Российский Центробанк все настойчивее пытается внедрить Единую биометрическую систему (сокращенно - ЁБС). Одним из требований ЦБ является обеспечение со стороны банков возможности у клиентов-физлиц получать банковские услуги с помощью мобильного приложения без личного присутствия после идентификации.

Как мы понимаем, ЦБ хочет полностью заменить личное присутствие клиента в отделении банка на мобильный функционал. И поможет в этом ̶н̶а̶у̶к̶а̶ ̶к̶и̶б̶е̶р̶н̶е̶т̶и̶к̶а̶ магия биометрии.

Не говоря в сотый раз про то, каким образом в России подходят к решению вопросов безопасности пользовательских данных (подсказка - подходят плохо), и не вспоминая известные утечки информации из банков, в том числе самых крупных, можно посмотреть как дела обстоят у более продвинутых в этом плане соседей.

Как сообщает The Register, двое граждан Китая, который чуть ли не первым в мире стал внедрять процесс проверки личности с помощью распознавания лиц, были задержаны за мошенничество с помощью обмана сервиса проверки личности Государственной налоговой администрации.

Изначально получив фотографии в высоком разрешении подозреваемые создали на их основе видео с помощью "широко доступного" приложения. Затем они взломали (или купили взломанный, тут неясно) смартфон, который позволял использовать заранее загруженные видеоролики как изображение с камеры устройства.

Система распознавания лиц все это скушала и подтвердила личность мошенников, как людей, изображенных в видео. Далее преступники создали множество фальшивых счетов, которые должны были быть оплачены.

Кроме того, подозреваемые взломали приложение для выдачи бизнес-лицензий и добавили собственные лица как законных пользователей. Занимались они всем этим безобразием с 2018 года.

Комментарии излишни.

Google Threat Analysis Group пишут, что обнаружили сайт, который, вероятно, был создан хакерами из КНДР для продолжения выявленной в январе 2021 года кампании, направленной на компрометацию инфосек экспертов.

Напомним, что начиная с середины 2020 года хакеры из APT Lazarus создали сеть аккаунтов фейковых исследователей в области информационной безопасности, а также фейковый блог, с позиций которых стали пытаться атаковать своих жертв. В январе кибероперацию выявили и все зачистили.

В марте Google обнаружили сайт securielite .com, принадлежащий якобы турецкой инфосек компании Securielite, содержащий тот же публичный PGP ключ, который северокорейцы использовали в прошлой атаке. Кроме того, они нашли несколько связанных с ним аккаунтов в Twitter и LinkedIn, например "HR Director компании Trend Macro" 😂

Исследователи говорят, что не обнаружили какого-либо вредоносного кода на сайт Securielite, в силу чего полагают, что вскрыли операцию Lazarus еще на стадии развертывания инфраструктуры.

Все аккаунты, в том числе топ-менеджера Trend Macro, на всякий случай превентивно забанили.

​​Note: текст в курсиве является первоапрельским розыгрышем.

Ну что же, все тайное рано или поздно становится явным.

Некоторые из наших подписчиков уже догадались, кто стоит за каналом SecAtor. Теперь можно сказать это официально.

Наш канал с самого начала был проектом компании Group-IB.

На сегодняшний день Group-IB - это одна из ведущих инфосек компаний не только в России, но и в мире. Наверное, все в отрасли инфосек знают про Threat Detection System (TDS), а новая система Threat Intelligence & Attribution является одной из самых продвинутых в области расследования и атрибуции кибератак как со стороны коммерческих хакерских групп, так и за авторством прогосударственных APT.

Предлагаем всем интересующимся принять участие в практических онлайн-курсах, которые проводит Group-IB:

- Threat Hunter, на котором можно познакомиться с самыми актуальными техниками, применяемыми охотниками за угрозами;

- Incident Responder, трехдневный интенсив по реагированию на инциденты;

- Malware Analyst, курс по теории и практике анализа вредоносного кода.

Наиболее успешные выпускники онлайн-курсов будут рассмотрены как кандидаты на трудоустройство в штат Group-IB.

Ну а если вы еще раздумываете, то сообщаем, что по промокоду SecAtorClass21 вас ждет 15% скидка на указанные курсы.

