Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.

В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.

В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.

В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.

Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.

Просто Каталин - румын, он так видит.

​​Месяца не прошло с того момента как Cisco закрыла критическую RCE-уязвимость CVE-2021-1479 в SD-WAN vManage, а на подходе уже свежие.

Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.

А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.

Что-то кучно пошло. Переживаем за Лукацкого...

Мы долго ждали, когда же до этого дойдет - и вот, нате!

Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".

Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.

ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".

И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!

Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.

Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...

Исследователи из израильской Check Point сообщили, что обнаружили уязвимость CVE-2020-11292 в чипсете Mobile Station Modem (MSM) от Qualcomm.

Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.

Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.

Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.

Дорогие друзья!

На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.

Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.

Поэтому мы решили спросить об этом вас.

​​Ну что же, по результатам опроса комментарии пока открывать не будем.

Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.

А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.

Лаборатория Касперского вчера опубликовала отчет в отношении кибероперации TunnelSnake.

TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.

В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.

Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).

Sophos рассказывает о расследовании атаки оператора ransomware Ryuk на Европейский институт биомолекулярных исследований, занимающийся, в частности, проектами по изучению COVID-19.

В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.

В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.

Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.

Все-таки выдать лицензию студенту оказалось бы дешевле.

​​Дорогие друзья!

Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.

Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).

Ура!

​​—Партнерский пост—

Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.

Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.

Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.

То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.

Рекомендуем. Пользуйтесь.

​​Владельцы ransomware DarkSide, которых обвинили в причастности к громкому взлому американского трубопровода Colonial Pipeline (мы по этому поводу завтра дадим отдельный большой пост), выпустили своеобразный пресс-релиз, в котором заявили буквально следующее.

"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.

А еще некоторые говорят что Рафик топит за Иран, но это не так."

(конечно не так, там русскоязычные все - и владелец, и операторы).

​​Как обещали, пишем про взлом Colonial Pipeline.

7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.

Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.

Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как мы писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.

Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).

И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.

Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.

Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.

На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.

Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.

Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.

Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".

Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться, наконец, расследованием киберпреступлений, а этого им ох, как не хочется.

Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.

Черный день сегодня, конечно.

Никаких комментариев поводу Казани писать не будем, мы не специалисты.

Наши соболезнования.

​​Apple все никак не может починить свою функцию App Tracking Transparency по отслеживанию активности приложений по сбору пользовательской информации , которая была введена в конце апреля в iOS 14.5.

Даже после выпуска срочного апдейта iOS 14.5.1 функция заработала не у всех - иногда ее включение в настройках так и остается неактивным.

Журналисты ZDNet предлагают промежуточное решение, которое может помочь сделать App Tracking Transparency активной. Ничего сложного - логаут из AppStore, перезагрузка девайса, логин в AppStore. Говорят, что некоторым помогает.

Остальным предлагается ждать iOS 14.5.2.

​​Сегодня такой вот день, что прямо не к месту хаханьки.

Но картинка, которую мы разместим ниже у нас лично смеха и не вызывает. Это горькая реальность современного инфосека на критических инфраструктурных объектах. И на этом, полагаем, погорели Colonial Pipeline.

​​А пока все увлеченно обсуждают различные подробности преступного пути группы, стоящей за ransomware Darkside, как-то подзабылись другие хакеры-владельцы вымогателя Babuk, которые стали звездами новостной ленты 2 недели назад.

Напомним, тогда они не только успешно атаковали сеть полицеского управления Вашингтона, но и начали выкладывать личные данные офицеров полиции, поскольку представители власти не спешили выйти на контакт. Также они угрожали опубликовать имена полицейских информаторов внутри организованной преступности.

Несколько же дней спустя Babuk вдруг неожиданно объявили о том, что прекращают свою деятельность и сосредоточатся на разработке open source RaaS.

Однако ветер переменился и вымогатели также передумали вешать своего шифровальщика на гвоздь.

На прошедших праздниках Babuk добавили на свой сайт утечек данные о новой жертве - японской Yamabiko Corporation, у которой они украли 0,5 Тб конфиденциальных данных.

Yamabiko - производитель электроинструментов, сельхозтехники, а также другого оборудования. Годовой доход - более 1 млрд. долларов. Сама жертва пока официальных комментариев не дает.

Сегодня же Babuk опять вспомнили про вашингтонскую полицию. Видимо, какой-то переговорный процесс между полицейскими и хакерами все это время шел, но не привел к общему знаменателю.

"Переговоры зашли в тупик, предложенная сумма нас не устраивает, поэтому мы выкладываем данные еще 20 офицеров полиции, пароль на архив будет завтра".

Эта серия явно не последняя, посмотрим действительно ли решатся вымогатели выкинуть данные, которые могут угрожать здоровью и жизни людей.

М-м-м, а это разве было для кого-то секретом?

ЛОЛ (установка русской клавиатуры в Windows предотвращает заражение вирусами-вымогателями DarkSide и подобными)

https://twitter.com/briankrebs/status/1392163072970829830

Бельгийский исследователь Мэти Ванхоф обнаружил несколько уязвимостей в стандарте Wi-Fi, которые появились еще в 1997 году. Это с трудом укладывается в голове, но некоторые ошибки из набора, получившего название FragAttacks, появились 24 года назад, даже не при Путине!

Три уязвимости из FragAttacks являются конструктивными недостатками Wi-Fi и поэтому им подвержено большинство устройств. Затронуты все протоколы безопасности стандарта, включая последний WPA3. Полную информацию Ванхоф обещает сообщить в соответствующем докладе на конференции USENIX Security '21 в августе этого года.

На специально созданном сайте Ванхоф разместил демо эксплуатации обнаруженных уязвимостей, в котором показал перехват конфиденциальной информации, перехват управления устройствами IoT и даже взлом находящейся в локальной сети машины (правда под управлением Windows 7).

По словам исследователя, информацию об уязвимостях (всего их 12 штук) он сообщил в Wi-Fi Alliance и в течение последних 9 месяцев организация совместно с производителями оборудования работала над их исправлениями. Правда, как обычно, апдейты выпустили далеко не все, поэтому в отдельном разделе Ванхоф рекомендации по снижению влияния уязвимостей.

Более подробная информация - в первоисточнике, там ее достаточно много.