Вот это новость!

Касперский готовит себе запасную площадку в Северной Корее?!
https://twitter.com/dprkcert/status/1288498991940993024

(да-да, мы знаем, что это стеб)

Вчера исследователи из Eclypsium опубликовали подробности о новой уязвимости в мультисистемном загрузчике ОС GRUB2 (Grand Unified Bootloader), которая получила название BootHole.

GRUB2 используется преимущественно для загрузки Linux, однако иногда применяется и для загрузки Windows, macOS и BSD.

BootHole позволяет выполнять произвольный код во время процесса загрузки ОС даже при включенном Secure Boot и заключается в некорректной обработке GRUB2 своего файла конфигурации (который обычно не подписан), что может привести к переполнению буфера.

Уязвимость была выявлена ресерчерами еще в начале этого года и получила обозначение CVE-2020-10713. Со вчерашнего дня, по заявлению Eclypsium, ИТ-производители, среди которых Microsoft, Oracle, Red Hat, Canonical, Debian, Citrix, HP и VMware, начали выпускать исправления уязвимого ПО.

Проблема только в том, что обновления загрузчиков, как правило, занимает овердофига времени. Остроты ситуации придает то, что уязвимыми являются большинство систем на основе Linux - сервера, OT и IoT устройства.

Ну и осталось добавить, что в своем отчете Eclypsium упомянули использование эксплойтов подобных уязвимостей со стороны современных APT, таких как Winnti. Но забыла про родоначальника моды на буткиты - АНБшную Equation. Исправляем их ошибку.

Всем причастным, как всегда, рекомендуем следить за обновлениями.

"Прекрасная" новость от BleepingComputer.

Министерство налогов Вермонта официально объявило о выявленной уязвимости сервиса подачи электронных заявлений о возврате налога со сделок с недвижимостью, которая позволяла получить доступ к информации о подобных сделках третьим лицам.

Ошибка существовала более трех лет - с февраля 2017 года по июль 2020 года. Это означает, что а) в течение этого времени обновления сервиса, скорее всего, не было и б) никаких аудитов ИБ за указанный период не проводилось.

Между тем, Вермонт - это пусть и небольшой, но вполне себе американский штат с населением более 600 тыс. человек. Какое количество сделок с недвижимостью за три с половиной года совершили его жители - только местное Министерство налогов и знает. А между тем, среди скомпрометированной информации были и номера социального страхования (SSN) участников сделки, которые, так-то, являются важнейшим ID в жизни каждого американца. Просто иллюстрация - наибольшее количество мошенничества по официальной статистике связано именно с SSN.

Ответственные лица, как всегда, заявили об отсутствии сведений о том, использовал ли кто-либо выявленную уязвимость. Ну, и озвучили привычную мантру "безопасность личных данных налогоплательщиков является наивысшим приоритетом".

А как у нас дело обстоит в этой области? А не очень. Свое мнение мы высказали здесь.

ZeroDay только что опубликовали материал о раскрытии в течение последней недели двух 0-day ошибок в Tor.

Исследователь Нил Кравец опубликовал 23 июля и сегодня подробности об уязвимостях в своем блоге после того, как в течение последних лет, как он утверждает, Tor Project не решал проблем безопасности, о которых он сообщал. Более того, ресерчер обещает рассказать еще о трех "нулевых днях" в Tor в ближайшее время.

Первая уязвимость заключается в возможности блокировать компаниями и интернет-провайдерами подключение своих пользователей к Tor путем выявления в сетевом трафике уникальной "подписи пакетов Tor".

Вторая ошибка - возможность аналогичной блокировки пользователей, только не их прямых соединений с узлами Tor, а соединений с Tor-мостами, которые специально используются для обхода блокировок. Отследить такие непрямые соединения также можно с помощью техники отслеживания пакетов Tor.

Как говорит Кравец, ранее Tor Project не устранил три уязвимости, о которых он сообщал разработчикам. Поэтому исследователь с начала этого года отказался от сотрудничества и теперь рассказывает о выявленных уязвимостях публично, чтобы принудить Tor Project к исправлению ошибок.

Ну а мы можем только попытаться угадать почему же Tor Project не торопится устранять некоторые уязвимости. Наверное потому, что изначально за разработкой Tor, как мы уже неоднократно говорили, стояло Разведуправление Минобороны США (РУМО). А практика преднамеренного оставления дыр в различном ПО, на разработку которого можно повлиять, является обычной для американских спецслужб и косвенно это получило подтверждение после слива в паблик инструментария подразделения АНБ, известного миру как хакерская группа Equation.

Вчера вечером EC объявил о санкциях, которые наложены на сотрудников одного из подразделений ГРУ, а также на подставные компании китайских и корейских APT.

