Американский инфосек специалист Эдриан Санабриа составил список компаний, которые были вынуждены закрыть свой бизнес из-за успешных кибератак. Вполне себе отрезвляющее чтиво, мы бы даже сказали больше - готовое обоснование для повышения инфосек-бюджета для приобретения того, чего не достаёт, укрепления того, что ослабело, внедрения правильных практик и ТРЕНИНГА ПЕРСОНАЛА. Извините, наболело.

С 2001 г. в списке осело 22 организации, в том числе такой известный случай как голландский центр сертификации Digi Notar, которого предположительно взломали иранские спецслужбы для слежки за своими гражданами.

Пользуясь случаем, приглашаем все информированные стороны помочь дополнить документ более свежими и глубокими сведениями. Очевидно, это всего лишь верхушка айсберга. Вот, например, где Hacking Team?

​​Комичная ситуация сложилась на передовой борьбы с lookalike-доменами. В прошлом году юристы Facebook активизировали действия по поиску и изъятию доменов, которые могут ввести пользователей в заблуждение об их инстинной принадлежности. Так в ноябре прошлого года социальная сеть через UDRP (Uniform Domain-Name Dispute-Resolution) запрос отсудила у регистратора Namecheap facbook-login . com, facbook-login . net, instagrarn . ai, instagrarn . net, и instagrarn . org.

Однако вскоре выяснилось, что lookalike-фокусами балуется и американский инфосек-вендор Proofpoint. Разумеется, Facebook немедленно подала запросы на изъятие доменов, но сразу выяснилось, что Proofpoint использовал их для тренингов по кибербезопасности (о чём исчерпывающе сообщалось в регистрационной информации и на титульных страницах сайтов). Типа компания затачивала острый взгляд сотрудников для автоматического распознавания фишинговых кампаний без привлечения искусственного интеллекта. Типа хардкор олдскул и всё такое. На самом деле практика очень полезная и распространённая, а если кто-то ещё не проводил своим сотрудникам такие учения, тот так себе CISO.

Facebook и Proofpoint обменялись встречными исками. И каждую из них по-своему можно понять. Попкорн, диван, все дела. Ждём решения.

​​Журналисты Blomberg Джордан Робертсон и Майкл Райли, пожалуй, самые адские жгуны в американской прессе.

Это те самые чуваки, которые, в частности, на абсолютно серьёзных щах поведали миру о секретных встречах Евгения Валентиновича (tm) с агентами КГБ в бане для обсуждения планов подрыва национальной безопасности США. Каждое расследование этих журналистов вызывает у инфосек-сообщества приступы разного рода нервных расстройств и припадков (в зависимости от степени близости к объекту расследования). Последний громкий камингаут дуэта был отмечен в октябре 2018 г. публикацией эпического лонгрида о трояне в материнских платах Supermicro. Тогда, видимо, пацаны перешли черту (под каток попали Apple, Amazon и дюжина других уважаемых американских организаций, имеющих нехилый бюджет для лобирования своих интересов) - Робертсона сослали в отдел погоды, Райли и вовсе пропал с радара.

Мы уже было заскучали по ним, но вот кибер-трэш-шапито-шоу снова с нами! Вторая часть спектакля о китайских ногах в оборудовании Supermicro уже в эфире.

Захватывающее чтиво! Что нам особенно понравилось - авторы окончательно покинули гавань доказательной журналистики и пустились в отчаянное эпистолярное путешествие под знаменем американского крестового похода за импортозамещательство. Главные действующие лица чтива, сотрудники американских спецслужб, однозначны в своих заключениях: "Китайское правительство занималось этим много лет. Американские компании должны знать, что Китай это делает", "Если вы думаете, что это история об одной-единственной компании, то вы серьёзно ошибаетесь", "Это всё по-настоящему. И наше правительство знает это".

Пожалуй, на этом мы закончим спойлер. Читайте, удивляйтесь, улыбайтесь. Учитесь (здесь каждый сам выбирает чему).

Одно из золотых правил инфосека: нет неуязвимых систем, но есть компании, которые не умеют управлять этими уязвимостями. А таких сейчас большинство. Первая и главная ошибка - заныкать инцидент подальше и поглубже, авось пронесёт и никто не узнает.

