​​А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.

Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:

- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.

- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.

- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.

Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.

По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.

Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.

В то время пока весь инфосек по очередно с Microsoft выпиливает все новые и новые дыры PrintNightmare (группа ошибок CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958), хакерская индустрия успешно перенимает передовой опыт коллег, добавляя в свой арсенал соответствующие эксплойты для взлома серверов Windows.

Злоумышленники используют эти недостатки безопасности при локальном повышении привилегий (LPE) для распространения вредоносного ПО в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.

На днях Crowdstrike уличили в этом банду вымогателей Magniber, которая теперь использует эксплойты PrintNightmare для развертывания полезных нагрузок в ходе атак на южнокорейских жертв. Установлено, что после компрометации серверов, на которых не установлено исправление, Magniber удаляет запутанный загрузчик DLL, который сначала вводится в процесс, а затем распаковывается для выполнения локального обхода файлов и шифрования файлов на скомпрометированном устройстве.

Magniber активна с октября 2017 года, первоначально распространялась с помощью вредоносной рекламы с использованием комплекта Magnitude Exploit Kit (EK) в качестве преемника программы-вымогателя Cerber, сейчас доставляется через Magnitude EK на устройства под управлением Internet Explorer с непропатченной CVE-2020-0968. Группировка сосредоточена на Южную Корею, Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие. И в последние 30 дней стала особенно активна, теперь понятно почему.

К атакам PrintNightmare присоседились и ransomware Vice Society (связанные с HelloKitty), используя уязвимости для бокового перемещения по сетям своих жертв. Активность банды попала под прицел Cisco Talos, которые увидели, как Vice Society развертывают вредоносную библиотеку динамической компоновки (DLL) для использования двух ошибок CVE-2021-1675 и CVE-2021-34527.

Как известно, Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA) и нацелена на маленьких или средних жертв, практикует двойное вымогательство, при этом особое внимание уделяется образовательным учреждениям. TTP включает удаление резервных копий для предотвращения восстановления зашифрованных систем жертвами и обход средств защиты Windows для кражи учетных данных и повышения привилегий.

Кроме того, к новичкам ленты совсем недавно также присоединились и Conti, компрометируя сервера Windows посредством излюбленной PrintNightmare.

Да и вообще этот список будет расти достаточно быстро, равно как и список их жертв. Тенденция, как говорится, на лицо.

​​Японский разработчик Trend Micro предупреждает о начале эксплуатации Zero-Day в продукте Apex One, предназначенного для мониторинга сети и исследования угроз. Уязвимы как локальные, так и облачные версии Apex One.

CVE-2021-36741 и CVE-2021-36742 (загрузка произвольных файлов и  локальное повышение привилегий) уже использовались в цепочке эксплоитов для загрузки на платформу Apex One вредоноса с целью повышения привилегий и дальнейшего захвата контроля над системой.

Вспоминая инцидент когда злоумышленники похакали уязвимости в продукте Trend Micro OfficeScan у производителя электроники Mitsubishi Electric и украли личную и корпоративную информацию, отнестись к рекомендациям Trend Micro обновить свои системы Apex One до последних версий следует ответственно.

Конечно, Trend Micro не предоставила никакой информации об уже состоявшихся инцидентах, видите ли политика конфиденциальности, и все дела. Но, вангуем, скоро жертвы нарисуются.

А мы не ждём, исправляемся.

Настоящий боевичок в стиле Крепкого орешка активно проигрывается в США, где неизвестные хакеры выставили на продажу базы данных крупнейшего мобильного оператора T-Mobile за 6 битков (280 тысяч долларов) и используют их в политических играх со спецслужбами.

До настоящего времени T-Mobile не раскрывает всех обстоятельств инцидента. По оценка экспертов, утечка включает информацию в отношении примерно 100 миллионов клиентов объемом 106GB, начиная с 2004 года, в том числе IMSI, IMEI клиентов, номера телефонов, имена клиентов, PIN-коды безопасности, номера социального страхования, номера водительских прав и дату рождения.

