Спустя год FireEye выпустили новый отчет, в котором связали Triton с московским Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ) и даже заявили, что получили данные в отношении конкретного специалиста по информационной безопасности, работающего в институте и являющегося одним из авторов Triton. Мы не имеем в своем распоряжении подробной информации, поэтому опровергать или подтверждать правоту FireEye не будем, хотя на первый взгляд TTPs выглядят правдоподобно.
В апреле 2019 года FireEye сообщили, что выявили атаку оператора Triton еще на один промышленный объект. Целью атакующих, по их заявлению, было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
#Triton
В апреле 2019 года FireEye сообщили, что выявили атаку оператора Triton еще на один промышленный объект. Целью атакующих, по их заявлению, было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
#Triton
Apple следуют за разработчиками других браузеров в части принятия мер по ограничению возможностей различных Интернет-сервисов собирать fingerprint'ы пользователей чтобы повысить таким образом их приватность.
Компания отказалась от внедрения в Safari 16 новых Web API, которые позволяли сайтам собирать дополнительную информацию об используемом аппаратном и программном обеспечении. Новые Web API давали, среди прочего, возможность сканировать и подключаться к устройствам Bluetooth LE, получать доступ к MIDI, считывать данные о магнитном поле и уровне освещенности в месте работы системы, получать информацию о памяти устройства, состоянии его батареи и сетевых соединениях, а также многое другое.
Более того, Apple утверждает, что пересматривает уже имеющиеся Web API с точки зрения их возможности использования при составлении fingerprint'a и по мере необходимости их модифицирует.
Такая инициатива товарищей из Купертино, безусловно, похвальна, но возникает резонный вопрос - а кому вообще понадобилось создавать Web API для Safari, который, например, измеряет магнитное поле в месте расположения пользователя? Или фиксирует уровень освещенности? Все это подозрительно...
Компания отказалась от внедрения в Safari 16 новых Web API, которые позволяли сайтам собирать дополнительную информацию об используемом аппаратном и программном обеспечении. Новые Web API давали, среди прочего, возможность сканировать и подключаться к устройствам Bluetooth LE, получать доступ к MIDI, считывать данные о магнитном поле и уровне освещенности в месте работы системы, получать информацию о памяти устройства, состоянии его батареи и сетевых соединениях, а также многое другое.
Более того, Apple утверждает, что пересматривает уже имеющиеся Web API с точки зрения их возможности использования при составлении fingerprint'a и по мере необходимости их модифицирует.
Такая инициатива товарищей из Купертино, безусловно, похвальна, но возникает резонный вопрос - а кому вообще понадобилось создавать Web API для Safari, который, например, измеряет магнитное поле в месте расположения пользователя? Или фиксирует уровень освещенности? Все это подозрительно...
ZDNet
Apple declined to implement 16 Web APIs in Safari due to privacy concerns
Apple said these 16 new Web APIs add new user fingerprinting opportunities for online advertisers.
Malwarebytes выявили интересный образец вредоноса, крадущего данные банковских карт.
По данным исследователей, хакеры взломали один из Интернет-магазинов, по всей видимости, посредством компрометации WordPress-плагина WooCommerce. Далее они модифицировали легальный JS скрипт, в результате чего он стал подгружать изображение со стороннего сайта (естественно, контролируемого злоумышленниками), однако, на первый взгляд, этим и ограничивался.
На самом деле, в EXIF метаданных подгружаемого изображения, а именно в поле "Copyright", оказался скрыт код скиммера, предназначенного для кражи вводимых пользователем данных банковской карты. Украденные сведения кодировались и пересылались на управляющий центр также под видом изображения.
TTPs, раскрытые в ходе расследования Malwarebytes, указывают что автором этой атаки является Magecart Group 9, которая впервые была описана в ноябре 2018 года ресерчерами из RiskIQ.
По данным исследователей, хакеры взломали один из Интернет-магазинов, по всей видимости, посредством компрометации WordPress-плагина WooCommerce. Далее они модифицировали легальный JS скрипт, в результате чего он стал подгружать изображение со стороннего сайта (естественно, контролируемого злоумышленниками), однако, на первый взгляд, этим и ограничивался.
На самом деле, в EXIF метаданных подгружаемого изображения, а именно в поле "Copyright", оказался скрыт код скиммера, предназначенного для кражи вводимых пользователем данных банковской карты. Украденные сведения кодировались и пересылались на управляющий центр также под видом изображения.
TTPs, раскрытые в ходе расследования Malwarebytes, указывают что автором этой атаки является Magecart Group 9, которая впервые была описана в ноябре 2018 года ресерчерами из RiskIQ.
Калифорнийский Университет в Сан-Франциско (UCSF) заплатил 1,14 млн. долларов оператору ransomware Netwalker.
Ранее, 1 июня, оператор Netwalker взломал внутреннюю сеть Медицинской школы UCSF, похитив и зашифровав информацию, включавшую личные данные студентов и сотрудников, данные медицинских исследований и сведения о финансовых операциях.
Netwalker - это вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS), поэтому за атакой может стоять кто угодно. В конце мая под Netwalker попала сеть Мичиганского государственного университета.
Ранее, 1 июня, оператор Netwalker взломал внутреннюю сеть Медицинской школы UCSF, похитив и зашифровав информацию, включавшую личные данные студентов и сотрудников, данные медицинских исследований и сведения о финансовых операциях.
Netwalker - это вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS), поэтому за атакой может стоять кто угодно. В конце мая под Netwalker попала сеть Мичиганского государственного университета.
