​​Буквально вчера 👆мы предполагали, что новый инцидент с SolarWinds обещает быть весьма интересным. Так и получилось.

По-началу, обстоятельства инцидента оставались нераскрытыми, однако отъехать по-тихому, даже оперативно выпустив патч Serv-U (v15.2.3 HF2), SolarWinds не удалось. 

Под давлением инфосек-сообщества Microsoft заявили, что к серии атак с использованием CVE-2021-35211 была причастна китайская APT, именуемая DEV-0322.

Согласно отчету Microsoft телеметрия Defender зафиксировала аномальные вредоносные процессы, инициируемые приложением Serv-U, что в конечном итоге привело к расследованию и обнаружению серии продолжающихся атак.

Выдав в паблик подробный отчет, Microsoft не сообщили, на какие системы конкретно были направлены атаки. Но, предположить несложно, особенно зная, что в ходе предшествующих атак DEV-0322 были нацелены на компании в сфере ВПК США (DIB).

В общем, компании, использующие FTP-серверы Serv-U, могут защитить себя от возможных атак, установив патч компании или отключив SSH-доступ к серверу. Однако, принимая во внимание заявленный локальный характер инцидента и единственного актора, клиентам Serv-U за пределами DIB переживать сильно не стоит.

Но, мы по-прежнему в предвкушении нового геополитического скандала.

​​Сегодня взбудораженные поклонники инфосека пытаются понять, что же случилось на самом деле: сразу после телефонного разговора лидеров РФ и США веб-сайты и сервера банды вымогателей REvil странным образом закрылись.

По сведениям Аль Смита из Tor Project, записи DNS для доменов, используемых хакерами, были извлечены или внутренняя инфраструктура DNS была отключена, попросту - стёрта.

LockBit отметили на хакерском форуме XSS, что, по слухам, REvil стерли свои сервера после того, как узнали о претензиях к ним со стороны спецслужб. Согласно другим сведениям, исчезновение было вызвано запросами со стороны органов, в котором фигурировала используемая хакерами серверная инфраструктура. Сразу после этого аккаунт REvil на XSS также ушел в бан, при этом админы в даркнете традиционно блокируют своих пользователей в случае попадания их в разработку правоохранителями.

А вообще, мы подробно писали о том, что  происходит сейчас с Revil: вспомните ровно два возможных выхода из сложившейся с ransomware ситуации, ведь подобный порядок вещей сильные мира сего долго терпеть уже не в состоянии.

А для протокола конечно же найдутся где-то в Магадане или Ростове, или еще где парочка студентов с компами и жесткими, из которых вываливались бы исходники ransomware, а в придачу и постеры Anonymous.

А как вы хотели? Кина для взрослых не будет.

Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.

Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).

Первый недостаток затрагивает управляемые  процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.

Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.

SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.

Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.

Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).

​​Отличился не только SAP, отметился и Microsoft своим эпическим патчем, включающим исправления в общей сложности 117 уязвимостей безопасности, включая 9 ошибок нулевого дня, которые эксплуатируются в дикой природе.

В общем расклад такой: 13 имеют рейтинг критических, 103 - важных, а 1 - средней степени серьезности.

Обновления охватывают Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS и Visual Studio Code.

Под закаточный конвейер разработчиков конечно же попал проблемный диспетчер очереди печати (CVE-2021-34527), уязвимости ядра Windows, связанные с повышением привилегий (CVE-2021-31979 и 33771), косяки модуля сценариев, приводящие к повреждению памяти (CVE-2021-34448).

Исправленные уязвимостей нулевого дня также затрагивают: Microsoft Exchange Server (CVE-2021-34473 - удаленное выполнение кода и CVE-2021-34523 - повышение привилегий), Active Directory (CVE-2021-33781 - обход функций безопасности), Windows ADFS (CVE-2021-33779 - аналогично), Windows (CVE-2021-34492 - подделка сертификатов и CVE-2021-34458 - удаленное выполнение кода), Windows DNS Server (CVE-2021-34494 - удаленное выполнение кода).

Кроме того, Microsoft также устранила уязвимость обхода безопасности в биометрической аутентификации Windows hello (CVE-2021-34466), которая позволяла подделать лицо и получить доступ в систему.

