Какую музыку может слушать инфосек ресерчер когда проводит расследование активности APT?
Пожалуй, что вот такую - https://www.youtube.com/watch?v=iU2hy0L5lgg.
Длинное слово в припеве - "Supercalifragilisticexpialidocious".
А теперь попробуйте это развидеть. Приятного вечера.
Пожалуй, что вот такую - https://www.youtube.com/watch?v=iU2hy0L5lgg.
Длинное слово в припеве - "Supercalifragilisticexpialidocious".
А теперь попробуйте это развидеть. Приятного вечера.
YouTube
Mary Poppins Sings Death Metal
Recorded and Produced at Endless Noise http://www.endlessnoise.com/
Music was arranged, played, and recorded by me. I also sang the background vocals.
Vocals by Sera Hatchett https://mercybrownofficial.bandcamp.com/ https://www.facebook.com/mercybrownofficial…
Music was arranged, played, and recorded by me. I also sang the background vocals.
Vocals by Sera Hatchett https://mercybrownofficial.bandcamp.com/ https://www.facebook.com/mercybrownofficial…
ZDNet приводит несколько любопытных цифр из исследования компании IBM о стоимости утечки данных.
Итак, средняя стоимость утечки данных для жертвы составляет 3,86 млн. долларов.
Максимальная стоимость утечки - 392 млн. долларов.
Стоимость утечки в пересчете на одну украденную клиентскую запись - до 175 долларов.
В 2019 году утекло более 8,5 млрд. записей.
Атаки в этой области, совершаемые прогосударственными APT составляют лишь 13%. Однако средний ущерб от их действий выше и составляет 4,43 млн. долларов.
По нашему мнению, это эти цифры являются весомым доводом, чтобы задуматься о соответствии принимаемых мер информационной безопасности складывающейся обстановке.
Итак, средняя стоимость утечки данных для жертвы составляет 3,86 млн. долларов.
Максимальная стоимость утечки - 392 млн. долларов.
Стоимость утечки в пересчете на одну украденную клиентскую запись - до 175 долларов.
В 2019 году утекло более 8,5 млрд. записей.
Атаки в этой области, совершаемые прогосударственными APT составляют лишь 13%. Однако средний ущерб от их действий выше и составляет 4,43 млн. долларов.
По нашему мнению, это эти цифры являются весомым доводом, чтобы задуматься о соответствии принимаемых мер информационной безопасности складывающейся обстановке.
ZDNet
Today’s ‘mega’ data breaches now cost companies $392 million to recover from | ZDNet
When consumer PII is involved, the cost increases.
Очередной пост про использование государственных хакерских групп в геополитических разборках.
Команда Insikt Group американской компании Recorded Future выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, а также Исследовательской католической миссии Гонконга и Папского института иностранных миссий (PIME).
В ходе мониторинга сетевого трафика исследователи обнаружили несколько управляющих центров вредоносов PlugX, Poison Ivy и популярного у хакеров инструмента для пентетстов Cobalt Strike, которые взаимодействовали с хостами атакованных католических учреждений (то бишь с сидящими там вредоносами). Кроме того, была найдена фишинговая приманка, представляющая собой документ (похоже, что настоящий) за подписью главы Учебной католической миссии Гонконга.
Атака длилась с середины мая по конец июля 2020 года. Профиль хакерской группы, которая проводила кибероперацию, по ряду TTPs совпадает с китайской ATP Mustang Panda, однако существуют и определенные различия. Поэтому исследователи признали ее работающей на китайское правительство (что логично, учитывая цели) группой и дали промежуточное название RedDelta.
Insikt Group связывает эту атаку с предстоящими в сентябре 2020 года переговорами по поводу пролонгации достигнутого в 2018 году соглашения между Ватиканом и Пекином о назначении римско-католических епископов. Выявленная киберкампания направлена на те подразделения католической церкви, в которых может содержаться информация о переговорной позиции Ватикана.
P.S. Очень неприятное послевкусие от активного включения в отчет Recorded Future явно ангажированных вставок о векторе внешней политике США относительно Китая и Гонконга - все эти упоминания "обвинительных вердиктов США в отношении двух китайских контракторов" и "посол США по международным религиозным свободам выразил обеспокоенность". Прямо как в периоды худшего информационного маразма КПСС.
Команда Insikt Group американской компании Recorded Future выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, а также Исследовательской католической миссии Гонконга и Папского института иностранных миссий (PIME).
В ходе мониторинга сетевого трафика исследователи обнаружили несколько управляющих центров вредоносов PlugX, Poison Ivy и популярного у хакеров инструмента для пентетстов Cobalt Strike, которые взаимодействовали с хостами атакованных католических учреждений (то бишь с сидящими там вредоносами). Кроме того, была найдена фишинговая приманка, представляющая собой документ (похоже, что настоящий) за подписью главы Учебной католической миссии Гонконга.
Атака длилась с середины мая по конец июля 2020 года. Профиль хакерской группы, которая проводила кибероперацию, по ряду TTPs совпадает с китайской ATP Mustang Panda, однако существуют и определенные различия. Поэтому исследователи признали ее работающей на китайское правительство (что логично, учитывая цели) группой и дали промежуточное название RedDelta.