BleepingComputer
UC San Francisco pays $1.14 million for ransomware decryptor
The University of California San Francisco (UCSF) says that it paid $1.14 million to the Netwalker ransomware operators who successfully breached the UCSF School of Medicine's IT network, stealing data and encrypting systems.
Вчера американская Palo Alto Networks опубликовала данные о выявленной критической уязвимости CVE-2020-2021 в механизме аутентификации операционной системы PAN-OS, на которой работают все nextgen файрволы Palo Alto.
Уязвимость позволяет злоумышленнику обходить аутентификацию PAN-OS и получать доступ к системе в случае отключения опции "Validate Identity Provider Certificate". Отключение этой опции рекомендуют в своих мануалах ряд поставщиков ПО - например, это указывает Microsoft в руководстве по интеграции Azure AD c продуктами Palo Alto Networks.
Уязвимость получила оценку критичности 10 из 10. Ее эксплойт не требует от хакера высокой технической подготовки, а в случае успешной атаки злоумышленник может изменить настройки PAN-OS вплоть до отключения файрвола.
Исследователи бостонской Rapid7 обнаружили в сети почти 70 тыс. устройств на основе PAN-OS, 40% из которых защищают сети в США.
Видимо, в связи с большим количеством критических сетей, на которых стоят файрволы Palo Alto, у Киберкомандования США (USCYBERCOM) пригорело настолько, что они сразу обратились через Twitter с призывом немедленно обновить уязвимое ПО и исправить его настройки.
При этом в качестве основной угрозы американское Киберкомандование указывает иностранные прогосударственные APT, которые "вероятно, вскоре попытаются использовать данную уязвимость".
Инфосек сообщество с серьезностью угрозы полностью согласно.
Если вы используете файрволы от Palo Alto Networks - реагируйте сейчас. Потом может быть поздно.
Уязвимость позволяет злоумышленнику обходить аутентификацию PAN-OS и получать доступ к системе в случае отключения опции "Validate Identity Provider Certificate". Отключение этой опции рекомендуют в своих мануалах ряд поставщиков ПО - например, это указывает Microsoft в руководстве по интеграции Azure AD c продуктами Palo Alto Networks.
Уязвимость получила оценку критичности 10 из 10. Ее эксплойт не требует от хакера высокой технической подготовки, а в случае успешной атаки злоумышленник может изменить настройки PAN-OS вплоть до отключения файрвола.
Исследователи бостонской Rapid7 обнаружили в сети почти 70 тыс. устройств на основе PAN-OS, 40% из которых защищают сети в США.
Видимо, в связи с большим количеством критических сетей, на которых стоят файрволы Palo Alto, у Киберкомандования США (USCYBERCOM) пригорело настолько, что они сразу обратились через Twitter с призывом немедленно обновить уязвимое ПО и исправить его настройки.
При этом в качестве основной угрозы американское Киберкомандование указывает иностранные прогосударственные APT, которые "вероятно, вскоре попытаются использовать данную уязвимость".
Инфосек сообщество с серьезностью угрозы полностью согласно.
Если вы используете файрволы от Palo Alto Networks - реагируйте сейчас. Потом может быть поздно.
Twitter
Joe Slowik 🧲
#CVE20202021 #PatchYoShit https://t.co/PeVwxugQuk
В прошедшие выходные ZDNet сообщили о том, что федеральная полиция Бразилии расследует деятельность хакерской группы, которая ответственна за кражу личных данных Президента Бразилии Жаира Болсонару, членов его семьи, а также 200 тыс. других госслужащих.
В начале июня группировка Anonymous Brazil опубликовала часть украденных данных, в том числе информацию об активах семьи Болсонару.
На прошлой неделе по подозрению в хищении информации были арестованы трое подростков, предположительно являющихся членами Anonymous Brazil. По информации следствия, для получения такого большого массива данных хакерам пришлось взломать сотни правительственных и муниципальных учреждений.
А как дело с безопасностью государственных информационных массивов обстоит у нас? Мы давно обещали высказать мнение по поводу Единого Федерального Информационного Регистра и вот руки дошли.
Не будем касаться потенциальной пользы от его создания, нас, как инфосек канал, интересуют, в первую очередь, вопросы информационной безопасности. Поэтому мы решили посмотреть, что же там у ФНС, оператора Единого Регистра.
На сайте ФНС мы нашли свежее описание задач Управления информационной безопасности. Судя по майской дате публикации и должности руководителя с приставкой ИО - это управление создано недавно. И, изучив содержание этого документа, мы несколько озадачились.
Общие посылы в виде "обеспечения информационной безопасности ФНС" и "организации системы защиты информации" - это, конечно, хорошо. Но почему организация и функционирование Ситуационного центра (это, видимо, аналог Security Operations Center) уместилась в 6 (!) слов, не считая союза "и", а описание организации материального учета занимает целый большой абзац?
Что такое "организация и координация процессов управления информационной безопасностью"? Аналог "отдела по борьбе с расследованием терроризма"?
Есть отдельный пункт по созданию резервного ЦОД, но ни слова про защиту основных ЦОД. И нет ничего про резервное копирование и безопасность архивов, что не равно созданию резервного ЦОД.
Нет ничего ни про аудит информационной безопасности, ни про проактивное выявление утечек чувствительной информации (коей сейчас полно в дарквебе и не только) и проведение соответствующих расследований, ни про обеспечение безопасности сервисов для налогоплательщиков, и так далее, и тому подобное...
Зато в отдельные пункты разнесены организация шифрованной связи и обеспечение телефонами спецсвязи ФСО - это теперь главное в инфосек!
