Вчера вечером EC объявил о санкциях, которые наложены на сотрудников одного из подразделений ГРУ, а также на подставные компании китайских и корейских APT.

Санкции предполагают замораживание активов и запрет на поездки на территорию ЕС, а также (как мы поняли) запрещают организациям и гражданам ЕС взаимодействовать с теми, на кого эти санкции наложены.

Европейцы ввели санкции против четырех россиян, которых называют членами APT Sandworm (она же BlackEnergy), а также против в/ч 74455, являющейся частью ГРУ, в которой, как полагают европейцы, эти россияне служат.

Кроме того, под санкции попали двое китайцев, предполагаемые члены APT 10 (она же Stone Panda), китайская компания Huaying Haitai, связанная с указанной хакерской группой, и северокорейская Chosun Expo, связанная с APT Lazarus.

Учитывая тот факт, что получение доказательств причастности физических лиц к совершению киберпреступлений фактически невозможно без участия правоохранительных органов той страны, на территории которой они находятся, никаких пруфов, конечно, не будет.

Не будем отрицать наличие в российских спецслужбах хакеров, это глупо, все ведущие страны имеют подконтрольные высококвалифицированные хакерские группы. Но введение подобных санкций, не подкрепленных прочной доказательной базой, - это еще одна открытая дверь в "дивный новый мир".

Короче, ждем от отечественных силовиков введения санкций против, к примеру, англичан из Regin. Хотя, кого мы обманываем, ответственные за киберзащиту подразделения российских спецслужб и ведомств на это критически не способны - мы не сомневаемся, что в МВД и ФСБ даже названия Regin не слышали.

Bad Packets сообщили, что вчера китайцы массово сканировали Pulse Secure VPN сервера на предмет уязвимости перед CVE-2019-11510. Видать ломать будут.

Мы не раз писали, что обновление, исправляющее эту уязвимость, было выпущено еще в апреле 2019 года, но далеко не все установили соответствующие апдейты. К примеру, перед тем как взломали британскую электросетевую компанию Elexon, отвечающую за распределение всей электроэнергии в Великобритании, те же Bad Packets сообщали, что Pulse Secure VPN энергетиков не был обновлен, и, судя по всему, в дальнейшем выступил в качестве точки компрометации сети.

Как все уже слышали, вчера правоохранительные органы США выдвинули обвинение трем хакерам, причастным к недавнему взлому Twitter. Злоумышленниками оказались:
- 19 -летний гражданин Великобритании Мейсон "Chaewon" Шеппард;
- 17-летний житель флоридец Нима "Rolex" Фазели;
- еще одни житель Флориды 17 лет отроду Грэм Айван "Kirk" Кларк.

ZDNet провели собственное расследование и выяснили как американские следователи нашли хакеров.

Итак, 3 мая Кларк получил доступ к части сети Twitter (видимо, в результате целевого фишинга, направленного на сотрудников компании). Далее хакер добыл учетные данные одного из инструментов технической поддержки, привязанного к одному из каналов Slack (корпоративный мессенджер).

Однако этого было недостаточно, поскольку аккаунты бэкэнда Twitter были защищены двухфакторной аутентификацией (2FA). Каким-то образом Кларку удалось с помощью социальной инженерии по телефону достать у сотрудников недостающие данные для прохождения 2FA аутентификации (отсюда и возникла информация про телефонный фишинг).

Что это за сотрудники такие, которые по телефону выдают подобную информацию - отдельный вопрос к службе безопасности Twitter и разрабатываемым ей инструкциям.

15 июля Кларк смог таки окончательно проникнуть в Twitter и посредством Discord связался с двумя другими злоумышленниками, чтобы монетизировать взлом. Он заявил, что работает в Twitter и в доказательство своих возможностей изменил настройки учетной записи Фазели, а также продал ему доступ к аккаунту @foreign. Шеппарду он продал доступ к аккаунтам @xx, @dark, @vampire, @obinna и @drug.

После подтверждения своих возможностей хакеры заключили соглашение о размещении рекламы на хакерском форуме OGUsers. После этого несколько человек купили доступ к выбранным аккаунтам Twitter.

