А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне

Вчера АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ.

По утверждению американцев, Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное предназначения Drovorub - поиск и эксфильтрация информации.

Хотелось бы дождаться аналогичных отчетов в отношении, например, Regin. Но, к сожалению, как гласит Malpedia, "Regin is a sophisticated malware and hacking toolkit attributed to United States' National Security Agency (NSA) for government spying operations" (на самом деле, это англичане).

С другой стороны, все наши придирки надуманы - американцы, совершенно логично, преследуют свои национальные интересы в киберпространстве.

А вот где аналогичные отчеты от ФСБ - вопрос вопросов.

Нас, как известных параноиков на тему приватности, заинтересовала тема сегодняшнего репоста и мы решили немного разобраться, что же это за смартфон такой с физическим отключением всех подряд модулей.

Естественно, тема не новая, для всяких госорганов в России уже давно производятся раскладушки, у которых при складывании физически прерывается питание микрофона. Но для широкой публики мы пока такого не видели.

Итак, заинтересовавший нас смартфон называется PinePhone и производится он калифорнийской компанией Pine64. И это, на самом деле, смартфон для пользователя - сборка с помощью винтов, облегчающая ремонт, работа на мобильных ОС на базе Linux (предустановлена Ubuntu Touch), а также те самые шесть переключателей под задней крышкой, отключающие камеры, микрофон, Wi-Fi, Bluetooth и сотовый модем.

PinePhone предлагает загрузку с microSD, что позволяет запускать его сразу под несколько операционных систем. Плюс имеет разъем I2C под задней крышкой, дающий возможность подключить беспроводную зарядку, дополнительный аккумулятор или клавиатуру.

Большой и жирный минус - отсутствие большинства привычных мобильных приложений. То есть в качестве основного смартфона использовать PinePhone вряд ли получится. А вот как устройство для приватных переговоров - вполне.

Стоит PinePhone от 149 до 199 долларов, отправка в Европу - еще 20 баксов. А вот в Россию официальный магазин Pine64 пересылать его отказывается.

Есть еще смартфон Purism Librem 5, который работает на PureOS (на основе Debian) и стоит в 749 долларов, а ждать его надо 6 месяцев. Он, правда, чуть удобнее - выключатели камер, микрофона и коммуникационных модулей, находятся в нем не под задней крышкой, а выведены на боковую поверхность. В нем также применяется ряд механизмов, дающих пользователю дополнительную защиту, - шифровка данных, песочница и пр. В России не продается.

Короче говоря, за приватностью надо ехать в Европу.

​​Две недели назад ransomware Maze переехало Canon, о чем случайно узнали BleepingComputer.

Теперь журналисты рассказывают о продолжении этой истории.

Canon смогли за короткое время восстановить работоспособность своих систем, что свидетельствует о наличии бэкапа, однако выкуп они платить не стали и Maze начали публиковать украденные у компании данные.

Пока что Maze выкинули, по их утверждениям, около 5% украденной информации - архив STRATEGICPLANNINGpart62 .zip размером 2,2 Гб. Архив не содержит никаких конфиденциальных данных и очевидно, что вымогатели разместили его в качестве предупреждения.

Посмотрим, хватит ли Canon решительности не платить оператору Maze.

Касперских в последнее время что-то разобрало на исследование активности разных APT.

Вчера они разместили обзор в отношении выявленной киберкампании китайской APT CactusPete (она же Tonto Team и Karma Panda), которая началась в марте 2019 года и направлена на военные и финансовые организации Восточной Европы.

В ходе кампании китайцы использовали десятилетный троян Bisonal, точнее его модернизированный вариант. ЛК говорят, что выявили более 300 вариантов вредоноса в период с марта 2019 по апрель 2020 года, то есть скорость разработки, которую продемонстрировали CactusPete, составляет более 20 образцов в месяц.

RAT предназначен для сбора данных о скомпрометированной системе, поиска и эксфильтрации информации, бокового перемещения по внутренней сети для дальнейшего заражения. Обмен данными с управляющим центром происходит с помощью шифрования RC4.

Заражение осуществлялось с помощью целевого фишинга, но, что интересно, китайские хакеры не использовали ни одной 0-day уязвимости.