Во-первых, оставлять скелет в шкафу - это безответственно и потому инфантильно. Оставлять бомбу под бизнесом, когда есть "во-вторых" - идиотизм. А во-вторых, из каждого инцидента можно сделать PR-конфетку, чтобы подчеркнуть ответственность организации перед пользователями, клиентами, партнёрами и пр.; продемонстрировать недюжинные способности по выявлению суперкибератак и, разумеется, намотать хорошей паблисити.

Сегодня молодцы-молодцы - Яндекс. Потому что вот.

Просто процитируем:

В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.

Извинения, контакты, всё. Дело закрыто. С чистой совестью и сияющей кармой на выходные.

Как мы неоднократно говорили, индийцы умеют не только кино снимать и трупами в Ганг кидаться. У них вполне себе развитая и профессиональная инфраструктура APT, поддерживаемых государством и атакующих геополитических противников Дели.

Lookout выложил отчет о кибероперации индийской APT Confuсius, направленной на пакистанские военные и ядерные объекты, проводимой с помощью вредоносов для Android.

Confuсius впервые была описана в 2017 году, ее операции прослеживаются до 2013. Использование вредоносных мобильных приложений свойственно Confuсius. Некоторые исследователи допускают, что группа ассоциирована с APT Patchwork aka Dropping Elephant, работающей на Разведывательный корпус индийской армии (мы писали про нее, например, здесь).

Исследователи обнаружили два принадлежащих Confuсius вредоносных штамма, которые они назвали SunBird и Hornbill. По сути и тот и другой являются мобильными RAT (троянами удаленного доступа). Оба вредоноса умеют собирать и эксфильтрировать большое количество информации с зараженного устройства, включая геолокацию, фото, журналы вызовов. Кроме того, они умеют делать скриншоты, фотографии с камеры, записывать звук и пр. SunBird, по мнению экспертов, является более продвинутым в плане сбора данных, поскольку тащит практически всю инфу со смартфона, включая переписку WhatsApp и BlackBerry Messenger.

Hornbill же более скрытен и используется как пассивный инструмент разведки, направленный на долгосрочное функционирование. Его действия менее активны, но более выборочны, чем у SunBird.

По информации Lookout, SunBird находился в разработке с декабря 2016 по начало 2019, а вот Hornbill впервые появился в начале 2018 и активно модифицируется по сегодняшний день.

Анализ целей вредоносного ПО показал, что основными объектами заинтересованности Confuсius в рамках этой операции являются военнослужащие пакистанской армии и их окружение, сотрудники ядерных объектов Пакистана, а также лица, связанные с выборами в штате Кашмир (он вроде как индийский, но является объектом территориального спора с Пакистаном). В то же время были обнаружены и атакованные устройства из других стран, к примеру, из Казахстана. Возможно, что это были сопутствующие жертвы.

Распространялись вредоносы под видом различных мобильных приложений, часто маскируясь под мобильные чаты (этот прием Confuсius использует еще с 2017 года).

Анализ TTPs, в основном вредоносной инфраструктуры, позволил исследователям с достаточно большой долей уверенности утверждать, что за SunBird и Hornbill стоит именно APT Confuсius.

#APT #Confucius

До чего мы докатились?!

Один из ведущих борцов с ransomware упрашивает авторов вымогателя SunCrypt пофиксить баг в их детище, который приводит к порче файлов при вводе неправильного ключа расшифровки.

Орденоносная хакерская группа Lamberts вместе с остальным личным составом ЦРУ поздравляет с Днем всех влюбленных. Какие душки!

P.S. Увлечение diversity привело к тому, что на изображении в заголовке официального Twitter-аккаунта Управления не осталось, наконец, ни одной белой цисгендерной мрази. Там только негритянка, азиатка и толерантный индус, наверняка гей.

Нашли ресурс, на котором выкладываются новости об уязвимостях в Industrial Control Systems (ICS aka АСУ ТП). О некоторых ошибках мы писали, например здесь.

Всем причастным к инфосек в производственном секторе рекомендуем поместить в закладки.

Ransomware продолжают свое победное шествие.

Согласно новому отчету RiskSense, в 2020 году наблюдалось 125(!) отдельных штаммов вымогателей.