MSFT в целом уже близки в тому состоянию, когда количество трансформируется в качество: в мае и июне они закрыли 55 и 50 дыр соответственно. Но, что-то зная мелкомягких, думает, что им ещё долго вести бой в тенью.

Обновлением могут похвастаться и владельцы вредоносного ПО BIOPASS, новые функции которого обнаружили спецы из Trend Micro.

Они установили, что с виду обычный троян удаленного доступа (RAT) на Python обладает совершенно новой функцией, которой нет ни в одной другой вредоносной программе: он реализует потоковую передачу видео с экранов жертв. Функция реализована благодаря применению OBS Studio RTMP (протокол обмена сообщениями в реальном времени) для записи экрана пользователя и трансляции его на панель управления злоумышленника.

Он был замечен в ходе расследования атак китайские сайты, связанные с азартными играми. RAT маскировался под дистрибутивы Adobe Flash Player или Microsoft Silverlight, которые все еще юзаются в Китае, несмотря на то, что срок их службы истек. Распространялись заражённые установщики через вредоносный JavaScript на страницах технической поддержки игровых ресурсов. 

Несмотря на отсутствие официальной атрибуции Trend Micro заявила, что к атакам с использованием BIOPASS причастна китайская Winnti или APT41, что соответствует ее почерку. Как известно помимо кибершпионажа в сферу интересов хакеров также входили игровые онлайн-компании по всей Юго-Восточной Азии.

Согласно исследованию Trend Micro значительная часть функций BIOPASS была заточена под местные китайские организации. Вероятно, APT41 задействовалась кураторами для решения внутренних задач, связанных с получением личных данных пользователей популярных веб-браузеров и мессенджеров, используемых обычно в материковом Китае.

Панику среди своих клиентов наводит SonicWall, распространяя срочное сообщение о готовящейся атаках ransomware с использованием украденных учетных данных.

Разработчик рекомендовал немедленно отключить от сети Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с  устаревшей прошивкой 8.x. Для более глубокого внушения клиентам были даже разосланы персональные email.

Решение действовать на упреждение руководством SonicWall было принято после консультаций Mandiant и другими авторитетными ребятами.

Эксплуатация нацелена на известную уязвимость, которая была исправлена в более новых версиях микропрограммы. Так, в прицел хакеров попали: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016) или SSL-VPN200/2000/400 (EOL 2013/2014). Им в безальтернативном формате рекомендуется обновиться до последней доступной прошивки и сменить пароли.

При этом если устройство не поддерживает обновление до прошивки 9.x, то дальнейшее использование невозможно и неизбежно, по мнению SonicWall, приведёт к целенаправленной атаке вымогателей. В этой ситуации разработчик готов предоставить бесплатный виртуальный SMA 500v до 31 октября 2021 года.

Компания не раскрывает актора и характера имеющихся у них сведений о деятельности вымогателей.

Но две недели об уязвимости в Network Security Manager представителям SonicWall сообщали Positive Technologies, в июне критические ошибки в SonicWall Network Security Appliance (NSA) выявили Tripwire.

Кроме того, ранее в этом году исследователи из команды NCC Group вскрыли инциденты с применением программ-вымогателей FiveHands, а FireEye - с использованием и SOMBRAT.

Воодушевляет представителей SonicWall лишь незначительное число неисправленных устройств. Как бы ни было - любая атака в последнее время лишь усиливает общее напряжение, вызванное ransomware.

Четко отработали испанские силовики, которым удалось отследить и арестовать 16 подозреваемых, причастных к отмыванию похищенных с использованием банковских троянов Mekotio и Grandoreiro денежных средств. 

Четкости им добавляет и тот факт, что это их вторая крупная операция после задержания в марте 4 подозреваемых за распространение банковского трояна FluBot Android.

Операция под руководством Guardia Civil с кодовым наименованием Aguas Vivas (Живые воды) завершилась следственными действиями сразу после залива очередного транша в 3,5 миллионов евро.

В ходе облав у подозреваемых была изъята техника и документы, следы на которых подтверждали, что банде удалось украсть более 276 470 евро с банковских счетов, скомпрометированных с помощью вредоноса.

Преступники действовали в составе хорошо структурированной и иерархичной группы, выполняя фактически функции обнала. Для вывода краденной валюты они переводили их на подставные счета, снимая их в последующем наличными в банкоматах, переводами по картам BIZUM, REVOLUT и др.