Американские правоохранители заявляют, что сумма, которую заработали трое раздолбаев составляет 117 тыс. долларов. Еще 280 тыс. долларов были заблокированы администрацией криптовалюты Coinbase.

Всего Кларк получил доступ к 130 аккаунтам Twitter, к 45 из которых сбросил пароль, а у 36 получил доступ к личным сообщениям.

Таким образом, ФБР отловило хакеров прошерстив массив данных Discord, хакерского форума OGUsers (ФБР говорит, что использовало слитую в результате взлома в апреле этого года часть базы пользователей, но хз, могут и полную базу иметь в распоряжении), криптовалюты Coinbase и, что ожидаемо, Gmail (при регистрации ряда записей хакеры использовали электронную почту).

Дурни, конечно, что сказать. Бездарно слили возможности на мошенничество с криптовалютой, а ведь могли бы и третью мировую устроить (не дай Бог, конечно). Что лишний раз свидетельствует о безумной несоразмерности значения ряда цифровых сервисов с принимаемыми ими мерами информационной безопасности.

Все равно что пульт запуска межконтинентальной ядерной ракеты на амбарный замок закрывать.

Не грози Южному Централу...

https://twitter.com/dprkcert/status/1289334659524907009

​​Помните в начале июля проходила информация о том, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля. А в архиве, в числе прочего, лежала база, в которой хранились хеши паспортов. Архив оперативно расшифровали и данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.

Мы тогда писали, что, несмотря на проблемы с инфосеком у организаторов голосования, сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют. И это уж точно не персональные (или личные) данные, как пишут журналисты.

И вот сегодня новостные ресурсы взорвались сенсацией - оказывается, в даркнете хакеры продают эту информацию по цене от 1 до 1,5$ за запись. И это та самая база, про которую первой написала Meduza.

Ой вей, кажется кто-то решил сделать себе неплохой гешефт на пустом месте.

Самое смешное, что архив был доступен в Wayback Machine, а пароль от него гулял по телеграм-каналам и его можно спокойно найти.

Ох уж эти хакеры.

В конце июня оператор ransomware Maze сломал LG и разместил в сети доказательства взлома, среди которых были данные прошивок устройств LG, а также исходные коды программного обеспечения компании.

Вчера Maze выкинули в сеть 50 Гб данных, принадлежащих LG. Это означает только одно - корейцы отказались платить выкуп. Такая позиция вызывает уважение, хотя и на фоне вопросов к инфосеку компании.

Правда, по утверждению журналистов ZDNet, представители хакеров сообщили им в письме, что как такового шифрования данных не было, поскольку "у LG социально значимый бизнес" - они просто украли информацию. Возможно, что смелость корейского производителя связана именно с этим.

Ну а в довесок к LG оператор вымогателя опубликовал массив данных компании Xerox размером в 25 с лишним Гб. Тоже не последняя компания в мировом списке производителей электроники.

Исследователи из Bad Packets полагают, что оба взлома были осуществлены через непропатченные Citrix ADC, уязвимые к CVE-2019-19781, которая была устранена производителем еще в январе этого года.

"Когда полгода не апдейтил Citrix ADC и потерял десятки гигабайт конфиденциальных данных". Картинку к подписи подберите сами.

Исследователи британской инфосек компании Sophos обнаружили в вымогателе WastedLocker, оператор которого недавно взломал Garmin, функцию, благодаря которой ransomware скрывается от обнаружения антивирусным ПО.

Антивирусы используют отслеживание последовательных операций по открытию файла-чтению-записи-закрытию, для чего используют т.н. minifilter drivers. WastedLocker считывает содержимое файла в кэш, после чего закрывает файл, нарушая поведенческую модель ransomware, а затем шифрует его содержимое прямо в кэше. Когда определенное количество зашифрованных файлов накапливается в кэше они скопом сбрасываются на диск, да еще и от имени Windows Cash Manager.