Видно, что основные задачи УИБ ФНС готовились чиновниками, далекими от реального обеспечения информационной безопасности. И ведь можно сказать, что "все внутри содержится", настолько общие формулировки присутствуют. Но тогда надо было просто написать "Основная задача - обеспечение информационной безопасности" и этим ограничиться.
Похоже, что скоро баз данных в дарквебе станет больше.
В начале июня группировка Anonymous Brazil опубликовала часть украденных данных, в том числе информацию об активах семьи Болсонару.
На прошлой неделе по подозрению в хищении информации были арестованы трое подростков, предположительно являющихся членами Anonymous Brazil. По информации следствия, для получения такого большого массива данных хакерам пришлось взломать сотни правительственных и муниципальных учреждений.
А как дело с безопасностью государственных информационных массивов обстоит у нас? Мы давно обещали высказать мнение по поводу Единого Федерального Информационного Регистра и вот руки дошли.
Не будем касаться потенциальной пользы от его создания, нас, как инфосек канал, интересуют, в первую очередь, вопросы информационной безопасности. Поэтому мы решили посмотреть, что же там у ФНС, оператора Единого Регистра.
На сайте ФНС мы нашли свежее описание задач Управления информационной безопасности. Судя по майской дате публикации и должности руководителя с приставкой ИО - это управление создано недавно. И, изучив содержание этого документа, мы несколько озадачились.
Общие посылы в виде "обеспечения информационной безопасности ФНС" и "организации системы защиты информации" - это, конечно, хорошо. Но почему организация и функционирование Ситуационного центра (это, видимо, аналог Security Operations Center) уместилась в 6 (!) слов, не считая союза "и", а описание организации материального учета занимает целый большой абзац?
Что такое "организация и координация процессов управления информационной безопасностью"? Аналог "отдела по борьбе с расследованием терроризма"?
Есть отдельный пункт по созданию резервного ЦОД, но ни слова про защиту основных ЦОД. И нет ничего про резервное копирование и безопасность архивов, что не равно созданию резервного ЦОД.
Нет ничего ни про аудит информационной безопасности, ни про проактивное выявление утечек чувствительной информации (коей сейчас полно в дарквебе и не только) и проведение соответствующих расследований, ни про обеспечение безопасности сервисов для налогоплательщиков, и так далее, и тому подобное...
Зато в отдельные пункты разнесены организация шифрованной связи и обеспечение телефонами спецсвязи ФСО - это теперь главное в инфосек!
Видно, что основные задачи УИБ ФНС готовились чиновниками, далекими от реального обеспечения информационной безопасности. И ведь можно сказать, что "все внутри содержится", настолько общие формулировки присутствуют. Но тогда надо было просто написать "Основная задача - обеспечение информационной безопасности" и этим ограничиться.
Похоже, что скоро баз данных в дарквебе станет больше.
ZDNet
Brazilian federal police investigates presidential data leak
Private information relating to Jair Bolsonaro and several ministers had been exposed and details of over 200,000 public servants obtained.
И еще пара мыслей про Единый Регистр.
Есть мнение, что вместо того, чтобы делать единую большую базу данных, имеет смысл создать систему, которая динамически собирает необходимые данные из разрозненных баз.
При этом унести все сведения разом не получится, так как максимум, где может содержаться полная информация о человеке, - это оперативная память. Хотя от продажи данных по отдельным личностям на 100% это, безусловно, не защитит.
И еще одно. Месяц назад мы писали про полные гомоморфные криптосистемы, о прорыве в работе с которыми сообщали IBM. Подобные криптосистемы позволяют производить обработку информации в недоверенной среде без угрозы утечки исходных данных - они просто не присутствуют в расшифрованном виде от слова "совсем".
Нам кажется, что в случае теоретической возможности организации функционирования Единого Регистра на основе этой технологии, многие проблемы были бы решены. Но, полагаем, слово "теоретическая" здесь, к сожалению, ключевое.
Есть мнение, что вместо того, чтобы делать единую большую базу данных, имеет смысл создать систему, которая динамически собирает необходимые данные из разрозненных баз.
При этом унести все сведения разом не получится, так как максимум, где может содержаться полная информация о человеке, - это оперативная память. Хотя от продажи данных по отдельным личностям на 100% это, безусловно, не защитит.
И еще одно. Месяц назад мы писали про полные гомоморфные криптосистемы, о прорыве в работе с которыми сообщали IBM. Подобные криптосистемы позволяют производить обработку информации в недоверенной среде без угрозы утечки исходных данных - они просто не присутствуют в расшифрованном виде от слова "совсем".
Нам кажется, что в случае теоретической возможности организации функционирования Единого Регистра на основе этой технологии, многие проблемы были бы решены. Но, полагаем, слово "теоретическая" здесь, к сожалению, ключевое.
Telegram
SecAtor
На прошлой неделе компания IBM сообщила о создании инструментария для полного гомоморфного шифрования под MacOS и iOS. Версии для Android и Linux обещают через несколько недель.
Гомоморфное шифрование (FHE) позволяет производить математические действия с…
Гомоморфное шифрование (FHE) позволяет производить математические действия с…
Исследователи BitDefender выявили новую атаку APT StrongPity, она же PROMETHIUM, ориентированную на ресурсы в Сирии и Турции.
Киберкомпания представляет собой классическую атаку на водопой - взлом ресурсов, которые посещают интересующие хакеров жертвы и заражение последних вредоносным ПО. Предварительно посещающие скомпрометированный ресурс пользователи проверяются по списку целей и если их IP-адрес совпадает с одним из списка - они заражаются трояном.