По мнению специалистов ESET и Kaspersky, успешная реализация испанских силовиков свидетельствует о серьёзной недооценки угроз, исходящих от хакерских групп, причастных к распространению Mekotio и Grandoreiro.

Считается, что штаммы являются работой бразильских групп, которые предоставляют софт другим бандам, реализующим их распространение и отмывание похищенных средств. Сам malware представляет собой классический банковский троян под Windows, который распространяется посредством спуфинга электронной почты. ВПО заточено под сбор учётных данных более чем 30 различных банковских проломам и сервисов. После вывода денег со счета злоумышленники блокировали работу компьютеров.

О перепрофилировании вредоносного ПО под европейский банковский сектор в начале 2020 предупреждали в Лаборатории Касперского, чьи выводы также поддержала ESET по результатам своих исследований. При этом наибольший ущерб бал нанесён именно пользователям из Испании.

Будем надеяться, что добытые в ходе Aguas Vivas позволят испанским силовикам выйти и обезвредить операторов вредоносного ПО, ну а пока пожелаем быть не менее последовательными и чёткими.

​​🔥Эксперты опубликовали прогнозы рынка модели Zero Trust на 2021-2028 годы.
🔥Размер глобального рынка решений кибербезопасности, использующих модель Zero Trust (модель безопасности с нулевым доверием), был оценен в 19,8 млрд долларов США в 2020 году, и ожидается, что совокупный годовой темп роста (CAGR) составит 15,2% с 2021 по 2028 год.
🔥Пандемия коронавирусной инфекции (COVID-19) помогла предприятиям осознать важность концепции нулевого доверия для защиты своих важнейших данных. Сфера информационной безопасности радикально изменилась — сотрудники теперь работают удаленно, используя уязвимую сетевую инфраструктуру.
🔥Внедрение подхода безопасности с нулевым доверием гарантирует, что только авторизованные лица имеют определенный уровень доступа

​​Не знаешь куда пристроить свою старую PS4? А вот предприимчивые украинские геймеры построили крупнейшую подпольную майнинг-ферму в стране.

На днях тысячи PS4 были конфискованы, а их владельцы арестованы СБУ за незаконную добычу крипты.

В реальности обвинения были предъявлены за кражу электричества. Сама ферма располагалась в промышленной зоне города Винницы, на территории заброшенного склада, который когда-то принадлежал АО «Винницаоблэнерго».

В общей сложности на металлических стойках было смонтировано около 3800 игровых консолей, а также было найдено более 500 видеокарт и 50 процессоров. По данным силовиков, ущерб от украденной электроэнергии составил от 186 200 до 259 300 долларов в месяц. Однако в коммунальной компании заявили, что никакими доказательствами кражи электроэнергии не располагают.

Судя по всему, урожайные площади перешли в руки новых более способных фермеров.

Под конец недели подведем небольшие итоги и поделимся, пожалуй, важными результатами латания дыр и устранения багов вендорами-тяжеловесами:

- 12,7% всех сайтов сети Интернет удалось спасти команде Cloudflare от возможной компрометации благодаря устранению критической уязвимости в бесплатном CDNJS с открытым исходным кодом. Он обслуживает миллионы веб-сайтов с более чем 4000 библиотек JavaScript и CSS, публично хранящихся на GitHub. Эксплойты уязвимости включали публикацию пакетов в CDNJS Cloudflare с использованием GitHub и npm для активации уязвимости обхода пути и, в конечном итоге, удаленного выполнения кода. В случае эксплуатации уязвимость могла бы привести к полной компрометации инфраструктуры CDNJS.

- В популярных плагинах WooCommerce и WooCommerce Blocks компании Automattic, предназначенном для WordPress, была устранена критическая ошибка. До момента выпуска патча уязвимыми оставались более 5 миллионов сайтов. Оба плагина получили обновление до версии 5.5.1. Исправление устраняет недостаток в двух файлах PHP, которые позволяли внедрять вредоносный код в операторы SQL без необходимости аутентификации. Злоумышленник, воспользовавшись этой уязвимостью SQL-инъекции, может получить информацию о магазине, административные данные, а также данные о заказах и клиентах.