Санкции предполагают замораживание активов и запрет на поездки на территорию ЕС, а также (как мы поняли) запрещают организациям и гражданам ЕС взаимодействовать с теми, на кого эти санкции наложены.

Европейцы ввели санкции против четырех россиян, которых называют членами APT Sandworm (она же BlackEnergy), а также против в/ч 74455, являющейся частью ГРУ, в которой, как полагают европейцы, эти россияне служат.

Кроме того, под санкции попали двое китайцев, предполагаемые члены APT 10 (она же Stone Panda), китайская компания Huaying Haitai, связанная с указанной хакерской группой, и северокорейская Chosun Expo, связанная с APT Lazarus.

Учитывая тот факт, что получение доказательств причастности физических лиц к совершению киберпреступлений фактически невозможно без участия правоохранительных органов той страны, на территории которой они находятся, никаких пруфов, конечно, не будет.

Не будем отрицать наличие в российских спецслужбах хакеров, это глупо, все ведущие страны имеют подконтрольные высококвалифицированные хакерские группы. Но введение подобных санкций, не подкрепленных прочной доказательной базой, - это еще одна открытая дверь в "дивный новый мир".

Короче, ждем от отечественных силовиков введения санкций против, к примеру, англичан из Regin. Хотя, кого мы обманываем, ответственные за киберзащиту подразделения российских спецслужб и ведомств на это критически не способны - мы не сомневаемся, что в МВД и ФСБ даже названия Regin не слышали.

Bad Packets сообщили, что вчера китайцы массово сканировали Pulse Secure VPN сервера на предмет уязвимости перед CVE-2019-11510. Видать ломать будут.

Мы не раз писали, что обновление, исправляющее эту уязвимость, было выпущено еще в апреле 2019 года, но далеко не все установили соответствующие апдейты. К примеру, перед тем как взломали британскую электросетевую компанию Elexon, отвечающую за распределение всей электроэнергии в Великобритании, те же Bad Packets сообщали, что Pulse Secure VPN энергетиков не был обновлен, и, судя по всему, в дальнейшем выступил в качестве точки компрометации сети.

Как все уже слышали, вчера правоохранительные органы США выдвинули обвинение трем хакерам, причастным к недавнему взлому Twitter. Злоумышленниками оказались:
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима "Rolex" Фазели;
- еще одни житель Флориды 17 лет отроду Грэм Айван "Kirk" Кларк.

ZDNet провели собственное расследование и выяснили как американские следователи нашли хакеров.

Итак, 3 мая Кларк получил доступ к части сети Twitter (видимо, в результате целевого фишинга, направленного на сотрудников компании). Далее хакер добыл учетные данные одного из инструментов технической поддержки, привязанного к одному из каналов Slack (корпоративный мессенджер).

Однако этого было недостаточно, поскольку аккаунты бэкэнда Twitter были защищены двухфакторной аутентификацией (2FA). Каким-то образом Кларку удалось с помощью социальной инженерии по телефону достать у сотрудников недостающие данные для прохождения 2FA аутентификации (отсюда и возникла информация про телефонный фишинг).

Что это за сотрудники такие, которые по телефону выдают подобную информацию - отдельный вопрос к службе безопасности Twitter и разрабатываемым ей инструкциям.

15 июля Кларк смог таки окончательно проникнуть в Twitter и посредством Discord связался с двумя другими злоумышленниками, чтобы монетизировать взлом. Он заявил, что работает в Twitter и в доказательство своих возможностей изменил настройки учетной записи Фазели, а также продал ему доступ к аккаунту @foreign. Шеппарду он продал доступ к аккаунтам @xx, @dark, @vampire, @obinna и @drug.

После подтверждения своих возможностей хакеры заключили соглашение о размещении рекламы на хакерском форуме OGUsers. После этого несколько человек купили доступ к выбранным аккаунтам Twitter.

Американские правоохранители заявляют, что сумма, которую заработали трое раздолбаев составляет 117 тыс. долларов. Еще 280 тыс. долларов были заблокированы администрацией криптовалюты Coinbase.

Всего Кларк получил доступ к 130 аккаунтам Twitter, к 45 из которых сбросил пароль, а у 36 получил доступ к личным сообщениям.

Таким образом, ФБР отловило хакеров прошерстив массив данных Discord, хакерского форума OGUsers (ФБР говорит, что использовало слитую в результате взлома в апреле этого года часть базы пользователей, но хз, могут и полную базу иметь в распоряжении), криптовалюты Coinbase и, что ожидаемо, Gmail (при регистрации ряда записей хакеры использовали электронную почту).

Дурни, конечно, что сказать. Бездарно слили возможности на мошенничество с криптовалютой, а ведь могли бы и третью мировую устроить (не дай Бог, конечно). Что лишний раз свидетельствует о безумной несоразмерности значения ряда цифровых сервисов с принимаемыми ими мерами информационной безопасности.