Информация могла быть получена в ходе взлома производственных, промежуточных серверов и серверов разработки T-Mobile, в том числе сервера с абонентской базой данных Oracle. В качестве пруфов хакеры слили скрины SSH-соединения с производственным сервером, на котором работает Oracle.

Казалось бы рядовой инцидент, но не тут то было. Кейс имеет куда более серьезные масштабы (если это, конечно, не является традиционным пиар сопровождением со стороны акторов).

Представителям инфосек компании Hudson Rock удалось связаться с хакерами и в ходе переговоров стали известны мотивы преступления. Атакующие реализовали нападение из политических соображений.

Все дело в том, что в 2019 году спецслужбы США и Турции похитили и пытали в Германии жителя Турции Джона Эрина Биннса, который спустя два года пытается добиться внимания к своему делу и покарать своих обидчиков публично, а вместе с ними и все разведсообщество. Он уже является фигурантом судебных исков в адрес ЦРУ, ФБР и Минюста США.

Если это правда, то Америку ждет целая волна кибератак, инспирированная международной бандой фанатиков хакеров, остановить которых под силу лишь Брюсу Уиллису.

Так это или не так, но если бы аналогичный сюжет развивался в России, как мы полагаем, то в центре событий вполне могли были бы оказаться тезки своих американских коллег.

​​Большой брат следит за тобой, второго брата в этом деле не должно быть - иначе теряется логика.

Как мы уже сообщали, скандал вокруг NSO Group и рынка услуг лицензируемого шпионажа будет иметь серьезные последствия, а в целом - его ждет глобальный передел. Без одобрения большого брата следить больше не получится, во всяком случае придется делиться, конечно же информацией.

К делу шпионского ПО Pegasus подключились эксперты ООН по правам человека. Они призвали приостановить продажу шпионского ПО и других технологий наблюдения до тех пор, пока они не установят правила, регулирующие их использование.

ООН призвала разработать надежную нормативно-правовую базу для предотвращения, смягчения и устранения негативного воздействия технологий слежения на права человека.

Все просто: инициированный американской разведкой через курируемые НКО и СМИ скандал - отличная подготовка для укрепления своих позиций в сфере наступательных кибертехнологий в международной плоскости.

Полагаем, что Большой брат сделает все необходимое под предлогом игры в демократию, чтобы создать инструменты сдерживания технологических конкурентов, будь то Израиля, России или КНР. За нарушения - конечно же, санкции.

Помните, Большой брат следит за тобой, а также и за теми, кто следит за тобой.

​​Приятный бонус для пользователей Messenger от компании Facebook.

С момента нашего обзора, мессенджер получил новые функции: расширилось сквозное шифрование E2EE для голосовых и видеозвонков, а также запущена новая настройка подписки, которая включает сквозное шифрование для DM Instagram.

Новшества продиктованы практикой: в 2020 году резко вырос спрос на аудио- и видеозвонки, достигнув показателя - более 150 миллионов соединений в день через Messenger.

Как вы помните, флагманский сервис обмена сообщениями компании получил поддержку E2EE в текстовых чатах в 2016 году вместе с опцией «секретного разговора», в то время как сообщения на родственной платформе WhatsApp были полностью зашифрованы в том же году после перехода протокол Signal.

Новые шаги являются частью поворота Facebook к коммуникационной платформе, ориентированной на конфиденциальность, о которой компания объявила ещё в марте 2019 года.
Планируется, что в скором времени добавится и функция групповых чатов и звонков со сквозным шифрованием в Messenger.

При этом компания все же дает понять, что лазейки останутся для предотвращения использования своих платформ для преступных или оскорбительных целях. Они мотивировали это тем, что на Facebook приходится более 90% материалов с пометкой CSAM.