Что бывает, когда вопросами обеспечения непрерывности бизнеса рулят блондинки и мужчины, которые заправляют джинсы в сапоги?

ZDNet опубликовали сегодня статью по результатам интервью нового руководителя британского Национального центра кибербезопасности (NCSC) Линди Кэмерон.

Так вот Линди (брюнетка, заметим) среди посылов о том, что советы директоров компаний должны обращать должное внимание не только на план аудита на следующий год, но и на вопросы информационной безопасности, сообщила, что общалась с пострадавшими от атак ransomware организациями, у которых таки были планы по восстановлению бизнеса в случае атаки вымогателя.

Но только они не были распечатаны.

Итак, первое апреля подошло к концу, а заодно и наша шутка.

Часы бьют двенадцать раз, Золушка превращается в овощ, а наш канал снова становится независимым и анонимным.

Как вы наверняка догадались пост про нашу аффилированность c компанией Group-IB был первоапрельским розыгрышем. Но не весь!

Информация про онлайн-курсы ГрИБов, а также указанный нами промокод на скидку, - это всерьез. Так что учитесь и просвещайтесь.

А мы пока пойдем к себе в подвал, чтобы, близоруко щурясь в экраны ЭЛТ-мониторов, накопать новых интересностей из мира инфосек.

Исследователь Микко Кенттала рассказал технические подробности выявленной им в прошлом году zero-click (то есть не требовавшей от объекта атаки каких-либо действий) уязвимости CVE-2020-9922 в macOS Mail . Он нашел ее в мае прошлого года, о чем сообщил Apple в рамках их программы Bug Bounty, а в июле в версии Catalina 10.15.6 дырка была закрыта.

Но Apple решили пожмотиться и по сию пору не могут оценить размер вознаграждения, которое полагается исследователю. По этой причине Кенттала и решил обнародовать техническую информацию об уязвимости.

Ошибка содержится в механизме автоматической распаковки приложением Mail вложений, которые были автоматически сжаты другим пользователем Mail. Части несжатых данных не очищаются из временного каталога, благодаря чему хакер может получить несанкционированный доступ к записи в $ HOME/Library/Mail.

Это, в свою очередь, повлечет возможность изменения конфигурации приложения Mail и, к примеру, настройки автоматической переадресации входящих сообщений или распространения эксплойта по адресной книге жертвы. Исследователь допускает также, что дальнейшая разработка этой уязвимости могла бы привести к возможности удаленного выполнения кода (RCE).

Микко Кенттала - молодец, Apple - скряги.

​​На одном из форумов продаются базы данных клиентов России, Польши и Казахстана.

В том числе по России продаются данные из Альфа-банка (от менеджера банка, в виде фото) и из Тинькофф-банка.

Кажется опять у кого-то протекло.

Google объявили, что с 5 мая бОльшая часть приложений Play Store не сможет использовать функцию QUERY-ALL-PACKAGES, позволяющую получать данные в отношении других приложений, установленных на устройстве.

Использовать функцию можно только если это критически необходимо для работы приложения. К примеру, это допускается для антивирусных решений, файловых менеджеров, браузеров. При этом авторы ПО должны получить явное согласие пользователя и обеспечить открытость и прозрачность информации о сборе данных и их использовании.

Сейчас функция QUERY-ALL-PACKAGES зачастую применяется для сбора списка установленных приложений и последующей его продажи рекламодателям.

И вот хочется поверить, что Google заботится о конфиденциальности пользовательских данных. Но почему-то сразу вспоминается история о том, как Google пытался избежать предоставления в Apple информации о сборе данных своими приложениями согласно новой политики конфиденциальности, просто их не обновляя (а следовательно и не обновляя информацию о работе приложения). Новые версии гугловских приложений стали появляться только в марте, а некоторые из них, например Chrome для iOS, так и висят без апдейта с декабря прошлого года.

Rutube заявил о своем перезапуске.

Похоже, власти всерьез рассматривают возможность блокировки YouTube на территории России. А иначе с чего бы трогать давно засохший Rutube.

​​Эти знаменитые хакеры из ФСБ...

