Forwarded from Эксплойт | Live
Популярность Signal выросла на 4200% после изменения политики WhatsApp
С 6 по 10 января мессенджер Signal скачали почти 7,5 млн раз. Это на 4200% больше, чем на предыдущей неделе.
Причиной этому стало изменение политики конфиденциальности WhatsApp.
Самым крупным источником загрузок для Signal стала индия — в этой стране приложение скачали более 2,3 млн раз.
На втором месте для роста Signal стали США, от части благодаря твиту Илону Маска.
К слову, Telegram тоже начинает набирать популярность в этих странах.
С 6 по 10 января мессенджер Signal скачали почти 7,5 млн раз. Это на 4200% больше, чем на предыдущей неделе.
Причиной этому стало изменение политики конфиденциальности WhatsApp.
Самым крупным источником загрузок для Signal стала индия — в этой стране приложение скачали более 2,3 млн раз.
На втором месте для роста Signal стали США, от части благодаря твиту Илону Маска.
К слову, Telegram тоже начинает набирать популярность в этих странах.
А тут очередная дикая уязвимость в Windows 10 нарисовалась.
Мы, честно говоря, ее пропустили, поскольку информация появилась еще на новогодних каникулах, но BleepingComputer напомнили.
Исследователь Джонас Л., который уже не в первый раз портит настроение Microsoft сообщил, что обнаружил уязвимость в драйвере NTFS, благодаря которой всего одной строкой можно повредить жесткий диск и отправить машину в ребут.
Джонас Л. говорит, что ошибка появилась еще в апреле 2018 года и до сих пор не исправлена. Для ее эксплуатации не требуется повышения локальных привилегий. Не до конца понятно, всегда ли поврежденный жесткий диск будет восстановлен. Судя по всему, в некоторых случаях возможно повреждение MFT (NTFS Master File Table).
Уязвимость заключается в некорректной обработке одного из атрибутов NTFS, попытка доступа к которому мгновенно повреждает винчестер (PoC приведен в статье BleepingComputer, мы не стали его давать, если хотите попробовать на свой страх и риск - ищите там).
Самое интересное, что вредоносная команда может быть спрятана в ярлык Windows, который даже нет необходимости открывать. Ошибка срабатывает при простом открытии папки, содержащей этот ярлык.
Способов эксплуатации множество, в том числе удаленные. К примеру, можно спрятать ярлык среди других файлов в ZIP-архив, который пройдет все антивирусные проверки и будет повреждать жесткий диск при каждой распаковке.
Ждем апдейта от Microsoft.
Мы, честно говоря, ее пропустили, поскольку информация появилась еще на новогодних каникулах, но BleepingComputer напомнили.
Исследователь Джонас Л., который уже не в первый раз портит настроение Microsoft сообщил, что обнаружил уязвимость в драйвере NTFS, благодаря которой всего одной строкой можно повредить жесткий диск и отправить машину в ребут.
Джонас Л. говорит, что ошибка появилась еще в апреле 2018 года и до сих пор не исправлена. Для ее эксплуатации не требуется повышения локальных привилегий. Не до конца понятно, всегда ли поврежденный жесткий диск будет восстановлен. Судя по всему, в некоторых случаях возможно повреждение MFT (NTFS Master File Table).
Уязвимость заключается в некорректной обработке одного из атрибутов NTFS, попытка доступа к которому мгновенно повреждает винчестер (PoC приведен в статье BleepingComputer, мы не стали его давать, если хотите попробовать на свой страх и риск - ищите там).
Самое интересное, что вредоносная команда может быть спрятана в ярлык Windows, который даже нет необходимости открывать. Ошибка срабатывает при простом открытии папки, содержащей этот ярлык.
Способов эксплуатации множество, в том числе удаленные. К примеру, можно спрятать ярлык среди других файлов в ZIP-архив, который пройдет все антивирусные проверки и будет повреждать жесткий диск при каждой распаковке.
Ждем апдейта от Microsoft.
BleepingComputer
Windows 10 bug corrupts your hard drive on seeing this file's icon
An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.
Журналисты ZDNet выпустили очередной список лучших сервисов VPN.
Всего рассмотрено 13 VPN-сервисов, в числе кратких характеристик имеются "Наличие функции Kill Switch" (а кто-то пользуется VPN без нее?) и "Логирование".
Как обычно не хватает рассмотрения возможности оплаты сервиса с помощью криптовалют, в наше время это весьма важно.
