали сеть производителя.
Хакеры раздобыли где-то внутреннее ПО банкоматов Diebold Nixdorf и построили на его основе свои Black Box - устройства, эмулирующие мозги банкомата. Далее злоумышленники физически разбирают переднюю обшивку банкомата чтобы получить доступ к USB-кабелю диспенсера CMD-V4.
Диспенсер - это та самая шуршащяя хрень, которая выдает банкноты из кассет банкомата. Подключив к нему Black Box хакер заставляет банкомат практически фонтанировать купюрами как в американских фильмах про выигрыши в казино - отсюда и название атаки Jackpotting.
Самым интересным в этой конкретной атаке является вопрос откуда злоумышленники достали образцы внутреннего ПО Diebold. Предполагаем инсайд, хотя возможно и подломали сеть производителя.
Adobe выпустила внеплановые обновления безопасности для Photoshop, Prelude и Bridge.
Апдейтами устранены 13 уязвимостей, 12 из которых являются критическими и могут привести к удаленному выполнению кода. Еще одна уязвимость была устранена в Adobe Mobile Reader под Android. Для их использования хакеру необходимо убедить атакуемого пользователя открыть вредоносный файл типа MOV, MP4 и 3GP, либо перейти по ссылке на специальным образом созданный сайт.
Ошибки были найдены исследователем Мэтом Пауэллом в рамках Trend Micro Zero Day Initiative. Использовались ли эти уязвимости в дикой природе - не сообщается.
Как всегда, призываем всех, кто используюет эти программные продукты, срочно обновиться.
Апдейтами устранены 13 уязвимостей, 12 из которых являются критическими и могут привести к удаленному выполнению кода. Еще одна уязвимость была устранена в Adobe Mobile Reader под Android. Для их использования хакеру необходимо убедить атакуемого пользователя открыть вредоносный файл типа MOV, MP4 и 3GP, либо перейти по ссылке на специальным образом созданный сайт.
Ошибки были найдены исследователем Мэтом Пауэллом в рамках Trend Micro Zero Day Initiative. Использовались ли эти уязвимости в дикой природе - не сообщается.
Как всегда, призываем всех, кто используюет эти программные продукты, срочно обновиться.
Госдепартамент США объявил сегодня вознаграждение в размере до 1 млн. долларов за информацию, которая может привести к аресту украинских граждан Артема Радченко и Александра Еременко (за каждого).
В январе 2019 года Радченко и Еременко были предъявлены обвинения во взломе в составе группы системы электронного сбора, анализа и поиска данных (EDGAR) американской Комиссии по ценным бумагам (SEC).
Согласно обвинительному заключению, в период с мая по октябрь 2016 года, взломав SEC EDGAR, хакеры во главе с Радченко и Еременко похитили тысячи файлов системы, включая непубличную финансовую информацию, которую SEC получает от торгуемых на бирже компаний.
Используя украденные инсайды, злоумышленники через трейдеров сами играли на бирже, в результате чего получили более 4 млн. долларов. Кроме того, Радченко и Еременко эти инсайды продавали.
Схема красивая, однако. Но нам интересно другое - чем занимались инфосек специалисты SEC, одного из главных жупелов США в торговых и корпоративных войнах, если хакеры в течение 4 месяцев имели свободный доступ к взломанной системе? Очевидно, что курили бамбук.
В январе 2019 года Радченко и Еременко были предъявлены обвинения во взломе в составе группы системы электронного сбора, анализа и поиска данных (EDGAR) американской Комиссии по ценным бумагам (SEC).
Согласно обвинительному заключению, в период с мая по октябрь 2016 года, взломав SEC EDGAR, хакеры во главе с Радченко и Еременко похитили тысячи файлов системы, включая непубличную финансовую информацию, которую SEC получает от торгуемых на бирже компаний.
Используя украденные инсайды, злоумышленники через трейдеров сами играли на бирже, в результате чего получили более 4 млн. долларов. Кроме того, Радченко и Еременко эти инсайды продавали.
