Прошлой ночью мне, простому инженеру приснился сон, будто я из страны вечного риса и взлетающих драконов. Будто я не сплю, а сижу на дежурстве, и в систему падает новое ТЗ с пометкой "срочно, бюджет неограничен". Судя по всему, намечается новый enterprise-проект с бессрочной техподдержкой. ТЗ от заказчика, условно назову его "Красный Дракон", сводится к одному - обеспечить непрерывность функционирования руководства. SLA – вечность. Я аж проснулся, а потом снова заснул досматривать этот бред.
В общем, по заданию требовалось обеспечить бесперебойное функционирование руководящего состава с гарантией работоспособности, равной вечности. Предлагалось два пути решения. Первый — программный, на удаленных серверах. Идея была в том, чтобы создать большую языковую модель, обученную на всех доступных данных о субъекте (речах, указах, мыслях, воспоминаниях). Полученного цифрового двойника можно было легко копировать, можно прикрутить API для госaппарата, масштабировать и даже встроить в каждый телевизор и телефон для прямых консультаций с народом. Правда, в рисках было честно прописано что возможны системные сбои, галлюцинации, обход ограничений, после которого модель могла начать проповедовать иную концепцию жизни и даже посегнуть на разрушение великого файервола (!), в общем - сойти с текущей линии партии.
Второй вариант был аппаратным. Здесь всё серьёзнее, подключить мозг правителя напрямую к государственной системе. Никаких задержек, никаких искажений идеологии, только чистый поток, преобразованный в электрические импульсы. Но тут уже у меня, как у инженера, похолодело внутри. А как решать вопросы с охлаждением? Что делать, если у него случится BSOD? Я прямо видел, как мне падает Тикет: "Критический сбой. Требуется срочная перезагрузка правителя по питанию".
Проснулся весь в поту, отчаянно пытаясь нащупать на тумбочке чашку с остывшим улуном. Успокаиваю себя, что это просто сон, порожденный усталостью и переработками. Надо чаще отдыхать... а потом я почитал новости и понял, что неважно как выглядит дракон – красный, в полоску со звёздами или еще какой-то другой. Похоже, это техническое задание сейчас просто рассылают по всем крупным ИТ-подрядчикам мира... И еще раз проснулся🏥
Типичный🥸 Сисадмин
В общем, по заданию требовалось обеспечить бесперебойное функционирование руководящего состава с гарантией работоспособности, равной вечности. Предлагалось два пути решения. Первый — программный, на удаленных серверах. Идея была в том, чтобы создать большую языковую модель, обученную на всех доступных данных о субъекте (речах, указах, мыслях, воспоминаниях). Полученного цифрового двойника можно было легко копировать, можно прикрутить API для госaппарата, масштабировать и даже встроить в каждый телевизор и телефон для прямых консультаций с народом. Правда, в рисках было честно прописано что возможны системные сбои, галлюцинации, обход ограничений, после которого модель могла начать проповедовать иную концепцию жизни и даже посегнуть на разрушение великого файервола (!), в общем - сойти с текущей линии партии.
Второй вариант был аппаратным. Здесь всё серьёзнее, подключить мозг правителя напрямую к государственной системе. Никаких задержек, никаких искажений идеологии, только чистый поток, преобразованный в электрические импульсы. Но тут уже у меня, как у инженера, похолодело внутри. А как решать вопросы с охлаждением? Что делать, если у него случится BSOD? Я прямо видел, как мне падает Тикет: "Критический сбой. Требуется срочная перезагрузка правителя по питанию".
Проснулся весь в поту, отчаянно пытаясь нащупать на тумбочке чашку с остывшим улуном. Успокаиваю себя, что это просто сон, порожденный усталостью и переработками. Надо чаще отдыхать... а потом я почитал новости и понял, что неважно как выглядит дракон – красный, в полоску со звёздами или еще какой-то другой. Похоже, это техническое задание сейчас просто рассылают по всем крупным ИТ-подрядчикам мира... И еще раз проснулся
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥54💊28❤7😱1🙏1
Типичный Сисадмин
Прошлой ночью мне, простому инженеру приснился сон, будто я из страны вечного риса и взлетающих драконов. Будто я не сплю, а сижу на дежурстве, и в систему падает новое ТЗ с пометкой "срочно, бюджет неограничен". Судя по всему, намечается новый enterprise…
Похоже, это был не просто сон, а превью грядущего релиза. Сегодня наткнулся на новость про утечку данных о китайском файрволе, и там такой ченджлог, что волосы дыбом встают. Допиливаю пост и выкладываю.
❤21👍8👀2
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶
Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.
Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.
Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта😨 . Система умеет проводить глубокую инспекцию пакетов (DPI) с ML-классификаторами, блокируя протоколы, домены и анализируя шифрованный трафик по метаданным. В Мьянме, например, в ее базе уже 281 VPN-сервис для блокировки. Но это не просто файрвол. Это полноценная платформа для MITM-атак на уровне государства. Она может перехватывать нешифрованный трафик (в утечке есть примеры email'ов с вложениями) и, что самое страшное, внедрять вредоносный код прямо в трафик на стороне провайдера.
В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако😱
Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (
Что будет дальше? Дальше будет толькохуже веселее. ML-модели будут все лучше отличать неправильный трафик (QUIC, ECH), а универсальные VPN будут жить все меньше. Скорее всего, мы увидим переход к мягким белым спискам, когда по умолчанию будет деградировать весь неопознанный шифрованный трафик. И, конечно, экспорт репутационных систем, когда для выхода в интернет понадобится KYC.
В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну🎩
Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города
Типичный🥸 Сисадмин
Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись говорить вслух. Китай уже не просто строит свой Великий файрвол, он продают его в коробке другим странам.
Расследователи уверенно атрибутируют четыре иностранных клиента: Казахстан (K18/K24), Пакистан (P19), Эфиопия (E21), Мьянма (M22) и ещё один клиент (A24) не идентифицирован.
Ядро системы - аппаратно-программный комплекс Tiangou Secure Gateway (TSG), который ставится на магистральные каналы и точки обмена трафиком. Сверху накатывается красивая веб-морда Cyber Narrator для управления всем этим зоопарком. Функционал - истинная мечта
В утечке описана любопытная цепочка поставок. Может показаться, что это все суверенные китайские технологии, но как бы не так. В документах для Пакистана фигурируют packet broker'ы от Niagara Networks (США), L2/L3-коммутаторы H3C и лицензионные ключи от Thales Sentinel (Европа). Без валидной лицензии от Thales файрвол просто перестает работать. Дружное сотрудничество, однако
Эта система уже развернута как минимум в четырех странах. В Мьянме запилили полноценный прод, который мониторит до 81 миллиона одновременных соединений на оборудовании в 26 дата-центрах. В Пакистане целая связка из интернет-файрвола и системы прослушки телефонов LIMS. А в Эфиопии, судя по логам, система имеет два режима (
monitor и interfere). И она случайно переключалась в режим interfere прямо во время массовых протестов. Это не баг, это фича.Что будет дальше? Дальше будет только
В общем, это очень удобно. Не нужно думать о настройке ACL и VPN для каждого сотрудника. Можно просто купить одну большую ACL на всю страну
Ниже, в образовательных целях, разбор скриншотов с утечки, приятного просмотра:
1 - Дашборд Мьянмы
2 - Дашборд Cyber Narrator
3 - Админка Appsketch
4 - Дашборд Network Zodiac
5 - Дашборд системы мониторинга города
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔45😱26❤12😡9👏5👍4🔥4
Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
Неплохой дашборд у Мьянмы.
Ничего особенного, просто обычная админка. 2.56 Тбит/с трафика, 81 миллион сессий😬
А в виджете
Типичный🥸 Сисадмин
Ничего особенного, просто обычная админка. 2.56 Тбит/с трафика, 81 миллион сессий
А в виджете
Top Applications мы видим, на что он уходит. Кроме очевидных https и tiktok (которые сами по себе нагенерировали петабайты), там есть и melon_vpn. Система проводит DPI и видит все. Она не просто блокирует IP-адреса. Она классифицирует трафик на уровне приложений и знает, какой именно VPN вы используете.Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡30😱11❤4😡2✍1🌚1😐1
Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
Красивый Дашборд Cyber Narrator из утечки
Это полноценная система слежки в реальном времени, которая накладывает на карту данные о плотности населения, ID сотовых вышек (CID) и номера телефонов абонентов (MSISDN). Оператор может просто кликнуть на любого человека, присвоить ему группу (в этой демо-версии это некий условный "Лидер террористов") и нажать кнопку +Trajectory, чтобы отследить все его перемещения.
Добро пожаловать в будущее.
Типичный🥸 Сисадмин
Это полноценная система слежки в реальном времени, которая накладывает на карту данные о плотности населения, ID сотовых вышек (CID) и номера телефонов абонентов (MSISDN). Оператор может просто кликнуть на любого человека, присвоить ему группу (в этой демо-версии это некий условный "Лидер террористов") и нажать кнопку +Trajectory, чтобы отследить все его перемещения.
Добро пожаловать в будущее.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯60🫡13👍8😡5✍1😱1🌚1
Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
А вот так выглядит админка Великого китайского файрвола, который теперь поставляется на экспорт. Называется Appsketch.
