Поскольку на нескрепном Западе праздник объявления независимости России (от России же?) не отмечают, то 14 июня у них вполне себе рабочий день, в ходе которого повстречалось руководство G7.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
Зак Уиттакер из TechCrunch раскопал уведомление в адрес американской прокуратуры от Volkswagen Group of America о произошедшей утечке личных данных ее клиентов, включая покупателей Volkswagen и Audi.
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
TechCrunch
Volkswagen says a vendor’s security lapse exposed 3.3 million drivers’ details
The vendor left the cache of data unsecured on the internet over a two-year window.
Мы уже рассказывали про февральскую атаку на ведущего поставщика телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации SITA, в результате которой пострадали данные, хранившиеся на серверах системы SITA Passenger Service System (SITA PSS).
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
ZDNet, со ссылкой на сегодняшнее исследование инфосек компании Cybereason, сообщает, что около 80% организаций, заплативших выкуп владельцам ransomware, подверглись повторной атаке, причем почти половина из них подозревали в ней тех же вымогателей.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
ZDNET
Most firms face second ransomware attack after paying off first
Some 80% of businesses that choose to pay to regain access to their encrypted systems experience a subsequent ransomware attack, amongst which 46% believe it to be caused by the same attackers.
В прошлом году IBM создала и разместила в паблике опенсорсные инструменты для реализации полного гомоморфного шифрования (FHE).
Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могут при шифрованном вводе получить шифрованный вывод, что дает возможность производить обработку данных в недоверенной среде.
Теперь Google последовали за гигантами компьютеростроения - компания предоставила на GitHub сырцы библиотек для реализации FHE не отходя от производства.
Вприпрыжку за Google бегут товарищи из Intel и Microsoft, последняя из которых впиздрячила FHE в механизм Password Monitor своего браузера Edge.
И все эти новости не перестают нас радовать. Ведь в перспективе даже самые медленные и реакционные российские госорганы и другие страховые компании перейдут на использование FHE при обработке персональных данных. А это значит, что наша приватность будет в большей безопасности.
За что и выпьем.
Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могут при шифрованном вводе получить шифрованный вывод, что дает возможность производить обработку данных в недоверенной среде.
Теперь Google последовали за гигантами компьютеростроения - компания предоставила на GitHub сырцы библиотек для реализации FHE не отходя от производства.
Вприпрыжку за Google бегут товарищи из Intel и Microsoft, последняя из которых впиздрячила FHE в механизм Password Monitor своего браузера Edge.
И все эти новости не перестают нас радовать. Ведь в перспективе даже самые медленные и реакционные российские госорганы и другие страховые компании перейдут на использование FHE при обработке персональных данных. А это значит, что наша приватность будет в большей безопасности.
За что и выпьем.
GitHub
GitHub - google/fully-homomorphic-encryption: An FHE compiler for C++
An FHE compiler for C++. Contribute to google/fully-homomorphic-encryption development by creating an account on GitHub.
Американская инфосек компания Secureworks сделала разбор ransomware Hades. Не очень большой, но содержательный.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Secureworks
Hades Ransomware Operators Use Distinctive Tactics and Infrastructure
Commonalities revealed during multiple Secureworks incident response engagements provided insights into the GOLD WINTER threat group’s tactics, techniques, and procedures.
Forwarded from Pipiggi
Security-новости от Александра Антипова (securitylab.ru). Выпуск #21
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
YouTube
Microsoft закрывает 0day-уязвимости, Apple снова платит, Маск рушит биткоин. Security-новости, #21
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
Когда мы год назад писали обзор активности северокорейской хакерской группы Lazarus мы упомянули о том, что, как считается, эта APT состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Securelist
Andariel evolves to target South Korea with ransomware
We observed a novel infection scheme and an unfamiliar payload. After a deep analysis, we came to a conclusion: the Andariel group was behind these attacks.
Информзащита выпустила эротический календарь - знакомьтесь, infosecaas.ru (осторожно, 18+).
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
На прошедшей встрече Путина с Байденом в Женеве последний передал Президенту России список из 16 секторов критической инфраструктуры, в отношении которой кибератаки недопустимы.
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Twitter
Jennifer Jacobs
Biden says he gave Putin a list of 16 things that are off limits for cyber attacks on critical infrastructure.
Очередная новость про ransomware - на Украине правоохранительные органы арестовали причастных к ransomware Cl0p хакеров и отключили их вредоносную инфраструктуру.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
cyberpolice.gov.ua
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним компаніям пів мільярда…
Департамент Кіберполіції Національної поліції України
Insikt Group Recorded Future удалось отдеанонить целую китайскую АРТ RedFoxtrot благодаря проколу в OpSec одного из ее участников.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
FireEye Mandiant, которая скоро будет просто Mandiant, выпустили материал про хакерскую группировку, которую они называют UNC2465, ранее являвшуюся одним из основных операторов ransomware Darkside (владельцы которого ответственны за взлом трубопровода Colonial Pipeline).
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Google Cloud Blog
Smoking Out a DARKSIDE Affiliate’s Supply Chain Software Compromise | Google Cloud Blog
Борьба с "пиратством" выходит на новый уровень. Почему в кавычках? Потому что считаем, что информация должна свободно распространяться, а современные механизмы доната и краудфандинга спокойно могут заменить традиционный институт авторского вознаграждения (которое, по большому счету, вовсе не авторское, а издательское).
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Sophos News
Vigilante malware rats out software pirates while blocking ThePirateBay
A collection of malware samples revives a decade-old HOSTS modification trick to block hundreds of websites
Не далее как неделю назад Google выпустили апдейт для Chrome, в котором закрыли используемую в дикой природе 0-day уязвимость CVE-2021-30551 браузерном движке V8.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 91.0.4472.114 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
—Партнерский пост—
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
• Основная программа — доклады о новейших методах атак, безопасности прошивок, десктопных, мобильных устройств и ОС. • Web Village — о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty. • Defensive Track посвящен безопасной разработке, DevSecOps, обнаружению инцидентов. • Hardware Zone — зона пересечения интересов людей, связанных с аппаратной и программно-аппаратной безопасностью. • Воркшопы — мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов. • Активности и тематические конкурсы — от Академии Digital Security, баг-баунти от Bitaps, а также CTF от комьюнити-партнеров. • Маркет с авторским мерчем десятой хакерской конференции ZeroNights. Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
С нарастанием хайпа вокруг темы ransomware стало появляться все больше детальных обзоров деятельности той или иной хакерской группы, стоящей за очередным штаммом вымогателей.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Forwarded from Эксплойт | Live
Эксперт нашёл баг в работе Wi-Fi на iPhone
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
Не стареют душой ветераны цифрового чучхе!
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.