Мы позавчера обещали дать краткий обзор деятельности APT-C-01 она же PoisonVine и GreenSpot, которую мы обнаружили в обзорах китайского инфосека. Выполняем.
Кстати, интересный факт, по классификации китайского инфосек вендора Qihoo 360, которому принадлежит формат "APT-C-xx" обозначения хакерских групп, гордое наименование APT-C-00 принадлежит вьетнамской Ocean Lotus (мы про них писали вот тут). Видимо, это первая прогосударственная хакерская группа, которую Qihoo 360 обнаружили. Ну, или самая грозная с их точки зрения.
Вернемся к APT-C-01. Достоверных сведений когда ее активность впервые была обнаружена мы, к сожалению, не нашли. Китайская Antiy утверждает, что первые признаки возможной деятельности PoisonVine относятся к 2007 году. Тогда неизвестный актор атаковал китайские ресурсы с использованием переписанных под свои нужны opensource инструментов и бесплатного ПО. К примеру, для упаковки украденной информации хакеры использовали модифицированный RAR (кажется, где-то недавно мы подобное встречали). Целью атак являлся сбор информации с скомпрометированных систем.
Несмотря на невысокий технический уровень, хакеры профессионально владели навыками социальной инженерии, а в качестве приманок использовали качественно подготовленные документы на основе взятых из официальных китайских источников.
Вторая волна активности, которую уже уверенно приписывают PoisonVine, началась в 2011 году. Основным методом атак тайваньских хакеров являлся целевой фишинг, а основными целями - китайские правительственные учреждения и НИИ, связанные с оборонкой и авиацией. На этот раз навыки PoisonVine выросли, они уже использовали свежие уязвимости, полноценные RAT с функционалом infostealer'а.
Появились у них и свои авторские методики сокрытия вредоносов от антивирусного ПО. К примеру, используя CVE-2012-0158, затрагивающую Microsoft Office и приводящую к RCE, хакеры стали прятать эксплойт не в документ RTF, как это делалось другими злоумышленниками, а в файлы MHT, что затрудняло его обнаружение.
Другую уязвимость, CVE-2014-4114, затрагивающую линейку ОС Windows и также приводящую к удаленному выполнению кода в атакованной системе, PoisonVine применяли еще до ее обнаружения в октябре 2014 года. Либо тайваньцы купили данные о ней, либо первые ее обнаружили.
В любом случае, их уровень существенно вырос.
В 2017 году PoisonVine провели очередную мощную фишинговую киберкампанию против китайских ресурсов. Они вовсю использовали популярные кибершпионские трояны Poison Ivy и Gh0st, а также бэкдоры ZXShell, переписанные под разные виды целей и с дополнительным функционалом для скрытия от антивирусов.
В качестве ключевых слов для старта сбора информации выступали "армия", "война" и пр. (всего двенадцать терминов), что дает четкое представление о направленности тайваньских хакеров.
В 2018-2020 годах APT-C-01 провела очередную кибероперацию против китайских правительственных и исследовательских учреждений. Основным методом опять же являлся целевой фишинг, направленный на получение учетных данных пользователей, в частности для взятия под контроль их почтовых ящиков.
В этот раз хакеры допустили достаточно много ошибок, которые позволили с достаточной долей вероятности идентифицировать их, как принадлежащих к Тайваню - тайваньский вариант китайского языка, использовавшийся в шрифтах по умолчанию и комментариях в коде вредоносов, несколько неспрятанных IP-адресов, ведущих в Тайбэй и пр.
Остается добавить, что среди тайваньских спецслужб есть две, которые могут потенциально играть роль кураторов PoisonVine. Первая - Бюро военной разведки (MIB) Минобороны, а вторая - 5 Департамент Бюро национальной безопасности (NSB). И если в пользу первой может свидетельствовать заинтересованность хакеров в военной тематике, то аргументом за второй вариант является тот факт, что NSB официально сотрудничает с АНБ, которая могла стать источником использовавшихся PoisonVine 0-day эксплойтов.
