Швейцарская компания Terra Quantum AG заявила, что совершила принципиальный прорыв в использовании квантовых компьютеров для взлома симметричных криптосистем.

К симметричным шифрам относятся AES, DES, Blowfish и др. К примеру, AES широко используется в информационной безопасности.

Команда исследователей Terra Quantum, возглавляемая Гордеем Лесовиком из МФТИ и Валерием Винокуром из Аргоннской национальной лаборатории (США), якобы разработала математический метод взлома симметричных шифров для квантовых компьютеров, которые вот-вот появятся (а может и не появятся).

Подробностей пока нет, поэтому до конца неясно - действительно ли Terra Quantum обладает некими прорывными знаниями или это все хайп для зарабатывания денег. Поскольку параллельно с этим швейцарская компания рекламирует свой новый алгоритм шифрования, который, по словам разработчиков, не может быть взломан квантовыми компьютерами.

В любом случае у нас есть как минимум несколько лет до появления рабочих образцов квантовых компьютеров вне закрытых и засекреченных лабораторий.

​​Очень жизненный опрос

​​Ровно неделю назад мы писали про то, что последние версии macOS оказались подвержены уязвимости CVE-2021-3156 aka Baron Samedit в sudo, связанной с переполнением кучи. В результате ее эксплуатации любой локальный пользователь без аутентификации может получить рутовые права в системе. Это конечно не RCE, но приятного тоже мало.

Хорошая новость - Apple выпустили обновления безопасности для macOS Big Sur, Catalina и Mojave, которые исправляют ошибку.

Традиционно призываем всех пользователей macOS как можно скорее обновиться.

Чуть больше суток назад Microsoft выпустили февральское обновление безопасности своих продуктов. Всего было устранено 56 уязвимостей, 11 из которых были критичными.

В числе других была исправлена CVE-2021-1732, которая существовала в ядре Windows и приводила к локальному повышению привилегий. Уязвимость являлась 0-day и касалась всех последних версий Windows 10.

А уже сегодня ночью китайская инфосек компания DBAPPSecurity сообщила, что именно ее исследователи в декабре 2020 года обнаружили CVE-2021-1732 и ее активное использование APT Bitter в целевых атаках. Также китайцы дали технические подробности ошибки и привели PoC. По словам исследователей - "уязвимость получена высококвалифицированными хакерами, а ее эксплойт весьма сложен".

APT Bitter - это азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю. Исходя из такого набора целей, можно предположить, что за ней стоит Индия.

Исследователь Фабиан Восар из Emisoft говорит, что позавчерашний взлом польской игровой студии CD Project Red совершенно точно является атакой вымогателя, за которой стоит оператор ransomware HelloKitty, что следует из шаблона опубликованной записки о выкупе.

Таким образом Восар опровергает расходящиеся слухи, что атака была осуществлена недовольным геймером как месть за Cyberpunk 2077.

Мы особо ничего про HelloKitty не знаем, этот вымогатель появился только в конце прошлого года и особо не светился. Единственное, что известно - в декабре оператор ransomware атаковал ресурсы бразильской энергетической компании CEMIG, в результате чего пострадали некоторые из онлайн сервисов, но технологические процессы затронуты не были.

Интересно, что в своем сообщении о киберинциденте CEMIG заявили, что атака была выявлена SOC компании, а в результате оперативного реагирования было зашифровано менее 10% контента на атакованных серверах.

Видимо, у CD Project Red своего SOC не имеется. Kurwa...

​​Исследователи из Forescout продолжают будоражить болотце информационной безопасности IoT. Почему болотце? Да потому что сверху тихая гладкая водичка, а начни разбираться - такая трясина уязвимостей, что хоть сейчас Интернет выключай.

Мы уже рассказывали про отчет Forescout под названием AMNESIA: 33, в котором они описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net, применяемых в IoT-устройствах. Там прямо готовый боевой эксплойт-кит по минимальным расценкам.

В этот раз Forecast проанализировали 11 реализаций стека TCP/IP и выявили в 9 из них уязвимости в алгоритмах генерации ISN (Initial Sequence Number, предназначен для обеспечения уникальности TCP-соединений). Слабый алгоритм генерации позволяет хакеру предсказать ISN и, таким образом, перехватить TCP-сессию.