- Разработчик популярного проекта программно-определяемого радио KiwiSDR удалил бэкдор, дающий root-доступ к радиоустройствам. SDR предназначены для замены аппаратного обеспечения радиочастотной RF связи программным или встроенным программным обеспечением для выполнения операций по обработке сигналов, для которых обычно требуются аппаратные устройства. По признанию автора, бага присутствовала во всех версиях устройств для обеспечения удаленного администрирования и отладки. Несмотря на то, что устройства KiwiSDR в основном действуют как радиоприемники, стоит отметить, что вход в систему с использованием жестко запрограммированного мастер-пароля дает доступ на уровне root к консоли устройства (на базе Linux), что позволяет злоумышленникам проникнуть в устройства, захватить их и начать обход соседних сетей, к которым они подключены.

Как мы и предсказывали в этом деле 👆аутсайдерами остаются Microsoft, вынужденные исправлять и переисправлять косяки диспетчера очереди печати Windows.

В дополнение к многострадальному PrintNightmare исследователем Бенджамином Делпи, создателем Mimikatz, обнаружена еще одна бага, обусловленная отсутствием проверки разрешений при установке драйверов печати, позволяющей накатывать вредонос для удаленного выполнения кода или локального повышения привилегий в уязвимых системах.

Новый локальный метод повышения привилегий эффективен при применении мер защиты: не спасет даже недавнее обновление безопасности KB5004945 (которое и само по себе, как оказалось, дырявое и вовсе не спасает от PrintNightmare). Он основан на стандартных процедурах Windows, позволяющих администратору устанавливать любые драйвера принтера (даже те, которые могут быть заведомо вредоносными), а пользователю без прав админа - устанавливать на свои устройства подписанные драйвера.

Таким образом, злоумышленнику для успешной эксплуатации баги достаточно создать вредоносный драйвер печати и подписать его с помощью доверенного сертификата Authenticode. Получив подписанный пакет драйвера, установить его на любое другое сетевое устройство, на которое у него есть права администратора. А затем использовать это «поворотное» устройство для получения привилегий SYSTEM на других устройствах, где у них нет повышенных привилегий, просто установив вредоносный драйвер.

Вы скажете не баг, а фитча: но для Microsoft - это скорее всего судьба.

Исследователи продолжают расчехлять Windows Print Spooler.

На этот раз после тщательного изучения API-интерфейсов печати Windows создатель Mimikatz исследователь Бенджамин Делпи раскрыл еще одну уязвимость нулевого дня, которая позволяет злоумышленнику повысить привилегии на компьютере или удаленно выполнить код.

Все благодаря функции автоматической загрузки и выполнения вредоносной библиотеки DLL, когда клиент подключается к серверу печати, находящемуся под контролем злоумышленника. Во время установки принтера поставляемое поставщиком установочное приложение может указать набор файлов любого типа, которые будут связаны с конкретной очередью печати. При запуске вредоносной DLL она будет работать с правами SYSTEM и может использоваться для выполнения любой команды на компьютере.

CERT оперативно сообщили, как можно противодействовать новой ошибке. Помочь может блокировка исходящего SMB-трафика на границе сети, чтобы предотвратить доступ к удаленному компьютеру. При этом следует помнить, что для для установки драйверов без использования SMB, злоумышленник, по-прежнему, может использовать этот метод с локальным сервером печати. Но лучший способ предотвратить эту уязвимость - ограничить Point and print списком утвержденных доверенных серверов.

Всем пользователям Microsoft Windows лишь пожелаем удачной недели.

Отметили для себя новую парадигму: все чаще межправительственные конфликты проистекают из IT-плоскости. Вот небольшой дайджест, судите сами:

1. Правительство Великобритании в лице Национального центра кибербезопасности (NCSC) официально возложило вину за кибератаки на Microsoft Exchange Server с использованием уязвимостей ProxyLogon на КНР, поддержав в этом вопросе своих союзников: США, ЕС и НАТО. Актором признали APT Hafnium, а всю кампанию признали крупномасштабным шпионажем. Под раздачу попали также две другие группы, известные как APT40 и APT31, которых обвинили в связях с МГБ КНР. Согласно данным британской разведки, APT40 вели работу в отношении компаний в сфере различных секторов промышленности США и ЕС, а APT31 реализовывало целевки на правительственных и политических деятелей. Существенно нового к атрибуции добавить британцы не смогли. Но вот Минюст США сегодня объявил в розыск 4 граждан КНР - членов АРТ 40, а 3 из них - были офицерами МГБ и еще 1 хакер-наемник goodperson или ha0r3n. Все они, по данным США, использовали подставную компанию Hainan Xiandun как прикрытие. После бесед с русскими, воодушевлённый запад переориентировался на восток, только упреки Байдена в данном случае пришлось подкреплять королевскими регалиями. Ничего нового, мы уже об этом вас информировали.

