В начале месяца мы рассказывали про то, что 3 ноября оператор ransomware RansomExx атаковал ресурсы Верховного суда Бразилии (STJ).

Тогда техподдержка отключила часть систем для предотвращения дальнейшего распространения вымогателя, другая часть была зашифрована вредоносом. В итоге большинство IT-систем Верховного суда, включая сайт, не работали. Техподдержка пообещала восстановить нормальную работу 9 ноября, в связи с этим с 3 по 9 ноября были приостановлены процессуальные сроки.

Оказалось, что не все так просто. Полностью функциональность сервисов STJ была восстановлена только 20 ноября. То есть две с половиной недели Верховный суд Бразилии не мог полноценно функционировать.

В восстановлении работы STJ участвовали более 100 специалистов Суда, а также привлеченных компаний, включая Microsoft.

А самое замечательное, как всегда, это незамутненные комментарии чиновников. Глава Верховного суда в ранге министра Энрике Мартинес заявил, что до этого момента его команда не сталкивалась ни с чем подобным. Но теперь то он точно поддерживает предложение повысить уровень информационной безопасности.

Вот такие люди рулят процессами. "Мы не были готовы к тому, что из-за хранящейся в коридорах солярки и неисправной проводки сгорит полздания. Но теперь мы поддерживаем повышение уровня пожарной безопасности". Сравните и найдите хотя бы одно отличие.

Не дай Бог, какой-нибудь Единый Регистр зашифруют. Тогда у нас не только процессуальные сроки встанут.

Помните как в фильме "Брат 2" друг Багрова угонял автомобиль Volvo перехватывая сигнал разблокировки с сигнализации? Что-то подобное исследователи провернули теперь с Tesla Model X.

Ресерчеры из группы COSIC Университета Левена (Бельгия), купив на eBay бывший в употреблении электронный блок управления (ЭБУ) Tesla Model X, распотрошили его и выяснили, что в процессе аутентификации ключа-брелока по протоколу Bluetooth Low Energy (BLE) существуют уязвимости. Благодаря этому исследователи смогли залить с помощью модифицированного ЭБУ вредоносную прошивку на брелок, после чего получить от него сообщение о разблокировке.

Таким образом, собрав нехитрую приблуду из модифицированных ЭБУ и брелока, Raspberry Pi с CAN-интерфейсом и аккумулятора, бельгийцы смогли угнать Tesla Model X. Весь процесс есть в коротком ролике, который содержится в отчете, он занимает всего две-три минуты. Единственное ограничение - злоумышленник для синхронизации брелока владельца с модифицированной ЭБУ должен подойти к нему на расстояние менее 5 метров, но это требуется в течение всего нескольких секунд.

COSIC говорят, что передали данные о найденных дырках в Tesla еще летом и те только что развернули на своих автомобилях обновление, устраняющее уязвимости. Обновляться никого не просим, понимаем, что вряд ли у наших подписчиков есть Tesla Model X.

Когда ты продаешь машины по 100 тыс. долларов за штуку, твое состояние составляет более 100 млрд. долларов, но не смог наладить процесс аудита ИБ своих набитых по крышу электроникой автомобилей.

Оказалось, что Билайну для успешной работы на рынке сотовой связи нужны не только "талантливые продуктовики и маркетологи", но и, собственно, сама сотовая сеть.

Как неожиданно (нет)!

❗️Вымпелком восстанавливает внутреннюю инженерию.

Мы неоднократно упоминали, что под руководством Василя Лацанича Билайн начал стремительно упускать core-бизнес. Оптимизация технических подразделений и урезание бюджета на стройку привели к жалобам и массовому оттоку абонентов. Последней каплей оказался презентованный в 2017 году договор об аутсорсе радиопланирования у Nokia и Huawei.

Сегодня Билайн заявил о том, что этот договор расторгнут, а в инженерный штат планируется вернуть до 1,6 тысяч специалистов.