Insikt Group связывает эту атаку с предстоящими в сентябре 2020 года переговорами по поводу пролонгации достигнутого в 2018 году соглашения между Ватиканом и Пекином о назначении римско-католических епископов. Выявленная киберкампания направлена на те подразделения католической церкви, в которых может содержаться информация о переговорной позиции Ватикана.
P.S. Очень неприятное послевкусие от активного включения в отчет Recorded Future явно ангажированных вставок о векторе внешней политике США относительно Китая и Гонконга - все эти упоминания "обвинительных вердиктов США в отношении двух китайских контракторов" и "посол США по международным религиозным свободам выразил обеспокоенность". Прямо как в периоды худшего информационного маразма КПСС.
Recordedfuture
Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations | Recorded Future
Insikt Group identified a cyberespionage campaign attributed to a suspected Chinese state-sponsored threat activity group, which they refer to as RedDelta.
Компания Claroty, специализирующаяся на промышленной информационной безопасности, выпустила отчет, в котором описала выявленные уязвимости в решениях VPN для промышленных сетей. Подобные решения ориентированы, в основном, на АСУ ТП (ICS).
Уязвимые VPN продукты используются в нефтяной и газовой отраслях, водо- и электроснабжении - в общем, в более чем критических сферах современной жизни.
Ошибки выявлены в Secomea GateManager, Moxa EDR-G902 и EDR-G903, а также в VPN-клиенте eCatcher решения eWon от компании HMS Networks.
Так, в Secomea GateManager выявлена уязвимость CVE-2020-14500, которая в силу неправильной обработки заголовков HTTP-запросов позволяет злоумышленнику добиться удаленного выполнения кода в атакуемой системе, причем без всякого прохождения аутентификации.
В Moxa EDR-G902 и EDR-G903 найдена уязвимость CVE-2020-14511, которая приводит к переполнению буфера в результате направления специального HTTP-запроса и опять же позволяет хакеру удаленно выполнить код.
Ну и, CVE-2020-14498 в VPN-клиенте eCatcher также приводит к переполнению буфера и RCE.
К счастью, все технические подробности ошибок были сообщены разработчикам и к настоящему времени они исправлены. Но, во-первых, как мы знаем, далеко не все ПО своевременно обновляется ответственными лицами. А во-вторых, сколько еще уязвимостей имеется в промышленных системах управления - одному Митнику известно.
Уязвимые VPN продукты используются в нефтяной и газовой отраслях, водо- и электроснабжении - в общем, в более чем критических сферах современной жизни.
Ошибки выявлены в Secomea GateManager, Moxa EDR-G902 и EDR-G903, а также в VPN-клиенте eCatcher решения eWon от компании HMS Networks.
Так, в Secomea GateManager выявлена уязвимость CVE-2020-14500, которая в силу неправильной обработки заголовков HTTP-запросов позволяет злоумышленнику добиться удаленного выполнения кода в атакуемой системе, причем без всякого прохождения аутентификации.
В Moxa EDR-G902 и EDR-G903 найдена уязвимость CVE-2020-14511, которая приводит к переполнению буфера в результате направления специального HTTP-запроса и опять же позволяет хакеру удаленно выполнить код.
Ну и, CVE-2020-14498 в VPN-клиенте eCatcher также приводит к переполнению буфера и RCE.
К счастью, все технические подробности ошибок были сообщены разработчикам и к настоящему времени они исправлены. Но, во-первых, как мы знаем, далеко не все ПО своевременно обновляется ответственными лицами. А во-вторых, сколько еще уязвимостей имеется в промышленных системах управления - одному Митнику известно.
Claroty
VPN Security Flaws Pose Cyber Risk to Remote OT Personnel
Claroty researchers have discovered multiple vulnerabilities in popular industrial VPN-based solutions that provide remote access. Learn more.
Вот это новость!
Касперский готовит себе запасную площадку в Северной Корее?!
https://twitter.com/dprkcert/status/1288498991940993024
(да-да, мы знаем, что это стеб)
Касперский готовит себе запасную площадку в Северной Корее?!
https://twitter.com/dprkcert/status/1288498991940993024
(да-да, мы знаем, что это стеб)
Twitter
DPRKCERT
Supreme Leader would like to formally thank @e_kaspersky for speaking at the 2020 Pyongyang Threat Intel Summit! cc: @kaspersky
Вчера исследователи из Eclypsium опубликовали подробности о новой уязвимости в мультисистемном загрузчике ОС GRUB2 (Grand Unified Bootloader), которая получила название BootHole.
GRUB2 используется преимущественно для загрузки Linux, однако иногда применяется и для загрузки Windows, macOS и BSD.
BootHole позволяет выполнять произвольный код во время процесса загрузки ОС даже при включенном Secure Boot и заключается в некорректной обработке GRUB2 своего файла конфигурации (который обычно не подписан), что может привести к переполнению буфера.