Интересно, что в процессе анализа WastedLocker британцы нашли свидетельство того, что он является эволюцией другого ransomware - BitPaymer, он же FriedEx. Это лишний раз подтверждает, что WastedLocker является продуктом хакерской группы Evil Corp.

Это все к тому, что Врублевский научился в Телеграм.

https://twitter.com/alukatsky/status/1290658259221741568

С "Windows Cash Manager" мы вчера опечатались, конечно, смешно. И сначала решили исправить.

А потом поняли, что в случае с ransomware это выражение имеет полное право на существование.

Сколько раз мы уже писали про непропатченные Pulse Secure VPN сервера, а история все никак не кончается.

Как говорят ZDNet, инфосек компания KELA передала журналистам список из более чем 900 корпоративных серверов Pulse Secure VPN, содержащий полные данные о них, включая логины и пароли.

Список был распространен на русскоязычном хакерском форуме, активно использующемся операторами ransomware и составлен злоумышленником в период между 24 июня и 8 июля 2020 года. Судя по всему, хакер использовал CVE-2019-11510, чтобы получить данные с уязвимых VPN-серверов.

Между тем исследователи Bad Packets, к которым обратились журналисты ZDNet за комментариями, сообщили, что 677 серверов из этого списка были обнаружены ими еще в прошлом году, когда появился первый эксплойт уязвимости. То есть до 24 июня 2020 года они с тех пор не обновлялись.

Хорошо быть тупым (с)

Bad Packets продолжают радовать интересными и полезными новостями.

Вчера они обнаружили массовое сканирование сети с французского IP-адреса на предмет уязвимых для CVE-2020-6287 серверов с SAP NetWeaver. Опять таки кто-то будет ломать.

Напомним, что эта уязвимость, названная исследователями RECON, находится в компоненте SAP NetWeaver AS и позволяет неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.

SAP закрыла данную ошибку в июльском патче. Но, как всегда, наверняка найдутся "талантливые" люди, которые до сих пор не обновились. А потом будут крики "караул, у меня корпорацию украли".

Судебные онлайн-слушания в отношении 17-летнего хакера Грэма Кларка из Флориды, обвиняемого в организации взлома Twitter в прошлом месяце, были прерваны в результате zoombombing'а.

Слушания проводились посредством Zoom, но сама видеоконференция не была правильным образом настроена, из-за чего несколько мамкиных хакеров смогли подключиться к ней под видом журналистов и в разгар дискуссии включили "ass eating" порно (что бы это не значило).

Судья Кристофер Нэш был вынужден слушания приостановить и заявил, что в следующий раз ему потребуется пароль (а также сабля и парабеллум).

Хулигани (с) Красная Жара

​​Появилась ссылка на список из более чем 900 уязвимых корпоративных серверов Pulse Secure VPN, про которые мы писали сегодня.

Можно проверить, нет ли среди них вашего.

Оператор ransomware Maze переехал Canon.

30 июля сайт image .canon ушел на техническое обслуживание, которое продлилось до 4 августа. При этом в качестве причины шатдауна была указана некая "проблема, связанная долгосрочным хранилищем, размещенном на ресурсе", в результате чего часть изображений была потеряна.

Но журналисты BleepingComputer решили провести собственное расследование, в процессе которого выяснили, что в Canon засбоило множество сервисов, а также получили частичный скриншот сообщения от вымогателей из Maze.

Журналисты обратились за комментарием к Maze и те сообщили, что действительно вчера утром успешно взломали Canon и похитили более 10 Тб информации, включая базы данных, переписки и пр. Сумму выкупа хакеры не озвучили.

А самое интересное - сбой image .canon не был связан со взломом Maze. Простое совпадение, в результате которого мы узнали про атаку ransomware на Canon.

​​ESET выступит на Black Hat 2020 (виртуально). И этот факт не удостоился бы отдельного поста, если бы не фамилия спикера компании. У нас уже двое язык вывихнули.

​​Месяц назад мы написали следующее - "это (нарушение формальных правил) приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов".

И вчера США объявили очередную инициативу, подводящую нас еще ближе к "дивному новому миру", который мы описали выше.