Некогда первый в России мобильный оператор сейчас тащится в конце списка с 66 тысячами станций и со средней скоростью в 18 Mbps. Задача нового гендиректора Александра Торбахова – наверстать упущенное.

Качественная сеть строится на трех китах – клиентское качество, планирование и стройка. Двух «китов» переманили из МТС:

· директора департамента по качеству и клиентскому опыту Марию Елаеву;

· главу департамента сети радиодоступа Ольгу Рамину.

Работая в МТС Елаева и Рамина внедрили практику федеральных строек. Раньше проекты строительства сети развивались по каждому региону отдельно. Теперь же 80% сети компания строит централизованно, утверждая план пару раз в год. Региональные стройки стали точечным решением локальных проблем.

Опыт массового развертывания сетей – то, что сейчас может помочь Вымпелкому. За пару лет они способны догнать МТС и Теле2 по количеству БС. Недостижимой целью для Билайна (как и для всех остальных) остается качество Мегафона, который имеет самую широкую полосу в LTE. Чтобы компенсировать малые частоты, оставшейся тройке приходится строить больше БС.

Мы нашли интересный обзор от американской инфосек компании Dragos, которая специализируется на информационной безопасности промышленных объектов, в том числе промышленных систем управления (ICS). Этот обзор, как нетрудно догадаться, посвящен трендам развития киберугроз в области промышленной безопасности.

Мы эту тему любим, вы знаете. Как всегда кратко опишем наиболее заинтересовавшие нас моменты, полностью отчет прикреплен к посту.

Что же говорят нам Dragos. Во-первых, возрастающая степень цифровой конвергенции различных элементов промышленного производства приводит к тому, что количество киберугроз в этой области постоянно возрастает.

Во-вторых, Dragos в настоящее время отслеживает пять APT, активно нацеленных на ICS. Три из них - APT 34 aka OilRig, APT 33 aka Elfin и Parasite aka Fox Kitten - работают под контролем иранских спецслужб. Еще одна, Wassonite, считается группой, ассоциированной с северокорейской APT Lazarus (но это не точно). И наконец, пятая - это Temp.Veles, связанная с атакой Triton (мы про нее писали), за ней, как считают исследователи FireEye, стоит московский Центральный научно-исследовательский институт химии и механики.

Оставим на совести ресерчеров Dragos столь скудный список, в котором нет даже Unit 8200, ответственного за атаку Stuxnet (хотя упоминание самой атаки есть). Мы понимаем, что там свои политические моменты, на которые иногда призакрывает глаза, пожалуй, только Symantec.

Существенная часть отчета Dragos посвящена возрастающей угрозе ICS со стороны ransomware. Исследователи говорят, что несколько несколько штаммов вымогателей, в частности EKANS, Megacortex и Clop, содержат код, предназначенный для атак на ICS, в том числе для остановки производственных процессов.

При этом нацеленные на ICS ransomware не обязательно связаны с коммерческими группами. Как утверждают Dragos, в мае этого года тайваньские компании из отрасли нефтегаза и производства полупроводников были атакованы вымогателем, за которым стояла китайская APT Winnti. Кроме того, в 2019 году норвежская Norsk Hydro была атакована ransomware LockerGoga, за которым также может стоять прогосударственная хакерская группа.

Утверждение Dragos про активизацию ransomware на этом направлении перекликается с интервью Unknown из группы-владельца вымогателя REvil, который назвал промышленные компании одними из приоритетных целей.

Дальше Dragos рассуждают о таком явлении, как атака на IT-составляющие промышленных объектов с целью кражи интеллектуальной собственности, возможные атаки через цепочку поставок, необходимые меры предосторожности и т.д. И это уже неинтересно.

Кстати, отметим тот факт, что упомянутая в отчете группа Wassonite причастна к заражению в октябре 2019 года сети индийской АЭС Куданкулам. Мы обязательно рассмотрим этот кейс отдельным постом, разберем, что там случилось, и как Wassonite связаны с Lazarus.