Уязвимость была выявлена ресерчерами еще в начале этого года и получила обозначение CVE-2020-10713. Со вчерашнего дня, по заявлению Eclypsium, ИТ-производители, среди которых Microsoft, Oracle, Red Hat, Canonical, Debian, Citrix, HP и VMware, начали выпускать исправления уязвимого ПО.
Проблема только в том, что обновления загрузчиков, как правило, занимает овердофига времени. Остроты ситуации придает то, что уязвимыми являются большинство систем на основе Linux - сервера, OT и IoT устройства.
Ну и осталось добавить, что в своем отчете Eclypsium упомянули использование эксплойтов подобных уязвимостей со стороны современных APT, таких как Winnti. Но забыла про родоначальника моды на буткиты - АНБшную Equation. Исправляем их ошибку.
Всем причастным, как всегда, рекомендуем следить за обновлениями.
GRUB2 используется преимущественно для загрузки Linux, однако иногда применяется и для загрузки Windows, macOS и BSD.
BootHole позволяет выполнять произвольный код во время процесса загрузки ОС даже при включенном Secure Boot и заключается в некорректной обработке GRUB2 своего файла конфигурации (который обычно не подписан), что может привести к переполнению буфера.
Уязвимость была выявлена ресерчерами еще в начале этого года и получила обозначение CVE-2020-10713. Со вчерашнего дня, по заявлению Eclypsium, ИТ-производители, среди которых Microsoft, Oracle, Red Hat, Canonical, Debian, Citrix, HP и VMware, начали выпускать исправления уязвимого ПО.
Проблема только в том, что обновления загрузчиков, как правило, занимает овердофига времени. Остроты ситуации придает то, что уязвимыми являются большинство систем на основе Linux - сервера, OT и IoT устройства.
Ну и осталось добавить, что в своем отчете Eclypsium упомянули использование эксплойтов подобных уязвимостей со стороны современных APT, таких как Winnti. Но забыла про родоначальника моды на буткиты - АНБшную Equation. Исправляем их ошибку.
Всем причастным, как всегда, рекомендуем следить за обновлениями.
Eclypsium | Supply Chain Security for the Modern Enterprise
There's a Hole in the Boot - Eclypsium | Supply Chain Security for the Modern Enterprise
The BootHole vulnerability in the GRUB2 bootloader opens up Windows and Linux devices using Secure Boot to attack. The majority of laptops, desktops, servers and workstations are affected, as well as network appliances and other special purpose equipment
"Прекрасная" новость от BleepingComputer.
Министерство налогов Вермонта официально объявило о выявленной уязвимости сервиса подачи электронных заявлений о возврате налога со сделок с недвижимостью, которая позволяла получить доступ к информации о подобных сделках третьим лицам.
Ошибка существовала более трех лет - с февраля 2017 года по июль 2020 года. Это означает, что а) в течение этого времени обновления сервиса, скорее всего, не было и б) никаких аудитов ИБ за указанный период не проводилось.
Между тем, Вермонт - это пусть и небольшой, но вполне себе американский штат с населением более 600 тыс. человек. Какое количество сделок с недвижимостью за три с половиной года совершили его жители - только местное Министерство налогов и знает. А между тем, среди скомпрометированной информации были и номера социального страхования (SSN) участников сделки, которые, так-то, являются важнейшим ID в жизни каждого американца. Просто иллюстрация - наибольшее количество мошенничества по официальной статистике связано именно с SSN.
Ответственные лица, как всегда, заявили об отсутствии сведений о том, использовал ли кто-либо выявленную уязвимость. Ну, и озвучили привычную мантру "безопасность личных данных налогоплательщиков является наивысшим приоритетом".
А как у нас дело обстоит в этой области? А не очень. Свое мнение мы высказали здесь.
Министерство налогов Вермонта официально объявило о выявленной уязвимости сервиса подачи электронных заявлений о возврате налога со сделок с недвижимостью, которая позволяла получить доступ к информации о подобных сделках третьим лицам.
Ошибка существовала более трех лет - с февраля 2017 года по июль 2020 года. Это означает, что а) в течение этого времени обновления сервиса, скорее всего, не было и б) никаких аудитов ИБ за указанный период не проводилось.
Между тем, Вермонт - это пусть и небольшой, но вполне себе американский штат с населением более 600 тыс. человек. Какое количество сделок с недвижимостью за три с половиной года совершили его жители - только местное Министерство налогов и знает. А между тем, среди скомпрометированной информации были и номера социального страхования (SSN) участников сделки, которые, так-то, являются важнейшим ID в жизни каждого американца. Просто иллюстрация - наибольшее количество мошенничества по официальной статистике связано именно с SSN.
Ответственные лица, как всегда, заявили об отсутствии сведений о том, использовал ли кто-либо выявленную уязвимость. Ну, и озвучили привычную мантру "безопасность личных данных налогоплательщиков является наивысшим приоритетом".
А как у нас дело обстоит в этой области? А не очень. Свое мнение мы высказали здесь.