В общем, учитывайте при планировании мер по поддержке своей конфиденциальности.
Всего рассмотрено 13 VPN-сервисов, в числе кратких характеристик имеются "Наличие функции Kill Switch" (а кто-то пользуется VPN без нее?) и "Логирование".
Как обычно не хватает рассмотрения возможности оплаты сервиса с помощью криптовалют, в наше время это весьма важно.
В общем, учитывайте при планировании мер по поддержке своей конфиденциальности.
ZDNET
The best VPN services of 2023: Expert tested and reviewed
ExpressVPN is our choice for best VPN service, it's also one of the best VPNs for iPhone, Android, PC, and mac.
Между тем кто-то запилил сайт solarleak .net, который с точностью копирует появившийся вчера сайт solarleaks .net. За исключением другого Monero ID.
Напомним, что на solarleaks .net якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. По мнению некоторых инфосек экспертов вполне возможно, что этот сайт принадлежит настоящим взломщикам SolarWinds.
Вор у вора дубинку украл!
Напомним, что на solarleaks .net якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. По мнению некоторых инфосек экспертов вполне возможно, что этот сайт принадлежит настоящим взломщикам SolarWinds.
Вор у вора дубинку украл!
Twitter
Costin Raiu
Hah, looks like somebody setup a fake (scam) site at hxxp://solarleak[.]net/ - it has the same message as the original one, but a different Monero ID. Also, original site's DNSes at Njalla, new one at Qhoster #nohonoramongthieves
Прелестная история от Infosecurity Magazine.
В 2016 году американский суд приговорил косовского хакера Ардита Феризи, известного как Th3Dir3ctorY, к 20 годам тюремного заключения за то, что последний взломал некое американское правительственное учреждение и передал ИГИЛовцам персональные данные более чем 1000 сотрудников. Если подумать - преступление более чем серьезное.
Но поскольку по политическим соображениям косовские хакеры менее токсичны чем, например, русские или иранские, то в декабре 2020 года Феризи сказал американскому судье Леони Бринкему "Мамой клянусь, жирный был и астмой страдал! Отпустите меня, дяденька, домой!", а последний ему поверил и скромно сократил срок тюремного заключения с 20 лет до 4. Правда, обязал отмечаться у косовских участковых целых десять лет по прибытию.
Довольный Феризи уже ожидал депортации в родные перди, когда ФБР сообщило, что в период пребывании в федеральной тюрьме в штате Индиана в 2017-2018 гг. албанец не только от страдал ожирения и астмы, но и продолжил мошеннические действия с личными данными с помощью своего родственника из Косово. Возможно, решил перенять передовой российский опыт и открыть филиал Службы Безопасности Bank of America и JPMorgan Chase прямо по месту отбывания наказания.
Теперь ему грозит новые 22 года заключения и штраф в 250 тыс. долларов. Но, судя по либеральности американской фемиды, может отделаться 15 сутками и тремя "Извините!".
В 2016 году американский суд приговорил косовского хакера Ардита Феризи, известного как Th3Dir3ctorY, к 20 годам тюремного заключения за то, что последний взломал некое американское правительственное учреждение и передал ИГИЛовцам персональные данные более чем 1000 сотрудников. Если подумать - преступление более чем серьезное.
Но поскольку по политическим соображениям косовские хакеры менее токсичны чем, например, русские или иранские, то в декабре 2020 года Феризи сказал американскому судье Леони Бринкему "Мамой клянусь, жирный был и астмой страдал! Отпустите меня, дяденька, домой!", а последний ему поверил и скромно сократил срок тюремного заключения с 20 лет до 4. Правда, обязал отмечаться у косовских участковых целых десять лет по прибытию.
Довольный Феризи уже ожидал депортации в родные перди, когда ФБР сообщило, что в период пребывании в федеральной тюрьме в штате Индиана в 2017-2018 гг. албанец не только от страдал ожирения и астмы, но и продолжил мошеннические действия с личными данными с помощью своего родственника из Косово. Возможно, решил перенять передовой российский опыт и открыть филиал Службы Безопасности Bank of America и JPMorgan Chase прямо по месту отбывания наказания.
Теперь ему грозит новые 22 года заключения и штраф в 250 тыс. долларов. Но, судя по либеральности американской фемиды, может отделаться 15 сутками и тремя "Извините!".
Исследователи словацкого инфосек вендора ESET выпустили отчет о выявленной в 2020 году кибероперации Spalax, направленной исключительно на колумбийские правительственные и коммерческие организации.