​​Это не выходные, а какой-то праздник утечек просто.

Сначала в паблик вывалили базу данных 533 млн. пользователей Facebook. В базе - ID пользователя, имя и фамилия, телефон и адрес электронной почты, а также прочая информация из профиля.

Представители Facebook говорят, что утечка старая и произошла еще два года назад, дырка была закрыта в августе 2019 года. Российских пользователей там почти 10 млн.

Сразу скажем, что мы про эту базу слышали раньше и даже видели ее куски (и не только мы). Судя по всему для ее составления была использована дырка, позволявшая перебором привязать телефонный номер к пользователю.

Вторая громкая утечка - вчера РБК сообщили, что в сети продается база, содержащая данные более 100 тыс. потенциальных заемщиков банка Дом .РФ. Период - с февраля 2020 по март 2021 года. Представители финансовой организации подтвердили факт утечки и сообщили, что она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита. При этом подчеркнули, что дырка закрыта, а украденные данные "не позволяют получить доступ к счетам клиентов".

Между тем, в утечке содержится сумма кредита, номер телефона, адрес электронной почты заемщика, а в части данных - еще и
ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, домашний адрес, адрес места работы, должность, размер дохода, а также информация о доверенном лице (ФИО, номер телефона, кем приходится заемщику и т.п.) и другие сведения.

Короче, утекло нормально так. Ничуть не удивляемся этому, поскольку наслышаны про процесс организации информационной безопасности и в Дом .РФ, и в его родительском учреждении в виде ВЭБ .РФ. А надо было бы пентесты и DevSecOps (ну и Bug Bounty, до кучи, но в России в это не играют).

Теперь осталось дождаться - примет ли ЦБ какие-либо меры в отношении протекшего банка. Вангуем, что просто погрозят пальчиком. А значит никаких серьезных подвижек в тамошнем инфосеке не случится.

​​Мы периодически пишем посты про уязвимости, выявленные в различных компонентах промышленных систем управления (ICS или АСУ ТП, если по-русски), в том числе от исследователей инфосек компании Claroty, специализирующейся как раз на безопасности ICS.

В последний раз это была новость о уязвимости в реализации стека ENIP от компании Real Time Automation, интегрированной многими производителями в свои решения для ICS. Ее критичность была оценена в 9,8 из 10. Нашла ошибку Шэрон Бризинов, ресерчер Claroty.

Теперь она же вместе со своим коллегой Амиром Премингером радует нас новыми дырками в решении FactoryTalk AssetCentre от одного из лидеров рынка компонентов для промышленных систем управления Rockwell Automation.

FactoryTalk AssetCentre - это инструмент автоматизированного контроля ICS. Часто используется для резервного копирования и аварийного восстановления.

Исследователи изучили возможность компрометации backup-сервера, получения доступа к данным ICS и получения прямого доступа к компонентам ICS более низкого уровня. В результате было выявлено 9 уязвимостей, каждая из которых была оценена в 10 баллов по CVSS. Само собой, большинство из них позволяло хакеру удаленно выполнять код, зачастую даже не пройдя аутентификацию.

По данным исследователей, использовав эксплойты этих уязвимостей злоумышленник мог получить прямой доступ к устройствам нижнего уровня, например к программируемым логическим контроллерам (ПЛК). А это означает, что, с большой долей вероятности, он мог бы повлиять непосредственно на технологический процесс.

Ошибки были выявлены в октябре прошлого года, а недавно Rockwell Automation исправили их, выпустив FactoryTalk AssetCentre v11. Все более ранние версии - уязвимы. Но поскольку процесс обновления устройств ICS традиционно на порядки более затянутый, то, полагаем, множество уязвимых FactoryTalk AssetCentre все еще функционируют на предприятиях.

В России и странах СНГ, судя по данным сети, Rockwell Automation FactoryTalk AssetCentre также присутствуют и участвуют в управлении технологическим процессом.

Неожиданно проснулся DrWeb и сразу с весьма интересным отчетом.

Как говорят птенцы гнезда Данилова, осенью прошлого года к ним за помощью обратился один из российских НИИ, который заподозрил присутствие вредоноса в своей сети. Результаты расследования, конечно, поразительные. Хотя чему тут удивляться.