#APT #APTC01 #PoisonVine #GreenSpot
Кстати, интересный факт, по классификации китайского инфосек вендора Qihoo 360, которому принадлежит формат "APT-C-xx" обозначения хакерских групп, гордое наименование APT-C-00 принадлежит вьетнамской Ocean Lotus (мы про них писали вот тут). Видимо, это первая прогосударственная хакерская группа, которую Qihoo 360 обнаружили. Ну, или самая грозная с их точки зрения.
Вернемся к APT-C-01. Достоверных сведений когда ее активность впервые была обнаружена мы, к сожалению, не нашли. Китайская Antiy утверждает, что первые признаки возможной деятельности PoisonVine относятся к 2007 году. Тогда неизвестный актор атаковал китайские ресурсы с использованием переписанных под свои нужны opensource инструментов и бесплатного ПО. К примеру, для упаковки украденной информации хакеры использовали модифицированный RAR (кажется, где-то недавно мы подобное встречали). Целью атак являлся сбор информации с скомпрометированных систем.
Несмотря на невысокий технический уровень, хакеры профессионально владели навыками социальной инженерии, а в качестве приманок использовали качественно подготовленные документы на основе взятых из официальных китайских источников.
Вторая волна активности, которую уже уверенно приписывают PoisonVine, началась в 2011 году. Основным методом атак тайваньских хакеров являлся целевой фишинг, а основными целями - китайские правительственные учреждения и НИИ, связанные с оборонкой и авиацией. На этот раз навыки PoisonVine выросли, они уже использовали свежие уязвимости, полноценные RAT с функционалом infostealer'а.
Появились у них и свои авторские методики сокрытия вредоносов от антивирусного ПО. К примеру, используя CVE-2012-0158, затрагивающую Microsoft Office и приводящую к RCE, хакеры стали прятать эксплойт не в документ RTF, как это делалось другими злоумышленниками, а в файлы MHT, что затрудняло его обнаружение.
Другую уязвимость, CVE-2014-4114, затрагивающую линейку ОС Windows и также приводящую к удаленному выполнению кода в атакованной системе, PoisonVine применяли еще до ее обнаружения в октябре 2014 года. Либо тайваньцы купили данные о ней, либо первые ее обнаружили.
В любом случае, их уровень существенно вырос.
В 2017 году PoisonVine провели очередную мощную фишинговую киберкампанию против китайских ресурсов. Они вовсю использовали популярные кибершпионские трояны Poison Ivy и Gh0st, а также бэкдоры ZXShell, переписанные под разные виды целей и с дополнительным функционалом для скрытия от антивирусов.
В качестве ключевых слов для старта сбора информации выступали "армия", "война" и пр. (всего двенадцать терминов), что дает четкое представление о направленности тайваньских хакеров.
В 2018-2020 годах APT-C-01 провела очередную кибероперацию против китайских правительственных и исследовательских учреждений. Основным методом опять же являлся целевой фишинг, направленный на получение учетных данных пользователей, в частности для взятия под контроль их почтовых ящиков.
В этот раз хакеры допустили достаточно много ошибок, которые позволили с достаточной долей вероятности идентифицировать их, как принадлежащих к Тайваню - тайваньский вариант китайского языка, использовавшийся в шрифтах по умолчанию и комментариях в коде вредоносов, несколько неспрятанных IP-адресов, ведущих в Тайбэй и пр.
Остается добавить, что среди тайваньских спецслужб есть две, которые могут потенциально играть роль кураторов PoisonVine. Первая - Бюро военной разведки (MIB) Минобороны, а вторая - 5 Департамент Бюро национальной безопасности (NSB). И если в пользу первой может свидетельствовать заинтересованность хакеров в военной тематике, то аргументом за второй вариант является тот факт, что NSB официально сотрудничает с АНБ, которая могла стать источником использовавшихся PoisonVine 0-day эксплойтов.