APT CactusPete - китайская хакерская группа, действующая с 2009 года и ранее специализировавшаяся, преимущественно, на азиатском направлении, в частности, она была связана с осуществленной в 2017 году атакой на южнокорейский зенитный ракетный комплекс (THAAD). Согласно заявлению американцев из FireEye, эта группа базируется в Шэньянском военно-техническом разведывательном бюро.

И все бы хорошо в отчете Касперских, но что-то нам показалось сочетание Bisonal и Tonto Team очень знакомым. И мы оказались правы - еще в начале марта Cisco Talos сообщали, что китайцы задействовали Bisonal в атаках на российские, южнокорейские и японские сети. Причем в русскоязычном сегменте их активность была направлена на научно-технический сектор.

Скорее всего, Касперские выявили ту же кампанию Tonto Team, только направленную на другие объекты.

Очередные проделки операторов ransomware.

В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.

Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".

Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).

Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.

Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.

Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?

Мир сошел с ума - Моссад рекрутит инфосек специалистов через LinkedIn.

Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"

​​Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят.

Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.

Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.

В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.

Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.

Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.

Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.

Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.

Американская Brown-Forman Corporation, производящая в числе прочих один из самых известных алкогольных продуктов в мире - виски Jack Daniel's, стала жертвой оператора ransomware Sodinokibi (они же REvil).

Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.

А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.

Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.

И опять ransomware.

Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.

В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.

При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.

И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.

Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.

​​Мы неоднократно высказывали сомнения по поводу планируемого мировыми автопроизводителями широкого использования беспроводных подключений для обновлений и поддержки различных систем автомобиля. К примеру, вот здесь.

Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.

Но рассмотрим отчет Trend Micro подробнее.

Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.

Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.

1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.

2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.

3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.

4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.

На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.

Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.

​​Американское Агентство кибербезопасности (CISA) совместно с ФБР вчера выпустили отчет о новом вредоносе, используемом северокорейской APT Lazarus (американцы традиционно называют групп Hidden Cobra).

Вредонос представляет собой RAT (троян удаленного доступа), получивший название BLINDINGCAN. Он предназначен для сбора информации с зараженного хоста и ее эксфильтрации, а также обладает функционалом по очистке следов своего присутствия в атакованной системе.

Механизм распространения BLINDINGCAN - целевой фишинг, объектами атаки являлись сотрудники оборонного и аэрокосмического сектора. Северокорейские хакеры выдавали себя за рекрутеров крупных корпораций, а в ходе собеседования присылали файлы с вредоносным вложением.

Одной из используемых шаблонных фраз было предложение "работы мечты" (dream job). Поэтому инфосек вендор ClearSky назвал эту кампанию северокорейских хакеров Operation Dream Job.

А мы в который раз убеждаемся, что Lazarus - самая активная прогосударственная хакерская группа на планете.

#APT #Lazarus

​​Shadow Intelligence сообщает, что некий хакер (русскоязычный) с псевдонимом gookee продает на одном из специализированных ресурсов доступ к серверу Sony Network под управлением Windows Server 2012.

В сообщении gookee прекрасно вообще все. Это просто квинтэссенция современного инфосека - бессмысленные хакеры и бесполезные сотрудники подразделений ИБ.

Исследователи Национального университета Сингапура разработали атаку, которую назвали SpiKey, позволяющую создавать дубликат ключа на основе звука, который он издает, когда его вставляют в замок.

Атака выглядит следующим образом.

Злоумышленник скрытно записывает звук вставляемого в замок ключа и обрабатывает его с помощью специального ПО, чтобы вычислить расстояния между соседними выступами ключа и глубину впадин.

После обработки преступник получает несколько вариантов ключа, которые затем распечатывает на 3D принтере.

Для доказательства работоспособности разработанной атаки исследователи продемонстрировали как их технология, основываясь на реальных аудиозаписях, смогла сузить множество из 330 тысяч возможных комбинаций ключа до трех вариантов.

Сингапурцы рекомендуют не открывать двери при соседях и посторонних лицах. Но мы-то с вами понимаем, что все эти предосторожности бесполезны. Поскольку злодеи смогут подслушать звук вставляемого ключа с помощью атаки Lamphone, про которую мы писали раньше, позволяющей снимать звуки со светодиодных лампочек на расстоянии.

