​​Мы периодически пишем посты про уязвимости, выявленные в различных компонентах промышленных систем управления (ICS или АСУ ТП, если по-русски), в том числе от исследователей инфосек компании Claroty, специализирующейся как раз на безопасности ICS.

В последний раз это была новость о уязвимости в реализации стека ENIP от компании Real Time Automation, интегрированной многими производителями в свои решения для ICS. Ее критичность была оценена в 9,8 из 10. Нашла ошибку Шэрон Бризинов, ресерчер Claroty.

Теперь она же вместе со своим коллегой Амиром Премингером радует нас новыми дырками в решении FactoryTalk AssetCentre от одного из лидеров рынка компонентов для промышленных систем управления Rockwell Automation.

FactoryTalk AssetCentre - это инструмент автоматизированного контроля ICS. Часто используется для резервного копирования и аварийного восстановления.

Исследователи изучили возможность компрометации backup-сервера, получения доступа к данным ICS и получения прямого доступа к компонентам ICS более низкого уровня. В результате было выявлено 9 уязвимостей, каждая из которых была оценена в 10 баллов по CVSS. Само собой, большинство из них позволяло хакеру удаленно выполнять код, зачастую даже не пройдя аутентификацию.

По данным исследователей, использовав эксплойты этих уязвимостей злоумышленник мог получить прямой доступ к устройствам нижнего уровня, например к программируемым логическим контроллерам (ПЛК). А это означает, что, с большой долей вероятности, он мог бы повлиять непосредственно на технологический процесс.

Ошибки были выявлены в октябре прошлого года, а недавно Rockwell Automation исправили их, выпустив FactoryTalk AssetCentre v11. Все более ранние версии - уязвимы. Но поскольку процесс обновления устройств ICS традиционно на порядки более затянутый, то, полагаем, множество уязвимых FactoryTalk AssetCentre все еще функционируют на предприятиях.

В России и странах СНГ, судя по данным сети, Rockwell Automation FactoryTalk AssetCentre также присутствуют и участвуют в управлении технологическим процессом.

Неожиданно проснулся DrWeb и сразу с весьма интересным отчетом.

Как говорят птенцы гнезда Данилова, осенью прошлого года к ним за помощью обратился один из российских НИИ, который заподозрил присутствие вредоноса в своей сети. Результаты расследования, конечно, поразительные. Хотя чему тут удивляться.

Итак, исследователи установили, что сеть НИИ была скомпрометирована с осени 2017 года одной из APT с помощью модификации трояна Gh0st RAT, а позднее, в 2019 году, хакеры развернули в сети два других вредоноса.

Другая APT атаковала НИИ не позднее апреля 2019 года с помощью бэкдора, который Дрвебы назвали Skeye, а ранее он наблюдался американской FireEye и получил наименование HAWKBALL. Параллельно исследователи обнаружили, что этот же вредонос был развернут в мае 2019 года в сети другого российского НИИ. Эта APT также использовала авторский бэкдор DNSep и хорошо известный PlugX (хинт - он используется китайскими APT).

Ну и чтобы совсем нескучно было - в декабре 2017 года в сеть первого НИИ загнали вредонос RemShell, ранее выявленный Позитивами, причем не установлено, кто из двух атакующих APT это сделал.

Проведя атрибуцию исследователи не смогли понять, какая конкретно группа стоит за первой атакой, хотя установили, что она функционирует минимум с 2015 года. По используемой ей модификации GhostRAT можно предположить, что это китайская группа, поскольку вредонос использовался преимущественно хакерами из Поднебесной. Правда исследователи из Proofpoint в 2017 году уверенно приписывали использование GhostRAT в ходе одной из атак северокорейской Lazarus, но тут хз.

А вот вторую хакерскую группу Дрвебы определили как китайскую APT TA428, которая в 2019 году была обнаружена теми же Proofpoint. В пользу этого свидетельствуют пересечения в коде, инструментарии и вредоносной инфраструктуре. Аргументация в отчете убедительная.

Таким образом, товарищи из DrWeb в очередной раз подтвердили, что наши "любi друзi" из Пекина в процессе налаживания российско-китайской дружбы не забывают и о кибершпионаже.