В процессе атак операторы ransomware использовали 223 различных уязвимости, большинство из которых (96%) были выявлены до 2019 года, то есть являются хорошо известными. Самая старая ошибка, использованная в ходе реальной атаки, является CVE-2007-1036, открытая еще в 2007 году, но, тем не менее,все еще эксплуатирующаяся в дикой природе. Основная причина такого безобразия - отсутствие своевременного обновления систем со стороны технической поддержки.

Как объяснить менеджменту, что непропатченное ПО зачастую страшнее настежь открытых дверей в офис?

​​Немного юмора в завершении понедельника тяжелой шестидневной недели.

​​Здесь всё прекрасно:

Millennial interviewing GenZ

"Tell me about a project."
"I built a computer"
"cool"
"in Minecraft"
"wtf"
"that runs RegEx"
"wtf"
"that can parse HTML"
"you're hired"

​​Несколько месяцев назад мы проводили опрос на тему "Какой мессенджер вы считаете наиболее безопасным". Первое место с большим отрывом и результатом 63% занял Telegram.

Мы можем только поаплодировать PR-поддержке проекта и рекомендовать г-ну Дурову немного перетасовать ресурсы, притормозить с новой функциональностью и вместо этого подтянуть реальную безопасность платформы до по-настоящему индустриального уровня. Каждый глубокий взгляд на сравнение мессенджеров (например этот) отсылает Telegram в нижнюю часть турнирной таблицы из-за явных косяков.

Давече Protonmail вывесил свои выводы сравнительного тестирования. И что бы вы думали? А всё то же самое. Из семи продуктов Telegram оказался на самом дне.

Право, надо же реально соответствовать ожиданиям большинства пользователей, которые находятся в полной уверенности, что координируют атракцион с фонариками (и прочий цирк вроде ТГ-каналов :) в полной безопасности!

А впрочем, может в этом и есть весь смысл?

​​BleepingComputer сообщает, что начиная с субботы у KIA Motors USA начались проблемы с работой IT-сервисов и платформ поддержки клиентов на всей территории США. Отрубились и мобильные приложения компании.

В числе других сервисов пострадала платформа KDealer, посредством которой автосалоны осуществляют доступ к Kia Global Service Information System. В результате клиенты, заказавшие машины, не могут их забрать из салона.

Официальные представители KIA молчали четыре дня и лишь сегодня выдали стандартное "мы знаем о неполадках и стараемся как можно скорее их устранить". Ведь, как хорошо известно всем инфосек специалистам, если о проблеме не говорить, то она быстрее решается (сарказм).

Одному же из клиентов KIA Motors USA, который не смог забрать свой автомобиль у дилера, представитель последнего прямо заявил, что сбой является последствием атаки ransomware.

С чем мы KIA и поздравляем. Иметь более полусотни миллиардов долларов выручки и не суметь грамотно защитить свой внешний периметр и сегментировать сеть - это тоже своего рода талант.

​​В конце января Apple закрыли две 0-day уязвимости в браузерном движке WebKit, применяющемся в Safari, которые позволяли осуществить удаленное выполнение кода (RCE) и использовались в дикой природе.

Следующим же обновлением безопасности от 1 февраля была устранена еще одна уязвимость CVE-2021-1801 в том же движке WebKit, отчет в отношении которой вчера был опубликован исследователем Элией Штейном из Confiant. Ошибка, позволявшая обход ограничений песочницы iFrame, использовалась злоумышленниками из группы Scamclub для массового перенаправления пользователей с легальных сайтов на мошеннические.

Изначально уязвимость была обнаружена исследователями 22 июня 2020 года, 23 июня были оповещены Apple и Google, поскольку Chrome для iOS тоже использует движок WebKit и подвержен эксплойту . И только 1 февраля Apple присвоили ошибке CVE и исправили ее в очередном обновлении, в Chrome же уязвимость была устранена в начале декабря.

Между тем, как утверждают Confiant, только за последние 90 дней Scamclub произвели более 50 млн. показов вредоносной рекламы, с пиками до 16 млн. в один день. Сколько пользователей пострадало от нее - неизвестно. Почему исправление уязвимости заняло у Apple так много времени - тоже не ясно.

Группа Scamclub была впервые описана исследователями Avast в конце 2018 года, когда в результате деятельности скамеров всего за двое суток 300 млн. пользователей были перенаправлены на мошеннические сайты, 96% жертв были пользователями iOS.

Загадочная история с очередным нападением русских хакеров, теперь на французские компании.