После заражения вредонос сканирует компьютер жертвы, ищет файлы с определенными расширениями и, в случае нахождения, помещает их во временной архив. Далее собранная информация разбивается на несколько зашифрованных файлов и отправляется на управляющий центр.
Хакеры использовали трехуровневую инфраструктуру управляющих центров, чтобы запутать свои следы.
Анализ целей показывает, что они, возможно, связаны с интересами турецкого правительства - жертвы на территории Турции причастны к курдской оппозиции. А первые образцы используемых в кибероперации вредоносов помечены 1 октября 2019 года, когда началось военная операция турецких военных на Северо-Востоке Сирии под кодовым названием Мирная весна.
APT PROMETHIUM - прогосударственная хакерская группа, активная ориентировочно с 2012 года. Ранее выявлялись атаки группы, ориентированные на пользователей из Италии, Бельгии, Сирии и Турции. Также, согласно ресерчерам Cisco Talos, в числе целей - Колумбия, Индия, Канада и Вьетнам.
Почему мы обращаем особое внимание на векторы атаки APT PROMETHIUM? Да потому что, как считается, за этой хакерской группой стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка.
Киберкомпания представляет собой классическую атаку на водопой - взлом ресурсов, которые посещают интересующие хакеров жертвы и заражение последних вредоносным ПО. Предварительно посещающие скомпрометированный ресурс пользователи проверяются по списку целей и если их IP-адрес совпадает с одним из списка - они заражаются трояном.
После заражения вредонос сканирует компьютер жертвы, ищет файлы с определенными расширениями и, в случае нахождения, помещает их во временной архив. Далее собранная информация разбивается на несколько зашифрованных файлов и отправляется на управляющий центр.
Хакеры использовали трехуровневую инфраструктуру управляющих центров, чтобы запутать свои следы.
Анализ целей показывает, что они, возможно, связаны с интересами турецкого правительства - жертвы на территории Турции причастны к курдской оппозиции. А первые образцы используемых в кибероперации вредоносов помечены 1 октября 2019 года, когда началось военная операция турецких военных на Северо-Востоке Сирии под кодовым названием Мирная весна.
APT PROMETHIUM - прогосударственная хакерская группа, активная ориентировочно с 2012 года. Ранее выявлялись атаки группы, ориентированные на пользователей из Италии, Бельгии, Сирии и Турции. Также, согласно ресерчерам Cisco Talos, в числе целей - Колумбия, Индия, Канада и Вьетнам.
Почему мы обращаем особое внимание на векторы атаки APT PROMETHIUM? Да потому что, как считается, за этой хакерской группой стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
Microsoft вчера выпустили внеочередное обновление безопасности, которое исправляет в Windows 10 и Windows Server 2019 две уязвимости CVE-2020-1425 и CVE-2020-1457, позволявшие злоумышленнику добиться удаленного выполнения кода на атакованной машине.
Ошибки скрывались во встроенной библиотеке кодеков Windows. Злоумышленник мог успешно их использовать с помощью специальным образом сформированного изображения, которое затем обрабатывалось в атакованной системе приложениями, использующими эту библиотеку.
Уязвимости были открыты исследователем Абдул-Азизу Харири в рамках программы Zero Day Initiative японской инфосек компании Trend Micro, после чего переданы в Microsoft.
Представители софтверного гиганта утверждают, что ошибки не использовались в дикой природе. Так ли это или нет - остается только догадываться.
Ошибки скрывались во встроенной библиотеке кодеков Windows. Злоумышленник мог успешно их использовать с помощью специальным образом сформированного изображения, которое затем обрабатывалось в атакованной системе приложениями, использующими эту библиотеку.
Уязвимости были открыты исследователем Абдул-Азизу Харири в рамках программы Zero Day Initiative японской инфосек компании Trend Micro, после чего переданы в Microsoft.
Представители софтверного гиганта утверждают, что ошибки не использовались в дикой природе. Так ли это или нет - остается только догадываться.
ZDNET
Microsoft releases emergency security update to fix two bugs in Windows codecs
Security updates have been silently deployed to customers on Tuesday through the Windows Store app.
BleepingComputer сообщают о новом виде вредоносов, получившем название EvilQuest, предназначенном для атак на машины под управлением MacOS.
EvilQuest обнаружен в начале этой недели компанией K7 Lab и проанализирован группой исследователей из Malwarebytes, Jamf и BleepingComputer. Он шифрует файлы в скомпрометированой системе, но, маскируясь под обычного вымогателя, обладает также возможностями по сбору информации с зараженного хоста, включая кейлоггер и кражу данных криптовалютных кошельков.
Судя по всему, вредонос появился в начале июня этого года. Он распространяется через торренты посредством инфицированных инсталляторов легального ПО, в частности музыкальных программ Mixed In Key и Ableton.
EvilQuest проверят, не запущен ли он на виртуальной машине, а также наличие в атакуемой системе популярных антивирусных продуктов (Avast, Kaspersky, Mcaffee и др.). После шифрования файлов он предлагает заплатить 50$ на статический биткойн кошелек, однако не оставляет никакого способа обратной связи, что делает невозможным привязку выплаты к конкретной жертве.
Фактически, после выплаты жертвой выкупа хакер все равно останется в системе и будет собирать интересующие его данные, а файлы так и останутся зашифрованными.
Исследователи полагают, что функции ransomware являются всего лишь маскировкой для кражи данных с зараженной машины. EvilQuest ворует текстовые файлы, изображения, электронные таблицы, сертификаты, данные криптокошельков и пр. При этом файлы не должны превышать размера 800 KB.
Расшифровщика пока нет и не понятно будет ли он вообще.