История, на самом деле, стара как Интернет. Но вот опять всплыла.

Forecast проинформировал поставщиков уязвимых реализаций стеков TCP/IP и часть из них уже выпустили патчи. В то же время разработчики uIP вообще не ответили, а разработчики Nut/Net мучают Муму уже четыре месяца.

Ну и напоминаем традиционную проблему Интернета вещей - многие устройства IoT и OT могут вообще не обновляться, а значит даже если выявленные уязвимости исправлены в стеках, то до конечного пользователя апдейты в ряде случаев просто не дойдут.

​​Ой, кажется Альфа-Банк протек...

​​Хакеры, взломавшие в понедельник польскую игровую студию CD Project Red (предположительно группировка, стоящая за ransomware HelloKitty) не стали медлить и сразу выставили украденные у поляков данные на продажу на одном из русскоязычных хакерских форумов.

Среди продаваемой информации - исходные коды игр Ведьмак 3, Cyberpunk 2077 и Gwent, карточной игры родом из вселенной Ведьмака.

Стартовая цена аукциона - 1 млн. долларов. Цена, при которой можно купить лот сразу, минуя аукцион, - 7 млн. долларов.

Самый понравившийся нам комментарий из Twitter мы приводим ниже.

​​Несколько дней назад исследователь Хавьер Юсте разместил на GitHub бесплатный декриптор для ransomware Avaddon.

В ответ на это владельцы вымогателя пообещали оперативно разобраться и выкатить отчет.

И вот вчера авторы Avaddon разметили на одном из хакерских форумов сообщение, в котором отчитались о причине, по которой стало возможно создание декриптора, сообщили об оперативном исправлении уязвимости и, в качестве компенсации, предложили сотрудничающим с ними операторам скидки на ближайший месяц.

Тот самый случай, когда киберпреступники показывают отрасли как надо реагировать на инциденты.

​​Две недели назад мы рассказывали про противостояние IT-гигантов и Apple в связи с вводом последней новой политики конфиденциальности, обязывающей разработчиков приложений для яблочных устройств открыто указывать какие пользовательские данные и для каких целей они собирают.

Тогда, две недели назад, Google сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут, по мере появления обновления своих приложений.

И вот прошло время, а Google все никак не обновляют свои приложения для iOS и iPadOS - ни Chrome, ни Maps, ни Gmail и др. Причем обновлений нет уже с начала декабря. Более того некоторые приложения стали выводить напоминания о том, что необходимо их обновить, поскольку прошло уже больше двух месяцев с момента последнего апдейта. А апдейтов-то и нет!

Непонятно, что руководство Google планирует делать дальше, поскольку вопрос просто так не исчезнет, но само по себе подобное поведение наглядно демонстрирует, что компания явно собирала кучу пользовательской информации и теперь думает как это дело грамотно скрыть.

В приложенной картинке - частота обновлений приложений Google для яблочных устройств. Можете убедиться сами.

Появились подробности очередной уязвимости в ПО от Microsoft, которая была устранена позавчера февральским обновлением безопасности.

Инфосек компания SentinelOne сообщила об обнаруженной ею уязвимости CVE-2021-24092 в антивирусном решении Windows Defender, которая позволяла хакеру осуществить локальное повышение привилегий.

Ошибка содержалась в драйвере BTR.sys, который используется в ходе удаления обнаруженных вредоносов и их правок в реестре атакованной системы.

На первый взгляд - не самая критичная уязвимость, даже с учетом того, что кроме Defender ей оказались подвержены Microsoft Endpoint Protection, Security Essentials и System Center Endpoint Protection.

Но исследователи обнаружили уязвимые версии драйвера BTR.sys, которые датируются 2009 годом. Так что уязвимость CVE-2021-24092 была актуальна на протяжении 12 лет минимум (!).

Вот честно, если включить внутреннюю инфосек паранойю, то можно подумать, что это один из заложенных АНБ бэкдоров для использования в качестве составляющей в сложной атаке на целевую систему. Подобные примеры известны. Тем паче, что, по словам исследователей, драйвер BTR.sys не присутствует постоянно на машине, а подкачивается под случайным именем в случае необходимости, что, несомненно, существенно усложнило обнаружение уязвимости.