​​Минутка доброты

Очередные новости из приближающейся эпохи кластерного Интернета (мы даже новое название придумали - Кластернет).

Индия, похоже, всерьез решила полностью избавиться от малейшего присутствия Китая в своем информационном пространстве. Ранее были заблокированы почти 180 мобильных приложений китайского производства, а также начато расследование в отношении 72 облачных серверов, большинство из которых принадлежат Alibaba. По итогам расследования, полагаем, доступ к ним также будет закрыт (или уже?).

Вчера же индийское правительство запретило использование еще 43 китайских мобильных приложений, среди которых AliExpress. Общее количество заблокированных приложений родом из Китая составляет ровно 220 штук.

И если вы думаете, что действия индийских властей это некая флуктуация, случайное отклонение от неформально принятых норм трансграничности Интернета, то вы ошибаетесь. Это новая норма, которая скоро будет применяться везде. Запомните этот твит пост.

​​19 ноября исследователь Bank Security сообщил, что актор с ником pumpedkicks выложил на одном из хакерских форумов список из более чем 49 тыс. непропатченных FortiGate VPN, которые подвержены уязвимости CVE-2018-13379.

Сама уязвимость была устранена еще в середине 2019 года, но, как обычно, множество организаций не обновило свои FortiGate VPN, среди них - госструктуры, банки, финансовые учреждения и т.д. Эксплуатация CVE-2018-13379 позволяет хакеру получить учетные данные пользователей.

И вот сегодня ночью Bank Security написал, что актор arendee2018 выложил в паблик угнанные со всех этих уязвимых VPN учетные данные в размере 6,7 Гб.

Да начнется вакханалия.

Group-IB выпустили хороший отчет Hi-Tech Crime Trends 2020 (запросить можно здесь).

Отдельные выводы, на которые мы обратили внимание.

- за год количество Ransomware-as-a-Service увеличилось вдвое - с 7 до 15;
- в рамках атак ransomware появились специализированные ботнеты, которые осуществляют распределенный перебор паролей RDP, SSH и VPN;
- для развития атак ransomware после первичной компрометации сети используются преимущественно Metasploit либо Cobalt Strike;
- самой атакуемой отраслью стало производство (о чем мы уже писали);
- появились штаммы ransomware, содержащие функционал, предназначенный для атак на промышленные системы управления, в том числе для остановки технологических процессов (об этом мы тоже писали буквально вчера);
- количество JS-снифферов (атаки MageCart), перехватывающих данные банковских карт при онлайн-покупке товара, за год увеличилось с 38 до 96;
- общий рынок кардинга вырос в два раза;
- за прошедший год наибольшую активность проявляли 19 банковских троянов, 12 из которых были разработаны русскоязычными авторами, а 6 - родом из Южной Америки;
- вместе с тем, все больше владельцев банковских ботнетов перепрофилируются на работу с ransomware;
- и т.д.

В общем, must-read для всех, интересующихся информационной безопасностью.

Из явных минусов отметим полное отсутствие проблематики ОКС-7 в разделе про угрозы для телекоммуникаций. Но, в принципе, это объяснимо, сигналка не находится в сфере компетенций ГрИБов, тут скорее к Позитивам надо обращаться.

Из явных плюсов - большое количество фактуры в отношении активности прогосударственных APT. Мы такое любим, поэтому gratz.

Австралийские спецслужбы жгут напалмом. Они "случайно" собрали данные работы приложения CovidSafe за шесть месяцев.

Мобильное приложение CovidSafe было выпущено Правительством Австралии в конце апреля этого года и предназначено для отслеживания контактов его пользователей с целью предупреждения о возможном близком контакте с инфицированном человеком. Менее чем за три недели CovidSafe был скачан более 5,7 млн. раз, что составляет около 23% населения Австралии.