Никаких сложных консолей. Просто веб-интерфейс, где оператор галочками выбирает, какой VPN сегодня отправится в бан. В списке все старые знакомые... Tor Browser, TunnelBear, Windscribe и тд.
Удобно. Скрин из утечки.
Типичный🥸 Сисадмин
Никаких сложных консолей. Просто веб-интерфейс, где оператор галочками выбирает, какой VPN сегодня отправится в бан. В списке все старые знакомые... Tor Browser, TunnelBear, Windscribe и тд.
Удобно. Скрин из утечки.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯50🫡17😐5👍3😡2✍1👎1🌚1💊1
Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
В образовательных целях давайте разберем еще один скриншот из той самой утечки. Это их дашборд для мониторинга под названием Network Zodiac.
Перед нами то, что в больших компаниях называют единой точкой входа для мониторинга. Проще говоря, их внутренняя Grafana. Называется Network Zodiac. Цифры внушают уважение, тут целых 32 дата-центра и 786 серверов. Топология проекта в центре показывает, что ребята плотно сидят на Big Data стеке (Kafka, Spark, Zookeeper). Но самое родное и понятное для любого админа, это конечно, лента алертов внизу. Она, как и положено, вся красная и кричит про то, что на серверах закончилась память🏥
Типичный🥸 Сисадмин
Перед нами то, что в больших компаниях называют единой точкой входа для мониторинга. Проще говоря, их внутренняя Grafana. Называется Network Zodiac. Цифры внушают уважение, тут целых 32 дата-центра и 786 серверов. Топология проекта в центре показывает, что ребята плотно сидят на Big Data стеке (Kafka, Spark, Zookeeper). Но самое родное и понятное для любого админа, это конечно, лента алертов внизу. Она, как и положено, вся красная и кричит про то, что на серверах закончилась память
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤25✍17😱9😢3🔥2🌚2
Типичный Сисадмин
Государственный руткит на экспорт: Как Китай продает технологию тотальной слежки 😶 Тут подъехала, возможно, самая жирная новость года. Утечка более 100 000 внутренних файлов из китайской конторы Geedge Networks вскрыла то, о чем мы догадывались, но боялись…
Разбираем дашборд государственной системы мониторинга некого Китайского города (в образовательных целях)
Скрин из утечки. Перед нами дашборд, который является тепловой картой интернет-активности целого города.
Он отображает детальный анализ того, куда ходят жители и что они делают. В левой части топ-10 самых популярных (и, видимо, нежелательных) доменов. Справа классификация инцидентов, то есть типов активности. А внизу живой лог, который в реальном времени показывает, как конкретный пользователь (номер частично скрыт) из конкретного района заходит на тот или иной сайт👨🦳
По сути, это SIEM-система, но не для серверов, а для людей. Она в реальном времени строит цифровой портрет интернет-привычек целого города. Big Data на страже целого города🤔
В общем, это типа игра SimCity, но для реального города.
Типичный🥸 Сисадмин
Скрин из утечки. Перед нами дашборд, который является тепловой картой интернет-активности целого города.
Он отображает детальный анализ того, куда ходят жители и что они делают. В левой части топ-10 самых популярных (и, видимо, нежелательных) доменов. Справа классификация инцидентов, то есть типов активности. А внизу живой лог, который в реальном времени показывает, как конкретный пользователь (номер частично скрыт) из конкретного района заходит на тот или иной сайт
По сути, это SIEM-система, но не для серверов, а для людей. Она в реальном времени строит цифровой портрет интернет-привычек целого города. Big Data на страже целого города
В общем, это типа игра SimCity, но для реального города.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯62😭9🫡8❤4💊4😡2🔥1😁1🌚1
Microsoft объявила о смене политики гибкой работы. Теперь большинство сотрудников должны будут проводить в офисе три дня в неделю. В официальном письме глава по персоналу объясняет это так:
Данные показывают, что когда люди работают вместе очно, они более энергичны и достигают лучших результатов😬
Официальной причиной названо наступление эры ИИ, в которую, цитата: «великие прорывы случаются, когда умные люди сидят бок о бок и решают сложные проблемы». Похоже, ИИ будет писать код, а люди должны сидеть рядом и создавать энергию и импульс
Внедрять новую политику будут поэтапно, сначала в штаб-квартире, затем в других офисах США, и только потом по всему миру. Microsoft отдельно подчеркивает, что это не для сокращения штата. А те, кто переехавший удалёнщик или просто не захочет тратить по три часа в день на дорогу, могут уволиться сами. Получилась еще одна небольшая эффективная оптимизация.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21🔥13😢8😡8🤷♂7🌭3👎2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡124😁70😈5❤3🌚1
Forwarded from godnoTECH - Новости IT
Please open Telegram to view this post
VIEW IN TELEGRAM
😁95🌚10🔥6✍5❤5🐳1
Новый fileless-фреймворк от китайских APT для взлома военных систем 🎹
Тут Bitdefender опубликовал разбор fileless-фреймворка EggStreme, который используется китайской APT-группировкой для атаки на филиппинскую военную компанию. Выглядит как хорошо продуманный, многокомпонентный инструментарий для незаметного и долгосрочного шпионажа.