BleepingComputer
Vermont Tax Department exposed 3 years worth of tax return info
The Vermont Department of Taxes today disclosed that taxpayers' private information was exposed because of a security issue affecting its online filing site discovered on July 2, 2020.
ZeroDay только что опубликовали материал о раскрытии в течение последней недели двух 0-day ошибок в Tor.
Исследователь Нил Кравец опубликовал 23 июля и сегодня подробности об уязвимостях в своем блоге после того, как в течение последних лет, как он утверждает, Tor Project не решал проблем безопасности, о которых он сообщал. Более того, ресерчер обещает рассказать еще о трех "нулевых днях" в Tor в ближайшее время.
Первая уязвимость заключается в возможности блокировать компаниями и интернет-провайдерами подключение своих пользователей к Tor путем выявления в сетевом трафике уникальной "подписи пакетов Tor".
Вторая ошибка - возможность аналогичной блокировки пользователей, только не их прямых соединений с узлами Tor, а соединений с Tor-мостами, которые специально используются для обхода блокировок. Отследить такие непрямые соединения также можно с помощью техники отслеживания пакетов Tor.
Как говорит Кравец, ранее Tor Project не устранил три уязвимости, о которых он сообщал разработчикам. Поэтому исследователь с начала этого года отказался от сотрудничества и теперь рассказывает о выявленных уязвимостях публично, чтобы принудить Tor Project к исправлению ошибок.
Ну а мы можем только попытаться угадать почему же Tor Project не торопится устранять некоторые уязвимости. Наверное потому, что изначально за разработкой Tor, как мы уже неоднократно говорили, стояло Разведуправление Минобороны США (РУМО). А практика преднамеренного оставления дыр в различном ПО, на разработку которого можно повлиять, является обычной для американских спецслужб и косвенно это получило подтверждение после слива в паблик инструментария подразделения АНБ, известного миру как хакерская группа Equation.
Исследователь Нил Кравец опубликовал 23 июля и сегодня подробности об уязвимостях в своем блоге после того, как в течение последних лет, как он утверждает, Tor Project не решал проблем безопасности, о которых он сообщал. Более того, ресерчер обещает рассказать еще о трех "нулевых днях" в Tor в ближайшее время.
Первая уязвимость заключается в возможности блокировать компаниями и интернет-провайдерами подключение своих пользователей к Tor путем выявления в сетевом трафике уникальной "подписи пакетов Tor".
Вторая ошибка - возможность аналогичной блокировки пользователей, только не их прямых соединений с узлами Tor, а соединений с Tor-мостами, которые специально используются для обхода блокировок. Отследить такие непрямые соединения также можно с помощью техники отслеживания пакетов Tor.
Как говорит Кравец, ранее Tor Project не устранил три уязвимости, о которых он сообщал разработчикам. Поэтому исследователь с начала этого года отказался от сотрудничества и теперь рассказывает о выявленных уязвимостях публично, чтобы принудить Tor Project к исправлению ошибок.
Ну а мы можем только попытаться угадать почему же Tor Project не торопится устранять некоторые уязвимости. Наверное потому, что изначально за разработкой Tor, как мы уже неоднократно говорили, стояло Разведуправление Минобороны США (РУМО). А практика преднамеренного оставления дыр в различном ПО, на разработку которого можно повлиять, является обычной для американских спецслужб и косвенно это получило подтверждение после слива в паблик инструментария подразделения АНБ, известного миру как хакерская группа Equation.
ZDNet
Multiple Tor security issues disclosed, more to come | ZDNet
A security researcher has published details about two Tor security issues and promises to release three more.
Вчера вечером EC объявил о санкциях, которые наложены на сотрудников одного из подразделений ГРУ, а также на подставные компании китайских и корейских APT.
Санкции предполагают замораживание активов и запрет на поездки на территорию ЕС, а также (как мы поняли) запрещают организациям и гражданам ЕС взаимодействовать с теми, на кого эти санкции наложены.
Европейцы ввели санкции против четырех россиян, которых называют членами APT Sandworm (она же BlackEnergy), а также против в/ч 74455, являющейся частью ГРУ, в которой, как полагают европейцы, эти россияне служат.
Кроме того, под санкции попали двое китайцев, предполагаемые члены APT 10 (она же Stone Panda), китайская компания Huaying Haitai, связанная с указанной хакерской группой, и северокорейская Chosun Expo, связанная с APT Lazarus.
Учитывая тот факт, что получение доказательств причастности физических лиц к совершению киберпреступлений фактически невозможно без участия правоохранительных органов той страны, на территории которой они находятся, никаких пруфов, конечно, не будет.
Не будем отрицать наличие в российских спецслужбах хакеров, это глупо, все ведущие страны имеют подконтрольные высококвалифицированные хакерские группы. Но введение подобных санкций, не подкрепленных прочной доказательной базой, - это еще одна открытая дверь в "дивный новый мир".
Короче, ждем от отечественных силовиков введения санкций против, к примеру, англичан из Regin. Хотя, кого мы обманываем, ответственные за киберзащиту подразделения российских спецслужб и ведомств на это критически не способны - мы не сомневаемся, что в МВД и ФСБ даже названия Regin не слышали.