Первичным вектором атаки является фишинговая компания, в к ходе которой пользователь должен вручную перейти по ссылке, скачать архив с вредоносом, распаковать и запустить его. Естественно, вредонос замаскирован под легальное приложение.
В результате пользователь собственноручно устанавливает себе на машину дроппер, который затем подтаскивает один из RAT (троян удаленного доступа) - Remcos, njRAT и AsyncRAT.
В качестве приманок выступают, как правило, какие-либо уведомления - о нарушении ПДД, о явке на судебное заседание и пр.
Используемая в ходе кибероперации Spalax инфраструктура весьма обширна. Одних только IP-адресов, которые являются или управляющими центрами или взломанными сайтами, использующимися как прокси, словенцы насчитали 24 штуки. Предполагается, что ранее хакеры использовали еще минимум 40 IP-адресов. Почти все они находятся в Колумбии, а поэтому вероятнее всего это все-таки прокси.
Используемые в ходе Spalax трояны можно найти в паблике и атрибуции они не помогают. А вот один из дропперов является авторским и приписывается инфосек компанией Lab52 хакерской группе APT-C-36, она же Blind Eagle. Эта APT отслеживается китайским инфосек вендором Qihoo 360 c 2018 года и атрибутируется как прогосударственная, цели - колумбийские организации.
Исследователи ESET отметили наряду с невысокой технической подготовкой хакеров прекрасное знание испанского языка, а так же то, что наряду с кибершпионажем Spalax, похоже, преследует и коммерческие цели.
И у нас есть более чем обоснованное предположение, кто бы мог стоять за Blind Eagle. Рядом с Колумбией расположилась бедная, но гордая испаноязычная страна Венесуэла, которая находится в остром геополитическом конфликте с колумбийцами. Вплоть до того, что родина наркобаронов забрасывает на территорию Венесуэлы диверсионные группы, при поддержке США, разумеется.
А еще у последователей Уго Чавеса в последние годы непрекращающийся экономический кризис, обоснованный, в первую очередь, эмбарго со стороны США и его сателлитов. Поэтому гордые венесуэльцы вполне могут по примеру товарищей из КНДР наряду с кражей информации промышлять и пополнением своего госбюджета за счет наркоманских капиталистов из Колумбии.
При всем при этом им хватает умений в OpSec, чтобы не оставлять следов, с помощью которых можно однозначно атрибутировать принадлежность APT.
P.S. Орейро - клевая!
Первичным вектором атаки является фишинговая компания, в к ходе которой пользователь должен вручную перейти по ссылке, скачать архив с вредоносом, распаковать и запустить его. Естественно, вредонос замаскирован под легальное приложение.
В результате пользователь собственноручно устанавливает себе на машину дроппер, который затем подтаскивает один из RAT (троян удаленного доступа) - Remcos, njRAT и AsyncRAT.
В качестве приманок выступают, как правило, какие-либо уведомления - о нарушении ПДД, о явке на судебное заседание и пр.
Используемая в ходе кибероперации Spalax инфраструктура весьма обширна. Одних только IP-адресов, которые являются или управляющими центрами или взломанными сайтами, использующимися как прокси, словенцы насчитали 24 штуки. Предполагается, что ранее хакеры использовали еще минимум 40 IP-адресов. Почти все они находятся в Колумбии, а поэтому вероятнее всего это все-таки прокси.
Используемые в ходе Spalax трояны можно найти в паблике и атрибуции они не помогают. А вот один из дропперов является авторским и приписывается инфосек компанией Lab52 хакерской группе APT-C-36, она же Blind Eagle. Эта APT отслеживается китайским инфосек вендором Qihoo 360 c 2018 года и атрибутируется как прогосударственная, цели - колумбийские организации.
Исследователи ESET отметили наряду с невысокой технической подготовкой хакеров прекрасное знание испанского языка, а так же то, что наряду с кибершпионажем Spalax, похоже, преследует и коммерческие цели.
И у нас есть более чем обоснованное предположение, кто бы мог стоять за Blind Eagle. Рядом с Колумбией расположилась бедная, но гордая испаноязычная страна Венесуэла, которая находится в остром геополитическом конфликте с колумбийцами. Вплоть до того, что родина наркобаронов забрасывает на территорию Венесуэлы диверсионные группы, при поддержке США, разумеется.