16 ноября австралийский Генеральный инспектор по вопросам разведки и безопасности (IGIS), который надзирает за деятельностью шести спецслужб, выпустил доклад, в котором сообщил, что в течение полугода одна или несколько спецслужб случайно собирали данные CovidSafe в ходе законного сбора другой информации. Но это не беда, потому что правительственные агентства принимают меры к тому, чтобы все собранные данные были удалены как можно быстрее.

В течение следующих шести месяцев офис IGIS будет следить за тем, как старательно спецслужбы будут удалять собранные сведения CovidSafe.

У нас только один вопрос - как можно "случайно" собрать данные работы мобильного приложения? Они там в Австралии вообще весь трафик пылесосят что ли?

За ссылку спасибо подписчику.

Астрологи объявили неделю CyberCrimeCon. Количество новостей про Group-IB увеличилось вдвое.

ГрИБы опубликовали отчет про операцию Falcon по поимке нигерийских киберпреступников, которую они провели совместно с Интерполом и полицией Нигерии.

В Лагосе были арестованы трое членов хакерской группы, получившей название TMT, специализировавшейся на фишинговых кампаниях против корпоративной электронной почты с целью кражи учетных данных. В качеств приманки использовались различные служебные документы, а также письма на тему COVID-19. Далее использовались общедоступные трояны удаленного доступа (RAT) - AgentTesla, Loky и пр.

Group-IB говорят, что отслеживали деятельность группы TMT с 2019 года и предполагают, что хакеры могли взломать электронную почту около 500 тыс. (!) государственных и частных организаций по всему миру, включая Нигерию. Способ монетизации украденных учетных данных до конца не ясен, но, скорее всего, это их продажа в даркнете.

По данным ГрИБов, в составе TMT действовало несколько групп, и ряд преступников остается на свободе.

Вот такие плодовитые нигерийские хакеры. А Веста опять молодец.

​​В конце октября оператор ransomware Ryuk успешно атаковал французского IT-гиганта Sopra Steria, в результате чего сеть компании упала.

Французы восстанавливали свои ресурсы почти месяц и вчера заявили, что атака Ryuk в итоге приведет к убыткам в размере от 40 до 50 млн. евро.

Также Sopra Steria сообщили, что на текущем этапе утечки информации не выявлены. Но это стандартная мантра и поскольку Ryuk таки ворует данные, то возможны два варианта. Либо выкуп не платился и в ближайшее время в сети могут появиться конфиденциальные документы французской компании. Либо, что мы считаем более вероятным, Sopra Steria заплатила выкуп и его сумма включена в планируемый убыток.

Ну ничего, зато на информационной безопасности сэкономили.

Самые интересные атаки это те, в которых атакующий сам не понимает как у него эта хрень получилась. Именно такую атаку в прошлом году обнаружили исследователи из Мичиганского университета и Токийского университета электросвязи.

Они выяснили, что направленный лазерный луч микрофоны MEMS, которые активно используются домашними голосовыми помощниками типа Amazon Alexa, Apple Siri, Google Assistant или Яндекс.Станция, почему-то принимают как звук. Благодаря этому ресерчеры, меняя интенсивность лазерного луча, смогли с расстояния до 110 метров направлять голосовому помощнику неслышные команды и, таким образом, перехватывать его управление. Причем стекло для этого не помеха.

Не очень понятно, что именно сподвигло исследователей СВЕТИТЬ лазером в МИКРОФОН, но факт остается фактом.

Тем не менее причину, из-за которой это происходит, за прошедший год они так и не выяснили. В настоящее время ресерчеры пытаются изучить на физическом уровне, почему микрофоны реагируют на свет как на звук. Заодно они оттачивают механизм атаки, опробуя его на новых версиях голосовых помощников.

Обо всех подробностях исследователи обещают рассказать в рамках доклада на Black Hat Europe 2020, который стартует буквально через две недели.

А может это известный физический эффект? Если кто знает - напишите нам, мы же не специалисты, очень любопытно.

—Партнерский пост—

Отвлечемся на минутку от спецслужб, кибершпионажа, Кластернета и прочих вымогателей, и вернемся к комьюнити.