P.S. Мы хотели в завершении текста написать колкость про ФСБ, но потому подумали.... и махнули рукой. Они про это даже и не в курсе, наверное. Лучше напишем в Спортлото.

​​Новая секретная разработка российских ученых для обеспечения бесперебойной работы компьютеров в условиях сверхнизких температур на военной базе Арктический трилистник (архипелаг Земля Франца-Иосифа) - волосатые процессоры!

Group-IB вскрыли три фишинговых кампании, проводимые в 2019-2020 годах и нацеленные на пользователей Польши, Турции, Италии, Испании, Украины, России и др.

Для доставки вредоносов использовались домены со словами "kremlin", "Crimea" и "putin" в названии. Между тем исследователи с высокой степенью вероятности относят кампании к кибермошенникам из Нигерии.

Как полагают ГрИБы, нигерийцы таким образом пытались мимикрировать под русских хакеров. Попытка, прямо скажем, так себе. Забыли про буденовку.

Как обычно по вечерам передаем слово Джо Словику.

Забавное интервью главы подразделения кибербезопасности ОАЭ доктора Мохамеда аль-Кувейти вышло на Haaretz.

Если вкратце, то товарищ доктор рассказывает про братскую любовь между арабами и евреями (сиречь ОАЭ и Израилем), внезапно возникшую на почве совместной борьбы с кибератаками персов (то бишь Ирана) и их ливанских друзей под руководством лидера с неудобопроизносимой фамилией Насралла (то есть членов организации Хезболла).

В качестве примера взаимодействия аль-Кувейти приводит защиту от январской атаки APT Lebanese Cedar aka Volatile Cedar (мы писали про это здесь).

Ну дружат и дружат, иблис с ними. Нас другое привлекло - цитата Игаля Унны, директора израильского Национального управления по кибербезопасности. Товарищ Унна утверждает, что "крупнейшие в кибермире разведывательные органы - это частные компании FireEye и Лаборатория Касперского, которые имеют больше информации, чем любой государственный разведывательный орган".

Если насчет FireEye особых сомнений у нас никогда не возникало, все-таки это официальный филиал ЦРУ под крышей инфосек компании, то по поводу Касперских испытываем определенные сомнения. КНК, далек все-таки товарищ Унна от реалий российского инфосека.

Или евреи знают что-то такое, что...

​​В сети появилось сразу несколько сайтов, благодаря которым можно проверить попали ли ваши данные в свежую утечку Facebook.

Например, на haveibeenfacebooked.com можно поискать по номеру телефона (создатели пишут, что не собирают персональные данные, в отличие от Facebook), а на haveibeenzucked.com можно глянуть по имени и другим полям.

Специалисты IBM Security X-Force представили результаты ежегодного исследования ландшафта угроз X-Force Threat Intelligence Index.

Тренды пятилетней давности возвращаются - организации в сфере финансов стали главной целью злоумышленников. Но есть и более серьезные изменения - промышленность заняла второе место в списке целей, поднявшись с восьмого в 2019 году. В пятерку наиболее пострадавших от кибератак вошли также компании в области страхования и энергетики, предприятия розничной торговли и услуг. Традиционно свои 8% удерживают атаки на государственный сектор.

Само собой, что количество атак ransomware опять выросло, при этом более 36% публичных утечек были связаны с действиями вымогателей. В целом, ransomware уверенно набирает вес и теперь их доля атак составляет почти четверть всех зафиксированных случаев - 23%. Хотя, как известно, латентность тут очень высока и многие компании не сообщают о произошедших атаках дабы не портить свою репутацию (если только SEC не заставит).

Тем не менее IBM сообщает, что операторам REvil, которые заняли прочное первое место после ухода Maze, удалось заработать 123 миллионов долларов и украсть 21,6 Тб данных. Мы думаем - существенно больше.

Отдельно нас беспокоит ̶Г̶о̶н̶д̶у̶р̶а̶с̶ почти двукратный рост выявленных в промышленных системах управления (ICS) уязвимостей - 468. При этом убеждены, что это число не отражает реальное количество дырок, а напрямую ограничивается количеством работ в этой не самой популярной области инфосек исследований.