А еще у последователей Уго Чавеса в последние годы непрекращающийся экономический кризис, обоснованный, в первую очередь, эмбарго со стороны США и его сателлитов. Поэтому гордые венесуэльцы вполне могут по примеру товарищей из КНДР наряду с кражей информации промышлять и пополнением своего госбюджета за счет наркоманских капиталистов из Колумбии.
При всем при этом им хватает умений в OpSec, чтобы не оставлять следов, с помощью которых можно однозначно атрибутировать принадлежность APT.
P.S. Орейро - клевая!
WeLiveSecurity
Operation Spalax: Targeted malware attacks in Colombia
ESET researchers uncover attacks targeting Colombian government institutions and private companies, especially in the energy and metallurgical industries.
Перуанский исследователь CryptoInsane разметил сегодня в Twitter два сообщения, в которых сообщил об утечках данных.
Первое - об утечке информации о вакцине от COVID-19 производства компании Pfizer. Ссылки на конкретный ресурс он не дал, однако в комментариях упоминается сайт утечек ransomware Conti.
Во втором - скрин, на котором якобы изображены архивы redteam инструментария инфосек компании FireEye, похищенные в декабре во время атаки Sunburst. Возможный источник - сайт solarleaks. net, но точной информации нет.
Будем наблюдать.
Первое - об утечке информации о вакцине от COVID-19 производства компании Pfizer. Ссылки на конкретный ресурс он не дал, однако в комментариях упоминается сайт утечек ransomware Conti.
Во втором - скрин, на котором якобы изображены архивы redteam инструментария инфосек компании FireEye, похищенные в декабре во время атаки Sunburst. Возможный источник - сайт solarleaks. net, но точной информации нет.
Будем наблюдать.
Twitter
Hackers leak stolen Pfizer COVID-19 vaccine data online 🧬🔬💉
Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
Да-да, бывали мы свидетелями таких пентестов...
Twitter
Ron Fabela
@jfslowik We've all been there... https://t.co/1jOFZ4tetC
На выходных стал собираться пазл, про куски которого мы писали на прошлой неделе и стало сразу все понятно.
Первый пост - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и заявила о полной поддержке уголовное преследования причастных к этому лиц.
Второй пост - хакеры слили украденные данные в отношении вакцины Pfizer в паблик.
И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.
Вот такая борьба с COVID-19. Кто в этой истории хороший, а кто плохой - каждый решает для себя сам.
Первый пост - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и заявила о полной поддержке уголовное преследования причастных к этому лиц.
Второй пост - хакеры слили украденные данные в отношении вакцины Pfizer в паблик.
И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.
Вот такая борьба с COVID-19. Кто в этой истории хороший, а кто плохой - каждый решает для себя сам.
Le Monde.fr
Ce que disent les documents sur les vaccins anti-Covid-19 volés à l’Agence européenne des médicaments
Ces données dérobées, puis diffusées sur le Dark Web, montrent la pression à laquelle faisait face l’agence pour approuver au plus vite le vaccin Pfizer-BioNTech.
Минутка конфиденциальности на канале.
BleepingComputer сообщает, что приватная поисковая платформа DuckDuckGo в январе 2021 года впервые достигла показателя 102 млн. запросов в день.
Представители DuckDuckGo заявляют, что их основной приоритет - это конфиденциальность пользователей. Платформа не собирает IP-адреса и cookies, не составляет профилей пользователей и не передает каки-либо данные сторонним компаниям, включая рекламщиков.
Правда, для нас не все так очевидно. Потому что мы, как люди сугубо практичные, первым делом задаемся вопросом "За чей счет банкет?". Википедия говорит, что DuckDuckGo первоначально финансировался за счет средств его основателя Гэбриеля Вайнберга, а с начала 2010-х он существует "за счет небольшой рекламы". Однако первоисточника этой информации уже не существует, а какой-либо рекламы на платформе мы не увидели.
Вместе с тем, в 2011 году в платформу в качестве инвестора вложился американский венчурный фонд United Square Ventures, вполне себе крупный финансовый институт, инвестировавший, к примеру, несколько миллиардов долларов в Twitter. Просто так эти ребята вкладываться не будут, им нужна монетизация платформы (если только они не служат прикрытием для финансирования товарищами, лица которых светить не надо).
Мы, конечно, не сильны в экономике поисковых платформ. Возможно DuckDuckGo отбивает средства за счет модерации поисковой выдачи (по крайней мере, на запрос malware первой строчкой нам выдало Malwarebytes), возможно рассчитывают поиграть в надувание капитализации. Возможно, что DuckDuckGo - это side-проект Yahoo, уши которой торчат в этой истории из многих мест.