Все равно что пульт запуска межконтинентальной ядерной ракеты на амбарный замок закрывать.

Не грози Южному Централу...

https://twitter.com/dprkcert/status/1289334659524907009

​​Помните в начале июля проходила информация о том, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля. А в архиве, в числе прочего, лежала база, в которой хранились хеши паспортов. Архив оперативно расшифровали и данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.

Мы тогда писали, что, несмотря на проблемы с инфосеком у организаторов голосования, сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют. И это уж точно не персональные (или личные) данные, как пишут журналисты.

И вот сегодня новостные ресурсы взорвались сенсацией - оказывается, в даркнете хакеры продают эту информацию по цене от 1 до 1,5$ за запись. И это та самая база, про которую первой написала Meduza.

Ой вей, кажется кто-то решил сделать себе неплохой гешефт на пустом месте.

Самое смешное, что архив был доступен в Wayback Machine, а пароль от него гулял по телеграм-каналам и его можно спокойно найти.

Ох уж эти хакеры.

В конце июня оператор ransomware Maze сломал LG и разместил в сети доказательства взлома, среди которых были данные прошивок устройств LG, а также исходные коды программного обеспечения компании.

Вчера Maze выкинули в сеть 50 Гб данных, принадлежащих LG. Это означает только одно - корейцы отказались платить выкуп. Такая позиция вызывает уважение, хотя и на фоне вопросов к инфосеку компании.

Правда, по утверждению журналистов ZDNet, представители хакеров сообщили им в письме, что как такового шифрования данных не было, поскольку "у LG социально значимый бизнес" - они просто украли информацию. Возможно, что смелость корейского производителя связана именно с этим.

Ну а в довесок к LG оператор вымогателя опубликовал массив данных компании Xerox размером в 25 с лишним Гб. Тоже не последняя компания в мировом списке производителей электроники.

Исследователи из Bad Packets полагают, что оба взлома были осуществлены через непропатченные Citrix ADC, уязвимые к CVE-2019-19781, которая была устранена производителем еще в январе этого года.

"Когда полгода не апдейтил Citrix ADC и потерял десятки гигабайт конфиденциальных данных". Картинку к подписи подберите сами.

Исследователи британской инфосек компании Sophos обнаружили в вымогателе WastedLocker, оператор которого недавно взломал Garmin, функцию, благодаря которой ransomware скрывается от обнаружения антивирусным ПО.

Антивирусы используют отслеживание последовательных операций по открытию файла-чтению-записи-закрытию, для чего используют т.н. minifilter drivers. WastedLocker считывает содержимое файла в кэш, после чего закрывает файл, нарушая поведенческую модель ransomware, а затем шифрует его содержимое прямо в кэше. Когда определенное количество зашифрованных файлов накапливается в кэше они скопом сбрасываются на диск, да еще и от имени Windows Cash Manager.

Интересно, что в процессе анализа WastedLocker британцы нашли свидетельство того, что он является эволюцией другого ransomware - BitPaymer, он же FriedEx. Это лишний раз подтверждает, что WastedLocker является продуктом хакерской группы Evil Corp.

Это все к тому, что Врублевский научился в Телеграм.

https://twitter.com/alukatsky/status/1290658259221741568

С "Windows Cash Manager" мы вчера опечатались, конечно, смешно. И сначала решили исправить.

А потом поняли, что в случае с ransomware это выражение имеет полное право на существование.

Сколько раз мы уже писали про непропатченные Pulse Secure VPN сервера, а история все никак не кончается.

Как говорят ZDNet, инфосек компания KELA передала журналистам список из более чем 900 корпоративных серверов Pulse Secure VPN, содержащий полные данные о них, включая логины и пароли.

Список был распространен на русскоязычном хакерском форуме, активно использующемся операторами ransomware и составлен злоумышленником в период между 24 июня и 8 июля 2020 года. Судя по всему, хакер использовал CVE-2019-11510, чтобы получить данные с уязвимых VPN-серверов.

Между тем исследователи Bad Packets, к которым обратились журналисты ZDNet за комментариями, сообщили, что 677 серверов из этого списка были обнаружены ими еще в прошлом году, когда появился первый эксплойт уязвимости. То есть до 24 июня 2020 года они с тех пор не обновлялись.

Хорошо быть тупым (с)

Bad Packets продолжают радовать интересными и полезными новостями.

Вчера они обнаружили массовое сканирование сети с французского IP-адреса на предмет уязвимых для CVE-2020-6287 серверов с SAP NetWeaver. Опять таки кто-то будет ломать.

Напомним, что эта уязвимость, названная исследователями RECON, находится в компоненте SAP NetWeaver AS и позволяет неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.