Схема красивая, однако. Но нам интересно другое - чем занимались инфосек специалисты SEC, одного из главных жупелов США в торговых и корпоративных войнах, если хакеры в течение 4 месяцев имели свободный доступ к взломанной системе? Очевидно, что курили бамбук.
Мы неоднократно писали про активность прогосударственных APT в период обострения отношений между Китаем и Индией - вот хотя бы здесь.
Вчера Malwarebytes опубликовали материал о выявленных в начале месяца фишинговых приманках, ориентированных на пользователей из Индии и Гонконга.
Фишинговые документы содержат в себе троян удаленного доступа MgBot, который подгружает полезную нагрузку и использует эффективные средства маскировки своих действий, в числе которых кейлоггинг, создание скриншотов, управление файлами и многое другое.
Проанализировав используемую хакерами инфраструктуру исследователи обнаружили несколько управляющих центров, на одном из которых нашли образцы троянов для Android, предназначенных для сбора данных с зараженного смартфона, включая запись экрана и аудио с микрофона устройства.
По данным Malwarebytes, в выявленных фишинговых атаках прослеживаются TTPs одновременно нескольких китайских APT - Rancor, KeyBoy и APT 40. Основываясь на этом ресерчеры пришли к выводу, что стали свидетелями операции, проводимой новой китайской хакерской группой, активность которой они смогли отследить до 2014 года.
Таким образом, противостояние между Китаем и Индией в киберпространстве продолжается.
Вчера Malwarebytes опубликовали материал о выявленных в начале месяца фишинговых приманках, ориентированных на пользователей из Индии и Гонконга.
Фишинговые документы содержат в себе троян удаленного доступа MgBot, который подгружает полезную нагрузку и использует эффективные средства маскировки своих действий, в числе которых кейлоггинг, создание скриншотов, управление файлами и многое другое.
Проанализировав используемую хакерами инфраструктуру исследователи обнаружили несколько управляющих центров, на одном из которых нашли образцы троянов для Android, предназначенных для сбора данных с зараженного смартфона, включая запись экрана и аудио с микрофона устройства.
По данным Malwarebytes, в выявленных фишинговых атаках прослеживаются TTPs одновременно нескольких китайских APT - Rancor, KeyBoy и APT 40. Основываясь на этом ресерчеры пришли к выводу, что стали свидетелями операции, проводимой новой китайской хакерской группой, активность которой они смогли отследить до 2014 года.
Таким образом, противостояние между Китаем и Индией в киберпространстве продолжается.
Malwarebytes
Chinese APT group targets India and Hong Kong using new variant of MgBot malware | Malwarebytes Labs
We uncovered an active campaign in early July that we attribute to a new Chinese APT group attacking India and Hong Kong with MgBot malware.
ZDNet пишет о новой атаке на заверенные цифровой подписью PDF документы, которую назвали Shadow Attack.
Исследование проведено учеными из Рурского университета в Германии. Суть атаки заключается в подготовке PDF-документа с двумя "слоями", содержащими различный контент. При подписи виден один слой, однако в дальнейшем злоумышленник делает видимым другой слой, при этом цифровая подпись сохраняется.
Из 28 протестированных приложений для работы с PDF-файлами 15 оказались уязвимы перед Shadow Attack. Среди них - Adobe Acrobat Pro и Acrobat Reader, Perfect PDF, Foxit Reader и другие.
В настоящее время исследователи связались с разработчиками соответствующих приложений и передали им необходимую техническую информацию для разработки апдейтов.
Исследование проведено учеными из Рурского университета в Германии. Суть атаки заключается в подготовке PDF-документа с двумя "слоями", содержащими различный контент. При подписи виден один слой, однако в дальнейшем злоумышленник делает видимым другой слой, при этом цифровая подпись сохраняется.
Из 28 протестированных приложений для работы с PDF-файлами 15 оказались уязвимы перед Shadow Attack. Среди них - Adobe Acrobat Pro и Acrobat Reader, Perfect PDF, Foxit Reader и другие.
В настоящее время исследователи связались с разработчиками соответствующих приложений и передали им необходимую техническую информацию для разработки апдейтов.
