FLoCoff (nofloc): разворачивается масштабная кампания по противодействию попыткам Google внедрить FLoC (противоречивый альтернативный идентификатор для сторонних файлов cookie), которую корпорация без предупреждения уже тестирует на миллионах пользователей Chrome.

Вчера браузер Brave, ориентированный на конфиденциальность и возглавляемый соучредителем Mozilla и ключевым разработчиком JavaScript Бренданом Эйхом удалил FLoC из всех версий браузера.

По мнению разработчика, вместо того, чтобы помочь спроектировать и построить сеть, ориентированную на пользователей и конфиденциальность, Google предлагает технологий, наносящие ущерб конфиденциальности пользователей под видом обеспечения конфиденциальности.

Более того, в компании уверены, что Google будут вынуждены отказаться от FLoC потому, как прекрасно отдают себе отчет в том, что система скорее всего никогда не станет востребована среди рекламодателей в нужных им объемах.

Вслед за Brave сегодня браузер Vivaldi на основе Chromium также удалил FLoC. Vivaldi категорично намерена отказаться от FLoC API независимо от того, как он реализован, поскольку не видит смысла «непреднамеренно отдавать свою конфиденциальность ради финансовой выгоды Google».

Пока что интересы американского гиганта аккуратно поддержала лишь Microsoft, которая также использует Chromium в качестве основы для своего нового браузера Edge.

❗️Законопроект об уголовной ответственности за массовые утечки персональных данных готов — глава Минцифры РФ Шадаев

Позитивам прилетело от Министерства финансов США.

Мы разберём этот кейс позднее, а пока давайте пожелаем коллегам спокойствия и хладнокровия.

Итак, 15 апреля Министерство финансов США объявило о внесении ряда российских физических и юридических лиц в чёрный список Управления по контролю над иностранными активами. В их число попали 6 технологических компаний, в том числе Positive Technologies.

Что на самом деле произошло и каковы будут последствия? Давайте напряжём память и включим режим чтения между строк.

Начнём с выяснения откуда ноги растут.

Мы неоднократно писали о весьма чувствительных исследованиях Позитивов в отношении продуктов Intel. Результаты этой работы "хайли лайкли" указывают на присутствие у Интела бэкдора АНБ. Впрочем, пока никто не решился публично показать на "наглую рыжую морду" и назвать вещи своими именами. Можете себе представить какой поднялся бы ор, если бы американская инфосек-компания нашла нечто похожее в российском продукте. Кровавые ошмётки полетели бы во все стороны и никто бы не стал разбираться был ли суслик или нет. В октябре мы предупреждали, что активность рисёрчеров в этом направлении может привести к неприятным санкционным последствиям, что, собственно, и произошло. Однако мы не склонны считать, что одно вытекло из другого. Не исключено, что исследования напомнили Минфину США об этой занозе и переполнили чашу терпения.

Мероприятие Positive Hack Days де-факто стало одним из главных глобальных инфосек-мероприятий для практикующих пентестеров. Наломали (в прямом смысле слова) там много дров и обидели многие американские компании. Однако и здесь мы не видим реальной причины для включения Позитивов в санкционный список. Подобных мероприятий множество, да и сама компания придерживалась индустриальных практик ответственного раскрытия уязвимостей. Эта причина настолько ничтожна, что вряд ли сыграла какую-то роль даже в "переполнении чаши терпения". Даже несмотря на то, что в тексте пресс-релиза указано "hosts large-scale conventions that are used as recruiting events for the FSB and GRU". Под это определение можно подвести любое инфосек-мероприятие.

Читаем дальше. "Positive Technologies...supports Russian Government clients, including the FSB". Почему в санкционном списке тогда нет Касперского или отчаянно прикидывающихся сингапурцами Group-IB и длинного перечня других разработчиков, которые "support Russian Government clients"? Неужели про них просто забыли? Нет, скорее всего эта фраза - только прелюдия, квик интродакшн новому члену чёрного списка.

Дальше становится интереснее. "Positive Technologies was also designated today pursuant to E.O. 13694, E.O. 13382, and CAATSA for providing support to the FSB". Каким образом Позитивам пришили указ 13382, который относится к мерам против распространения оружия массового поражения - это только Минфину известно. А вот указ 13694 - совсем другое дело. Он однозначно указывает на подозрения в участии компании во враждебных кибероперациях против США, но дальше никакой конкретики. К такому подходу в наказании неугодных не привыкать, но нам почему-то пришёл в голову недавний отчёт аналитического центра Atlantic Council, в котором рассматриваются коммерческие контракторы, помогающие правительствам разных стран в кибероперациях. В отчёте фигурирует израильская NSO Group, эмиратская Dark Matter и российская компания под криптонимом ENFER. Уж не здесь ли собака зарыта? Если это действительно так, то пиарщикам Позитивов надо приготовиться к мощному шторму с громом, молниями и попкорном

Что дальше?