Санкции предполагают замораживание активов и запрет на поездки на территорию ЕС, а также (как мы поняли) запрещают организациям и гражданам ЕС взаимодействовать с теми, на кого эти санкции наложены.
Европейцы ввели санкции против четырех россиян, которых называют членами APT Sandworm (она же BlackEnergy), а также против в/ч 74455, являющейся частью ГРУ, в которой, как полагают европейцы, эти россияне служат.
Кроме того, под санкции попали двое китайцев, предполагаемые члены APT 10 (она же Stone Panda), китайская компания Huaying Haitai, связанная с указанной хакерской группой, и северокорейская Chosun Expo, связанная с APT Lazarus.
Учитывая тот факт, что получение доказательств причастности физических лиц к совершению киберпреступлений фактически невозможно без участия правоохранительных органов той страны, на территории которой они находятся, никаких пруфов, конечно, не будет.
Не будем отрицать наличие в российских спецслужбах хакеров, это глупо, все ведущие страны имеют подконтрольные высококвалифицированные хакерские группы. Но введение подобных санкций, не подкрепленных прочной доказательной базой, - это еще одна открытая дверь в "дивный новый мир".
Короче, ждем от отечественных силовиков введения санкций против, к примеру, англичан из Regin. Хотя, кого мы обманываем, ответственные за киберзащиту подразделения российских спецслужб и ведомств на это критически не способны - мы не сомневаемся, что в МВД и ФСБ даже названия Regin не слышали.
Bad Packets сообщили, что вчера китайцы массово сканировали Pulse Secure VPN сервера на предмет уязвимости перед CVE-2019-11510. Видать ломать будут.
Мы не раз писали, что обновление, исправляющее эту уязвимость, было выпущено еще в апреле 2019 года, но далеко не все установили соответствующие апдейты. К примеру, перед тем как взломали британскую электросетевую компанию Elexon, отвечающую за распределение всей электроэнергии в Великобритании, те же Bad Packets сообщали, что Pulse Secure VPN энергетиков не был обновлен, и, судя по всему, в дальнейшем выступил в качестве точки компрометации сети.
Мы не раз писали, что обновление, исправляющее эту уязвимость, было выпущено еще в апреле 2019 года, но далеко не все установили соответствующие апдейты. К примеру, перед тем как взломали британскую электросетевую компанию Elexon, отвечающую за распределение всей электроэнергии в Великобритании, те же Bad Packets сообщали, что Pulse Secure VPN энергетиков не был обновлен, и, судя по всему, в дальнейшем выступил в качестве точки компрометации сети.
Twitter
Bad Packets
Mass scanning activity detected from 120.231.154.38 (🇨🇳) checking for Pulse Secure VPN servers vulnerable to CVE-2019-11510. #threatintel
Как все уже слышали, вчера правоохранительные органы США выдвинули обвинение трем хакерам, причастным к недавнему взлому Twitter. Злоумышленниками оказались:
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима "Rolex" Фазели;
- еще одни житель Флориды 17 лет отроду Грэм Айван "Kirk" Кларк.
ZDNet провели собственное расследование и выяснили как американские следователи нашли хакеров.
Итак, 3 мая Кларк получил доступ к части сети Twitter (видимо, в результате целевого фишинга, направленного на сотрудников компании). Далее хакер добыл учетные данные одного из инструментов технической поддержки, привязанного к одному из каналов Slack (корпоративный мессенджер).
Однако этого было недостаточно, поскольку аккаунты бэкэнда Twitter были защищены двухфакторной аутентификацией (2FA). Каким-то образом Кларку удалось с помощью социальной инженерии по телефону достать у сотрудников недостающие данные для прохождения 2FA аутентификации (отсюда и возникла информация про телефонный фишинг).
Что это за сотрудники такие, которые по телефону выдают подобную информацию - отдельный вопрос к службе безопасности Twitter и разрабатываемым ей инструкциям.
15 июля Кларк смог таки окончательно проникнуть в Twitter и посредством Discord связался с двумя другими злоумышленниками, чтобы монетизировать взлом. Он заявил, что работает в Twitter и в доказательство своих возможностей изменил настройки учетной записи Фазели, а также продал ему доступ к аккаунту @foreign. Шеппарду он продал доступ к аккаунтам @xx, @dark, @vampire, @obinna и @drug.
После подтверждения своих возможностей хакеры заключили соглашение о размещении рекламы на хакерском форуме OGUsers. После этого несколько человек купили доступ к выбранным аккаунтам Twitter.
Американские правоохранители заявляют, что сумма, которую заработали трое раздолбаев составляет 117 тыс. долларов. Еще 280 тыс. долларов были заблокированы администрацией криптовалюты Coinbase.
Всего Кларк получил доступ к 130 аккаунтам Twitter, к 45 из которых сбросил пароль, а у 36 получил доступ к личным сообщениям.