ZDNet
New 'Shadow Attack' can replace content in digitally signed PDF files
15 out of the 28 biggest desktop PDF viewers are vulnerable, German academics say.
Наши любимцы из северокорейской APT Lazarus, которая является, пожалуй, самой активной хакерской группой в мире, в очередной раз проявились.
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Вчера команда исследователей GReAT Лаборатории Касперского опубликовала отчет, в котором описала выявленную вредоносную кампанию получившую название MATA, активную с апреля 2018 года.
MATA - это модульная вредоносная структура с несколькими компонентами, в которую входят загрузчик, оркестратор и набор плагинов, способная заражать машины под управлением Windows, Linux и macOS. Позволяет хакерам брать практически под полный контроль скомпрометированную систему и используется для проникновения в атакуемую сеть.
В качестве целей выступали корпоративные сети Польши, Германии, Турции, Южной Кореи, Японии и Индии. Основная задача - нахождение и эксфильтрация баз данных с конфиденциальной информацией атакованной компании.
Анализ TTPs показал, что за кибероперацией MATA стоит Lazarus. Основным доказательством послужили уникальные обозначения компонентов вредоносного ПО, ранее использовавшиеся в трояне Manuscrypt (он же FALLCHILL или Volgmer) за авторством северокорейских хакеров, а также сходства в механизмах их работы.
#APT #Lazarus
Securelist
MATA: Multi-platform targeted malware framework
The MATA malware framework possesses several components, such as loader, orchestrator and plugins. The framework is able to target Windows, Linux and macOS operating systems.
Shadow Intelligence, как всегда, радуют свежей информацией о выставленных в даркнете на продажу хакерских лотах.
На этот раз некто с псевдонимом frankknox продает доступ к правительственным и коммерческим сетям Великобритании и Австралии, среди которых сервер британского городского муниципалитета, на территории которого проживает более 300 тыс. жителей, а также микс из доступа к 26 серверам австралийских государственных, образовательных и коммерческих организаций.
Как иронизируют комментаторы в Twitter, Национальному центру кибербезопасности Великобритании (NCSC) следовало бы заняться реальной работой вместо выпуска бездоказательных и расплывчатых пресс-релизов (предполагаем, что имеется в виду отчет о нападениях Cozy Bear на медицинские организации Британии, США и Канады).
На этот раз некто с псевдонимом frankknox продает доступ к правительственным и коммерческим сетям Великобритании и Австралии, среди которых сервер британского городского муниципалитета, на территории которого проживает более 300 тыс. жителей, а также микс из доступа к 26 серверам австралийских государственных, образовательных и коммерческих организаций.
Как иронизируют комментаторы в Twitter, Национальному центру кибербезопасности Великобритании (NCSC) следовало бы заняться реальной работой вместо выпуска бездоказательных и расплывчатых пресс-релизов (предполагаем, что имеется в виду отчет о нападениях Cozy Bear на медицинские организации Британии, США и Канады).
А пока у нас тут лето и недобитый коронавирус, ransomware продолжает торжественное шествие по всему миру.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты из ZeroDay, внутренняя сеть Garmin была скомпрометирована оператором появившегося в мае этого года ransomware WastedLocker.
В результате атаки Garmin был вынужден отключить ряд сервисов - официальный web-сайт, колл-центры, службу синхронизации пользовательских данных Garmin Connect, некоторые производственные линии в Азии. Также ушли в шатдаун службы flyGarmin и Garmin Pilot, предназначенных для загрузки навигационных баз в самолетное оборудование и планирования полета, соответственно.
Официально Garmin никаких разъяснений не дает, кроме дежурного "у нас тут небольшой сбой, сорян, мы разбираемся". Между тем, судя по информации в соцсетях все гораздо хуже, чем пытается представить Garmin. По крайней мере, появились данные о том, что тайваньские фабрики производителя встают на паузу на техобслуживание 24 и 25 июля.
Оператором вымогателя WastedLocker называют русскоязычную хакерскую группу Evil Corp. Несмотря на то, что семейство ransomware появилось совсем недавно, они уже успели провести несколько атак, в процессе которых встречались требования о выкупе в сумме более 10 млн. долларов. Вместе с тем, WastedLocker не включает в себя функций кражи данных, в отличие от более продвинутых ransomware типа Maze или Sodinokibi.