Мы полагаем, что санкции не будут для бизнеса Positive Technologies фатальными, поскольку компания обслуживает в основном российские организации. Вероятен временный просад показателей на волне ужаса некоторых неуравновешенных клиентов. А вот с планами IPO придётся на некоторое время завязать. Пессимистичные (но не распродажные) настроения потенциальных акционеров считываются по курсу облигаций Позитивов в моменте просевших на 2%.

Малварь IcedID, или же Bokbot, уверенно входит в переводовой арсенал киберподполья, позиционируясь эффективной заменой ликвидированного в январе этого года ботнета Emotet.

IcedID впервые был обнаружен в 2017 году как классический банковский троян. Первоначально малварь применялся в ходе спамрассылок на электронную почту с вредоносным вложением под документы Office, полезная нагрузка позволяла красть данные учетных записей онлайн-банкинга и выводить средства со счетов клиентов.

Позже рентабельнее стало запилить малварь по модели «вредоносное ПО как услуга» (MaaS), IcedID был конфигурирован в «загрузчик», предоставляя возмездный доступ к зараженным компьютерам другим преступным группировкам.

К этому времени лидирующее положение на рынке MaaS занимал Emotet благодаря большому набору функций, быстрому циклу разработки и высокому уровню заражения, однако правоохранители решили иначе и в январе 2021 свернули его активность.

В поисках альтернативы для обеспечения доступа к зараженным компьютерам и корпоративным сетям кибергруппы оперативно переориентировались на аналоги Dridex, Trickbot и Qakbot. Но оказывается, судя по последним отчетам инфосек-компаний, реальным преемником Emotet становится именно IcedID, о чем уже заявили Binary Defense, Check Point, Cyjax и даже в Microsoft.

За последнее время малварь резко набрал и диверсифицировал методы доставки для распространения своей полезной нагрузки, с легкостью достигнув уровня сложности своих MaaS-конкурентов. Среди них: компрометация форм обратной связи, использование электронных таблиц Excel (XLS), содержащих вредоносные макрос-скрипты Excel 4.0 XLM, защищенные паролем файлов ZIP, скрывающие вредоносные файлы Word и Excel, поддельные установщики программного обеспечения, маскирующие вредоносные электронные таблицы XLS и Word Файлы GZIP и др.

«Широкий ассортимент» IcedID указывает на его активное задействование сразу несколькими группами в качестве дроппера.

Эффективная полезная нагрузка позволяет злоумышленникам использовать его в качестве плацдарма для атаки на другие сегменты корпоративных сетей и расширения доступа. Поэтому не удивительно, почему Maze/Egregor так плодотворно юзали IcedID, получая доступ к корпоративным сетям для кражи данных и шифрования файлов, пока их не прикрыли.

Новые перспективы для IcedID открывают участившиеся атаки с его использованием для развертывания REvil (Sodinokibi), в связи с чем многие компании уже пересмотрели свое видение обновленного ландшафта угроз, а если не успели - по всей видимости, отреагируют по факту, когда в конечном итоге столкнутся с требованиями многомиллионного выкупа.

Если до сих пор не обновили версию мессенджера WhatsApp до 2.21.4.18, то поспешите это сделать.

Сегодня исследователи из Census Labs раскрыли уязвимости безопасности в приложении для Android (до 9-ки включительно), которые могут быть использованы в ходе атаки MitM для удаленного выполнения вредоносного кода на устройстве и кражи конфиденциальной информации, в том числе ключей шифрования.

Все, что нужно сделать злоумышленнику - это заставить жертву открыть вложение HTML-документа. Уязвимости реализуются через ошибки в модуле Chrome для поставщиков контента в Android (CVE-2021-24027) и обходе политики ограничения доменов в браузере (CVE-2020-6516). При этом исполняемый вредоносный код может обеспечить злоумышленнику доступ к файлам в незащищенной внешней области хранения, в том числе ключам сеанса TLS.

Затем вооружившись ключами, злоумышленник может затем организовать атаку, вызвав преднамеренно ошибку нехватки памяти на устройстве жертвы, а следом за ней запуск механизма отладки. Он, в свою очередь, загружает закодированные пары ключей вместе с журналами приложений, системной информацией и другим содержимым памяти на выделенный сервер хранения журналов сбоев («crashlogs.whatsapp.net»). Идея эксплойта MitM состоит в том, чтобы программно вызвать исключение, которое инициирует сбор данных и загрузку, для последующего перехвата соединения и отправляемой конфиденциальной информации.