Хороших профильных ТГ-каналов в мире инфосек не так много, как хотелось бы, поэтому мы не можем не рассказать об одном из них. Встречайте - Киберпиздец. Как нетрудно догадаться, канал посвящен ситуации в отрасли информационной безопасности.

Несмотря на провокационное название, канал вполне себе серьезный, а автор болеет инфосеком и публикует много полезного, например, материалы для обучения, технические статьи, ссылки на инструменты, которые упрощают жизнь специалистов ИБ и многое другое.

Ну и еще автор периодически устраивает опросы про переименование. Мы считаем, что не стоит, а вы можете высказать свое мнение если подпишитесь на канал.

И да настанет Киберпиздец (уже)!

​​А-а-а-а-а, мы нашли универсальную отмазку!

​​Аргентинцам не везет. В конце августа оператор ransomware NetWalker успешно атаковал аргентинское Агентство иммиграции Direccion Nacional de Migraciones. Да так, что на четыре часа были закрыты пункты пропуска на аргентинской границе.

Теперь же REvil вывалили в сеть скриншот содержимого 50 Гб данных, украденных с официального портала Аргентины argentina .gob .ar.

Самая популярная шутка в обсуждении в Twitter, что папку "Борьба с коррупцией" не надо было выкладывать, она же пустая. Что же, это справедливо не только для Аргентины.

Финны из F-Secure поднимают кипиш по поводу выявленной атаки по угону аккаунтов WhatsApp через фишинг с подтверждением их конвертации в WhatsApp Business.

Мы немного разобрались и поняли, что эта атака ничем не отличается от стандартного угона через подтверждение подключения нового устройства. Только вместо обычного WhatsApp - WhatsApp Business. Разница, пожалуй, только в том, что в стандартном случае кроме SMS с кодом придет еще и push-сообщение о попытке переподключения.

Поэтому, на всякий случай, напоминаем про правила безопасного пользования мессенджерами:
1. Никому никакие коды в моменте не пересылаем. Даже жене и детям, их аккаунты могут быть уже скомпрометированы. Особенно жены (да простят нас девушки из инфосек, это не про них).
2. Всегда используем двухфакторную аутентификацию.

На связи Бразилия. Сотрудник больницы им. Альберта Эйнштейна из города Сан-Паулу загрузил на GitHub таблицу с учетными данными и ключами доступа к нескольким государственным информационным системам.

Среди них оказались системы E-SUS-VE и Sivep-Gripe, в которых содержится информация о всех бразильских пациентах, переболевших COVID-19. В них присутствуют такие данные, как имена, адреса, ID, а также сведения медицинского характера. Среди тех, чьи данные попали в утечку - Президент Бразилии Жаир Болсонару и его семья, семь министров и 17 губернаторов.

Таблицу нашел один из пользователей, который сообщил об этом в бразильскую газету Estadao. А журналисты, в свою очередь, уведомили больницу и бразильский Минздрав. В итоге таблица была удалена, а учетные данные и ключи изменены.

Думали как подытожить, но даже не нашли формулировки правильной. Обезьянам дали в руки микроскоп.

Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.

Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.

Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.

Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.

В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.

Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.

#APT #DarkCaracal

По всей видимости, эксперимент с Rutube признан неудачным )

Роскомнадзор призвал IT-компании к созданию видеохостинга для отечественных СМИ

Из-за цензуры на YouTube Роскомнадзор обратился к крупным IT-компаниям России с просьбой помочь создать видеохостинг для отечественных СМИ.

Это связано с тем, что YouTube запретил создание каналов отечественным СМИ "ANNA NEWS".

Роскомнадзор уже потребовал у Google снять цензуру, однако также он обратился к крупным IT-компаниям, чтобы политика Ютуба не мешала им в будущем.

В своём обращении Роскомнадзор попросил IT-компании «помочь нашим СМИ в создании и популяризации собственных видеохостингов».