#APT #APTC01 #PoisonVine #GreenSpot
Telegram
SecAtor
Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C…
Сегодня Check Point сообщили, что смогли взломать виртуального помощника Amazon Alexa, аналог яндексовской Алисы. Сообщалось, что продано 200 млн. устройств на базе Alexa, существенная часть которых являются компонентами умного дома.
Amazon заявляет, что Alexa работает на основе искусственного интеллекта. Пользователи могут расширить ее возможности, установив т.н. skills - дополнительные функции, разработанные сторонними поставщиками.
Через это механизм skills исследователи и взломали Alexa.
Некоторые поддомены Amazon оказались уязвимы перед неправильной конфигурацией CORS (совместно использование ресурсов между разными источниками) и межсайтовым скриптингом (XSS). Как следствие, ресерчеры смогли перехватить учетные данные пользователя Alexa и внедрить на пользовательское устройство вредоносный код под видом одного из "умений".
Для реализации атаки оказалось достаточно, чтобы пользователь перешел по вредоносной ссылке, присланной ему хакерами.
Какие же данные смогли получить исследователи с взломанной Alexa? Историю голосовых команд, личную информацию жертвы, а также технические данные скомпрометированного устройства.
Уязвимости были найдены Check Point в июне и к настоящему времени уже исправлены Amazon.
Между тем мы всегда говорили, что чем больше свистелок будет прикручено к сети, тем больше угроз информационной безопасности будет возникать. Вот увидите, мы еще станем свидетелями восстания пылесосов и умных соковыжималок.
Amazon заявляет, что Alexa работает на основе искусственного интеллекта. Пользователи могут расширить ее возможности, установив т.н. skills - дополнительные функции, разработанные сторонними поставщиками.
Через это механизм skills исследователи и взломали Alexa.
Некоторые поддомены Amazon оказались уязвимы перед неправильной конфигурацией CORS (совместно использование ресурсов между разными источниками) и межсайтовым скриптингом (XSS). Как следствие, ресерчеры смогли перехватить учетные данные пользователя Alexa и внедрить на пользовательское устройство вредоносный код под видом одного из "умений".
Для реализации атаки оказалось достаточно, чтобы пользователь перешел по вредоносной ссылке, присланной ему хакерами.
Какие же данные смогли получить исследователи с взломанной Alexa? Историю голосовых команд, личную информацию жертвы, а также технические данные скомпрометированного устройства.
Уязвимости были найдены Check Point в июне и к настоящему времени уже исправлены Amazon.
Между тем мы всегда говорили, что чем больше свистелок будет прикручено к сети, тем больше угроз информационной безопасности будет возникать. Вот увидите, мы еще станем свидетелями восстания пылесосов и умных соковыжималок.
Check Point Research
Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon's Alexa - Check Point Research
Research By: Dikla Barda, Roman Zaikin , Yaara Shriki Introduction & Motivation “Please lower the temperature of the AC, it’s getting humid in here,” said Eric to Alexa, who turned the AC to a cooler temperature in the living room. No, Alexa is not Eric’s…
Сегодня Group-IB (кстати, кто-нибудь объяснит зачем Сачков с таким упорством пытается изобразить компанию сингапурской, он же совсем не похож на китайца?) опубликовали отчет о новой APT RedCurl, специализирующейся на корпоративном шпионаже.
Впервые Group-IB заявили о RedCurl в конце прошлого года. Активность хакеров, которая началась не позже мая 2018 года, направлена на кражу внутренней документации и данных сотрудников в компаниях страховой, консалтинговой, добывающей, туристической, юридической, металлургической и строительной отраслей, а также из сферы ретейла. После кражи информации злоумышленники устанавливали криптомайнеры Monero (эту крипту, между прочим, очень любит оператор ransomware Sodinokibi aka REvil).
За время наблюдения исследователи зафиксировали 26 атак RedCurl на компании из 6 стран мира - России, Канады, Великобритании, Норвегии, Германии и Украины.