​​Завершилась эпопея нашумевшего на весь мир Мистера Белой шляпы, который сначала грациозно вывел криптоактивы на сумму более чем на полмиллиарда долларов, а потом не менее эффектно вернул их.

Стоит отдать должное компании Poly Network, которые прислушались к альянсу разработчиков BinomialPool и вместо уголовки предложили хакеру вознаграждение в 500 тысяч долларов.

На наш взгляд, это ничто иное, как отличный прецендент для криптоиндустрии, хороший стимул для трухакеров и весьма дорогой ликбез по инфобезу для Poly Network.

​​«Качество — это делать что-либо правильно, даже когда никто не смотрит» - Генри Форд. А пока смотрят - можно и подзабить: Ford Motor Company.

Именно так и случилось с обнаруженной в феврале этого года CVE-2021-27653 в системе взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. Уязвимость в неработающем контроле доступа позволяла злоумышленникам получить множество конфиденциальных записей, осуществить захват учетных записей и скачать приличный объем данных компании и ее клиентов.

Бага была обнаружена исследователями Робертом Уиллисом и break3r совместно с представителями Sakura Samurai: Обри Коттлом, Джексоном Генри и Джоном Джексоном.

После того, как исследователи сообщили о своих выводах, Pega относительно быстро устранили CVE. Примерно в то же время о проблеме было сообщено Ford через программу раскрытия уязвимостей HackerOne. И тут началось.

Представители автогиганта по-тихому замяли вопрос и какой-то момент просто перестали отвечать исследователям, а уязвимость была помечена как устраненная. В соответствии с политикой HackerOne исследователи выждали полные шесть месяцев и раскрыли информацию об уязвимости. Однако в Ford за раскрытие уязвимостей не предложили в конечном счете ничего и до настоящего времени дистанцировались от инцидента. Пока неизвестно, эксплуатировалась ли уязвимость в дикой природе, но посмотрим.

Вот и пример, когда не всегда игроки рынка bug bounty принципиальны и проявляют должное внимание вопросам ИБ, адекватной системе вознаграждений, что напрямую затем отражается на их клиентах, которые впоследствии становятся жертвами утечек.

Компания IoT Inspector представила весьма неутешительные результаты своего исследования, обнаружив серьезные уязвимости CVE-2021-35392 - CVE-2021-35395, которые затрагивают по крайней мере 65 поставщиков и около 200 уникальных типов устройств, работающих на чипах RTL8xxx, включая IP-камеры, маршрутизаторы, домашние шлюзы, повторители Wi-Fi и игрушки, в том числе таких известных фирм как ASUS, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE и Zyxe.

Ошибки в SDK Realtek Jungle, Luna и 2.x. могут быть использованы для отказа в обслуживании (DoS) и внедрения команд на целевом устройстве, а некоторые из них позволяют злоумышленникам получить полный контроль над целевым устройством без аутентификации.

На прошлой неделе Realtek уведомили о доступных исправлениях и патчах.

Вместе с тем, в отличие от недавних атак на цепочки поставок, таких как Kaseya или Solar Winds, заточенный под выявленные уязвимости вектор атаки может быть реализован гораздо более легким способом и более масштабно, особенно принимая во внимание непрозрачность цепочки поставок IoT.

Целых 3 недели понадобилось могущественным американским спецслужбам, чтобы подтереть секретную базу из глобальной сети.

19 июля Боб Дьяченко из Security Discovery обнаружил в кластере Elasticsearch базу без пароля, состоящую из 1,9 млн. записей о лицах, включая их имена, гражданство страны, пол, дату рождения, паспортные данные и статус запрета полетов (no_fly_indicator).

Фигурирующий в базе TSC_ID используется ФБР и другими федеральными агентствами США для обмена консолидированной информацией в целях борьбы с терроризмом. В штатах такие базы по своей природе являются секретными, поскольку используются в решении задач национальной безопасности и правоохранительной деятельности. Террористы или представляющие угрозу национальной безопасности лица включаются в секретный список для наблюдения согласно указанию правительства.