Кроме этого обратим внимание на серьезный рост (на 160%) атак, направленных на кражу данных.

Остальные цифры - в отчете.

Жалеешь что не вложил в биткоин в 2010 году?
Пока в новостях хайпят на цене биткоина, в мире есть сотни криптовалют и только один канал про крипту: Incrypted.

> У этих ребят берёт интервью Медуза;
> Они знают что произойдет с Биткоином;
> Для новичков есть бесплатный курс: «погружение в крипту за 7 дней»;

> Ежедневные сводки по цене криптовалют;
> Каждую неделю парни делают видео-дайджест;
> Держат руку на пульсе крипто-рынка;

Подписывайся на Incrypted и будь в тренде.

​​На известном форуме продают базу клиентов Белбанка - ФИО, номера карт, телефоны и домашние адреса присутствуют. Подскажите им там, что протекло.

​​В рамках программы Zero Day Initiative от японской инфосек компании Trend Micro проходит онлайн мероприятие Pwn2Own 2021 (штаб сидит в Ванкувере).

Результаты первого дня:

- команда Jack Dates инфосек компании RET2 Systems путем эксплуатации целочисленного переполнения и записи за пределы границ в Apple Safari смогла добиться выполнения кода в ядре macOS;

- команда Devcore засветила с вертухи в башню многострадальному Microsoft Exchange, сумев обойти аутентификацию и повысить свои привилегии;

- команда OV с использованием "пары багов" смогла скомпрометировать Microsoft Teams и добиться удаленного выполнения кода;

- еще кое-что по мелочи, типа локального повышения привилегий в Windows 10 и Ubuntu.

Впереди еще два дня мероприятия. Так что ждем новых успешных эксплойтов, а также волны внеочередных апдейтов от пострадавших производителей (а заодно и волны атак с использованием новых уязвимостей).

Вчера компания SAP совместно с инфосек компанией Onapsis выпустили новый отчет в отношении актуальных киберугроз пользователям ПО немецкого производителя.

Там много чего написано, но нас заинтересовало лишь одно число - по мнению исследователей, пользователи SAP подвергаются атакам в среднем через 72 часа после выхода очередного обновления, закрывающего ту или иную уязвимость.

Как полагают ресерчеры, как только апдейты становятся доступны хакеры начинают проводить их реинжиниринг, чтобы получить данные в отношении закрытой свежей уязвимости и разработать ее эксплойт.

Мы полагаем, что этот временной промежуток плюс-минус можно отнести и к другим большим программным продуктам.

Запомните, CISO и CIO, в среднем у вас 72 часа на то, чтобы безопасно обновить ваше ПО и железки, дальше действовать начинают злоумышленники. Полагаем, это время можно использовать в качестве ориентира в локальных политиках обновления (мы же надеемся, что они у вас есть, не так ли).

Check Point выкатили отчет о новом вредоносе для Android, который маскируется под Netflix, а распространяется через WhatsApp.

Малварь носит название FlixOnline и рекламируется как мобильное приложение для просмотра контента Netflix. Однако после установки никакого кина у пользователя, само собой, не будет.

А будет вредонос, который прослушивает уведомления о входящих сообщениях WhatsApp и автоматически отвечает на них рекламой о "2-х месяцах бесплатного Netflix", содержащей подтянутую с управляющего центра полезную нагрузку либо фишинговую ссылку.

За 2 месяца, по данным Check Point, вредонос скачали всего порядка 500 пользователей. Однако вторичных зараженных через рассылки WhatsApp может быть намного больше.

Ну формально Facebook, кагбэ, правы - взлома платформы как такового не было, было использование некоторых допусков в ее механизмах.

«нет, нет, нет, ваши данные украли не через взлом наших систем, а просто через сбор информации с нашей платформы», убеждает пользователей официальное заявление Фейсбука. Как будто это имеет значение для пользователей, данные которых доступны в сети теперь бесплатно всем желающим
https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/

Скачивая обновления на свой девайс, всегда рассчитываешь на то, что производитель бережливо позаботился о устранении багов в ПО, особенно если они связаны с безопасностью и обеспечением конфиденциальности личных данных.