2. Серьезный пинок прилетел Израилю, предоставляющему серьезные наступательные возможности в сфере ИБ правительствам и частным компаниям по всему миру: NSO Group, реализующая на рынок шпионское ПО Pegasus для таргетированных атак на мобильные устройства, стала фигурантом громкого публичного расследования НКО Forbidden Stories, Amnesty International и СМИ-гигантов, в том числе Guardian. Суть претензий - использование ПО для шпионажа за правозащитниками, политическими диссидентами, неугодными журналистами и прочими политическими деятелями со стороны спецслужб стран, закупивших софт, вопреки заявленным задачам по борьбе с терроризмом и преступностью. Pegasus способен по своим ТТХ вести наблюдение за смартфонами на базе iOS и Android, получая полный доступ к их камерам, микрофонам и файловой структуре. При этом журналисты каким-то образом достали список из 50 000 номеров, состоящих на контроле в NSO Group. Как выяснилось, заражение было подтверждено «в десятках случаев». Согласно списку - следили даже за президентами. Учитывая инициированную в 2020 году проверку компании со стороны ФБР и накопившихся претензий от Microsoft, Google, Cisco и Facebook источники утечки как бы налицо. Удивляться не стоит - сильные мира делят сферы влияния.

3. Прилетело 👆еще с одного фланга: Microsoft и Citizen Lab заявили, что израильская компания Candiru причастна к разработке и применению DevilsEye, который представляет собой штамм вредоносного ПО для Windows, предоставляющий клиентам полный доступ к зараженному устройству после его разворачивания в целевой системе. Жертвами Candiru, по мнению исследователей, стали более 100 политиков, правозащитников, активистов, журналистов, ученых, дипломатов и политические диссиденты. Microsoft отметили, что распространялось DevilsEye посредствам веб-сайтов с размещенными эксплойтами под уязвимости браузеров, а на втором этапе - под саму ОС. К ним относятся два Chrome zero-days (CVE-2021-21166 и CVE-2021-30551), один Internet Explorer (CVE-2021-33742) и два в ОС Windows (CVE-2021-31979 и CVE-2021- 33771).

Похоже, что на очереди новые обладатели санкционных плюшек. В ближайшее время ждем новых сенсаций. Сноуден уже отличился, назвав происходящее «историей года»: многообещающе, не правда ли.

Оказывается начиная с 2005 года на протяжении 16 лет драйвер принтеров HP, Xerox и Samsung имел уязвимость, которая затрагивает сотни миллионов устройств и миллионы пользователей по всему миру и дает хакерам права администратора.

Доисторический баг открыли SentinelOne, присвоив ему CVE-2021-3438. Исследователи славятся тем, что ранее уже находили ошибку повышения привилегий 12-летней давности в Microsoft Defender, которая давала рута в незащищенных системах Windows.

На этот раз им удалось выяснить, что ошибка кроется в переполнении буфера в драйвере SSPORT.SYS для определенных моделей принтеров, которое может привести к локальному повышению привилегий пользователя. Самое печальное, что драйвер с ошибками автоматически устанавливается вместе с программным обеспечением принтера и загружается Windows после каждой перезагрузки системы. Ошибкой можно злоупотреблять, даже если принтер не подключен к целевому устройству. Для успешной эксплуатации требуется доступ локального пользователя, а это означает, что злоумышленникам необходимо сначала закрепиться на целевых устройствах, после этого они могут применять багу.

Несмотря на то, что примеры эксплуатации CVE-2021-3438 в дикой природе не обнаружены, производители настоятельно рекомендуют как можно скорее применить исправления.

Желающие получить 10 миллионов долларов от правительства США могут поделиться информацией со спецслужбами и махнуть пальцем на причастных к атаке с использованием ransomware на хостинг-провайдера Cloudstar.