Поэтому мы рекомендуем открывать замки в полном одиночестве и при выключенном свете. И под одеялом.

​​Месяц назад мы писали про пакистанскую APT 36, она же Transparent Tribe и Mythic Leopard, которая занимается кибершпионажем, предположительно, в интересах Пакистанской межведомственной разведки (ISI).

Сегодня Касперские опубликовали новый отчет, в котором описали использующееся пакистанскими хакерами в 2017-2020 годах malware, включая Crimson RAT.

Среди прочего вредоносного инструментария Касперские сообщили про USBWorm, который, по их словам, ранее не описывался, хотя и периодически наблюдался в последние годы.

USBWorm предназначен для сбора сведений со съемных носителей, распространения с их помощью, а также для загрузки и установки на зараженную машину "тонкого клиента" Crimson RAT. Короче говоря, с его помощью пакистанцы атакуют физически изолированные сети.

При попадании в скомпрометированную систему (как правило, устанавливается Crimson RAT) USBWorm начинает мониторинг подключаемых съемных носителей, в которых он заражает все имеющиеся каталоги и собирает с них информацию. Затем для каждого каталога он создает свою копию, при этом имитирует иконку каталога, а настоящий каталог скрывает. Соответственно, при попытке доступа к каталогу пользователь собственноручно запускает вредонос, который заражает машину, а потом открывает настоящий каталог.

Если червь находится на хосте, то он ищет все файлы с интересующими его расширениями, после чего копирует их в отдельный каталог. Если же он запущен со съемного носителя, то сначала он проверяет заражена ли система, если нет - то загружает "тонкий клиент" Crimson RAT.

Как утверждают исследователи, они обнаружили более 1000 заражений принадлежащими Transparent Tribe вредоносами в 27 странах., большинство из которых связано с USBWorm. Основные цели, как и всегда у пакистанцев, - Индия и Афганистан, в других странах - преимущественно их посольства.

Вчера стало известно о том, что прокуратура Северной Каролины предъявила обвинения Джо Салливану, бывшему CSO компании Uber в 2015-2017 годах. Его обвиняют в сокрытии взлома компании в 2016 году.

Во взломе виновны двое хакеров - американец Брэндон Гловер и канадец Василе Мереакра, которых осудили в прошлом году. Осенью 2016 года они скомпрометировали несколько учетных записей сотрудников Uber на GitHub, в результате чего получили учетные данные от AWS (Amazon Web Service) внутренней инфраструктуры компании.

Хакеры обнаружили и похитили персональные данные 57 млн. клиентов Uber и 600 тыс. водителей. После этого, 14 ноября 2016 года, они направили анонимное письмо Салливану, в котором сообщили о взломе. Вместо того, чтобы заявить о преступлении, последний решил скрыть факт проникновения, поскольку только за 10 дней до этого его опрашивали в Федеральной торговой комиссии США (FTS) о взломе Uber, произошедшем в 2014 году.

В декабре 2016 года Салливан организовал передачу хакерам 100 тыс. долларов в BTC под видом программы Bug Bounty, при этом личности злоумышленников не были раскрыты. Позже безопасность компании установила хакеров, но это повлекло лишь заключение с ними нового соглашения в рамках Bug Bounty, в правоохранительные органы Салливан так и не обратился.

О факте взлома Uber стало известно лишь в декабре 2017 года, после того как в компанию пришло новое руководство, включая нового директора по безопасности.

Теперь Салливана обвиняют в косвенной помощи хакерам, поскольку после взлома Uber они совершили и другие взломы, которые могли быть предотвращены если бы CSO компании сообщил об этом в полицию или ФБР. Ему грозит до 8 лет лишения свободы.

Остается узнать - был ли золотой парашют Салливана настолько хорош, чтобы компенсировать потенциальную отсидку. Ведь на преступление он пошел, чтобы прикрыть репутацию своего работодателя.

Университет штата Юты подвергся атаке неустановленного ransomware, в результате чего был вынужден выплатить вымогателям 457 тыс. долларов.

19 июля информационная безопасность Университета выявила атаку ransomware на сервера Университетского колледжа социальных и поведенческих наук (CSBS). Информация на взломанных серверах была похищена, а затем зашифрована.