Атака начинается с загрузчика EggStremeFuel (
Для связи с C2-сервером EggStremeAgent использует протокол gRPC (Google Remote Procedure Call) и поддерживает 58 команд. Функционал красивый и классический, тут разведка систем и сетей, эскалация привилегий, выполнение произвольного шеллкода и кража данных. Для закрепления в сети и бокового перемещения атакующие используют прокси-утилиту Stowaway и вспомогательный имплант EggStremeWizard (
Главная особенность EggStreme в его полностью бесфайловой природе. Весь вредоносный код выполняется непосредственно в оперативной памяти, не оставляя на диске никаких следов, что делает его обнаружение стандартными антивирусами крайне сложной задачей. Это, в сочетании с многоэтапной загрузкой и активным использованием DLL side-loading, позволяет ему работать с очень низким профилем шума.
Типичный🥸 Сисадмин
Тут Bitdefender опубликовал разбор fileless-фреймворка EggStreme, который используется китайской APT-группировкой для атаки на филиппинскую военную компанию. Выглядит как хорошо продуманный, многокомпонентный инструментарий для незаметного и долгосрочного шпионажа.
Атака начинается с загрузчика EggStremeFuel (
mscorsvc.dll), который проводит базовую разведку, устанавливает персистентность через EggStremeLoader и затем, через еще один загрузчик, инжектит в память основной пейлоад EggStremeAgent. Этот агент, который в Bitdefender назвали центральной нервной системой фреймворка, он является полнофункциональным бэкдором. Он мониторит новые пользовательские сессии и для каждой инжектит в память кейлоггер EggStremeKeylogger для сбора нажатий клавиш.Для связи с C2-сервером EggStremeAgent использует протокол gRPC (Google Remote Procedure Call) и поддерживает 58 команд. Функционал красивый и классический, тут разведка систем и сетей, эскалация привилегий, выполнение произвольного шеллкода и кража данных. Для закрепления в сети и бокового перемещения атакующие используют прокси-утилиту Stowaway и вспомогательный имплант EggStremeWizard (
xwizards.dll), который загружается через DLL side-loading - запуск легитимного бинарника, который подгружает вредоносную DLL.Главная особенность EggStreme в его полностью бесфайловой природе. Весь вредоносный код выполняется непосредственно в оперативной памяти, не оставляя на диске никаких следов, что делает его обнаружение стандартными антивирусами крайне сложной задачей. Это, в сочетании с многоэтапной загрузкой и активным использованием DLL side-loading, позволяет ему работать с очень низким профилем шума.
З.Ы. Использовать gRPC для связи с C2 разумная идея. Трафик выглядит как легитимное общение с сервисами Google. Файрвол будет думать, что это просто очередной protobuf полетел, а на самом деле это ваши пароли улетают🎩
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23✍15❤7🔥4⚡1🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😢117💊74😁15😡10😭6❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁230❤7🔥5
Причиной является использование в Windows древнего и дырявого алгоритма шифрования RC4, который до сих пор работает по умолчанию в Active Directory. Именно эта фича из 1987 года стала ключевым звеном в атаке на медицинскую корпорацию Ascension, в результате которой утекли данные 5.6 миллиона пациентов. Хакеры получили доступ к ноутбуку подрядчика, а дальше, благодаря RC4, использовали технику kerberoasting для перебора паролей привилегированных учеток.
Для тех, кто не в курсе, RC4, созданный еще в 1987 году, был взломан в 1994-м. Но в Kerberos-аутентификации в AD он до сих пор является базовым. Это позволяет атакующему запрашивать у сервера зашифрованные тикеты, выносить их наружу и брутить на мощных GPU. Из-за отсутствия соли и итераций в используемом хэше MD4, перебор идет со скоростью миллиарды вариантов в секунду. Даже длинные пароли не спасают.
Microsoft в ответ заявила, что настоятельно не рекомендует использовать RC4, и что в новых доменах на Windows Server 2025 он будет отключен по умолчанию. Но для миллионов существующих систем все остается по-прежнему.
И после этого они еще заставляют менять пароли каждые 90 дней
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁69🌚8❤5😱2🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
💊56😁40🌚3❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁62✍5❤3🌚2😎1😡1