SAP закрыла данную ошибку в июльском патче. Но, как всегда, наверняка найдутся "талантливые" люди, которые до сих пор не обновились. А потом будут крики "караул, у меня корпорацию украли".

Судебные онлайн-слушания в отношении 17-летнего хакера Грэма Кларка из Флориды, обвиняемого в организации взлома Twitter в прошлом месяце, были прерваны в результате zoombombing'а.

Слушания проводились посредством Zoom, но сама видеоконференция не была правильным образом настроена, из-за чего несколько мамкиных хакеров смогли подключиться к ней под видом журналистов и в разгар дискуссии включили "ass eating" порно (что бы это не значило).

Судья Кристофер Нэш был вынужден слушания приостановить и заявил, что в следующий раз ему потребуется пароль (а также сабля и парабеллум).

Хулигани (с) Красная Жара

​​Появилась ссылка на список из более чем 900 уязвимых корпоративных серверов Pulse Secure VPN, про которые мы писали сегодня.

Можно проверить, нет ли среди них вашего.

Оператор ransomware Maze переехал Canon.

30 июля сайт image .canon ушел на техническое обслуживание, которое продлилось до 4 августа. При этом в качестве причины шатдауна была указана некая "проблема, связанная долгосрочным хранилищем, размещенном на ресурсе", в результате чего часть изображений была потеряна.

Но журналисты BleepingComputer решили провести собственное расследование, в процессе которого выяснили, что в Canon засбоило множество сервисов, а также получили частичный скриншот сообщения от вымогателей из Maze.

Журналисты обратились за комментарием к Maze и те сообщили, что действительно вчера утром успешно взломали Canon и похитили более 10 Тб информации, включая базы данных, переписки и пр. Сумму выкупа хакеры не озвучили.

А самое интересное - сбой image .canon не был связан со взломом Maze. Простое совпадение, в результате которого мы узнали про атаку ransomware на Canon.

​​ESET выступит на Black Hat 2020 (виртуально). И этот факт не удостоился бы отдельного поста, если бы не фамилия спикера компании. У нас уже двое язык вывихнули.

​​Месяц назад мы написали следующее - "это (нарушение формальных правил) приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов".

И вчера США объявили очередную инициативу, подводящую нас еще ближе к "дивному новому миру", который мы описали выше.

Эта инициатива - конечно, же программа Чистая Сеть, анонсированная госсекретарем Помпео. Программа включает в себя следующие компоненты:

- Clean Carrier, "ненадежные" китайские операторы не должны взаимодействовать с американской телекоммуникационной сетью;
- Clean Store, удаление "ненадежных" китайских приложений из магазинов мобильного ПО;
- Clean Apps, взаимообратное удаление американскими (или, как мы думаем, подпадающими под американскую юрисдикцию) компаниями своих приложений из App Store "ненадежных" китайских производителей, e.g. Huawei;
- Clean Cloud, фактический запрет американским резидентам и компаниям использовать облачные сервисы, принадлежащие "иностранным противникам США";
- Clean Cable, инициатива по защите подводных кабелей передачи данных от злых китайцев.

И вчера же Дуров отреагировал на угрозы американского правительства фактически запретить TikTok на территории США (а, возможно, и надавить на своих союзников) если китайцы не продадут американскую часть бизнеса местным инвесторам, - "Soon, every big country is likely to use “national security” as a pretext to fracture international tech companies. And ironically, it’s the US companies like Facebook or Google that are likely to lose the most from the fallout."

Так что пользуйтесь любимыми сетевыми сервисами пока можете. Скоро у нас будет свой Интернет с бочоночным лото и скрепами. Правда, не по нашей инициативе.

Новости с Black Hat USA 2020.

Исследователи из Технологического института Джорджии предcтавили доклад, в котором описали сценарий использования IoT-бот-сетей для манипуляций на энергетическом и фондовом рынках.

Злоумышленники могут захватить IoT-устройства с высоким потреблением энергии, такие как обогреватели, кондиционеры, посудомоечные машины и пр., и одновременно включая/выключая их добиться процентного увеличения или уменьшения энергопотребления. это повлияет на цены на энергетическом рынке и, соответственно, может повлиять на ситуацию на рынке фондовом.

Подобную бот-сеть ресерчеры назвали IoT Skimmer. Они считают, что трехмесячная кампания с ее использованием может принести хакерам более 20 млн. долларов в год (нам ни разу не понятно как трехмесячная кампания может принести прибыль в год, но джорджийцам виднее), а энергетический сектор США может понести до 350 млн. долларов убытков.

Остается только найти владельца посудомоечной машины, который в течение трех месяцев будет невозмутимо наблюдать как его агрегат сам по себе что-то там моет.

Интересное исследование, хотя и бестолковое.