В качестве способа атаки используется целевой фишинг, причем Group-IB заявляет, что хакеры тщательно готовят свои приманки, применяя высокие навыки социальной инженерии (например, присылая письма о годовом бонусе одновременно нескольким сотрудникам одного подразделения). Полезную нагрузку хакеры хранят в общедоступных облачных хранилищах.
Кроме непосредственно кражи информации с скомпрометированной машины и учетных данных пользователя, вредоносы имеют функционал бокового перемещения для распространения внутри целевой сети.
ГрИБы заявляют, что после первичной компрометации сети компании хакеры проводят там достаточно много времени - от 2 до 6 месяцев, аккуратно анализируя информацию и распространяясь дальше.
Судя по географии и сфере интересов RedCurl являются коммерческими хакерами, специализирующейся именно на кибершпионаже (хотя, возможно, это такое прикрытие для прогосударственной APT). Так что появление таких активных и профессиональных групп - лишний повод для бизнеса усилить предпринимаемые меры по информационной безопасности.
Впервые Group-IB заявили о RedCurl в конце прошлого года. Активность хакеров, которая началась не позже мая 2018 года, направлена на кражу внутренней документации и данных сотрудников в компаниях страховой, консалтинговой, добывающей, туристической, юридической, металлургической и строительной отраслей, а также из сферы ретейла. После кражи информации злоумышленники устанавливали криптомайнеры Monero (эту крипту, между прочим, очень любит оператор ransomware Sodinokibi aka REvil).
За время наблюдения исследователи зафиксировали 26 атак RedCurl на компании из 6 стран мира - России, Канады, Великобритании, Норвегии, Германии и Украины.
В качестве способа атаки используется целевой фишинг, причем Group-IB заявляет, что хакеры тщательно готовят свои приманки, применяя высокие навыки социальной инженерии (например, присылая письма о годовом бонусе одновременно нескольким сотрудникам одного подразделения). Полезную нагрузку хакеры хранят в общедоступных облачных хранилищах.
Кроме непосредственно кражи информации с скомпрометированной машины и учетных данных пользователя, вредоносы имеют функционал бокового перемещения для распространения внутри целевой сети.
ГрИБы заявляют, что после первичной компрометации сети компании хакеры проводят там достаточно много времени - от 2 до 6 месяцев, аккуратно анализируя информацию и распространяясь дальше.
Судя по географии и сфере интересов RedCurl являются коммерческими хакерами, специализирующейся именно на кибершпионаже (хотя, возможно, это такое прикрытие для прогосударственной APT). Так что появление таких активных и профессиональных групп - лишний повод для бизнеса усилить предпринимаемые меры по информационной безопасности.
F.A.C.C.T.
RedCurl. Пентест, о котором вы не просили | Исследование F.A.C.C.T.
Разбираем деятельность ранее неизвестной хакерской группы RedCurl, которая провела десятки тщательно спланированных атак менее чем за 3 года.
Команда исследователей Рурского университета и Нью-Йоркского университета в Абу-Даби представила новую атаку ReVoLTE, которая позволяет перехватывать голосовые вызовы VoLTE в сетях 4G и 5G.
VoLTE (Voice over LTE) - передача голоса по LTE как потока данных. В России используется всеми ведущими сотовыми операторами.
Атака основана на том, что большинство мобильных операторов плохо настраивают свои базовые станции, в результате чего VoLTE используют одни и те же ключи в двух последовательных близких звонках.
Атака реализуется следующим образом. Злоумышленник подключается к той же базовой станции, что и жертва, и устанавливает сниффер канала для записи целевого вызова. После того, как целевой вызов завершен, злоумышленник в течение 10 секунд делает новый вызов жертве, в котором используется тот же ключ шифрования. Зная открытый и закрытый (который записан сниффером) потоки данных второго вызова, злоумышленник может получить ключевую последовательность, после чего расшифровать содержимое первого целевого звонка.
При этом длительность второго вызова должна быть не меньше длительности целевого вызова.