В понедельник Агентство кибербезопасности Франции (ANSSI) сообщило, что российская APT Sandworm в рамках длительной операции с 2017 по 2020 годы скомпрометировало сети множества французских компаний, использующих ПО Centreon, предназначенное для мониторинга IT-ресурсов, от одноименного французского производителя.

Французы сообщили, что во взломанных сетях были найдены публичный веб-шелл P.A.S., а также бэкдор Exaramel. Этот вредонос был обнаружен словацкими челябинцами из ESET в 2018 году и приписан APT Sandworm, которую словаки называют TeleBots. По мнению ANSSI операция была направлена на кибершпионаж.

Поскольку в отчете французов не было сказано прямо каким образом происходила компрометация целевых сетей - с помощью эксплуатации дыр в Centreon или путем атаки на цепочку поставок. предусматривающую предварительный взлом самого производителя ПО, то запахло SolarWinds 2.0, только на минималках и с грассированием. Правда, большинство экспертов склонялось все-таки к первому варианту.

Далее последовало эпичное врывание в треды темной румынской лошадки Евгения Валентиновича (tm) - главы Kaspersky GReAT Костина Раю, который всем разъяснил на пальцах как все было (а по сути - пересказал в Twitter краткое содержание отчета ANSSI). Пикантности ситуации придает то, что Касперские, а следовательно и Раю, не работают вна Украине, где как раз и был обнаружен бэкдор Exaramel, а поэтому никак первичных данных у него быть не может. Таким образом Раю как бэ откосплеил Виктора Михайловича Полесова из "12 стульев" с его бессмертным "Воздушный тормоз не всасывает."

Единственные, кто мог бы дать какие-либо комментарии по Exaramel являются Cisco, но поскольку они молчат, то будем считать правыми ESET, тем более, что в своем отчете о бэкдоре они привели достаточно веские основания его атрибутирования к авторству Sandworm.

Все сразу стали обсуждать кто из именитых клиентов Centreon стал жертвой русских хакеров - Airbus, Euronews, Orange, Министерство юстиции Франции, Arcelor Mittal или все сразу.

Однако вчера случилась неожиданная неожиданность. Компания Centreon, не желая терять свою репутацию поставщика надежного ПО, заявила, что ни один из ее коммерческих клиентов не пострадал.

По данным Centreon, жертвами атаки стали 15 организаций, которые установили у себя устаревшую версию Centreon 2.5.2, которая свободно раздается на сайте компании и не поддерживается уже как 5(!) лет. Использовать такое ПО на своей сети могут только немытые клошары и другие эффективные менеджеры, но никак не серьезные компании, заботящиеся о безопасности своих данных.

Какой интерес к нищим жителям парижских трущоб могут испытывать русские хакеры, работающие на ГРУ, стало решительно непонятно. Запахло фарсом.

Но ничего, сейчас ворвется Раю и всем разъяснит за Exaramel! Кажется мы уже слышим "тыгыдым-тыгыдым"...

​​Полицейские Нидерландов решили пойти в народ.

Они начали регистрировать свои официальные акки на хакерских форумах и размещать сообщения об операции по накрытию Emotet в стиле "I am the law! Сопротивление бесполезно!"

"Ищите другой ботнет? Подумайте хорошо!" - прямая речь голландских полицейских. Пока что сообщения выложили на Raid и XSS на английском и русском языках, со второго вроде как снесли.

Каннабиноиды vs киберпреступность.

​​Министерство юстиции США предъявило заочное обвинение еще двум северокорейским хакерам, членам APT Lazarus.

Обвиняемыми являются граждане КНДР 31-летний Джон Чанг Хёк и 27-летний Ким Ил. Они идут в дополнение к уже обвиненному в 2018 году Пак Джин Хёку. Американцы говорят, что они являются сотрудниками Главного разведывательного бюро (ГБР) Генштаба северокорейской армии, под крылом которого и работает Lazarus (впрочем, это давно не секрет).

Хакерам вменяется атака на Sony Pictures в 2014 году, попытка вывода почти миллиарда долларов из Центрального Банка Бангладеш, эпидемию вымогателя WannaCry и многое другое (мы весьма подробно рассматривали атаки Lazarus в своем обзоре).