В статье приводится ссылка на бесплатную утилиту Wardle RansomWhere, которая помогает предотвратить попытки EvilQuest по шифрованию файлов. Также, полагаем, в самое короткое время вредонос будет выявляться всеми популярными антивирусными программами (MalwareBytes уверяют, что уже).
EvilQuest это третий выявленный штамм вымогателей для MacOS после KeRanger и Patcher.
EvilQuest обнаружен в начале этой недели компанией K7 Lab и проанализирован группой исследователей из Malwarebytes, Jamf и BleepingComputer. Он шифрует файлы в скомпрометированой системе, но, маскируясь под обычного вымогателя, обладает также возможностями по сбору информации с зараженного хоста, включая кейлоггер и кражу данных криптовалютных кошельков.
Судя по всему, вредонос появился в начале июня этого года. Он распространяется через торренты посредством инфицированных инсталляторов легального ПО, в частности музыкальных программ Mixed In Key и Ableton.
EvilQuest проверят, не запущен ли он на виртуальной машине, а также наличие в атакуемой системе популярных антивирусных продуктов (Avast, Kaspersky, Mcaffee и др.). После шифрования файлов он предлагает заплатить 50$ на статический биткойн кошелек, однако не оставляет никакого способа обратной связи, что делает невозможным привязку выплаты к конкретной жертве.
Фактически, после выплаты жертвой выкупа хакер все равно останется в системе и будет собирать интересующие его данные, а файлы так и останутся зашифрованными.
Исследователи полагают, что функции ransomware являются всего лишь маскировкой для кражи данных с зараженной машины. EvilQuest ворует текстовые файлы, изображения, электронные таблицы, сертификаты, данные криптокошельков и пр. При этом файлы не должны превышать размера 800 KB.
Расшифровщика пока нет и не понятно будет ли он вообще.
В статье приводится ссылка на бесплатную утилиту Wardle RansomWhere, которая помогает предотвратить попытки EvilQuest по шифрованию файлов. Также, полагаем, в самое короткое время вредонос будет выявляться всеми популярными антивирусными программами (MalwareBytes уверяют, что уже).
EvilQuest это третий выявленный штамм вымогателей для MacOS после KeRanger и Patcher.
BleepingComputer
ThiefQuest ransomware is a file-stealing Mac wiper in disguise
A new data wiper and info-stealer called EvilQuest is using ransomware as a decoy to steal files from macOS users. The victims get infected after downloading trojanized installers of popular apps from torrent trackers.
В материалах про APT самое интересное - это связь между хакерской группой и конкретным государственным учреждением. Поэтому мимо этой новости мы пройти не смогли.
Исследователи инфосек компании Lookout в своем новом отчете заявили, что анализируя кампанию по распространению вредоносов для Android против представителей уйгурской оппозиции в Китае, выявили прямую связь с одним из китайских военных подрядчиков.
В кибероперация, проводимой APT Mirage, она же APT15, Vixen Panda и BRONZE PALACE, использовалось вредоносное ПО GoldenEagle, управляющий центр которого, в результате ошибки, оказался открытым. Исследователи смогли получить доступ к нему, что позволило собрать данные в отношении заражений, в том числе GPS-координаты инфицированных устройств.
Проведенный анализ показал, что большинство GPS-координат ранних заражений указывали на точки вокруг здания Xi'an Tianhe Defense Technology, крупного китайского военного подрядчика, размещенного в г. Сиань. По всей видимости, эти ранние заражения были тестовыми и проводились в отношении подконтрольных устройств.
APT Mirage известна тем, что осуществляла фишинговые кампании в отношении различных государственных учреждений по всему миру. В частности, в 2017 году хакеры атаковали коммерческую компанию, в распоряжении которой находились данные британского правительства, в том числе касающиеся военных технологий.
Исследователи инфосек компании Lookout в своем новом отчете заявили, что анализируя кампанию по распространению вредоносов для Android против представителей уйгурской оппозиции в Китае, выявили прямую связь с одним из китайских военных подрядчиков.
В кибероперация, проводимой APT Mirage, она же APT15, Vixen Panda и BRONZE PALACE, использовалось вредоносное ПО GoldenEagle, управляющий центр которого, в результате ошибки, оказался открытым. Исследователи смогли получить доступ к нему, что позволило собрать данные в отношении заражений, в том числе GPS-координаты инфицированных устройств.
Проведенный анализ показал, что большинство GPS-координат ранних заражений указывали на точки вокруг здания Xi'an Tianhe Defense Technology, крупного китайского военного подрядчика, размещенного в г. Сиань. По всей видимости, эти ранние заражения были тестовыми и проводились в отношении подконтрольных устройств.
APT Mirage известна тем, что осуществляла фишинговые кампании в отношении различных государственных учреждений по всему миру. В частности, в 2017 году хакеры атаковали коммерческую компанию, в распоряжении которой находились данные британского правительства, в том числе касающиеся военных технологий.
Пост специально для админов.
Сегодня CheckPoint опубликовали отчет, в котором сообщили о многочисленных уязвимостях в популярном клиенте удаленного рабочего стола Apache Guacamole (более 10 млн. загрузок на Docker Hub).
Дырки были найдены в марте, а в конце июня разработчики Guacamole выпустили версию 1.2.0, в которой они устранены. Уязвимости позволяют злоумышленнику, заразившему одну из удаленных систем с установленным клиентом, совершить обратную атаку через протокол RDP и захватить систему, с которой осуществляется удаленное администрирование.
Поскольку некоторые технические подробности ошибок теперь опубликованы Check Point, то высока вероятность того, что в скором времени появятся соответствующие эксплойты.