В то же время на рынке мобильного поиска США, Великобритании и Австралии платформа уже занимает второе место, пусть и занимая скромные 2,25% по сравнению с 94% Google.
Так что рекомендуем иметь DuckDuckGo в виду, но не доверять на 100 процентов. Ну, а если кто-то из подписчиков может прояснить картину, то пишите нам на почту, мы с удовольствием ознакомим общественность.
BleepingComputer сообщает, что приватная поисковая платформа DuckDuckGo в январе 2021 года впервые достигла показателя 102 млн. запросов в день.
Представители DuckDuckGo заявляют, что их основной приоритет - это конфиденциальность пользователей. Платформа не собирает IP-адреса и cookies, не составляет профилей пользователей и не передает каки-либо данные сторонним компаниям, включая рекламщиков.
Правда, для нас не все так очевидно. Потому что мы, как люди сугубо практичные, первым делом задаемся вопросом "За чей счет банкет?". Википедия говорит, что DuckDuckGo первоначально финансировался за счет средств его основателя Гэбриеля Вайнберга, а с начала 2010-х он существует "за счет небольшой рекламы". Однако первоисточника этой информации уже не существует, а какой-либо рекламы на платформе мы не увидели.
Вместе с тем, в 2011 году в платформу в качестве инвестора вложился американский венчурный фонд United Square Ventures, вполне себе крупный финансовый институт, инвестировавший, к примеру, несколько миллиардов долларов в Twitter. Просто так эти ребята вкладываться не будут, им нужна монетизация платформы (если только они не служат прикрытием для финансирования товарищами, лица которых светить не надо).
Мы, конечно, не сильны в экономике поисковых платформ. Возможно DuckDuckGo отбивает средства за счет модерации поисковой выдачи (по крайней мере, на запрос malware первой строчкой нам выдало Malwarebytes), возможно рассчитывают поиграть в надувание капитализации. Возможно, что DuckDuckGo - это side-проект Yahoo, уши которой торчат в этой истории из многих мест.
В то же время на рынке мобильного поиска США, Великобритании и Австралии платформа уже занимает второе место, пусть и занимая скромные 2,25% по сравнению с 94% Google.
Так что рекомендуем иметь DuckDuckGo в виду, но не доверять на 100 процентов. Ну, а если кто-то из подписчиков может прояснить картину, то пишите нам на почту, мы с удовольствием ознакомим общественность.
BleepingComputer
Privacy-focused search engine DuckDuckGo grew by 62% in 2020
The privacy-focused search engine DuckDuckGo continues to grow rapidly as the company reached 102M daily search queries for the first time in January.
Forwarded from Антивирусное ДНО
Как бы выглядели российские ИБ эксперты в диснеевском мультфильме
Происходит что-то очень нехорошее. Мы с утра не можем понять - мы в 2021 году или уже в 1984?
Интересных новостей из инфосек отрасли практически нет. Twitter, который для многих инфосек экспертов служит ключевым информационным ресурсом, превратился в рупор тоталитарной демократической пропаганды.
Американские ИБ специалисты вместо того, чтобы обсуждать уязвимости и атаки, увлеченно репостят твиты про розыск очередного "бунтовщика" и призывы "FIRE HIS ASS" по отношению к полицейскому, надевшему "неправильный" значок. Еще и восторженно все это комментят.
А американская общественная организация Coalition for a Safer Web требует удалить Telegram из AppStore, фактически, по причине отсутствия в мессенджере цензуры.
Жесть.
Интересных новостей из инфосек отрасли практически нет. Twitter, который для многих инфосек экспертов служит ключевым информационным ресурсом, превратился в рупор тоталитарной демократической пропаганды.
Американские ИБ специалисты вместо того, чтобы обсуждать уязвимости и атаки, увлеченно репостят твиты про розыск очередного "бунтовщика" и призывы "FIRE HIS ASS" по отношению к полицейскому, надевшему "неправильный" значок. Еще и восторженно все это комментят.
А американская общественная организация Coalition for a Safer Web требует удалить Telegram из AppStore, фактически, по причине отсутствия в мессенджере цензуры.
Жесть.
Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium.