Несмотря на то, что Census Labs не располагают сведениями об использовании атаки в «дикой природе», но мы то прекрасно помним как ранее вскрытые уязвимости WhatsApp использовались для внедрения шпионского ПО на устройства журналистов и правозащитников.

Второй месяц продолжаются нападки голландских журналистов на китайскую корпорацию Huawei. Ссылаясь на секретные отчеты, старейшее издание Нидерландов De Volkskrant обвиняет китайскую технологическую компанию в шпионаже.

В 2009 году голландский оператор связи KPN обратился к Huawei и реализовал решения китайской компании в своих сетях связи. Проект вели шесть сотрудников центрального офиса Huawei в Гааге, деятельность которых на тот момент попала в поле зрения Службы внутренней безопасности AIVD в связи с подозрениями в использовании иностранцами позиции компании в интересах разведки.

После обращений силовиков поставщик услуг связи привлек Capgemini для оценки потенциальных рисков, связанных с Huawei, прежде всего, специалистов попросили изучить возможность шпионажа со стороны китайцев. Выводы специалистов оказались крайне неутешительными, а результаты отчета были засекречены. KPN Mobile оказался на грани отзыва лицензий и без связи могли остаться более 6,5 миллионов абонентов.

Capgemini пришли к выводу, что Huawei имели бесконтрольный и неограниченный доступ к прослушиванию любого абонента KPN, в том числе тогдашнего премьер-министра Яна Петера Балкененде, различных министров и китайских диссидентов, однако зафиксировать конкретные инциденты им не удалось. Кроме того, Huawei также знала, какие номера прослушивались полицией и спецслужбами. Ранее De Volkskrant выяснили, что китайская компания также имела доступ к данным клиентов Telfort, дочерней компании KPN.

Несмотря на все обоюдные отрицания участников скандала, по результатам работы Capgemini оператор отказался от сотрудничества с китайским гигантом в пользу западных поставщиков и начала масштабную модернизацию всей сети связи.

Похоже, что в борьбе спецслужб за телекоммуникационный рынок Нидерландов китайцам в виду общегосударственного скандала придется экономически отступить, но переключить всю страну на новое оборудование в раз точно не удастся, о чем говорят в самой KPN.

Инициированная против КНР операция влияния в борьбе за телекоммуникационный рынок не приведет в сиюминутным результатам, но точно поможет европейским чиновникам «освоить» новые бюджеты или получить политические дивиденды, ну а тем временем офис Huawei продолжает свою работу.

Сегодня ГрИБы раскрыли сведения о начавшейся скам-атаке на пользователей Facebook в 84 странах мира, которую злоумышленники реализуют через мошенническую схему, рассчитанную на инсталляцию владельцами аккаунтов фейкового обновления Facebook Messenger.

Для этого злоумышленники распространяли рекламные публикации со ссылками на доступные обновления, которые по факту представляли фишинговый сайт с фиктивной формой для авторизации. В итоге жертва могла потерять доступ к своему аккаунту и “слить” другие свои персональные данные. При этом мошенники не только умело играют на человеческих чувствах — любопытство, страх, жажда наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.

Устремления хакеров понятны, ведь Facebook является крупнейшей социально сетью и насчитывает более 2,7 млрд. пользователей. К настоящему времени ГрИБами обнаружено 5700 фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, а количество поддельных профилей социальной сети, которые использовались в данной схеме, — почти 1000. При этом сама схема экспертами Group-IB Digital Risk Protection разрабатывается с лета 2020 года.

Похоже, что спойлер кому-то серьезно подпортил планы, а заодно - как выяснилось и годы подготовки. Кина не будет.

Apple представила новый iPad Pro, AirTag, iMac и клавиатуру с Touch ID

Так, iPad Pro получил экран с подсветкой mini-LED, а так же 2 ТБ встроенной памяти и поддержку 5G.

Модели iPhone 12 и iPhone 12 mini теперь станут доступны в фиолетовом цвете.

Кроме этого, компания представила AirTag — брелок, который позволит искать потерянные вещи с помощью смартфона.

Что касается iMac, он получил обновлённый дизайн и более тонкую конструкцию, а так же клавиатуру Magic Keyboard с Touch ID, новую Magic Mouse и трекпад.

Полный список новых устройств и обновлений доступен на сайте компании.

​​СВР открыла передовую онлайн-приемную в формате SecureDrop, позволяющую ей принимать сообщения пользователей об угрозах национальной безопасности через сеть Tor.

Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.