Исследователи продемонстрировали практическую реализацию ReVoLTE, при этом ее стоимость составила менее 7 тыс. долларов США. При произвольной проверке базовых станций немецких сотовых операторов, выяснилось, что 12 из 15 БС уязвимы перед этой атакой.
Чтобы проверить, подвержена та или иная БС атаке ReVoLTE ресерчеры выпустили приложение Mobile Sentinel для Android, которое определяет уязвима или нет конкретная базовая станция. Для работы приложения требуется смартфон на базе Qualcomm с рутовыми правами.
VoLTE (Voice over LTE) - передача голоса по LTE как потока данных. В России используется всеми ведущими сотовыми операторами.
Атака основана на том, что большинство мобильных операторов плохо настраивают свои базовые станции, в результате чего VoLTE используют одни и те же ключи в двух последовательных близких звонках.
Атака реализуется следующим образом. Злоумышленник подключается к той же базовой станции, что и жертва, и устанавливает сниффер канала для записи целевого вызова. После того, как целевой вызов завершен, злоумышленник в течение 10 секунд делает новый вызов жертве, в котором используется тот же ключ шифрования. Зная открытый и закрытый (который записан сниффером) потоки данных второго вызова, злоумышленник может получить ключевую последовательность, после чего расшифровать содержимое первого целевого звонка.
При этом длительность второго вызова должна быть не меньше длительности целевого вызова.
Исследователи продемонстрировали практическую реализацию ReVoLTE, при этом ее стоимость составила менее 7 тыс. долларов США. При произвольной проверке базовых станций немецких сотовых операторов, выяснилось, что 12 из 15 БС уязвимы перед этой атакой.
Чтобы проверить, подвержена та или иная БС атаке ReVoLTE ресерчеры выпустили приложение Mobile Sentinel для Android, которое определяет уязвима или нет конкретная базовая станция. Для работы приложения требуется смартфон на базе Qualcomm с рутовыми правами.
Forwarded from Информация опасносте
А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне
Вчера АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ.
По утверждению американцев, Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное предназначения Drovorub - поиск и эксфильтрация информации.
Хотелось бы дождаться аналогичных отчетов в отношении, например, Regin. Но, к сожалению, как гласит Malpedia, "Regin is a sophisticated malware and hacking toolkit attributed to United States' National Security Agency (NSA) for government spying operations" (на самом деле, это англичане).
С другой стороны, все наши придирки надуманы - американцы, совершенно логично, преследуют свои национальные интересы в киберпространстве.
А вот где аналогичные отчеты от ФСБ - вопрос вопросов.
По утверждению американцев, Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное предназначения Drovorub - поиск и эксфильтрация информации.
Хотелось бы дождаться аналогичных отчетов в отношении, например, Regin. Но, к сожалению, как гласит Malpedia, "Regin is a sophisticated malware and hacking toolkit attributed to United States' National Security Agency (NSA) for government spying operations" (на самом деле, это англичане).
С другой стороны, все наши придирки надуманы - американцы, совершенно логично, преследуют свои национальные интересы в киберпространстве.
А вот где аналогичные отчеты от ФСБ - вопрос вопросов.
Нас, как известных параноиков на тему приватности, заинтересовала тема сегодняшнего репоста и мы решили немного разобраться, что же это за смартфон такой с физическим отключением всех подряд модулей.
Естественно, тема не новая, для всяких госорганов в России уже давно производятся раскладушки, у которых при складывании физически прерывается питание микрофона. Но для широкой публики мы пока такого не видели.
Итак, заинтересовавший нас смартфон называется PinePhone и производится он калифорнийской компанией Pine64. И это, на самом деле, смартфон для пользователя - сборка с помощью винтов, облегчающая ремонт, работа на мобильных ОС на базе Linux (предустановлена Ubuntu Touch), а также те самые шесть переключателей под задней крышкой, отключающие камеры, микрофон, Wi-Fi, Bluetooth и сотовый модем.
PinePhone предлагает загрузку с microSD, что позволяет запускать его сразу под несколько операционных систем. Плюс имеет разъем I2C под задней крышкой, дающий возможность подключить беспроводную зарядку, дополнительный аккумулятор или клавиатуру.