Также полагали и владельцы смартфонов немецкой компании GigaSet, которая ранее работала под брендами Siemens Mobile и BenQ-Siemens и была одним из крупнейших производителей мобильных телефонов в начале 2000-х годов до эры смартфонов.

В минувшую пятницу пользователи девайсов на базе Android забросали форумы поддержки Google сообщениями о сбоях работы и дистанционной установке на устройствах приложении без ведома их владельцев. Упоминалось, что телефоны превращались в своего рода «скайнет» и начинали производить различные манипуляции с браузерной рекламой, сервисом SMS и сообщений WhatsApp. Более глубокий анализ инцидентов свидетельствует о краже личной информации и компрометации пользовательских аккаунтов Facebook.

Как выяснили Gigaset хакеры получили доступ к серверу обновлений и развернули вредоносное ПО. И несмотря на доводы компании о том, что инцидент затронул не всех пользователей, а только тех, кто получил обновления прошивки с одного конкретного сервера, владельцам устройств все же следует задуматься об безопасности личных данных, хранившихся в памяти скомпрометированных устройств.

Владельцам моделей GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 и GS4 можно не переживать - им удалось избежать атаки.

Достаточно иллюстративный пример того, как под атаку на цепочку поставок попадают рядовые пользователи.

Позавчера Google опубликовали комментарии к апрельским обновлениям безопасности Android, которые вышли 1 и 5 апреля.

Оказалось, что в числе других патчем была закрыта критическая уязвимость CVE-2021-0430, благодаря которой хакер с помощью специально созданного файла может добиться выполнения кода в привилегированном процессе.

Вспоминаем про 72 часа и максимально быстро обновляемся.

Кстати, нам пришла интересная мысль назвать эти 72 часа "золотыми" по аналогии с "золотыми 4 часами" в медицине, в течение которых последствия инсульта еще обратимы.

Касательно вчерашней новости про обыски у админа ТГ-бота Глаз Бога имеем сказать следующее.

Сразу заметим, что не до конца понятно (по крайней мере мы в открытых источниках информации не нашли) кто именно из силовиков проводил обыск у предполагаемого админа канала. Судя по закрытости и оперативности - ФСБ.

Каким же последствиями это грозит. А самыми простыми - по информации, которая регулярно циркулировала, в том числе в Телеграме, стоящая за проектом Глаз Бога команда скорее всего собирала поисковую историю своих клиентов. Мы уверены в этом с вероятностью 90%.

Если ФСБ (или МВД, не принципиально) действительно хлопнули одного из админов Глаза Бога и серьезно работают по остальным членам команды, то эта поисковая история либо уже оказалась в руках правоохранителей, либо окажется там в ближайшем будущем.

Таким образом, существует весьма отличная от 0 вероятность того, что силовики смогут привязать историю пробивов к конкретным персонам - мы ведь помним, что если очень захотеть, то можно ̶в̶ ̶к̶о̶с̶м̶о̶с̶ ̶п̶о̶л̶е̶т̶е̶т̶ь̶ выяснить конечного абонента ТГ (Футляр от Виолончели, не?).

Конечно это не коснется админа Васи из Бутово, который пробивал телефонный номер телки из бара, админ Вася никому не интересен. А вот более значимые личности вполне могут быть подсвечены.

С учетом того, что, по слухам, Глазом Бога пользовались для пробива чуть больше чем все спецслужбы стран ближнего зарубежья, а возможно и не только ближнего, а также службы безопасности крупных корпоративных структур, количество вибрирующих людей, полагаем, зашкаливает (честно говоря, мы допускаем, что история с пробивными ботами вообще началась из-за "навальновского" разоблачения).

Мораль? А она простая - нехрен пользоваться анонимными пробивными ТГ-ботами.

Twitter вёл переговоры о покупке Clubhouse

Сумма сделки могла составить около $4 млрд.

По данным Bloomberg, переговоры на данный момент не ведутся. Причина их остановки пока неизвестна.

К сожалению, ни одна из компаний никак не комментирует возможную сделку.

Напомним, что в конце прошлого года Twitter запустила аналог Clubhouse — Spaces, который сейчас находится на стадии тестирования.

Также, по словам издания, Clubhouse ведёт переговоры об инвестициях, оценка которых тоже может вырасти до $4 млрд.