В части применяемых APT 31 в ходе потенциальных атак TTPs немецкие контрразведчики весьма неконкретны, они перечислили, пожалуй, большинство методов компрометации - и целевой фишинг, и брутфорс, и XSS и пр. и пр. В то же время в качестве IOCs немецкие контрразведчики приводят порядка 60 IP-адресов, которые принадлежат управляющим центрам вредоносной инфраструктуры APT 31 или взломанным хостам, использующимся хакерами в качестве прокси.
О деятельности APT 31 известно немного. Считается, что группа работает под патронажем МГБ Китая и возможно связана с APT 10 aka Stone Panda. Основной специализацией APT 31 до недавнего времени считались атаки на цепочку поставок, в том числе для военных ведомств и производителей оборонной продукции. Теперь же BfV заявляет, что с весны 2020 года хакеры нацелились на европейские государственные и политические организации, в том числе немецкие.
UPD. Совсем забыли, в начале июня 2020 года APT 31 обвиняли в атаках на активистов избирательного штаба Байдена.
В части применяемых APT 31 в ходе потенциальных атак TTPs немецкие контрразведчики весьма неконкретны, они перечислили, пожалуй, большинство методов компрометации - и целевой фишинг, и брутфорс, и XSS и пр. и пр. В то же время в качестве IOCs немецкие контрразведчики приводят порядка 60 IP-адресов, которые принадлежат управляющим центрам вредоносной инфраструктуры APT 31 или взломанным хостам, использующимся хакерами в качестве прокси.
О деятельности APT 31 известно немного. Считается, что группа работает под патронажем МГБ Китая и возможно связана с APT 10 aka Stone Panda. Основной специализацией APT 31 до недавнего времени считались атаки на цепочку поставок, в том числе для военных ведомств и производителей оборонной продукции. Теперь же BfV заявляет, что с весны 2020 года хакеры нацелились на европейские государственные и политические организации, в том числе немецкие.
UPD. Совсем забыли, в начале июня 2020 года APT 31 обвиняли в атаках на активистов избирательного штаба Байдена.
Согласно информации Infosecurity Magazine, новым руководителем Управления кибербезопасности АНБ США назначен Роб Джойс (журналисты перепутали и назвали его Роем), который в настоящее время занимает пост специального офицера связи АНБ в посольстве США в Лондоне.
На первый взгляд, странное назначение - с поста офицера связи в посольстве на должность начальника одного из ключевых управлений. Правда, это если не знать какие посты Джойс занимал ранее.
А ранее Джойс был старшим советником по стратегии кибербезопасности при Директоре АНБ. А еще раньше, в 2018 году, он был специальным помощником Президента США и координатором по кибербезопасности при американском Совете национальной безопасности (NSC).
А еще раньше, в период с 2013 по 2017 годы, он возглавлял в АНБ Tailored Access Operations (TAO), которое ныне называется Управлением по компьютерным сетевым операциям и одним из подразделений которого является хакерская группа Equation. Именно про TAO слил информацию Сноуден, а в последующем еще и хакеры из Shadow Brockers.
С учетом изложенного есть мнение, что и в американском посольстве в Лондоне Джойс в качестве офицера связи курировал взаимодействие АНБ с британскими спецслужбами в части совместных киберопераций.
Короче, Роб Джойс - АНБшник матерый и с богатым бэкграундом. Да к тому же имеющий большой опыт руководства наступательными кибероперациями.
Полагаем, что следствий из такого назначения может быть два. Первое - обострение обвинительного дискурса в отношении русских, китайских, иранских и северокорейских хакеров. Второе - полноценное введение в действие концепции активной кибербезопасности, когда в целях "предотвращения возможной кибератаки" считается нормальным атаковать первым самому. При этом была ли реальна эта угроза - дело десятое.
Надеемся, что ошибёмся, но в последнее время что-то наши мрачные прогнозы стали сбываться.
На первый взгляд, странное назначение - с поста офицера связи в посольстве на должность начальника одного из ключевых управлений. Правда, это если не знать какие посты Джойс занимал ранее.
А ранее Джойс был старшим советником по стратегии кибербезопасности при Директоре АНБ. А еще раньше, в 2018 году, он был специальным помощником Президента США и координатором по кибербезопасности при американском Совете национальной безопасности (NSC).
А еще раньше, в период с 2013 по 2017 годы, он возглавлял в АНБ Tailored Access Operations (TAO), которое ныне называется Управлением по компьютерным сетевым операциям и одним из подразделений которого является хакерская группа Equation. Именно про TAO слил информацию Сноуден, а в последующем еще и хакеры из Shadow Brockers.