Эта инициатива - конечно, же программа Чистая Сеть, анонсированная госсекретарем Помпео. Программа включает в себя следующие компоненты:

- Clean Carrier, "ненадежные" китайские операторы не должны взаимодействовать с американской телекоммуникационной сетью;
- Clean Store, удаление "ненадежных" китайских приложений из магазинов мобильного ПО;
- Clean Apps, взаимообратное удаление американскими (или, как мы думаем, подпадающими под американскую юрисдикцию) компаниями своих приложений из App Store "ненадежных" китайских производителей, e.g. Huawei;
- Clean Cloud, фактический запрет американским резидентам и компаниям использовать облачные сервисы, принадлежащие "иностранным противникам США";
- Clean Cable, инициатива по защите подводных кабелей передачи данных от злых китайцев.

И вчера же Дуров отреагировал на угрозы американского правительства фактически запретить TikTok на территории США (а, возможно, и надавить на своих союзников) если китайцы не продадут американскую часть бизнеса местным инвесторам, - "Soon, every big country is likely to use “national security” as a pretext to fracture international tech companies. And ironically, it’s the US companies like Facebook or Google that are likely to lose the most from the fallout."

Так что пользуйтесь любимыми сетевыми сервисами пока можете. Скоро у нас будет свой Интернет с бочоночным лото и скрепами. Правда, не по нашей инициативе.

Новости с Black Hat USA 2020.

Исследователи из Технологического института Джорджии предcтавили доклад, в котором описали сценарий использования IoT-бот-сетей для манипуляций на энергетическом и фондовом рынках.

Злоумышленники могут захватить IoT-устройства с высоким потреблением энергии, такие как обогреватели, кондиционеры, посудомоечные машины и пр., и одновременно включая/выключая их добиться процентного увеличения или уменьшения энергопотребления. это повлияет на цены на энергетическом рынке и, соответственно, может повлиять на ситуацию на рынке фондовом.

Подобную бот-сеть ресерчеры назвали IoT Skimmer. Они считают, что трехмесячная кампания с ее использованием может принести хакерам более 20 млн. долларов в год (нам ни разу не понятно как трехмесячная кампания может принести прибыль в год, но джорджийцам виднее), а энергетический сектор США может понести до 350 млн. долларов убытков.

Остается только найти владельца посудомоечной машины, который в течение трех месяцев будет невозмутимо наблюдать как его агрегат сам по себе что-то там моет.

Интересное исследование, хотя и бестолковое.

Очередные интересные материалы с Black Hat USA 2020.

Исследователи инфосек компании CyCraft Technology представили отчет, в которой описали выявленную ими кибероперацию Химера, проводимую в 2018-2019 годах неустановленной китайской APT.

Киберкампания была направлена на производителей полупроводников, расположенных в технологическом парке Синьчжу на Тайване, - по крайней мере семь компаний и их дочерние фирмы были атакованы. Целями хакеров являлись описания микросхем, их конструкции и исходного кода, а также SDK.

Точкой проникновения в атакуемые сети злоумышленникам служили украденные учетные данные от корпоративных VPN.

В процессе атак APT использовала уникальный вредонос SkeletonKeyinjector, содержащий вставки кода из Dumpert и Mimikatz, а также Cobalt Strike, замаскированный под Google Update, в качестве основного RAT. Для эксфильтрации же украденной информации хакеры применяли подломанный архиватор RAR, названный исследователями ChimeRAR, который архивировал данные и передавал их на управляющий центр.

Однозначно операция китайских спецслужб. Потому что американские получают всю документацию от TSMC и других производителей без всяких взломов 😎

​​Пару месяцев назад мы писали про соглашение Mercedes-Benz и Nvidia о сотрудничестве в области разработки автопилота для автомобилей немецкого производителя, которое предусматривало "приобретение и добавление возможностей, программных приложений и сервисов по подписке через беспроводные соединения в течение всей жизни автомобиля". Нам тогда (как и сейчас) кажется излишним давать такой критически важной системе, как автопилот, прямой доступ в сеть.