Как всегда - срочно обновляемся.
Сегодня CheckPoint опубликовали отчет, в котором сообщили о многочисленных уязвимостях в популярном клиенте удаленного рабочего стола Apache Guacamole (более 10 млн. загрузок на Docker Hub).
Дырки были найдены в марте, а в конце июня разработчики Guacamole выпустили версию 1.2.0, в которой они устранены. Уязвимости позволяют злоумышленнику, заразившему одну из удаленных систем с установленным клиентом, совершить обратную атаку через протокол RDP и захватить систему, с которой осуществляется удаленное администрирование.
Поскольку некоторые технические подробности ошибок теперь опубликованы Check Point, то высока вероятность того, что в скором времени появятся соответствующие эксплойты.
Как всегда - срочно обновляемся.
Check Point Software
Hole-y Guacamole! Fixing critical vulnerabilities in Apache’s popular remote desktop gateway - Check Point Software
Overview Just a few short months ago, for most of us the daily working routine involved going to the office and working on the corporate computers, or
Нет у инфосек исследователей занятия любимей, чем спорить друг с другом по поводу названий хакерской группы или киберкампании. Тем более, что они частенько пересекаются.
Не так давно мы писали как при расследовании взлома норвежской компании Visma американские Recorded Future и Microsoft чуть не поругались. Первая утверждала, что за атакой стоит китайская APT 10, работающая на МГБ КНР, а вторая заявляла, что это не так и кибероперация принадлежит китайской же APT 31.
И вот опять.
Вчера компания Cybereason (нам одним их логотип напоминает натянутые на афедрон стринги?) написала про выявленную кампанию по распространению вредоноса FakeSpy под Android, которая, ориентировочно, идет аж с октября 2017 года.
FakeSpy - многофункциональное мобильное malware, которое крадет информацию, включая переписки, финансовые данные и списки контактов, а также отправляет SMS-сообщения. Вредонос маскируется под легальные приложения, основные пути распространения - стандартный или SMS-фишинг.
Автором FakeSpy исследователи назвали китайскоязычную хакерскую группу (напомним, что на китайском языке кроме Китая говорят в Гонконге, Сингапуре и Тайване) под названием Roaming Mantis.
Но всем ресерчерам это понравилось (не исследование, а название группы). Японец Manabu Niseki сегодня написал твит, что он верит в то, что Roaming Mantis это не название группы, а название киберкампании. И Cybereason, а также примкнувшая к ним CSIS Security Group вообще не правы. Тут же нашлись поддерживающие.
И, казалось бы, ну какая особо разница. Тем более, что большая часть групп именуется по названиям выявленных киберопераций за их авторством (как тот же DarkHotel). Но поспорить же любимое дело, вот и ломают копья.
Не так давно мы писали как при расследовании взлома норвежской компании Visma американские Recorded Future и Microsoft чуть не поругались. Первая утверждала, что за атакой стоит китайская APT 10, работающая на МГБ КНР, а вторая заявляла, что это не так и кибероперация принадлежит китайской же APT 31.
И вот опять.
Вчера компания Cybereason (нам одним их логотип напоминает натянутые на афедрон стринги?) написала про выявленную кампанию по распространению вредоноса FakeSpy под Android, которая, ориентировочно, идет аж с октября 2017 года.
FakeSpy - многофункциональное мобильное malware, которое крадет информацию, включая переписки, финансовые данные и списки контактов, а также отправляет SMS-сообщения. Вредонос маскируется под легальные приложения, основные пути распространения - стандартный или SMS-фишинг.
Автором FakeSpy исследователи назвали китайскоязычную хакерскую группу (напомним, что на китайском языке кроме Китая говорят в Гонконге, Сингапуре и Тайване) под названием Roaming Mantis.
Но всем ресерчерам это понравилось (не исследование, а название группы). Японец Manabu Niseki сегодня написал твит, что он верит в то, что Roaming Mantis это не название группы, а название киберкампании. И Cybereason, а также примкнувшая к ним CSIS Security Group вообще не правы. Тут же нашлись поддерживающие.
И, казалось бы, ну какая особо разница. Тем более, что большая часть групп именуется по названиям выявленных киберопераций за их авторством (как тот же DarkHotel). Но поспорить же любимое дело, вот и ломают копья.
Twitter
にのせき
I believe #RoamingMantis is a name of a campaign (which is named by Kaspersky GReAT). It is not a group. But recently I saw some reports which use #RoamingMantis as a name of a group. e.g. https://t.co/XgVlrqOJNS (by @cybereason) https://t.co/o7y8Kt6yka (by…
Европейские правоохранительные органы арестовали несколько сотен подозреваемых в участии в организованной преступной деятельности после того, как смогли проникнуть в закрытую мобильную сеть EncroChat.
EncroChat - криптофоны, функционирующие на базе Android либо EncroChat OS. Устройства используют шифрование с момента загрузки, при этом происходит проверка на предмет целостности ПО. Секретный PIN позволяет стереть все содержимое криптофона. По желанию клиента для большей конспирации аппаратно отключаются камера и микрофон. Обмен сообщениями происходит в зашифрованной форме через собственные сервера EncroChat.
Стоимость криптофона составляет 1000 евро, шестимесячная подписка на сервис стоит 1500 евро (кстати, судя по наличию корявого русского перевода в веб-магазине, их продавали и в России).
Неудивительно, что при таких исходных данных EncroChat пользовались популярностью у представителей организованной преступности по всему миру - британцы называют цифру в 60 тыс. абонентов.