При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.

Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.

Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP.

Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских организаций.

Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.

По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.

Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.

Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021.

​​На Positive Technologies начинает накатываться эхо ранее объявленных санкций со стороны США.

Компания сообщила в своём Твиттере, что их учётная запись в YouTube заблокирована. Наверняка это "первая ласточка" и остальные соцмедийные платформы скоро последуют примеру Google. На самом деле больше волнует другое: Позитивов должны будут отключить от своей инфраструктуры все американские компании. А потом вообще все организации, которые не хотят отхватить от дядюшки Сэма путёвку в SDN.

Непростые времена у коллег. Давайте ещё раз пожелаем им не терять оптимизма.

​​Риторика санкции находит свое эффективное применение не только в плоскости политики, сообщество разработчиков Linux наложили запрет на дальнейшее участие Университета Миннесоты (UMN) в проекте. О «санкциях» сегодня заявил главный разработчик ядра Linux Грег Кроа-Хартман.

Поводом для такого бескомпромиссного и новаторского решения стало исследование UMN под названием «Незащищенность открытого исходного кода: незаметное внедрение уязвимостей с помощью лицемерных коммитов». Его суть такова: группа исследователей преднамеренно пытались внедрить известные уязвимости безопасности в ядре Linux, отправляя серию коммитов с вредоносным кодом в официальную кодовую базу. Конечно же, для чистоты эксперимента детали проводимой Университетом «исследовательской» операции ни перед кем не разглашались.

Учитывая как далеко исследователи могли зайти, Кроа-Хартман отменил все коммиты, отправленные с любого из адресов электронной почты UMN, вернуть исправления разработчики намерены после повторной проверки всех предложенных исправлений.

По мнению Open Source Security Inc. каким бы провокационным не было исследование вопрос безопасности процесса установки исправлений в программном обеспечении с открытым исходным кодом, остается актуальным: количество обращений к разработчикам Linux с подозрительными патчами за последнее время резко увеличилось. Несмотря на все доводы Кроа-Хартман пошел на принцип и удалил все исправления, в том числе и те, которые закрывали реальные баги.

Возвращаясь к нашей аналогии с санкциями: в конечном счете проигрывают все стороны, а к этому времени реальные выгодоприобретатели уже вовсю шерстят все блокнутые патчи и готовят эксплойты.

​​Ранее мы уже упоминали про тактику двойного вымогательства, которая была призвана повысить эффективность атак с использованием ransomeware. Операторы Darkside более творчески подошли к процессу и взяли на вооружение новый один прием давления на жертв из числа компаний, представленных на фондовых рынках.

Среди прочих популярностью у хакеров также пользуются следующие методы: холодные звонки с угрозами жертвам, переговоры с руководством или ответственным за выплату выкупа лицом, раскрытие информации об атаке контрагентам, угрозы проведения DDoS-атак, утечки в СМИ, анонимные обращения в надзорные органы с сообщениями об инцидентах, давление на клиентов компании-жертвы.

Команда Darkside публично заявила, что будет взаимодействовать с трейдерами, сливая им информацию об атакуемых компаниях в качестве инсайда заблаговременно до придания широкой огласке факта атаки.

Полагаясь на эффект публично раскрытой кибератаки на фондовый рынок, представители Darkside будут публично разоблачать жертв, обрушивая котировки их акций на фондовых рынках. Помимо помощи в заработках трейдерам, они рассчитывают также заставить других жертв активнее платить выкуп.

Однако специалисты инфосек слабо верят в высокую эффективность нового вектора, ведь ни одна из предыдущих атак программ-вымогателей не была достаточно серьезной, чтобы нанести долгосрочный ущерб листингу компании на рынке, при этом цена снижалась лишь незначительно в моменте. Кроме того, в погоне за быстрыми деньгами «намазанные» трейдеры могут попасть в поле зрения регулирующих органов, а их деятельность может быть расследована со всеми вытекающими последствиями.

На деле статистика говорит об обратном, в растущем объеме атак с использованием вымогателей - будет расти и доля жертв, давление на которых будет реализовано всеми доступными методами, в том числе и влиянием на их положение на финансовых рынках.

​​В субботу ушел из жизни Дэн Камински (@dakami), знаменитый, без шуток, инфосек эксперт.

Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops, был назначен ICAAN авторитетным представителем сообщества и многое другое.

Говорят, что возможной причиной смерти стали осложнения после прививки Pfizer. 42 года было чуваку.

R.I.P., чо.

Минфцифры предложило сделать предустановленные приложения удаляемыми

Теперь производители устройств должны обеспечить возможность удаления предустановленных приложений.