Самая боль заключается еще и этом, что база хостилась на сервере с бахрейнским IP-адресом, а он, в свою очередь, был еще и проиндексирован поисковыми системами Censys и ZoomEye, следовательно, попадал в поле зрения и других Интернет-серферов.

Так или иначе выявленная утечка является чувствительной как для ее фигурантов (которые на практике зачастую оказываются невиновными лицами и изучались спецслужбами в оперативном плане), так и для американского правительства, юристы которого будут вынуждены отбивать в суде иски.

Обстоятельства инцидента, по понятным причинам, замалчиваются. ФБР комментариев не дает.

​​Ни дня без ransoware. Но увы, не мы такие - жизнь такая.

После ноябрьских атак оператора ransomware RansomExx, когда полегли системы и фактически вся работа Верховного суда Бразилии (STJ), новым потрясениям 13 августа подверглось Национальное казначейство Бразилии.

Согласно официальному заявлению, спецам Министерства экономики удалось оперативно отреагировать и принять меры противодействия атаке ransomware. Важные системы, связанные с управлением государственным долгом и Бразильской фондовой биржей (в том числе Tesouro Direto), затронуты не были.

Однако другие обстоятельства не разглашаются, несмотря на все заверения прозрачности расследования. Последствия атаки программ-вымогателей анализируются специалистами по безопасности из Национального казначейства и Секретариата цифрового правительства (DGS).

Отметим, что положительные сдвиги все же есть: на фоне атак бразильские власти озаботились и создали в июле сеть реагирования на кибератаки для более оперативного реагирования на киберугрозы. Работа сети организуется Департаментом информационной безопасности Управления институциональной безопасности при Президенте Бразилии при главенствующей роли упомянутого DGS.

Создание сети обеспечило стране целую 18 строчку в рейтинге ООН по кибербезопасности (в 2018 году - 53 позиция). Но в ближайшее время мы обязательно увидим, насколько рейтинг соответствует реальности.

Ведь как мы знаем, в деле ransomware - все смачные подробности всплывают позже.

Обновление Tor 0.3.5.16, 0.4.5.10 и 0.4.6.7 с устранением уязвимости https://opennet.ru/55650/

Ящик Пандоры открыли исследователи из Мэрилендского университета и Университета Колорадо в Боулдере, представив новый вектор DDoS-атак, способных гарантированно положить любую цель в сети.

Вновь обнаруженная техника DDoS позволяет добиться коэффициента усиления 1000x и более путём злоупотребления протоколом TCP, а для ее проведения задействуются миддлбоксы: брандмауэры, трансляторы сетевых адресов (NAT), балансировщики нагрузки и системы глубокой проверки пакетов (DPI). 

Новая форма рефлекторной DDoS на основе TCP гораздо более разрушительна, нежели традиционные атаки с использованием UDP (SNMP, DNS, NetBIOS, CoAP и NTP), которые имеют коэффициент усиления от 2 до 10, крайне редко - до 100.

Исторически сложилось так, что для усиления DDoS операторы бот-сети применяли технику IP-спуфинга, позволяющую генерировать полезную нагрузку с промежуточного сервера, работающего на протоколе UDP, реализующего простой двухэтапный процесс запроса и ответа.

TCP-соединения всегда начинались с трехстороннего рукопожатия и до настоящего времени никому не удавалось реализовать IP-спуфинг, так как хакеры не могли завершить рукопожатие.

Но такой способ нашёлся.
Виной всему миддлбоксы, предназначенные для контроля сетевого трафика.

Оказывается, что вместо того, чтобы пытаться воспроизвести трехстороннее рукопожатие в TCP-соединении, можно отправить комбинацию нестандартных последовательностей пакетов в промежуточный ящик для эмуляции завершения TCP-пожатия, позволяя обработать соединение.