Компания управляет центрами обработки данных в США, предоставляет облачные услуги для организации в сфере ипотченого кредитования, недвижимости, страхования, юриспруденции, финансов и местного самоуправления, в том числе обеспечивает хостинг виртуальных рабочих столов, программ, а в некоторых случаях поддерживает и вовсе всю IT-структуру.

В результате изощренной атаки пошифровалась почта и вся информация на серверах, основными бенефициарами которых были риэлторы и промышленники. Конечно не крах Фени Мэй и Фреди Мак, но секторальный ущерб все же оказался значимым, Cloudstar даже начала переговоры с хакерами и отчаянно пытается восстановить данные своих клиентов.

Самыми сладкими клиентами вымогателей все ще остаются веб-хостинговые компании, которые всегда платят выкуп. Достаточно вспомнить инциденты с Swiss Cloud, Managed.com, Equinix, CyrusOne, Cognizant, X-Cart, A2 Hosting, SmarterASP.NET, Dataresolution.net, iNSYNQ, Internet Nayana и др.

Но не в этом случае, ведь предметом выкупа операторы ransomware могут оказаться сами. Впрочем поглядим, репутация новой киберкоманды CISA на кону.

​​Вновь назначенная кибервоеначальница CISA, как мы и предсказывали, приступила к активным наступательным действиям. Можно вздохнуть, потому как все активности выражаются пока что в новых публичных обвинениях в адрес КНР, России и Ирана.

CISA и FBI заявили о предпринятых в период 2011 - 2013 атаках APT, курируемых КНР, на 23 компании в области топливно-энергетического комплекса США. По заключению спецслужб, китайским хакерам удалось проникнут на 13 объектов, 3 были близки к взлому и 8 - с неуточненным статусом.

Деятельность APT была описана как кампания целевого фишинга, преследующая задачи сбора инсайдерской информации, относящейся к SCADA, в том числе в отношении сотрудников, учетных данных и системных руководств. Кроме того, по оценке CISA и ФБР, успешные атаки позволяли китайской стороне закрепиться в инфраструктуре и использовать бэкдор при необходимости для диверсий.

В догонку США выкатили обвинения Ирану в реализации атак с использованием вредоносного ПО Shamoon (W32.DistTrack) и новый вагон претензий к России: вменили использование вредоносного ПО Havex против систем промышленного контроля, припомнили ПО CrashOverRide, и атаки на критически важную инфраструктуру Украины, ну и не обошлось без атрибуции атак на промышленные системы управления посредством ПО BlackEnergy v2 и v3 в период с 2011 по 2016 год.

В ответ на агрессивную риторику США и союзники представитель МИД КНР Лицзянь Чжао назвал Соединенные Штаты главной хакерской империей в мире и отметил, что фактически США являются крупнейшим источником кибератак в мире. Вспомнили их программы прослушки за союзниками и грязные операции разведки в ЕС и Австралии.

Зачетное время наступило для конспирологов, раздувающих мифы о глобальной войне. Но контуры ее могут быть не столь очевидны, как последствия новых кибератак, которые могут быть предприняты одной из сторон в качестве превентивных мер.

Чего ожидать - однозначно, что качественной переоценки взглядов на современный инфосек.

В шпионском списке Pegasus обнаружили номер Макрона и 14 других глав государств

Из-за утечки данных, к Forbidden Stories попал список из 50 тыс. номеров, предположительно выбранных для слежки через шпионскую программу Pegasus.

По условиям соглашения, эту программу можно использовать только для слежки за особо опасными преступниками и террористами.

Однако, как мы видим по базе слитых номеров, кто-то считает опасными журналистов, правозащитников, бизнесменов и даже политических деятелей.

А буквально вчера стало известно, что в этом также списке содержатся номера аж 14 глав государств, включая Францию, Пакистан и ЮАР.

Авторитетные Check Point раскрыли фишку нового вредоносного ПО XLoader, заточенного под системы macOS.

Оказалось, что его кодовая база совпадает с Formbook, функционал которого позволял собирать учетные данные из различных веб-браузеров, скриншотить экраны, логировать нажатия клавиш, разворачивать полезные нагрузки в системах под управлением ОС Windows. Наследник перенял весь арсенал и способен также собирать учетные данные для входа в систему яблочника.