Большой и жирный минус - отсутствие большинства привычных мобильных приложений. То есть в качестве основного смартфона использовать PinePhone вряд ли получится. А вот как устройство для приватных переговоров - вполне.
Стоит PinePhone от 149 до 199 долларов, отправка в Европу - еще 20 баксов. А вот в Россию официальный магазин Pine64 пересылать его отказывается.
Есть еще смартфон Purism Librem 5, который работает на PureOS (на основе Debian) и стоит в 749 долларов, а ждать его надо 6 месяцев. Он, правда, чуть удобнее - выключатели камер, микрофона и коммуникационных модулей, находятся в нем не под задней крышкой, а выведены на боковую поверхность. В нем также применяется ряд механизмов, дающих пользователю дополнительную защиту, - шифровка данных, песочница и пр. В России не продается.
Короче говоря, за приватностью надо ехать в Европу.
Естественно, тема не новая, для всяких госорганов в России уже давно производятся раскладушки, у которых при складывании физически прерывается питание микрофона. Но для широкой публики мы пока такого не видели.
Итак, заинтересовавший нас смартфон называется PinePhone и производится он калифорнийской компанией Pine64. И это, на самом деле, смартфон для пользователя - сборка с помощью винтов, облегчающая ремонт, работа на мобильных ОС на базе Linux (предустановлена Ubuntu Touch), а также те самые шесть переключателей под задней крышкой, отключающие камеры, микрофон, Wi-Fi, Bluetooth и сотовый модем.
PinePhone предлагает загрузку с microSD, что позволяет запускать его сразу под несколько операционных систем. Плюс имеет разъем I2C под задней крышкой, дающий возможность подключить беспроводную зарядку, дополнительный аккумулятор или клавиатуру.
Большой и жирный минус - отсутствие большинства привычных мобильных приложений. То есть в качестве основного смартфона использовать PinePhone вряд ли получится. А вот как устройство для приватных переговоров - вполне.
Стоит PinePhone от 149 до 199 долларов, отправка в Европу - еще 20 баксов. А вот в Россию официальный магазин Pine64 пересылать его отказывается.
Есть еще смартфон Purism Librem 5, который работает на PureOS (на основе Debian) и стоит в 749 долларов, а ждать его надо 6 месяцев. Он, правда, чуть удобнее - выключатели камер, микрофона и коммуникационных модулей, находятся в нем не под задней крышкой, а выведены на боковую поверхность. В нем также применяется ряд механизмов, дающих пользователю дополнительную защиту, - шифровка данных, песочница и пр. В России не продается.
Короче говоря, за приватностью надо ехать в Европу.
Telegram
SecAtor
А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне
Две недели назад ransomware Maze переехало Canon, о чем случайно узнали BleepingComputer.
Теперь журналисты рассказывают о продолжении этой истории.
Canon смогли за короткое время восстановить работоспособность своих систем, что свидетельствует о наличии бэкапа, однако выкуп они платить не стали и Maze начали публиковать украденные у компании данные.
Пока что Maze выкинули, по их утверждениям, около 5% украденной информации - архив STRATEGICPLANNINGpart62 .zip размером 2,2 Гб. Архив не содержит никаких конфиденциальных данных и очевидно, что вымогатели разместили его в качестве предупреждения.
Посмотрим, хватит ли Canon решительности не платить оператору Maze.
Теперь журналисты рассказывают о продолжении этой истории.
Canon смогли за короткое время восстановить работоспособность своих систем, что свидетельствует о наличии бэкапа, однако выкуп они платить не стали и Maze начали публиковать украденные у компании данные.
Пока что Maze выкинули, по их утверждениям, около 5% украденной информации - архив STRATEGICPLANNINGpart62 .zip размером 2,2 Гб. Архив не содержит никаких конфиденциальных данных и очевидно, что вымогатели разместили его в качестве предупреждения.