В обычных условиях аномалии не произойдёт, однако если попытаться получить доступ к запрещенному веб-сайту, отправляя неправильно сформированную последовательность TCP-пакетов в медианную коробку (брандмауэр, ящик DPI и т. д.), то средний ящик обязан ответить «блокирующей страницей», HTML которой он будет отправлять жертвам, которые даже могут не находиться в их внутренних сетях, благодаря IP-спуфингу. При этом ответ содержит гораздо больший объём, чем первоначальные пакеты, что создаёт гигантский эффект усиления.

Как выяснили ученные, лучший эффект усиления TCP DDoS создают ресурсы, заблокированные национальными системами цензуры. Из всех возможных узлов, они выделили 5 доменов, которые будут надежным «триггером» для этих атак (поскольку получают ответы от большинства промежутких ящиков в Интернете): youporn.com, roxypalace.com, plus.google.com, bittorrent.com, survive.org.uk.

Однако коэффициенты усиления варьируются в зависимости от типа устройства middlebox, поставщика, конфигураций и настройки сети. В результате скандирования всей сети по IPv4 исследователям удалось найти 200 миллионов IP-адресов ящиков, которыми можно злоупотреблять для TCP DDoS-атак, при этом тысячи из них реализуют коэффициенты в диапазоне 1000 - 100 000 000, что настоящее время считается немыслимым для таких атак.

Самое интересное, что такие устройства чаще всего используются в государственных системах Интернет-цензуры, прежде всего, в Китае, Саудовской Аравии, России и Великобритании.

Многие из этих систем работают с огромными нагрузками трафика и неправильно настроенными циклами трафика, которые отправляют один и тот же неправильно сформированный TCP-пакет несколько раз через одни и те же или другие промежуточные ящики, эффективно позволяя совершать атаки DDoS бесконечных циклов. Как отмечено в исследовании - это наиболее характерно для России и КНР.

А теперь неутешительные выводы:
- исследование позволяет воспроизвести вектор любому хакеру, обладающему скилами;
- вектор атаки скорее всего не будет исправлен в принципе;
- исправления для уязвимых систем ослабляет их возможности фильтрации трафика;
- исправление конфигураций middlebox требует значительных вложений и времени;
- мировая инфраструктура столкнётся с новыми атаками уже в самом ближайшем будущем.

Похоже, что старый добрый DDoS похоже скоро вернёт себе утраченное со временем место в хакерской индустрии, и может стать куда серьёзной угрозой, чем злободневный ransomware.

Уязвимости BadAlloc в ПО BlackBerry затрагивает более 200 млн. автомобилей и тысячи систем управления технологическими процессами в промышленности, медицине и других стратегических отраслях.

Засветили перечень уязвимых устройств представители CISА, а сами баги BadAlloc в IoT и OT были обнаружены еще в начале этого года исследователями Microsoft. Пакет включает набор из 25 уязвимостей, вызванных ошибками выделения памяти Integer Overflow или Wraparound.

CVE-2021-22156 позволяет потенциальному хакеру удаленно вызвать отказ в обслуживании или выполнить произвольный код на устройствах.

Как оказалось баги также закрались и ОС QNX Real Time от компании BlackBerry. После уведомления CISA в BlackBerry оперативно выкатили полный список уязвимых продуктов.

Несмотря на то, что CISA не признаёт активную эксплуатацию этой уязвимости, обеспокоенность по поводу BlackBerry QNX RTOS все же говорит об обратном. CISA настоятельно рекомендует критически важным инфраструктурным организациям как можно скорее исправить системы на основе QNX, ведь потенциал эксплуатации баги может привести к событиям, описанным во многих блокбастерах про кибертеррористов.