Вчера на Black Hat USA 2020 исследователь Джиахао Ли из 360 Group рассказал о 19 выявленных уязвимостях в Mercedes-Benz E-Klasse, которые впоследствии были исправлены производителем. До момента исправления потенциально им были подвержены более 2 млн. автомобилей. Впервые об этих ошибках было сообщено в августе прошлого года и вот теперь ресерчеры раскрыли технические подробности.

Полное описание есть в сделанном докладе, мы же постараемся кратко передать его суть.

Итак, в E-Klasse есть головное мультимедийное устройство (IVI) производства Mitsubishi Electronics (которых, кстати, китайцы уже не раз ломали). "Голова" связывается с мобильным приложением Mercedes Me посредством блока управления телематикой (TCU) HERMES, который имеет в своем составе 3G/4G модем, Wi-Fi и Bluetooth модули.

Исследователи физически расковыряли HERMES и получили доступ к прошивке, где нашли инженерный режим для отладки TCU, в котором был доступ к CAN-шине автомобиля. Также они нашли в TCU пароли и сертификаты для внутреннего сервера автомобиля. В дальнейшем ресерчеры начали копать в направлении IVI и внутреннего сервера автомобиля.

В результате обнаружено:
- одна уязвимость в головной мультимедиа;
- шесть уязвимостей в HERMES;
- десять уязвимостей в серверной части;
- две уязвимости в операционной системе автомобиля.

Использование совокупности этих уязвимостей позволило удаленно:
- отпирать и запирать двери;
- открывать и закрывать крышу;
- включать/выключать свет и сигнал;
- заводить и глушить мотор.

Исследователи почему-то не считают эти возможности "доступом к критически важным для безопасности функциям автомобиля" (тут, очевидно, постаралась PR-служба Mercedes).

Но уверяем вас, если ночью на скоростном шоссе в вашем Mercedes-Benz одновременно погаснут фары, откроется крыша и включится беспрерывный сигнал, то вероятность улететь в кювет будет сильно выше нуля. А если на ж/д переезде внезапно заглохнет двигатель и заблокируются двери, то встречи с тепловозом можно и не избежать.

Ну а теперь представьте, что к этому всему прикрутили еще и автопилот...

​​Сегодня мы написали про атаки китайской APT на тайваньских производителей полупроводниковых микросхем, в частности компанию TSMC. Но для чего надо тратить серьезные ресурсы и в течение двух лет пытаться проникнуть в защищенные сети тайваньских технологических фирм? А вот для чего.

По данным BleepingComputer, исследователи Check Point обнаружили шесть уязвимостей в цифровом сигнальном процессоре (DSP) мобильной платформы Qualcomm Snapdragon. Таким образом, небезопасными являются около 40% всех смартфонов в мире (продукции Apple ошибки не касаются).

Технические подробности уязвимостей, которые уже исправлены Qualcomm, должны быть представлены Check Point в время презентации на DEF CON 2020.

А пока инфосек компания сообщает, что эксплуатация этих уязвимостей позволяет взять смартфон под полный контроль, в результате чего хакеры могут извлекать всю информацию с устройства, получать доступ к камере и микрофону, осуществлять атаку на отказ в обслуживании, внедрять неудаляемые вредоносы.

Усугубляет проблему то, что, хотя Qualcomm уязвимости исправила, каждый конкретный смартфон должен получить обновление от своего производителя. И эта операция может растянуться на долгие месяцы, в течение которых устройства останутся уязвимыми.

А при чем тут тайваньская TSMC, про которую мы написали в начале поста? Да просто на ее фабриках и производятся эти самые Qualcomm Snapdragon. И если хакерам удастся получить полную документацию по производимым чипам, то они будут в состоянии провести необходимое исследование и обнаружить потенциальные уязвимости в железе, которые традиционно намного более опасны, чем дырки в ПО.

И это хороший приз для любой стоящей за APT национальной спецслужбой.

​​В сети появились изображения интерфейса аппаратно-программного комплекса GrayKey производства американской компании Grayshift, с помощью которого американские спецслужбы ломают "невзламываемые" iPhone.