Посмотрим, хватит ли Canon решительности не платить оператору Maze.
BleepingComputer
Canon USA's stolen files leaked by Maze ransomware gang
A ransomware gang has published unencrypted files allegedly stolen from Canon during a ransomware attack earlier this month.
Касперских в последнее время что-то разобрало на исследование активности разных APT.
Вчера они разместили обзор в отношении выявленной киберкампании китайской APT CactusPete (она же Tonto Team и Karma Panda), которая началась в марте 2019 года и направлена на военные и финансовые организации Восточной Европы.
В ходе кампании китайцы использовали десятилетный троян Bisonal, точнее его модернизированный вариант. ЛК говорят, что выявили более 300 вариантов вредоноса в период с марта 2019 по апрель 2020 года, то есть скорость разработки, которую продемонстрировали CactusPete, составляет более 20 образцов в месяц.
RAT предназначен для сбора данных о скомпрометированной системе, поиска и эксфильтрации информации, бокового перемещения по внутренней сети для дальнейшего заражения. Обмен данными с управляющим центром происходит с помощью шифрования RC4.
Заражение осуществлялось с помощью целевого фишинга, но, что интересно, китайские хакеры не использовали ни одной 0-day уязвимости.
APT CactusPete - китайская хакерская группа, действующая с 2009 года и ранее специализировавшаяся, преимущественно, на азиатском направлении, в частности, она была связана с осуществленной в 2017 году атакой на южнокорейский зенитный ракетный комплекс (THAAD). Согласно заявлению американцев из FireEye, эта группа базируется в Шэньянском военно-техническом разведывательном бюро.
И все бы хорошо в отчете Касперских, но что-то нам показалось сочетание Bisonal и Tonto Team очень знакомым. И мы оказались правы - еще в начале марта Cisco Talos сообщали, что китайцы задействовали Bisonal в атаках на российские, южнокорейские и японские сети. Причем в русскоязычном сегменте их активность была направлена на научно-технический сектор.
Скорее всего, Касперские выявили ту же кампанию Tonto Team, только направленную на другие объекты.
Вчера они разместили обзор в отношении выявленной киберкампании китайской APT CactusPete (она же Tonto Team и Karma Panda), которая началась в марте 2019 года и направлена на военные и финансовые организации Восточной Европы.
В ходе кампании китайцы использовали десятилетный троян Bisonal, точнее его модернизированный вариант. ЛК говорят, что выявили более 300 вариантов вредоноса в период с марта 2019 по апрель 2020 года, то есть скорость разработки, которую продемонстрировали CactusPete, составляет более 20 образцов в месяц.
RAT предназначен для сбора данных о скомпрометированной системе, поиска и эксфильтрации информации, бокового перемещения по внутренней сети для дальнейшего заражения. Обмен данными с управляющим центром происходит с помощью шифрования RC4.
Заражение осуществлялось с помощью целевого фишинга, но, что интересно, китайские хакеры не использовали ни одной 0-day уязвимости.
APT CactusPete - китайская хакерская группа, действующая с 2009 года и ранее специализировавшаяся, преимущественно, на азиатском направлении, в частности, она была связана с осуществленной в 2017 году атакой на южнокорейский зенитный ракетный комплекс (THAAD). Согласно заявлению американцев из FireEye, эта группа базируется в Шэньянском военно-техническом разведывательном бюро.
И все бы хорошо в отчете Касперских, но что-то нам показалось сочетание Bisonal и Tonto Team очень знакомым. И мы оказались правы - еще в начале марта Cisco Talos сообщали, что китайцы задействовали Bisonal в атаках на российские, южнокорейские и японские сети. Причем в русскоязычном сегменте их активность была направлена на научно-технический сектор.
Скорее всего, Касперские выявили ту же кампанию Tonto Team, только направленную на другие объекты.
Securelist
CactusPete APT group’s updated Bisonal backdoor
A new CactusPete campaign shows that the group’s favored types of target remain the same: financial and military sectors located in Eastern Europe.