С учетом изложенного есть мнение, что и в американском посольстве в Лондоне Джойс в качестве офицера связи курировал взаимодействие АНБ с британскими спецслужбами в части совместных киберопераций.
Короче, Роб Джойс - АНБшник матерый и с богатым бэкграундом. Да к тому же имеющий большой опыт руководства наступательными кибероперациями.
Полагаем, что следствий из такого назначения может быть два. Первое - обострение обвинительного дискурса в отношении русских, китайских, иранских и северокорейских хакеров. Второе - полноценное введение в действие концепции активной кибербезопасности, когда в целях "предотвращения возможной кибератаки" считается нормальным атаковать первым самому. При этом была ли реальна эта угроза - дело десятое.
Надеемся, что ошибёмся, но в последнее время что-то наши мрачные прогнозы стали сбываться.
Infosecurity Magazine
NSA Appoints Cyber Director
America’s National Security Agency confirms Rob Joyce as Cybersecurity Directorate leader
В прошедшие выходные хакеры сломали форум компании IObit, являющейся разработчиком популярного пакета утилит для домашних ПК, например Advanced SystemCare, с целью распространения ransomware DeroHE.
Пользователи форума стали получать электронные письма с информацией о полагающейся им бесплатной годовой лицензии и ссылкой на страницу форума forums .iobit .com, который была заранее скомпрометирован. На этой странице был архив, содержавший, само собой, вредонос.
При запуске содержащегося в нем IObit License Manager вываливалось предупреждение о недопустимости выключения компьютера в процессе установки лицензии (lol) и начиналось шифрование файлов. В записке с требованием выкупа содержалась информация о необходимости заплатить 200 монет криптовалюты DERO, что эквивалентно приблизительно 100 долларам. Кроме того, хакеры написали, что если IObit заплатит им 100 тыс. DERO, то они направят дешифратор всем жертвам.
По данным BleepingComputer, похоже, что злоумышленники скомпрометировали учетную запись админа форума. И хотя страница, на которой был размещен вредоносный архив в настоящее время удалена, сам форум вероятно до сих пор небезопасен.
Пользователи форума стали получать электронные письма с информацией о полагающейся им бесплатной годовой лицензии и ссылкой на страницу форума forums .iobit .com, который была заранее скомпрометирован. На этой странице был архив, содержавший, само собой, вредонос.
При запуске содержащегося в нем IObit License Manager вываливалось предупреждение о недопустимости выключения компьютера в процессе установки лицензии (lol) и начиналось шифрование файлов. В записке с требованием выкупа содержалась информация о необходимости заплатить 200 монет криптовалюты DERO, что эквивалентно приблизительно 100 долларам. Кроме того, хакеры написали, что если IObit заплатит им 100 тыс. DERO, то они направят дешифратор всем жертвам.
По данным BleepingComputer, похоже, что злоумышленники скомпрометировали учетную запись админа форума. И хотя страница, на которой был размещен вредоносный архив в настоящее время удалена, сам форум вероятно до сих пор небезопасен.
Исследователь Jake Williams aka MalwareJake задал в Twitter следующий вопрос - "Ваш CEO просит Вас обезопасить компанию от потенциальных атак а-ля SolarWinds. Какие конкретные меры вы предпримете чтобы защитить себя от атак со стороны цепочки поставок?".
И этот, казалось бы, несложный вопрос вызвал бурную дискуссию. И оказалось, что понятных и универсальных мер, которые с большой вероятностью смогли бы решить ту задачу просто нет.
Кто-то предлагал отказываться от стороннего ПО и разрабатывать аналогичное in-house, если это возможно, кто-то максимально порезать этому ПО привилегии, кто-то посчитать и принять риски. Были даже предложения сложить все компы в ящик, залить бетоном и выкинуть на дно Марианской впадины.
И в этом заключается большая проблема современного инфосека - если вы доверяете производителю используемого ПО, если вы согласны дать ему требуемые привилегии, в том числе частичного отключения своих антивирусных решений в конкретные моменты времени, то вы оказываетесь не в состоянии принять исчерпывающие меры по обеспечению своей информационной безопасности. И вы можете лишь уповать на добросовестное исполнение своих функций DevSecOps-подразделением этого разработчика.
А это означает, что пока сами принципы такого взаимодействия в области информационной безопасности не будут пересмотрены атаки типа Sunburst будут продолжаться.