Примечательно, что 19 апреля документ был опубликован на официальном сайте, но спустя 4 дня его удалили.

В Минцифры сообщили, что его направили на согласование с ФАС, Минэкономики и Роспотребнадзором.

По словам ведомства, это нужно для доработки поправок с учётом всех замечаний.

В конце прошлой недели стало известно, что американская компания Gyrodata, специализирующаяся на технологиях бурения, пострадала в результате атаки ransomware.

Gyrodata является одним из крупнейших игроков на этом рынке, работает более чем в 50 странах мира и поставляет, в числе прочего, продукты в области направленного бурения, например управляемые роторные системы (RSS). Понятно, что вмешательство в работу поставляемых американской компанией систем могут привести к аварии при проведении буровых работ, скажем, на нефтескважине. А там недалеко и до локальной экологической катастрофы.

Пока что картина выглядит так - в период с 16 января по 22 февраля 2021 года злоумышленники проникли в сеть Gyrodata, после чего расширял свое присутствие в ней. В результате атаки часть информации была украдена - пока что заявляется только о личных данных сотрудников компании.

Безусловно, поставщик решений для нефтесервисных компаний напрямую к критической инфраструктуре не относится и с ICS какого-нибудь нефтеперерабатывающего завода его сеть сравнивать нельзя. Но так-то SolarWinds тоже ни разу не пункт управления ядерным вооружением, а ты гляди ж какой скандал поднялся, когда компанию скомпрометировали и внедрили в ПО трояна.

Не устанем повторять - вопросы информационной безопасности в условиях стремительного развития информационных технологий являются архиважными и, зачастую, намного более значимыми, чем вопросы безопасности физической. Однако забор поставить у нас никогда не забывают, а вот на защиту внешнего периметра сети забивают периодически.

​​Мы уже не один раз писали про пугающую нас тенденцию в западном инфосеке, согласно которой главной проблемой становится "отсутствие разнообразия в кибербезопасности" (к примеру, здесь)

Ну так вот получите очередную итерацию диверситибесия от Forbes.

Существо Таави Маст (мы, согласно правилам политкорректности, не стали директивно определять его гендер и не назвали, к примеру, товарищем) сетует, что различные # BLM и прочие # MeToo мало повлияли на разнообразие в стройных интравертных рядах инфосек экспертов и поэтому необходимо срочно внедрить новый хэштег - # InfoSecSoWhite.

Ведь, согласно имеющимся данным, женщины составляют лишь 14% сотрудников в области кибербезопасности, а афронегры (страшно сказать!) встречаются лишь в 3% случаев среди инфосек аналитиков в США. А еще в информационной безопасности мало геев (хотя некоторое специалисты могут с нами поспорить, потому что, по их мнению, CISO - тот еще ЛГБТшник).

Ну и пути решения Таави Маст предлагает известные - повышенные зарплаты угнетаемым, квоты на занимаемые должности по расовому, гендерному и другим признакам и прочую ересь.

Подскажем Масту еще одну требующую внимания проблему - по данным международных исследований в области медицины 100% пациентов в родильных домах являются женщинами. Необходимо изобрести хэштег # IWantToGetPregnantToo и срочно вводить квоты!

Вчера Apple выпустили обновления macOS 11.3 Big Sur вместе с iOS 14.5, а также обновления безопасности для более старых версий macOS - Catalina и Mojave.

Если вы пользуетесь Mac, то вы должны установить эти обновления как можно скорее. И вот почему.

Свежий апдейт, в числе прочего, закрывает 0-day уязвимость CVE-2021-30657, которая эксплуатируется в дикой природе. Эта ошибка позволяет хакеру обходить элементы зашиты macOS - Gatekeeper, Notarization и File Quarantine - и сразу запускать неподписанный вредонос.

Подробнейшим образом весь процесс обнаружения этой уязвимости описал исследователь Патрик Уордл, а мы лишь заметим, что ошибка заключалась в том, что любое приложение на основе сценария при отсутствующей файле метаинформации Info.plist ошибочно квалифицировалось macOS как "не bundle" и обрабатывалось в обход механизмов защиты. Похоже, что уязвимость появилась вместе с введением в macOS 10.15 в октябре 2019 года нотаризации приложений.

В январе 2021 года Уордл обратился к коллегам из компании Jamf, которые в результате поиска обнаружили эксплойт CVE-2021-30657 в дикой природе, а именно в дроппере Shlayer. Вредонос распространяется преимущественно через поисковую выдачу и загружает на атакованную машину полезную нагрузку.

Исходя из всего вышесказанного жизненно необходимо срочно обновить свои Mac. А заодно и все остальные устройства Apple.