Воистину говорим, скоро операторы ransomware будут правительства менять во всяких там лимитрофах. И переделывать местное законодательство под свои хотелки.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты из ZeroDay, внутренняя сеть Garmin была скомпрометирована оператором появившегося в мае этого года ransomware WastedLocker.
В результате атаки Garmin был вынужден отключить ряд сервисов - официальный web-сайт, колл-центры, службу синхронизации пользовательских данных Garmin Connect, некоторые производственные линии в Азии. Также ушли в шатдаун службы flyGarmin и Garmin Pilot, предназначенных для загрузки навигационных баз в самолетное оборудование и планирования полета, соответственно.
Официально Garmin никаких разъяснений не дает, кроме дежурного "у нас тут небольшой сбой, сорян, мы разбираемся". Между тем, судя по информации в соцсетях все гораздо хуже, чем пытается представить Garmin. По крайней мере, появились данные о том, что тайваньские фабрики производителя встают на паузу на техобслуживание 24 и 25 июля.
Оператором вымогателя WastedLocker называют русскоязычную хакерскую группу Evil Corp. Несмотря на то, что семейство ransomware появилось совсем недавно, они уже успели провести несколько атак, в процессе которых встречались требования о выкупе в сумме более 10 млн. долларов. Вместе с тем, WastedLocker не включает в себя функций кражи данных, в отличие от более продвинутых ransomware типа Maze или Sodinokibi.
Воистину говорим, скоро операторы ransomware будут правительства менять во всяких там лимитрофах. И переделывать местное законодательство под свои хотелки.
ZDNET
Garmin services and production go down after ransomware attack
Smartwatch and wearable maker Garmin planning multi-day maintenance window to deal with ransomware incident.
Мы что-то давно не давали никаких обзоров APT и их атак. Исправляемся.
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Сегодня мы рассмотрим одну из киберопераций вьетнамской хакерской группы Ocean Lotus, она же APT 32 и APT-C-00.
Что можно сказать про вьетнамцев in general. Ocean Lotus - это хакерская группа, работающая на вьетнамские спецслужбы. Основные направления деятельности - кража корпоративной информации и кибершпионаж. Основные цели - иностранные государственные организации, корпорации, работающие в технологическом, производственном секторах, а также в области безопасности. Начало наблюдаемой активности - 2013-2014 годы.
Мы, кстати, уже писали про свежую операцию Ocean Lotus, когда хакеры, начиная с 6 января (!), атаковали ресурсы китайских правительственных и муниципальных учреждений, которые занимались борьбой с COVID-19, очевидно, в целях сбора информации о коронавирусе.
Вьетнамцы известны, в частности, серией атак в феврале-марте 2019 года на подразделения Toyota и Lexus в Австралии, Японии и Вьетнаме с целью кражи корпоративной информации, с том числе данных о более чем 3 млн. клиентов автопроизводителя. А далее Ocean Lotus отметились взломами сетей BMW и Hyundai, при этом безопасники немецкой компании натянули покерфейс и утверждали, что в течение всего периода компрометации своей сети с весны по конец ноября они "следили за каждым их шагом" (стандартная отмазка инфосек подразделения, когда дно протекло).
Но мы остановимся на другой атаке, которая произошла в 2016-2017 году и получила название Cobalt Kitty.
Итак, в начале 2017 года некая глобальная корпорация из Азии приглашает инфосек фирму Cybereason для того, чтобы разобраться в ситуации с подозрением на компрометацию своей сети. Первые результаты обескураживают - по оценкам исследователей на момент начала их работы неизвестные хакеры сидели в сети уже около года.
Первичное проникновение было осуществлено путем тщательно подготовленного целевого фишинга, направленного на высшее и среднее руководство компании. Для доставки полезной нагрузки использовались поддельные инсталятор Flash и документы Word. В результате дальнейшего проникновения хакеры взломали контроллер домена, файловые серверы, серверы web-приложений и базы данных. При этом были обойдены все штатные средства защиты.