Несмотря на то, что данные получилось восстановить из резервных копий, Университет принял решение заплатить выкуп чтобы предотвратить слив в паблик украденных данных, поскольку в них содержались сведения в отношении студентов и сотрудников Университета.

Инфосек эксперты склоняются к тому, что за атакой стоял оператор ransomware NetWalker, который специализируется на взломах сетей американских учебных заведений, а от одного из них он недавно поимел более 1,1 млн. долларов.

Университет заявил, что выкуп был выплачен за счет киберстраховки. Как нам кажется, с учетом все большей актуальности угроз ransomware, страховой продукт "Страховка на случай нападения кибервымогателей" будет в скором будущем весьма востребованным. Дарим идею бесплатно.

Совсем недавно мы писали про то, что АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ. Новость разошлась по всем мировым СМИ.

Американцы заявили, что Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное его предназначение - поиск и эксфильтрация информации.

Нас изначально смутило то, что, как уверяло АНБ, Drovorub - это внутреннее название вредоноса, используемое членами Fancy Bear. Ну серьезно, это очень странное название, похожее на искусственно придуманное людьми, которые владеют языком, но не являются его нативными носителями. Древоруб звучит более правильно.

И вот ситуация становится все страннее и страннее. Прошло целых 10 дней с момента заявления АНБ, а в инфосек комьюнити не могут найти сэмплов Drovorub'а. То есть их вообще ни у кого нет!

Вроде и не хочется верить, что американские спецслужбы могли сделать подлог, потому что рано или поздно такое всплывет и скандал будет чудовищным. С другой стороны, тот факт, что американцы не делятся сэмплами - это совершенное неуважение к комьюнити и к пользователям. И невольно такое поведение наводит на определенные мысли.

Ну а то, что американцы в последнее время без каких-либо сомнений нарушают все писанные и неписанные правила - мы уже писали.

Видимо, "сингапурская компания" Group-IB решила не отставать от Касперских, которые в последние недели штампуют любопытные отчеты просто пачками, и выдали интересный материал в отношении коммерческой иранской группы, использующей вымогатель Dharma.

Dharma (ранее CrySiS) - один из старейших вымогателей, работающий по схеме RaaS (ransomware as a service), когда оператор ransomware предоставляет клиентам свою вредоносную инфраструктуру и получает с от 30 до 40% выкупа. Оператор Dharma известен невысокими предъявляемыми требованиями к потенциальным партнерам, в отличие, например, от владельцев Sodinjkibi (aka REvil), которые предварительно проводят целые собеседования, чтобы убедиться, что клиенты являются хорошими хакерами.

В марте исходники Dharma были выставлены на продажу на двух русскоязычных форумах - мы писали об этом здесь. Вероятно иранцы его тогда и купили.

ГрИБы утверждают, что новые пользователи Dharma обладают очень низким хакерским скиллом. Используя доступное в сети хакерское ПО они сканируют сеть на предмет открытых портов RDP (Remote Desktop Protocol, удаленный рабочий стол) и пытаются забрутфорсить учетные данные. В случае успеха злоумышленники пробуют использовать старую уязвимость CVE-2017-0213 для Windows, чтобы повысить привилегии.

По мнению Group-IB, у иранских хакеров нет четкого плана как расширять свое присутствие в скомпрометированных сетях. Так что в каждом конкретном случае они решают что делать дальше для бокового перемещения по сети.

Основные цели - в России, Японии, Китае и Индии. В результате удаленной работы множества сотрудников из-за пандемии резко увеличилось количество плохо сконфигурированных RDP-подключений, поэтому иранским хакерам всегда есть чем поживиться. Тем более, что просят они сравнительно немного - от 1 до 5 BTC (приблизительно от 12 до 60 тыс. долларов по текущему курсу).

Как сообщают The Hacker News, системный администратор А. Никочи сообщил о выявленной уязвимости в Google Drive, которая потенциально может быть использована злоумышленниками для распространения вредоносов.

Дырка находится в функции Управление версиями, которая позволяет произвольно менять расширение у загружаемого под видом новой версии файла. Никочи создал демонстрационный ролик, в котором показал как легитимная версия файла может быть заменена на вредонос. Подобные уловки могут быть использованы хакерами в ходе целевого фишинга.

Google в курсе проблемы, но пока ее не исправили. Будьте аккуратнее.