ФБР утверждает, что все трое северокорейских хакеров были членами некоего подразделения Lazarus, точнее ГРБ, которое выезжало в командировки на территорию Китая и России. Не совсем понятно, официально или нет.

Что интересно нам в этом кейсе. Основной вопрос - каким образом американцы добыли персональные данные хакеров из КНДР, самой закрытой страны в мире. Самый очевидный ответ - американские APT смогли проникнуть в сетевую инфраструктуру ГРБ, откуда и собрали требуемую информацию.

Однако, с учетом упоминания командировок в Россию у нас есть и другая версия. Если командировки были официальными, а северокорейцы выступали под своими реальными именами, то данные могли утечь из России. По крайней мере, как показал кейс с "отравлением" Навального, информация о сотрудниках ФСБ утекает в сторону иностранных организаций легко и непринужденно. Конспирация, my ass.

Данные о том, что KIA Motors America стала жертвой атаки ransomware подтвердились.

Как сообщает BleepingComputer, атаковавшей стороной оказался владелец DoppelPaymer, который потребовал 20 млн. долларов в качестве выкупа.

Для выплаты жертве дается 2 недели иначе сумма увеличивается до 30 млн. долларов. Также вымогатели обещают опубликовать "огромное количество данных", которые они украли в ходе атаки.

Правда, надо отметить, что в записке о выкупе почему то указана компания Hyundai Motor America, чьей дочкой является Kia Motors America. При этом сервисы американской Hyundai работают в штатном режиме и никаких сбоев там не наблюдается.

Представители KIA продолжают прикидываться ветошью и заявляют, что ничего им об атаке ransomware неизвестно, а массовые отказы сервисов - просто потому что.

И остается напомнить, что за DoppelPaymer стоит российская хакерская группа Evil Corp. Поломали они уже много чего - и Foxconn, и мексиканскую Pemex, и даже сеть Университетской больницы в Дюссельдорфе (UKD), когда в результате атаки погиб не получивший своевременной неотложной помощи пациент. Мы про это писали.

"Пишу сейчас тебе я, дорогой ты ребе мой..." - напеваем мы не просто так, а от удовольствия, полученного после изучения очередного отчета исследователей из израильской инфосек компании Check Point, посвященного анализу вредоносного инструмента APOMacroSploit.

А именно от продемонстрированного в нем качественного OSINT.

Исследуя одну из фишинговых атак в ноябре прошлого года Check Point обнаружили новый билдер вредоносов (звучит как имя и фамилия) под названием APOMacroSploit, который применялся 40 различными хакерами в фишинговых кампаниях.

Используя ошибку злоумышленников в OpSec исследователи смогли получить список ников всех хакеров-клиентов APOMacroSploit, среди которых есть, например, ZaiTsev (вьетнамец, наверное).

Затем ресерчеры выяснили, что авторами APOMacroSploit являются два пользователя - Apocaliptique и Nitrix. Далее подробно рассказывать не будем, прочитайте сами (это действительно интересно) как с помощью OSINT исследователи установили, что за псевдонимом Nitrix скрывается конкретный житель французского комунны Нуази-ле-Гран департамента Сен-Сен-Дени, имеющий 4-х летний опыт разработки ПО, и нашли его аккаунт в Facebook. Что же касается Apocaliptique, то Check Point смогли установить только, что он, скорее всего, также является жителем Сен-Сен-Дени.

Обнаружен первый вирус для компьютеров на Apple M1

Он может показывать рекламу и собирать данные из браузера своей жертвы.

Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.

Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.

Обнаружить эту угрозу стандартными способами невозможно.

К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.

Французов проняло - после трех подряд атак ransomware на ресурсы французских больниц за последнее время Эммануэль Макрон объявил о решительных мерах по усилению кибербезопасности.

Планируется существенно увеличить штат Агентства кибербезопасности Франции (ANSSI). В работу ANSSI и исследования в области кибербезопасности, в том числе открытие специализированного кибер-кампуса, будет дополнительно проинвестирован 1 млрд. евро.

Также в планах - удвоить количество рабочих мест в индустрии инфосека к 2025 году.

С одной стороны такой подход, с личной подачи Президента Франции, впечатляет, как и размер финансирования. А с другой - это объясняется тем, что французы существенно отстали в отрасли инфосек и теперь вынуждены экстренно реагировать на растущие киберугрозы.