На этом этапе злоумышленники осуществляли свое присутствие через вредоносную безфайловую инфраструктуру PowerShell. Однако, как только хакеры поняли, что их обнаружели, в течение 48 часов эта инфраструктура была заменена, что говорит о тщательной подготовке к такому развитию событий.
Теперь Ocean Lotus стали использовать эксклюзивные бэкдоры, которые на тот момент не были известны ни одному инфосек вендору. Для скрытия связи с управляющими центрами, хакеры, в частности, использовали туннелирование DNS под видом связи с DNS-серверами Google и OpenDNS, чтобы избежать фильтрации DNS-трафика.
Один из используемых приватных бэкдоров был разработан под Microsoft Outlook, благодаря которому Ocean Lotus скрытно управляли вредоносной инфраструктурой и проводили эксфильтрацию данных посредством электронных почтовых сообщений.
После первого этапа борьбы за сеть корпорации между специалистами инфосек и хакерами наступило четырехнедельное затишье. А по истечении этого срока Ocean Lotus попытались вновь восстановить контроль над ресурсами атакованной компании. В качестве отправной точки они использовали скомпрометированный ранее сервер, на который загнали обновленные версии своего вредоносного инструментария. Но в этот раз безопасники были на стороже и попытка провалилась.
В ходе своей киберкампании хакеры использовали множество вредоносных инструментов, шесть из которых являлись, судя по всему, собственной разработкой.
Принадлежность кибероперации группе Ocean Lotus была установлена в силу ряда признаков, основными из которых были пересечения в используемой инфраструктуре управляющих центров и вредоносных инструментах.
#APT #OceanLotus
Новая история про русских хакеров от Wired.
Журналисты утверждают, что получили в распоряжение уведомление, которое в мае было разослано ФБР в адрес атакованных хакерами компаний.
Согласно ему, российская APT 28, она же пресловутая Fancy Bear, которую связывают с ГРУ, в период с декабря 2018 года по май нынешнего провела широкую кампанию по компрометации ресурсов американских компаний, по крайней мере одна из которых относится к энергетическому сектору.
Хакеры были ориентированы, в первую очередь, на почтовые сервера и VPN-сервера жертв. Цели включали в себя "широкий список американских организаций, государственных и образовательных учреждений".
В качестве TTPs - один из IP-адресов вредоносной инфраструктуры, который ранее был замечен в использовании APT 28.
Журналисты утверждают, что получили в распоряжение уведомление, которое в мае было разослано ФБР в адрес атакованных хакерами компаний.
Согласно ему, российская APT 28, она же пресловутая Fancy Bear, которую связывают с ГРУ, в период с декабря 2018 года по май нынешнего провела широкую кампанию по компрометации ресурсов американских компаний, по крайней мере одна из которых относится к энергетическому сектору.
Хакеры были ориентированы, в первую очередь, на почтовые сервера и VPN-сервера жертв. Цели включали в себя "широкий список американских организаций, государственных и образовательных учреждений".
В качестве TTPs - один из IP-адресов вредоносной инфраструктуры, который ранее был замечен в использовании APT 28.
Wired
Russia's GRU Hackers Hit US Government and Energy Targets
A previously unreported Fancy Bear campaign persisted for well over a year—and indicates that the notorious group has broadened its focus.
А у Garmin-то все плохо.
Напомним, что 23 июля компания была вынуждена приостановить работу ряда сервисов и производств вследствие атаки оператора ransomware WastedLocker, за которым, как считается, стоит русскоязычная хакерская группа Evil Corp. 24 и 25 июля на ряде производств Garmin было вынуждено объявить технологический перерыв для восстановления своих ресурсов.
Однако все оказалось не так просто. Прошли 24 и 25, прошло 26 июля - но по состоянию на сегодняшнее утро сервисы компании так полностью и не восстановились. Авиационная навигация, к примеру, доступна, а GPS-отслеживание умных часов и фитнесс-браслетов не работает.