Такая роскошь доступна в Darknet за 49 долларов США, ровно за такой прайс операторы предлагают лицензию. И ровно поэтому ПО приобрело высокую популярность  среди хакеров, которым с его помощью удалось с начала 2021 инфицировать системы в 69 странах, причем 53% случаев заражения были зарегистрированы только в США, затем уже - в КНР, Мексике, Германии и Франции. Для доставки обычно использовались рассылки электронных писем с вредоносными файлами Microsoft Office.

Не менее востребованным, как отмечают Check Point, был Formbook, продажи которого стартовали в январе 2016 года и прекратились в октябре 2017, успев стать третьим среди самых распространяемых штаммов ВПО, заразив 4% организаций по всему миру. Вскоре продажи модернизированного ПО возобновились на том же форуме под брендом XLoader в феврале 2020 года. 

XLoader фактически сокращает существовавший до настоящего времени разрыв на рынке malware, адаптированного под MacOS и Windows системы. Можно считать, что яблочники лишились своего негласного привилегированного положения среди юзеров.

Набирает обороты скандал вокруг израильской компании NSO Group, реализующей на рынок лицензируемые технологии для шпионажа, в фокус общественности попало ПО Pegasus.

В Индии по этому поводу разразился настоящий «Уотергейт», а во Франции на расследование инцидента брошены все силы спецслужб.

Ситуация со слитым списком целевых номеров жертв ровным счетом такая же, которая ожидает клиентов заблокированного «Глаза бога»: дозировано будут придаваться огласке сведения об объектах и заказчиках наблюдения. При этом следует понимать, что пока одни наблюдают за другими админы палят и тех и других.

В случае с Pegasus портянку с номерами выкатили одномоментно: в списке потенциальных объектов слежки были действующие президенты Эммануэль Макрон (Франция), Бархам Салех (Ирак) и Сирил Рамафоса (ЮАР), среди нынешних премьеров - Имран Хан (Пакистан), Мустафа Мадбули (Египет) и Саад ад-Дин аль-Усмани (Марокко), бывшие и действующие министры, политики, политтехнологи, журналисты и даже монарх - король Марокко Мухаммед VI. Кроме того, под колпак попал даже основатель Telegram Павел Дуров.

Нового в этой истории нет, NSO Group далеко не единственная в Израиле, а тем более в мире - компания, которая разрабатывает технологий для шпионажа и электронной разведки. Вопрос в другом, умелая игра в демократию и права человека - отличный инструмент для давления на «попутавших берега» вендоров.

Хочешь следить за президентами и тем более из числа первой лиги - спроси сначала разрешения у дяди Сэма. А если забыл - тебе напомнят.

Microsoft выкатили временное решение для ошибки CVE-2021-36934, известной как SeriousSAM, которая затрагивает все версии Windows 10, выпущенные за последние 2,5 года.

Об уязвимости стало известно на прошлой неделе, когда в результате тестирования Windows 11 исследователь Jonas Lyk обратил внимание на то, что конфиденциальные файлы конфигурации SAM, SECURITY и SYSTEM были доступны в резервных копиях, созданных Shadow Volume Copy.

Ошибка затрагивает базу данных диспетчера учетных записей безопасности во всех версиях Windows 10,начиная с v 1809. Доступ к файлу конфигурации Security Account Manager дает злоумышленникам возможность украсть хешированные пароли, взломать хэши в автономном режиме и захватить учетные записи. Другие файлы конфигурации, хранящиеся в папках SYSTEM и SECURITY, также могут содержать критичные данные, в том числе ключи шифрования DPAPI и сведения об учетной записи компьютера, используемые для присоединения компьютеров к Active Directory. По итогу уязвимость может позволить локальному злоумышленнику запустить свой собственный код с системными привилегиями.

Несмотря на всю серьезность в Microsoft скептически отнеслись к CVE, отметив, что злоумышленник должен прежде получить возможность выполнять код в целевой системе, чтобы воспользоваться этой уязвимостью.

Тем не менее, для купирования угроз они предлагают ограничить доступ к содержимому % windir% \ system32 \ config и удалить все точки восстановления системы и теневые тома, которые существовали до вводимого ограничения доступа.