Таким образом, ФБР отловило хакеров прошерстив массив данных Discord, хакерского форума OGUsers (ФБР говорит, что использовало слитую в результате взлома в апреле этого года часть базы пользователей, но хз, могут и полную базу иметь в распоряжении), криптовалюты Coinbase и, что ожидаемо, Gmail (при регистрации ряда записей хакеры использовали электронную почту).
Дурни, конечно, что сказать. Бездарно слили возможности на мошенничество с криптовалютой, а ведь могли бы и третью мировую устроить (не дай Бог, конечно). Что лишний раз свидетельствует о безумной несоразмерности значения ряда цифровых сервисов с принимаемыми ими мерами информационной безопасности.
Все равно что пульт запуска межконтинентальной ядерной ракеты на амбарный замок закрывать.
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима "Rolex" Фазели;
- еще одни житель Флориды 17 лет отроду Грэм Айван "Kirk" Кларк.
ZDNet провели собственное расследование и выяснили как американские следователи нашли хакеров.
Итак, 3 мая Кларк получил доступ к части сети Twitter (видимо, в результате целевого фишинга, направленного на сотрудников компании). Далее хакер добыл учетные данные одного из инструментов технической поддержки, привязанного к одному из каналов Slack (корпоративный мессенджер).
Однако этого было недостаточно, поскольку аккаунты бэкэнда Twitter были защищены двухфакторной аутентификацией (2FA). Каким-то образом Кларку удалось с помощью социальной инженерии по телефону достать у сотрудников недостающие данные для прохождения 2FA аутентификации (отсюда и возникла информация про телефонный фишинг).
Что это за сотрудники такие, которые по телефону выдают подобную информацию - отдельный вопрос к службе безопасности Twitter и разрабатываемым ей инструкциям.
15 июля Кларк смог таки окончательно проникнуть в Twitter и посредством Discord связался с двумя другими злоумышленниками, чтобы монетизировать взлом. Он заявил, что работает в Twitter и в доказательство своих возможностей изменил настройки учетной записи Фазели, а также продал ему доступ к аккаунту @foreign. Шеппарду он продал доступ к аккаунтам @xx, @dark, @vampire, @obinna и @drug.
После подтверждения своих возможностей хакеры заключили соглашение о размещении рекламы на хакерском форуме OGUsers. После этого несколько человек купили доступ к выбранным аккаунтам Twitter.
Американские правоохранители заявляют, что сумма, которую заработали трое раздолбаев составляет 117 тыс. долларов. Еще 280 тыс. долларов были заблокированы администрацией криптовалюты Coinbase.
Всего Кларк получил доступ к 130 аккаунтам Twitter, к 45 из которых сбросил пароль, а у 36 получил доступ к личным сообщениям.
Таким образом, ФБР отловило хакеров прошерстив массив данных Discord, хакерского форума OGUsers (ФБР говорит, что использовало слитую в результате взлома в апреле этого года часть базы пользователей, но хз, могут и полную базу иметь в распоряжении), криптовалюты Coinbase и, что ожидаемо, Gmail (при регистрации ряда записей хакеры использовали электронную почту).
Дурни, конечно, что сказать. Бездарно слили возможности на мошенничество с криптовалютой, а ведь могли бы и третью мировую устроить (не дай Бог, конечно). Что лишний раз свидетельствует о безумной несоразмерности значения ряда цифровых сервисов с принимаемыми ими мерами информационной безопасности.
Все равно что пульт запуска межконтинентальной ядерной ракеты на амбарный замок закрывать.
ZDNET
How the FBI tracked down the Twitter hackers
A timeline of the Twitter hack composed from court documents published today.
Помните в начале июля проходила информация о том, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля. А в архиве, в числе прочего, лежала база, в которой хранились хеши паспортов. Архив оперативно расшифровали и данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Мы тогда писали, что, несмотря на проблемы с инфосеком у организаторов голосования, сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют. И это уж точно не персональные (или личные) данные, как пишут журналисты.
И вот сегодня новостные ресурсы взорвались сенсацией - оказывается, в даркнете хакеры продают эту информацию по цене от 1 до 1,5$ за запись. И это та самая база, про которую первой написала Meduza.
Ой вей, кажется кто-то решил сделать себе неплохой гешефт на пустом месте.
Самое смешное, что архив был доступен в Wayback Machine, а пароль от него гулял по телеграм-каналам и его можно спокойно найти.
Ох уж эти хакеры.
Мы тогда писали, что, несмотря на проблемы с инфосеком у организаторов голосования, сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют. И это уж точно не персональные (или личные) данные, как пишут журналисты.
И вот сегодня новостные ресурсы взорвались сенсацией - оказывается, в даркнете хакеры продают эту информацию по цене от 1 до 1,5$ за запись. И это та самая база, про которую первой написала Meduza.
Ой вей, кажется кто-то решил сделать себе неплохой гешефт на пустом месте.
Самое смешное, что архив был доступен в Wayback Machine, а пароль от него гулял по телеграм-каналам и его можно спокойно найти.
Ох уж эти хакеры.