Очередные проделки операторов ransomware.
В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.
Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".
Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).
Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.
Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.
Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?
В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.
Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".
Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).
Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.
Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.
Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?
BleepingComputer
Business technology giant Konica Minolta hit by new ransomware
Business technology giant Konica Minolta was hit with a ransomware attack at the end of July that impacted services for almost a week, BleepingComputer has learned.
Мир сошел с ума - Моссад рекрутит инфосек специалистов через LinkedIn.
Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"
Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"
Twitter
האקר סטנדרטי
I’m getting a lot of attention from recruiters these days, but this one caught my eyes and not for the first reason comes to mind. Mossad recruiting via Linkedin...😳 I’m Israeli... shouldn’t you have all my details up to underwear size?
Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят.
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.
Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.
В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.
Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.
Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.
Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.
Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.
Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.
В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.
Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.
Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.
Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.
Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.
Vice
Secret Service Bought Phone Location Data from Apps, Contract Confirms
An internal Secret Service document describes the purchase of Locate X, a product that uses location data harvested from ordinary apps.
Американская Brown-Forman Corporation, производящая в числе прочих один из самых известных алкогольных продуктов в мире - виски Jack Daniel's, стала жертвой оператора ransomware Sodinokibi (они же REvil).
Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.
А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.
Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.
Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.
А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.
Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.
Infosecurity Magazine
Jack Daniel’s-Maker Suffers REvil Ransomware Breach
Attackers claim to have 1TB of stolen data in their possession
И опять ransomware.
Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.
В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.
При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.
И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.
Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.
Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.
В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.
При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.
И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.
Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.
www.documentcloud.org
Carnival 8K Other Events CCL 17 Aug 20
Мы неоднократно высказывали сомнения по поводу планируемого мировыми автопроизводителями широкого использования беспроводных подключений для обновлений и поддержки различных систем автомобиля. К примеру, вот здесь.
Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.
Но рассмотрим отчет Trend Micro подробнее.
Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.
Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.
1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.
2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.
3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.
4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.
На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.
Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.
Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.
Но рассмотрим отчет Trend Micro подробнее.
Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.
Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.
1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.
2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.
3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.
4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.
На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.
Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.
Trendmicro
The Cybersecurity Blind Spots of Connected Cars
Connected cars face a range of ever-increasing and ever-progressing cyberthreats. Our forward-looking research provides an in-depth examination of the risks connected cars might run into.
Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.
Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.
Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.
А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.
#APT #Lazarus
Shadow Intelligence сообщает, что некий хакер (русскоязычный) с псевдонимом gookee продает на одном из специализированных ресурсов доступ к серверу Sony Network под управлением Windows Server 2012.
В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.
В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.
Исследователи Национального университета Сингапура разработали атаку, которую назвали SpiKey, позволяющую создавать дубликат ключа на основе звука, который он издает, когда его вставляют в замок.
Атака выглядит следующим образом.
Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.
После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.
Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.
Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.
Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.
Атака выглядит следующим образом.
Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.
После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.
Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.
Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.
Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.
Threat Post
The Sounds a Key Make Can Produce 3D-Printed Replica
Researchers reveal technology called SpiKey that can ‘listen’ to the clicks a key makes in a lock and create a duplicate from the sounds.
Месяц назад мы писали про пакистанскую APT 36, она же Transparent Tribe и Mythic Leopard, которая занимается кибершпионажем, предположительно, в интересах Пакистанской межведомственной разведки (ISI).
Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.
Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.
USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.
При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.
Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.
Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.
Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.
Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.
USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.
При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.
Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.
Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.
Securelist
Transparent Tribe: Evolution analysis, part 1 | Securelist
Transparent Tribe, also known as PROJECTM and MYTHIC LEOPARD, is a highly prolific group whose activities can be traced as far back as 2013.
Вчера стало известно о том, что прокуратура Северной Каролины предъявила обвинения Джо Салливану, бывшему CSO компании Uber в 2015-2017 годах. Его обвиняют в сокрытии взлома компании в 2016 году.
Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.
Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.
В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.
О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.
Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.
Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.
Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.
Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.
В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.
О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.
Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.
Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.