Ну и, безусловно, обращает на себя внимание картинка, которой SentinelOne озаглавили свой отчет. Это фотография коридора здания, от которого остались одни руины.

​​Новая сага Анджея Сапковского под названием "CDPR - в поисках утраченных исходников" завершилась, практически не начавшись.

В понедельник вымогатели взломали сеть CD Project Red, в среду разместили аукцион по продаже украденных исходных кодов, а вчера уже закрыли аукцион по причине "предложения, поступившего из вне".

Поскольку сумма безусловного закрытия аукциона была весьма внушительна и составляла 7 kk долларов, а покупатель, судя по комментарию продавца, был не из андерграунда, предполагаем, что украденные исходники выкупили сами CDPR. У них теперь денег много, после того как недоваренный Cyberpunk 2077 разошелся 8 млн. копий только в предпродаже.

SOC обошелся бы дешевле.

Бразильское издание Neofeed со ссылкой на инфосек компанию PSafe сообщило об обнаружении новой гигантской утечки данных абонентов сотовых компаний, которую некий иностранный хакер продавал в даркнет.

По сообщению исследователей продаваемая база содержит информацию о 102 млн. абонентов бразильских операторов Vivo и Claro. В утечке содержатся персональные данные, номер телефона, дата активации, домашний адрес, электронная почта, тип тарифа, оплачиваемые суммы , наличие долга, количество минут, потраченных в день и пр.

В продаваемых данных есть даже сведения о Президенте Бразилии Болсонару.

Хакер утверждает, что информация была получена из внутренних баз сотовых операторов. Но сами Vivo и Claro, как и ожидалось, утечку опровергают.

Судя по составу продаваемой базы данных тяжело сказать из какого источника она была получена, можно лишь с достаточной уверенностью утверждать, что этот источник находится внутри сотовой компании, поскольку различные маркетинговые базы не содержат подобных наборов данных. Скорее всего это некая база для подразделения абонентского опыта или что-то в этом роде. Но есть вероятность, что могли расковырять и биллинг.

Ну а в наших пенатах биллинги сотовых операторов это объекты КИИ, поэтому мы можем спать спокойно, они хорошо защищены (нет).

Американский инфосек специалист Эдриан Санабриа составил список компаний, которые были вынуждены закрыть свой бизнес из-за успешных кибератак. Вполне себе отрезвляющее чтиво, мы бы даже сказали больше - готовое обоснование для повышения инфосек-бюджета для приобретения того, чего не достаёт, укрепления того, что ослабело, внедрения правильных практик и ТРЕНИНГА ПЕРСОНАЛА. Извините, наболело.

С 2001 г. в списке осело 22 организации, в том числе такой известный случай как голландский центр сертификации Digi Notar, которого предположительно взломали иранские спецслужбы для слежки за своими гражданами.

Пользуясь случаем, приглашаем все информированные стороны помочь дополнить документ более свежими и глубокими сведениями. Очевидно, это всего лишь верхушка айсберга. Вот, например, где Hacking Team?

​​Комичная ситуация сложилась на передовой борьбы с lookalike-доменами. В прошлом году юристы Facebook активизировали действия по поиску и изъятию доменов, которые могут ввести пользователей в заблуждение об их инстинной принадлежности. Так в ноябре прошлого года социальная сеть через UDRP (Uniform Domain-Name Dispute-Resolution) запрос отсудила у регистратора Namecheap facbook-login . com, facbook-login . net, instagrarn . ai, instagrarn . net, и instagrarn . org.

Однако вскоре выяснилось, что lookalike-фокусами балуется и американский инфосек-вендор Proofpoint. Разумеется, Facebook немедленно подала запросы на изъятие доменов, но сразу выяснилось, что Proofpoint использовал их для тренингов по кибербезопасности (о чём исчерпывающе сообщалось в регистрационной информации и на титульных страницах сайтов). Типа компания затачивала острый взгляд сотрудников для автоматического распознавания фишинговых кампаний без привлечения искусственного интеллекта. Типа хардкор олдскул и всё такое. На самом деле практика очень полезная и распространённая, а если кто-то ещё не проводил своим сотрудникам такие учения, тот так себе CISO.