Яндекс.Новости
В даркнете продают базу данных участников голосования по поправкам в Конституцию: Яндекс.Новости
На тематических форумах в продаже появилась база данных участников электронного голосования по поправкам в Конституцию, об утечке которых 9 июля сообщала Медуза .
В конце июня оператор ransomware Maze сломал LG и разместил в сети доказательства взлома, среди которых были данные прошивок устройств LG, а также исходные коды программного обеспечения компании.
Вчера Maze выкинули в сеть 50 Гб данных, принадлежащих LG. Это означает только одно - корейцы отказались платить выкуп. Такая позиция вызывает уважение, хотя и на фоне вопросов к инфосеку компании.
Правда, по утверждению журналистов ZDNet, представители хакеров сообщили им в письме, что как такового шифрования данных не было, поскольку "у LG социально значимый бизнес" - они просто украли информацию. Возможно, что смелость корейского производителя связана именно с этим.
Ну а в довесок к LG оператор вымогателя опубликовал массив данных компании Xerox размером в 25 с лишним Гб. Тоже не последняя компания в мировом списке производителей электроники.
Исследователи из Bad Packets полагают, что оба взлома были осуществлены через непропатченные Citrix ADC, уязвимые к CVE-2019-19781, которая была устранена производителем еще в январе этого года.
"Когда полгода не апдейтил Citrix ADC и потерял десятки гигабайт конфиденциальных данных". Картинку к подписи подберите сами.
Вчера Maze выкинули в сеть 50 Гб данных, принадлежащих LG. Это означает только одно - корейцы отказались платить выкуп. Такая позиция вызывает уважение, хотя и на фоне вопросов к инфосеку компании.
Правда, по утверждению журналистов ZDNet, представители хакеров сообщили им в письме, что как такового шифрования данных не было, поскольку "у LG социально значимый бизнес" - они просто украли информацию. Возможно, что смелость корейского производителя связана именно с этим.
Ну а в довесок к LG оператор вымогателя опубликовал массив данных компании Xerox размером в 25 с лишним Гб. Тоже не последняя компания в мировом списке производителей электроники.
Исследователи из Bad Packets полагают, что оба взлома были осуществлены через непропатченные Citrix ADC, уязвимые к CVE-2019-19781, которая была устранена производителем еще в январе этого года.
"Когда полгода не апдейтил Citrix ADC и потерял десятки гигабайт конфиденциальных данных". Картинку к подписи подберите сами.
Telegram
SecAtor
Исследователи инфосек компании Cyble, которые отслеживают деятельность операторов ransomware, сообщают, что оператор вымогателя Maze разместил на своем ресурсе подтверждение взлома сети компании LG Electronics.
LG является одним из мировых лидеров среди…
LG является одним из мировых лидеров среди…
Исследователи британской инфосек компании Sophos обнаружили в вымогателе WastedLocker, оператор которого недавно взломал Garmin, функцию, благодаря которой ransomware скрывается от обнаружения антивирусным ПО.
Антивирусы используют отслеживание последовательных операций по открытию файла-чтению-записи-закрытию, для чего используют т.н. minifilter drivers. WastedLocker считывает содержимое файла в кэш, после чего закрывает файл, нарушая поведенческую модель ransomware, а затем шифрует его содержимое прямо в кэше. Когда определенное количество зашифрованных файлов накапливается в кэше они скопом сбрасываются на диск, да еще и от имени Windows Cash Manager.
Интересно, что в процессе анализа WastedLocker британцы нашли свидетельство того, что он является эволюцией другого ransomware - BitPaymer, он же FriedEx. Это лишний раз подтверждает, что WastedLocker является продуктом хакерской группы Evil Corp.
Антивирусы используют отслеживание последовательных операций по открытию файла-чтению-записи-закрытию, для чего используют т.н. minifilter drivers. WastedLocker считывает содержимое файла в кэш, после чего закрывает файл, нарушая поведенческую модель ransomware, а затем шифрует его содержимое прямо в кэше. Когда определенное количество зашифрованных файлов накапливается в кэше они скопом сбрасываются на диск, да еще и от имени Windows Cash Manager.
Интересно, что в процессе анализа WastedLocker британцы нашли свидетельство того, что он является эволюцией другого ransomware - BitPaymer, он же FriedEx. Это лишний раз подтверждает, что WastedLocker является продуктом хакерской группы Evil Corp.
Sophos News
WastedLocker’s techniques point to a familiar heritage
WastedLocker’s evades detection by performing most operations in memory, and shares several characteristics with a more well known ransomware family
Это все к тому, что Врублевский научился в Телеграм.
https://twitter.com/alukatsky/status/1290658259221741568
https://twitter.com/alukatsky/status/1290658259221741568
Twitter
Alexey Lukatsky
Какой же знатный сейчас идет наброс на ЦИБ ФСБ и людей, хоть как-то связанных с ним... Куча тележных каналов репостят с небольшими текстовыми правками одни и те же тексты, добавляя туда конспирологических теорий... Выглядит забавно. Интересно, к чему это…
С "Windows Cash Manager" мы вчера опечатались, конечно, смешно. И сначала решили исправить.