Однако по-быстрому исправить ситуацию не получится, ведь производителям продуктов, которые разрабатывают уникальные версии программного обеспечения RTOS, придётся  связавааться с BlackBerry для получения патч-кода, а некоторым и вовсе придется создавать свои собственные патчи программного обеспечения. Кроме того, обновления программного обеспечения для RTOS потребуют физической замены встроенной памяти.

Согласно BlackBerry, обходных путей для уязвимости нет, но пользователи могут уменьшить возможность атаки, следуя рекомендованным разработчиком мерам и локальным обновлениям.

В реальности американские чиновники с апреля пытались административно прогнуть BlackBerry и заставить признать ошибку, подключили даже Министерством обороны. До этого времени компания даже не имела представления о том, сколько организаций используют операционную систему QNX Real Time.

Баги багами, а репутация превыше всего. Ведь кто не рискует, тот не пьёт шампанского - BlackBerry подтвердит.

@Code_m0de — Самая редкая и актуальная литература в сети для программистов и ИТ специалистов любого уровня и направления.

Канал в котором публикуют курсы, мануалы, книги, которые невозможно найти в открытом доступе. Самый интересный материал публикуется в нашем канале еще до момента выхода в официальных источниках.

Не упусти возможность подписаться.

https://xn--r1a.website/Code_m0de

Не перестают удивлять масштабы проблем информационной безопасности IoT-устройств. Что не бага, то под угрозой десятки миллионов девайсов.

На этот раз обнаружена очередная критическая уязвимость веб-камер безопасности и устройств радионянь, которая позволяет злоумышленникам получать доступ к потоковому видео и аудио, а также создает угрозу компрометации домашней сетей и учетных данных.

Данной уязвимости подвержены устройства, использующие сеть ThroughTek Kalay. Сведения об угрозах были обнаруженыспециалистами компании по кибербезопасности Mandiant в сотрудничестве с Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и ThroughTek.

По данным спецов, кроме записи видео и аудио, злоумышленники имеют возможность создавать бот-сети из скомпрометированных устройств и использовать инфраструктуру для реализации дальнейших атак. Угрозе подвержено 83 миллиона устройств, в настоящее время подключенных к сети Kalay.

Компрометация IoT-устройств достигается путем получения уникального идентификатора клиентского устройства UID с поддержкой Kalay, который может быть получен через реверс веб-API официальных  приложений на Google Play и Apple Store. Кроме того UID подвержен атаке Brute Force. Получив UID, злоумышленники могут зарегистрировать его сети Kalay, перенаправив трафик на контролируемую инфраструктуру.

Данная уязвимость маркируется как CVE-2021-28372 и имеет оценку 9,6 по шкале CVSS, что позволяет классифицировать ее как критическую. Для защиты устройств и сетей от атак представители компании настоятельно рекомендуется выполнить обновление до последней версии Kalay 3.1.10.

​​—Партнерский пост—

Конференция по кибербезопасности ZeroNights приглашает вас отметить свое десятилетие в неформальной обстановке.

Дата: 25 августа
Место: Санкт-Петербург, пространство «Севкабель Порт».

Программа конференции:
• Основная программа — доклады о новейших методах атак, безопасности прошивок, десктопных, мобильных устройств и ОС.
• Web Village — о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty.
• Defensive Track посвящен безопасной разработке, DevSecOps, обнаружению инцидентов.
• Hardware Zone — зона пересечения интересов людей, связанных с аппаратной и программно-аппаратной безопасностью.
• Воркшопы — мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов.
• Активности и тематические конкурсы — от Академии Digital Security, баг-баунти от Bitaps, а также CTF от комьюнити-партнеров.

24 и 25 августа билеты на ZeroNights можно будет купить только на площадке с наценкой 10%. Поэтому приобретайте их уже сейчас.

​​Три недели назад белорусские Кибер-Партизаны ломанули АИС Паспорт белорусского МВД. Новость была громкая и прошла по многим новостным ресурсам.