И этот, казалось бы, несложный вопрос вызвал бурную дискуссию. И оказалось, что понятных и универсальных мер, которые с большой вероятностью смогли бы решить ту задачу просто нет.
Кто-то предлагал отказываться от стороннего ПО и разрабатывать аналогичное in-house, если это возможно, кто-то максимально порезать этому ПО привилегии, кто-то посчитать и принять риски. Были даже предложения сложить все компы в ящик, залить бетоном и выкинуть на дно Марианской впадины.
И в этом заключается большая проблема современного инфосека - если вы доверяете производителю используемого ПО, если вы согласны дать ему требуемые привилегии, в том числе частичного отключения своих антивирусных решений в конкретные моменты времени, то вы оказываетесь не в состоянии принять исчерпывающие меры по обеспечению своей информационной безопасности. И вы можете лишь уповать на добросовестное исполнение своих функций DevSecOps-подразделением этого разработчика.
А это означает, что пока сами принципы такого взаимодействия в области информационной безопасности не будут пересмотрены атаки типа Sunburst будут продолжаться.
Twitter
Jake Williams
Scenario: Your CEO is worried about supply chain security and tells you to implement a program to "stop us from being hit with another SolarWinds." What *specifically* do you do to secure your software supply chain? Please RT for reach. I'm interested in…
Хайповая история с взломом SolarWinds продолжается. На этот раз постарались Symantec, которые нашли очередной, уже четвертый штамм вредоноса, использованного в процессе этой кибератаки.
Исследователи назвали выявленный штамм Raindrop. По их словам, он похож на обнаруженный ранее бэкдор Teardrop и предназначен для доставки в целевую систему полезной нагрузки, в том числе Cobalt Strike Beacon.
Вместе с тем, в Raindrop есть и серьезные отличия. В то время как Teardrop доставлялся бэкдором Sunburst, то никаких свидетельств того, что новый вредонос попадает в атакованную сеть таким же образом нет. Вместе с тем, Raindrop появляется в тех сетях, где хотя бы на одной из машин уже есть Sunburst.
Действительно, судя по отчету Symantec, между Teardrop и Raindrop есть "схожесть до степени смешения" в некоторых TTPs. К примеру, крайне похожие шаблоны конфигурации (приведены в отчете). В то же время бэкдоры используют совершенно разные упаковщики.
Короче, понятно, что ничего не понятно. Если автором Raindrop и Teardrop является один актор, то зачем использовать два разных вредоноса для исполнения одной и той же задачи в одних и тех же условиях? Если это были разные хакерские группы, то почему так похожи шаблоны конфигурации вредоносов и почему Raindrop присутствовал в сетях, зараженных ранее Sunburst?
Думается, в ходе разбор взлома SolarWinds мы увидим еще немало загадок.
//Conspiracy mode on
На самом деле SolarWinds взломали рептилоиды, а в атаке так много непонятного, потому что они думают задом наперед.
//Conspiracy mode off
Исследователи назвали выявленный штамм Raindrop. По их словам, он похож на обнаруженный ранее бэкдор Teardrop и предназначен для доставки в целевую систему полезной нагрузки, в том числе Cobalt Strike Beacon.
Вместе с тем, в Raindrop есть и серьезные отличия. В то время как Teardrop доставлялся бэкдором Sunburst, то никаких свидетельств того, что новый вредонос попадает в атакованную сеть таким же образом нет. Вместе с тем, Raindrop появляется в тех сетях, где хотя бы на одной из машин уже есть Sunburst.
Действительно, судя по отчету Symantec, между Teardrop и Raindrop есть "схожесть до степени смешения" в некоторых TTPs. К примеру, крайне похожие шаблоны конфигурации (приведены в отчете). В то же время бэкдоры используют совершенно разные упаковщики.
Короче, понятно, что ничего не понятно. Если автором Raindrop и Teardrop является один актор, то зачем использовать два разных вредоноса для исполнения одной и той же задачи в одних и тех же условиях? Если это были разные хакерские группы, то почему так похожи шаблоны конфигурации вредоносов и почему Raindrop присутствовал в сетях, зараженных ранее Sunburst?
Думается, в ходе разбор взлома SolarWinds мы увидим еще немало загадок.
//Conspiracy mode on
На самом деле SolarWinds взломали рептилоиды, а в атаке так много непонятного, потому что они думают задом наперед.
//Conspiracy mode off
Security
Raindrop: New Malware Discovered in SolarWinds Investigation
Tool was used to spread onto other computers in victims’ networks.