Похоже, что в начале этого года французские правоохранительные органы смогли проникнуть в сеть EncroChat и расшифровать переписку пользователей. После этого в апреле была создана совместная французско-голландская следственная группа (JIT), которая проводила дальнейшую разработку с привлечением органов Норвегии, Испании, Швеции и Британии.
13 июня владельцы EncroChat поняли, что их сеть скомпрометирована, после чего разослали всем пользователям рекомендацию физически уничтожить их криптофоны и отключили свои сервера.
В результате совместной операции JIT в только в Нидерландах было арестовано 60 подозреваемых, изъято более 10 тонн (!) кокаина, 70 кг героина, 12 тонн марихуаны и 160 тыс. литров прекурсоров. Изъято более 20 млн. евро наличных.
В Великобритании правоохранительные органы изъяли 54 млн. фунтов стерлингов, 77 единиц огнестрельного оружия, 28 млн. таблеток этизолама и кучу всего прочего.
Внушительный результат.
UPD. Independent пишет, что только в Великобритании было арестовано 760 членов ОПГ.
EncroChat - криптофоны, функционирующие на базе Android либо EncroChat OS. Устройства используют шифрование с момента загрузки, при этом происходит проверка на предмет целостности ПО. Секретный PIN позволяет стереть все содержимое криптофона. По желанию клиента для большей конспирации аппаратно отключаются камера и микрофон. Обмен сообщениями происходит в зашифрованной форме через собственные сервера EncroChat.
Стоимость криптофона составляет 1000 евро, шестимесячная подписка на сервис стоит 1500 евро (кстати, судя по наличию корявого русского перевода в веб-магазине, их продавали и в России).
Неудивительно, что при таких исходных данных EncroChat пользовались популярностью у представителей организованной преступности по всему миру - британцы называют цифру в 60 тыс. абонентов.
Похоже, что в начале этого года французские правоохранительные органы смогли проникнуть в сеть EncroChat и расшифровать переписку пользователей. После этого в апреле была создана совместная французско-голландская следственная группа (JIT), которая проводила дальнейшую разработку с привлечением органов Норвегии, Испании, Швеции и Британии.
13 июня владельцы EncroChat поняли, что их сеть скомпрометирована, после чего разослали всем пользователям рекомендацию физически уничтожить их криптофоны и отключили свои сервера.
В результате совместной операции JIT в только в Нидерландах было арестовано 60 подозреваемых, изъято более 10 тонн (!) кокаина, 70 кг героина, 12 тонн марихуаны и 160 тыс. литров прекурсоров. Изъято более 20 млн. евро наличных.
В Великобритании правоохранительные органы изъяли 54 млн. фунтов стерлингов, 77 единиц огнестрельного оружия, 28 млн. таблеток этизолама и кучу всего прочего.
Внушительный результат.
UPD. Independent пишет, что только в Великобритании было арестовано 760 членов ОПГ.
BleepingComputer
Hundreds arrested after encrypted messaging network takeover
European law enforcement agencies arrested hundreds of suspects in several countries including France, Netherlands, the UK, Norway, and Sweden after infiltrating the EncroChat encrypted mobile communication network used by organized crime groups.
Компания BMW, посмотрев на финансовые успехи операторов вымогателей, действующих по схеме Ransomware-as-a-Service, решила применить ту же методику в своих автомобилях.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют регулярно обновлять программную прошивку последних моделей по воздуху, но и собираются превратить многие опции в автомобиле в программные сервисы.
В числе претендентов на Software-as-a-Service (SaaS) - адаптивный круиз, автоматическое переключение дальнего света и, даже, подогрев сидений.
То есть для того, чтобы подогреть в холодное время года свою пятую точку вам будет необходимо оплатить подписку. Нет, безусловно, на старте вам дадут оплаченный пакет, например на полгода, но дальше - только за безнал.
Мы не сомневаемся, что столь выгодное для производителя начинание будет в скором времени непременно расширено. Например, поворот руля вправо надо будет оплачивать отдельно от поворота руля влево (хотя можно будет и пакетом со скидкой в 10%).
И уже совсем будет неприятно, если в момент ДТП у вас закончится подписка на подушки и замки ремней безопасности.
Кто бы придумал такую подписку, чтобы по истечении полугода продавец машины был должен заплатить за продление возможности пользования нашими деньгами.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют регулярно обновлять программную прошивку последних моделей по воздуху, но и собираются превратить многие опции в автомобиле в программные сервисы.
В числе претендентов на Software-as-a-Service (SaaS) - адаптивный круиз, автоматическое переключение дальнего света и, даже, подогрев сидений.
То есть для того, чтобы подогреть в холодное время года свою пятую точку вам будет необходимо оплатить подписку. Нет, безусловно, на старте вам дадут оплаченный пакет, например на полгода, но дальше - только за безнал.
Мы не сомневаемся, что столь выгодное для производителя начинание будет в скором времени непременно расширено. Например, поворот руля вправо надо будет оплачивать отдельно от поворота руля влево (хотя можно будет и пакетом со скидкой в 10%).
И уже совсем будет неприятно, если в момент ДТП у вас закончится подписка на подушки и замки ремней безопасности.
Кто бы придумал такую подписку, чтобы по истечении полугода продавец машины был должен заплатить за продление возможности пользования нашими деньгами.
Roadshow
Your next BMW might only have heated seats for 3 months
As services-based economies sweep every industry, it's time for the automotive realm to carry on.
Сразу две новости про активность операторов ransomware от Security Affairs.
Оператор вымогателя Maze, который теперь Cartel, в воскресенье вечером взломал почтовый сервер Национального управления автомобильных дорог Индии (NHAI), после чего попытался проникнуть во внутреннюю сеть.