Как пишут про это зарубежные инфосек ресурсы - "разрозненная группа технических экспертов, живущих за пределами страны собирает данные о режиме, чтобы вмешаться в нужный момент в его информационную инфраструктуру и свергнуть правительство". В качестве эксперта при этом выступает заместитель директора Лаборатории цифровой криминалистики при НАТО Лукас Андрюкайтис.

Нам такой дискурс очень даже нравится, поэтому продолжим подавать новости в схожем ключе.

Как стало известно согласно сообщению Управления генерального инспектора США (OIG), серверы американского Бюро переписи населения (USCB) были взломаны 11 января 2020 года .

Для проникновения в сеть использовалась уязвимость в Citrix ADC. Атакующие получили доступ к ряду сетей USCB, но, по уверениям OIG, доступа к серверам с данными переписи американского народонаселения не получили.

При всем этом атака оставалась незамеченной в течение двух с половиной недель, в течение которых атаковавшие имели доступ к внутренним ресурсам USCB.

Кто-же стоял за атакой? Судя по использованию CVE-2019-19781 в Citrix ADC в качестве первичного вектора атаки, за нападением на USCB стояла разрозненная группа технических экспертов, живущих за пределами США, которая собирает данные об американском режиме, чтобы вмешаться в нужный момент в его информационную инфраструктуру и свергнуть правительство.

Правда почему-то американские инфосек эксперты называют их хакерами из китайской прогосударственной группы APT 41.

Facebook, WhatsApp и Instagram блокируют аккаунты «Талибана»

А «Таблибан», видимо, решил использовать мессенджеры для того, чтобы завоевать расположение местного населения.

Facebook оперативно сообщила, что она будет удалять аккаунты этой групировки и запретит весь контент, связанный с её продвижением.

Компания объяснила это тем, что она обязана соблюдать законы США о санкциях.

Также известно, что в ней работает «специальная группа афганских экспертов», которая отслеживает такие группы и сообщает о том, чтобы их заблокировали.

В июле мы уже писали про пополнение арсенала Wizard Spider новым штаммом ransomware под названием Diavol, который накатывается через подконтрольный группировке ботнет TrickBot.

К представленной FortiGuard Labs и Kryptos Logic Threat Intelligence атрибуции нового штамма, весьма информативное дополнение выкатили IBM X-Force, которым удалось изучить образец ПО, отправленный в Virus Total 27 января 2021 года, а скомпилированный ещё 5 марта 2020 года.

Как предположили специалисты, эта версия ПО являлась для группировки тестовой и ее сравнение с новейшей позволило получить представление о динамике разработки и образах будущих версий вредоносного ПО.

Установлено, что после запуска программы-вымогателя она собирает основную системную информацию о зараженной системе (версия ОС Windows, сведения о сетевом адаптере и пр), генерируя идентификатор бота в следующем формате: <имя хоста> - <имя пользователя> W <windows version> <guid>. К примеру, DESKTOP-4LUGU5I-reuser_W10019041.C3F3799FE69249579857D2039BBBAB11

При этом такой формат почти идентичен идентификатору бота, генерируемого вредоносным ПО TrickBot, за исключением поля имени пользователя. В образце ransomware Diavol заголовки HTTP, используемые для связи C2, настроены таким образом, что предпочитают контент на русском языке, который также является языком, используемым операторами TrickBot. Эксперты также заметили, что программа-вымогатель Diavol включает в себя код для проверки языка скомпрометированной системы.

И тут важное дополнение внесли IBM X-Force в понимание работы группировки, опровергнув выводы исследователей из Fortinet, утверждавших, что в отличие от Conti вымогатель Diavol не избегает заражения жертв из России. Как раз таки и избегает.

Вероятно, Wizard Spider допилят в ПО возможности кражи данных, а в целом продолжат переоснащать свой арсенал вредоносных программ и к полезным нагрузкам прибавятся новые ПО, в атрибуции которого пригодятся заметки.