Между тем, BleepingComputer сообщили, что сумма выкупа, объявленного хакерами Garmin составляет 10 млн. долларов, хотя информация не подтверждена.
А в наступающую среду у Garmin выходит промежуточный финансовый отчет, который ждут на Уолл-стрит. Акции компании уже провалились после начала атаки, но падение может продолжиться.
В тысяче-какой-то раз зададим риторический вопрос - а стоит ли экономия на информационной безопасности такого геморроя? Вопрос для Garmin же не в жалких 10 млн. долларов, вопрос в потере деловой репутации. А это выйдет намного дороже.
Напомним, что 23 июля компания была вынуждена приостановить работу ряда сервисов и производств вследствие атаки оператора ransomware WastedLocker, за которым, как считается, стоит русскоязычная хакерская группа Evil Corp. 24 и 25 июля на ряде производств Garmin было вынуждено объявить технологический перерыв для восстановления своих ресурсов.
Однако все оказалось не так просто. Прошли 24 и 25, прошло 26 июля - но по состоянию на сегодняшнее утро сервисы компании так полностью и не восстановились. Авиационная навигация, к примеру, доступна, а GPS-отслеживание умных часов и фитнесс-браслетов не работает.
Между тем, BleepingComputer сообщили, что сумма выкупа, объявленного хакерами Garmin составляет 10 млн. долларов, хотя информация не подтверждена.
А в наступающую среду у Garmin выходит промежуточный финансовый отчет, который ждут на Уолл-стрит. Акции компании уже провалились после начала атаки, но падение может продолжиться.
В тысяче-какой-то раз зададим риторический вопрос - а стоит ли экономия на информационной безопасности такого геморроя? Вопрос для Garmin же не в жалких 10 млн. долларов, вопрос в потере деловой репутации. А это выйдет намного дороже.
Telegram
SecAtor
А пока у нас тут лето и недобитый коронавирус, ransomware продолжает торжественное шествие по всему миру.
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты…
Вчера очередь дошла до известного производителя навигационного оборудования и носимых устройств Garmin.
Судя по информации, которую собрали журналисты…
И сразу следующая новость про ransomware.
Крупнейшая в мире независимая компания, проводящая маркетинговые исследования, в частности в области медиаконтента,- американская Nielsen - в прошлую среду, 22 июля, подверглась атаке оператора неназванного вымогателя.
Сначала компания объявила "небольшое техническое нарушение", в результате которого перестала выдавать австралийские телевизионные рейтинги и пообещала восстановить их предоставление в четверг. Однако в четверг ничего не заработало, а в пятницу Nielsen официально объявили, что подверглись атаке ransomware. Целью стал центр обработки данных компании в Австралии.
В итоге самый ранний названный срок предоставления телевизионных рейтингов - среда, 29 июля. То есть Nielsen в части своих услуг прилегла на неделю. А между тем это компания с выручкой в 6,5 млрд. долларов и 44 тыс. сотрудников в штате.
Мы уже на знаем про что ванговать. Что ransomware попадет на Марс раньше Маска?
Крупнейшая в мире независимая компания, проводящая маркетинговые исследования, в частности в области медиаконтента,- американская Nielsen - в прошлую среду, 22 июля, подверглась атаке оператора неназванного вымогателя.
Сначала компания объявила "небольшое техническое нарушение", в результате которого перестала выдавать австралийские телевизионные рейтинги и пообещала восстановить их предоставление в четверг. Однако в четверг ничего не заработало, а в пятницу Nielsen официально объявили, что подверглись атаке ransomware. Целью стал центр обработки данных компании в Австралии.
В итоге самый ранний названный срок предоставления телевизионных рейтингов - среда, 29 июля. То есть Nielsen в части своих услуг прилегла на неделю. А между тем это компания с выручкой в 6,5 млрд. долларов и 44 тыс. сотрудников в штате.
Мы уже на знаем про что ванговать. Что ransomware попадет на Марс раньше Маска?
www.adnews.com.au
Ransomware attack takes out TV ratings - AdNews
Last Wednesday, Nielsen informed clients that an “unexpected disruption” meant overnight data would be delayed.