Итак, исследователи установили, что сеть НИИ была скомпрометирована с осени 2017 года одной из APT с помощью модификации трояна Gh0st RAT, а позднее, в 2019 году, хакеры развернули в сети два других вредоноса.

Другая APT атаковала НИИ не позднее апреля 2019 года с помощью бэкдора, который Дрвебы назвали Skeye, а ранее он наблюдался американской FireEye и получил наименование HAWKBALL. Параллельно исследователи обнаружили, что этот же вредонос был развернут в мае 2019 года в сети другого российского НИИ. Эта APT также использовала авторский бэкдор DNSep и хорошо известный PlugX (хинт - он используется китайскими APT).

Ну и чтобы совсем нескучно было - в декабре 2017 года в сеть первого НИИ загнали вредонос RemShell, ранее выявленный Позитивами, причем не установлено, кто из двух атакующих APT это сделал.

Проведя атрибуцию исследователи не смогли понять, какая конкретно группа стоит за первой атакой, хотя установили, что она функционирует минимум с 2015 года. По используемой ей модификации GhostRAT можно предположить, что это китайская группа, поскольку вредонос использовался преимущественно хакерами из Поднебесной. Правда исследователи из Proofpoint в 2017 году уверенно приписывали использование GhostRAT в ходе одной из атак северокорейской Lazarus, но тут хз.

А вот вторую хакерскую группу Дрвебы определили как китайскую APT TA428, которая в 2019 году была обнаружена теми же Proofpoint. В пользу этого свидетельствуют пересечения в коде, инструментарии и вредоносной инфраструктуре. Аргументация в отчете убедительная.

Таким образом, товарищи из DrWeb в очередной раз подтвердили, что наши "любi друзi" из Пекина в процессе налаживания российско-китайской дружбы не забывают и о кибершпионаже.

P.S. Мы хотели в завершении текста написать колкость про ФСБ, но потому подумали.... и махнули рукой. Они про это даже и не в курсе, наверное. Лучше напишем в Спортлото.

​​Новая секретная разработка российских ученых для обеспечения бесперебойной работы компьютеров в условиях сверхнизких температур на военной базе Арктический трилистник (архипелаг Земля Франца-Иосифа) - волосатые процессоры!

Group-IB вскрыли три фишинговых кампании, проводимые в 2019-2020 годах и нацеленные на пользователей Польши, Турции, Италии, Испании, Украины, России и др.

Для доставки вредоносов использовались домены со словами "kremlin", "Crimea" и "putin" в названии. Между тем исследователи с высокой степенью вероятности относят кампании к кибермошенникам из Нигерии.

Как полагают ГрИБы, нигерийцы таким образом пытались мимикрировать под русских хакеров. Попытка, прямо скажем, так себе. Забыли про буденовку.

Как обычно по вечерам передаем слово Джо Словику.

Забавное интервью главы подразделения кибербезопасности ОАЭ доктора Мохамеда аль-Кувейти вышло на Haaretz.

Если вкратце, то товарищ доктор рассказывает про братскую любовь между арабами и евреями (сиречь ОАЭ и Израилем), внезапно возникшую на почве совместной борьбы с кибератаками персов (то бишь Ирана) и их ливанских друзей под руководством лидера с неудобопроизносимой фамилией Насралла (то есть членов организации Хезболла).

В качестве примера взаимодействия аль-Кувейти приводит защиту от январской атаки APT Lebanese Cedar aka Volatile Cedar (мы писали про это здесь).

Ну дружат и дружат, иблис с ними. Нас другое привлекло - цитата Игаля Унны, директора израильского Национального управления по кибербезопасности. Товарищ Унна утверждает, что "крупнейшие в кибермире разведывательные органы - это частные компании FireEye и Лаборатория Касперского, которые имеют больше информации, чем любой государственный разведывательный орган".

Если насчет FireEye особых сомнений у нас никогда не возникало, все-таки это официальный филиал ЦРУ под крышей инфосек компании, то по поводу Касперских испытываем определенные сомнения. КНК, далек все-таки товарищ Унна от реалий российского инфосека.

Или евреи знают что-то такое, что...