Официальные индийские источники заявили в понедельник, что хотя взлом почтового сервера NHAI и имел место, но дальнейшая атака была предотвращена путем его отключения. Соответственно утечка данных не произошла.
Правда Maze Cartel с этим не согласны и опубликовали на своем сайте часть украденной у NHAI информации. Ее исследовали эксперты компании Cyble, как раз специализирующиеся на утечках в результате атак ransomware, и подтвердили присутствие в утечке конфиденциальных данных.
Второй материал - про оператора вымогателя Sodinokibi (он же REvil).
Напомним, что несмотря на то, что Sodinokibi работает по схеме Ransomware-as-a-Service (RaaS), создатель вымогателя является русскоязычной хакерской группой.
Как выясняется, в июне Sodinokibi взломали бразильскую энергетическую компанию Light SA, от которой потребовали выплату к 19 июня 7 миллионов долларов в криптовалюте Monero (оператор вымогателя недавно заявил о переходе на этот вид критпы как самый защищенный от расследования государственных органов). Но к указанному сроку выплата не была произведена, после чего сумма увеличена оператором ransomware до 14 млн. долларов.
Но в этой истории вызывает интерес не сумма выкупа, а тот факт, что, по данным инфосек компании AppGate, при атаке на ресурсы Light SA злоумышленники использовали достаточно старую уязвимость CVE-2018-8453 - дырку в Windows, которая была закрыта еще в октябре 2018 года.
То есть стоимость не проведенного апдейта торчащей в сеть машины может составлять 14 млн. долларов. Хороший стимул для риск-менеджмента в части разработки и неукоснительного соблюдения строгих процедур своевременного обновления использующегося ПО.
Оператор вымогателя Maze, который теперь Cartel, в воскресенье вечером взломал почтовый сервер Национального управления автомобильных дорог Индии (NHAI), после чего попытался проникнуть во внутреннюю сеть.
Официальные индийские источники заявили в понедельник, что хотя взлом почтового сервера NHAI и имел место, но дальнейшая атака была предотвращена путем его отключения. Соответственно утечка данных не произошла.
Правда Maze Cartel с этим не согласны и опубликовали на своем сайте часть украденной у NHAI информации. Ее исследовали эксперты компании Cyble, как раз специализирующиеся на утечках в результате атак ransomware, и подтвердили присутствие в утечке конфиденциальных данных.
Второй материал - про оператора вымогателя Sodinokibi (он же REvil).
Напомним, что несмотря на то, что Sodinokibi работает по схеме Ransomware-as-a-Service (RaaS), создатель вымогателя является русскоязычной хакерской группой.
Как выясняется, в июне Sodinokibi взломали бразильскую энергетическую компанию Light SA, от которой потребовали выплату к 19 июня 7 миллионов долларов в криптовалюте Monero (оператор вымогателя недавно заявил о переходе на этот вид критпы как самый защищенный от расследования государственных органов). Но к указанному сроку выплата не была произведена, после чего сумма увеличена оператором ransomware до 14 млн. долларов.
Но в этой истории вызывает интерес не сумма выкупа, а тот факт, что, по данным инфосек компании AppGate, при атаке на ресурсы Light SA злоумышленники использовали достаточно старую уязвимость CVE-2018-8453 - дырку в Windows, которая была закрыта еще в октябре 2018 года.
То есть стоимость не проведенного апдейта торчащей в сеть машины может составлять 14 млн. долларов. Хороший стимул для риск-менеджмента в части разработки и неукоснительного соблюдения строгих процедур своевременного обновления использующегося ПО.
Security Affairs
Maze Ransomware operators hacked Highways Authority Of India (Nhai) - Security Affairs
Researchers at Cyble reported that Maze Ransomware Operators allegedly breached National Highways Authority Of India (Nhai).
Кстати, по поводу вчерашнего поста про планы компании BMW предоставлять ряд функций в автомобиле по схеме Software-as-a-Service (SaaS) родилась интересная мысль.
Наверняка в условиях возможности обновления прошивки по воздуху появятся кастомные сборки автомобильных мозгов, в которых будут разблокированы платные функции. И которые будут непременно глючить.
Представляем себе тред на 4PDA:
- Помогите, после обновления прошивки моя 5-ка превратилась в кирпич;
- После установки версии от Хаттаба машина едет задом наперед. И только на третьей передаче;
- Поставил на свой бумер прошивку от Auid RS8 - оказалось что у меня в машине есть люк. Но нет педалей.
Наверняка в условиях возможности обновления прошивки по воздуху появятся кастомные сборки автомобильных мозгов, в которых будут разблокированы платные функции. И которые будут непременно глючить.
Представляем себе тред на 4PDA:
- Помогите, после обновления прошивки моя 5-ка превратилась в кирпич;
- После установки версии от Хаттаба машина едет задом наперед. И только на третьей передаче;
- Поставил на свой бумер прошивку от Auid RS8 - оказалось что у меня в машине есть люк. Но нет педалей.
Telegram
SecAtor
Компания BMW, посмотрев на финансовые успехи операторов вымогателей, действующих по схеме Ransomware-as-a-Service, решила применить ту же методику в своих автомобилях.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют…
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют…
Очередная любопытная история со "случайным" сбором данных пользователей со стороны популярного Интернет-сервиса.
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Twitter
Don 𝘧𝘳𝘰𝘮 urspace.io
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification. I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro. Tik tok just got called out for this exact reason. https://t.co/l6NIT8ixEF
Немного пятничного вечернего.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.