Facebook и Proofpoint обменялись встречными исками. И каждую из них по-своему можно понять. Попкорн, диван, все дела. Ждём решения.

​​Журналисты Blomberg Джордан Робертсон и Майкл Райли, пожалуй, самые адские жгуны в американской прессе.

Это те самые чуваки, которые, в частности, на абсолютно серьёзных щах поведали миру о секретных встречах Евгения Валентиновича (tm) с агентами КГБ в бане для обсуждения планов подрыва национальной безопасности США. Каждое расследование этих журналистов вызывает у инфосек-сообщества приступы разного рода нервных расстройств и припадков (в зависимости от степени близости к объекту расследования). Последний громкий камингаут дуэта был отмечен в октябре 2018 г. публикацией эпического лонгрида о трояне в материнских платах Supermicro. Тогда, видимо, пацаны перешли черту (под каток попали Apple, Amazon и дюжина других уважаемых американских организаций, имеющих нехилый бюджет для лобирования своих интересов) - Робертсона сослали в отдел погоды, Райли и вовсе пропал с радара.

Мы уже было заскучали по ним, но вот кибер-трэш-шапито-шоу снова с нами! Вторая часть спектакля о китайских ногах в оборудовании Supermicro уже в эфире.

Захватывающее чтиво! Что нам особенно понравилось - авторы окончательно покинули гавань доказательной журналистики и пустились в отчаянное эпистолярное путешествие под знаменем американского крестового похода за импортозамещательство. Главные действующие лица чтива, сотрудники американских спецслужб, однозначны в своих заключениях: "Китайское правительство занималось этим много лет. Американские компании должны знать, что Китай это делает", "Если вы думаете, что это история об одной-единственной компании, то вы серьёзно ошибаетесь", "Это всё по-настоящему. И наше правительство знает это".

Пожалуй, на этом мы закончим спойлер. Читайте, удивляйтесь, улыбайтесь. Учитесь (здесь каждый сам выбирает чему).

Одно из золотых правил инфосека: нет неуязвимых систем, но есть компании, которые не умеют управлять этими уязвимостями. А таких сейчас большинство. Первая и главная ошибка - заныкать инцидент подальше и поглубже, авось пронесёт и никто не узнает.

Во-первых, оставлять скелет в шкафу - это безответственно и потому инфантильно. Оставлять бомбу под бизнесом, когда есть "во-вторых" - идиотизм. А во-вторых, из каждого инцидента можно сделать PR-конфетку, чтобы подчеркнуть ответственность организации перед пользователями, клиентами, партнёрами и пр.; продемонстрировать недюжинные способности по выявлению суперкибератак и, разумеется, намотать хорошей паблисити.

Сегодня молодцы-молодцы - Яндекс. Потому что вот.

Просто процитируем:

В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.

Извинения, контакты, всё. Дело закрыто. С чистой совестью и сияющей кармой на выходные.

Как мы неоднократно говорили, индийцы умеют не только кино снимать и трупами в Ганг кидаться. У них вполне себе развитая и профессиональная инфраструктура APT, поддерживаемых государством и атакующих геополитических противников Дели.

Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.

Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).

Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.

Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.

По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.

Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.

Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).

Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.

#APT #Confucius

До чего мы докатились?!

Один из ведущих борцов с ransomware упрашивает авторов вымогателя SunCrypt пофиксить баг в их детище, который приводит к порче файлов при вводе неправильного ключа расшифровки.

Орденоносная хакерская группа Lamberts вместе с остальным личным составом ЦРУ поздравляет с Днем всех влюбленных. Какие душки!

P.S. Увлечение diversity привело к тому, что на изображении в заголовке официального Twitter-аккаунта Управления не осталось, наконец, ни одной белой цисгендерной мрази. Там только негритянка, азиатка и толерантный индус, наверняка гей.

Нашли ресурс, на котором выкладываются новости об уязвимостях в Industrial Control Systems (ICS aka АСУ ТП). О некоторых ошибках мы писали, например здесь.

Всем причастным к инфосек в производственном секторе рекомендуем поместить в закладки.