А потом поняли, что в случае с ransomware это выражение имеет полное право на существование.
А потом поняли, что в случае с ransomware это выражение имеет полное право на существование.
Telegram
SecAtor
Исследователи британской инфосек компании Sophos обнаружили в вымогателе WastedLocker, оператор которого недавно взломал Garmin, функцию, благодаря которой ransomware скрывается от обнаружения антивирусным ПО.
Антивирусы используют отслеживание последовательных…
Антивирусы используют отслеживание последовательных…
Сколько раз мы уже писали про непропатченные Pulse Secure VPN сервера, а история все никак не кончается.
Как говорят ZDNet, инфосек компания KELA передала журналистам список из более чем 900 корпоративных серверов Pulse Secure VPN, содержащий полные данные о них, включая логины и пароли.
Список был распространен на русскоязычном хакерском форуме, активно использующемся операторами ransomware и составлен злоумышленником в период между 24 июня и 8 июля 2020 года. Судя по всему, хакер использовал CVE-2019-11510, чтобы получить данные с уязвимых VPN-серверов.
Между тем исследователи Bad Packets, к которым обратились журналисты ZDNet за комментариями, сообщили, что 677 серверов из этого списка были обнаружены ими еще в прошлом году, когда появился первый эксплойт уязвимости. То есть до 24 июня 2020 года они с тех пор не обновлялись.
Хорошо быть тупым (с)
Как говорят ZDNet, инфосек компания KELA передала журналистам список из более чем 900 корпоративных серверов Pulse Secure VPN, содержащий полные данные о них, включая логины и пароли.
Список был распространен на русскоязычном хакерском форуме, активно использующемся операторами ransomware и составлен злоумышленником в период между 24 июня и 8 июля 2020 года. Судя по всему, хакер использовал CVE-2019-11510, чтобы получить данные с уязвимых VPN-серверов.
Между тем исследователи Bad Packets, к которым обратились журналисты ZDNet за комментариями, сообщили, что 677 серверов из этого списка были обнаружены ими еще в прошлом году, когда появился первый эксплойт уязвимости. То есть до 24 июня 2020 года они с тех пор не обновлялись.
Хорошо быть тупым (с)
ZDNET
Hacker leaks passwords for 900+ enterprise VPN servers
EXCLUSIVE: The list has been shared on a Russian-speaking hacker forum frequented by multiple ransomware gangs.
Bad Packets продолжают радовать интересными и полезными новостями.
Вчера они обнаружили массовое сканирование сети с французского IP-адреса на предмет уязвимых для CVE-2020-6287 серверов с SAP NetWeaver. Опять таки кто-то будет ломать.
Напомним, что эта уязвимость, названная исследователями RECON, находится в компоненте SAP NetWeaver AS и позволяет неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
SAP закрыла данную ошибку в июльском патче. Но, как всегда, наверняка найдутся "талантливые" люди, которые до сих пор не обновились. А потом будут крики "караул, у меня корпорацию украли".
Вчера они обнаружили массовое сканирование сети с французского IP-адреса на предмет уязвимых для CVE-2020-6287 серверов с SAP NetWeaver. Опять таки кто-то будет ломать.
Напомним, что эта уязвимость, названная исследователями RECON, находится в компоненте SAP NetWeaver AS и позволяет неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.
SAP закрыла данную ошибку в июльском патче. Но, как всегда, наверняка найдутся "талантливые" люди, которые до сих пор не обновились. А потом будут крики "караул, у меня корпорацию украли".
Twitter
Bad Packets
Mass scanning activity detected from 54.38.103.1 (🇫🇷) targeting SAP NetWeaver hosts vulnerable to CVE-2020-6287. Successful exploitation of this vulnerability allows an unauthenticated remote attacker to gain full access to the affected SAP NetWeaver system.…
Судебные онлайн-слушания в отношении 17-летнего хакера Грэма Кларка из Флориды, обвиняемого в организации взлома Twitter в прошлом месяце, были прерваны в результате zoombombing'а.
Слушания проводились посредством Zoom, но сама видеоконференция не была правильным образом настроена, из-за чего несколько мамкиных хакеров смогли подключиться к ней под видом журналистов и в разгар дискуссии включили "ass eating" порно (что бы это не значило).
Судья Кристофер Нэш был вынужден слушания приостановить и заявил, что в следующий раз ему потребуется пароль (а также сабля и парабеллум).
Хулигани (с) Красная Жара
Слушания проводились посредством Zoom, но сама видеоконференция не была правильным образом настроена, из-за чего несколько мамкиных хакеров смогли подключиться к ней под видом журналистов и в разгар дискуссии включили "ass eating" порно (что бы это не значило).
Судья Кристофер Нэш был вынужден слушания приостановить и заявил, что в следующий раз ему потребуется пароль (а также сабля и парабеллум).
Хулигани (с) Красная Жара
Telegram
SecAtor
Как все уже слышали, вчера правоохранительные органы США выдвинули обвинение трем хакерам, причастным к недавнему взлому Twitter. Злоумышленниками оказались:
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима…
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима…