Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.

Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.

Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.

Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.

В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.

Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.

#APT #Winnti

​​Да-да, бывали мы свидетелями таких пентестов...

​​На выходных стал собираться пазл, про куски которого мы писали на прошлой неделе и стало сразу все понятно.

Первый пост - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и заявила о полной поддержке уголовное преследования причастных к этому лиц.

Второй пост - хакеры слили украденные данные в отношении вакцины Pfizer в паблик.

И, наконец, завершающая часть - французские журналисты из Le Monde изучили утечку данных в отношении вакцины Pfizer и выяснили, что на EMA оказывалось давление со стороны руководства Евросоюза с целью оформить скорейшее одобрение файзеровской вакцины для применения в ЕС. При этом нарушения EMA выявило серьезные, вплоть до того, что применяемые в ходе клинических испытаний образцы вакцины не соответствовали тем, которые поставлялись для самой вакцинации.

Вот такая борьба с COVID-19. Кто в этой истории хороший, а кто плохой - каждый решает для себя сам.

Минутка конфиденциальности на канале.

BleepingComputer сообщает, что приватная поисковая платформа DuckDuckGo в январе 2021 года впервые достигла показателя 102 млн. запросов в день.

Представители DuckDuckGo заявляют, что их основной приоритет - это конфиденциальность пользователей. Платформа не собирает IP-адреса и cookies, не составляет профилей пользователей и не передает каки-либо данные сторонним компаниям, включая рекламщиков.

Правда, для нас не все так очевидно. Потому что мы, как люди сугубо практичные, первым делом задаемся вопросом "За чей счет банкет?". Википедия говорит, что DuckDuckGo первоначально финансировался за счет средств его основателя Гэбриеля Вайнберга, а с начала 2010-х он существует "за счет небольшой рекламы". Однако первоисточника этой информации уже не существует, а какой-либо рекламы на платформе мы не увидели.

Вместе с тем, в 2011 году в платформу в качестве инвестора вложился американский венчурный фонд United Square Ventures, вполне себе крупный финансовый институт, инвестировавший, к примеру, несколько миллиардов долларов в Twitter. Просто так эти ребята вкладываться не будут, им нужна монетизация платформы (если только они не служат прикрытием для финансирования товарищами, лица которых светить не надо).

Мы, конечно, не сильны в экономике поисковых платформ. Возможно DuckDuckGo отбивает средства за счет модерации поисковой выдачи (по крайней мере, на запрос malware первой строчкой нам выдало Malwarebytes), возможно рассчитывают поиграть в надувание капитализации. Возможно, что DuckDuckGo - это side-проект Yahoo, уши которой торчат в этой истории из многих мест.

В то же время на рынке мобильного поиска США, Великобритании и Австралии платформа уже занимает второе место, пусть и занимая скромные 2,25% по сравнению с 94% Google.

Так что рекомендуем иметь DuckDuckGo в виду, но не доверять на 100 процентов. Ну, а если кто-то из подписчиков может прояснить картину, то пишите нам на почту, мы с удовольствием ознакомим общественность.

Происходит что-то очень нехорошее. Мы с утра не можем понять - мы в 2021 году или уже в 1984?

Интересных новостей из инфосек отрасли практически нет. Twitter, который для многих инфосек экспертов служит ключевым информационным ресурсом, превратился в рупор тоталитарной демократической пропаганды.

Американские ИБ специалисты вместо того, чтобы обсуждать уязвимости и атаки, увлеченно репостят твиты про розыск очередного "бунтовщика" и призывы "FIRE HIS ASS" по отношению к полицейскому, надевшему "неправильный" значок. Еще и восторженно все это комментят.

А американская общественная организация Coalition for a Safer Web требует удалить Telegram из AppStore, фактически, по причине отсутствия в мессенджере цензуры.

Жесть.

Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны китайской группы APT 31 aka Zirconium.

В части применяемых APT 31 в ходе потенциальных атак TTPs немецкие контрразведчики весьма неконкретны, они перечислили, пожалуй, большинство методов компрометации - и целевой фишинг, и брутфорс, и XSS и пр. и пр. В то же время в качестве IOCs немецкие контрразведчики приводят порядка 60 IP-адресов, которые принадлежат управляющим центрам вредоносной инфраструктуры APT 31 или взломанным хостам, использующимся хакерами в качестве прокси.

О деятельности APT 31 известно немного. Считается, что группа работает под патронажем МГБ Китая и возможно связана с APT 10 aka Stone Panda. Основной специализацией APT 31 до недавнего времени считались атаки на цепочку поставок, в том числе для военных ведомств и производителей оборонной продукции. Теперь же BfV заявляет, что с весны 2020 года хакеры нацелились на европейские государственные и политические организации, в том числе немецкие.

UPD. Совсем забыли, в начале июня 2020 года APT 31 обвиняли в атаках на активистов избирательного штаба Байдена.

Согласно информации Infosecurity Magazine, новым руководителем Управления кибербезопасности АНБ США назначен Роб Джойс (журналисты перепутали и назвали его Роем), который в настоящее время занимает пост специального офицера связи АНБ в посольстве США в Лондоне.

На первый взгляд, странное назначение - с поста офицера связи в посольстве на должность начальника одного из ключевых управлений. Правда, это если не знать какие посты Джойс занимал ранее.

А ранее Джойс был старшим советником по стратегии кибербезопасности при Директоре АНБ. А еще раньше, в 2018 году, он был специальным помощником Президента США и координатором по кибербезопасности при американском Совете национальной безопасности (NSC).

А еще раньше, в период с 2013 по 2017 годы, он возглавлял в АНБ Tailored Access Operations (TAO), которое ныне называется Управлением по компьютерным сетевым операциям и одним из подразделений которого является хакерская группа Equation. Именно про TAO слил информацию Сноуден, а в последующем еще и хакеры из Shadow Brockers.

С учетом изложенного есть мнение, что и в американском посольстве в Лондоне Джойс в качестве офицера связи курировал взаимодействие АНБ с британскими спецслужбами в части совместных киберопераций.

Короче, Роб Джойс - АНБшник матерый и с богатым бэкграундом. Да к тому же имеющий большой опыт руководства наступательными кибероперациями.

Полагаем, что следствий из такого назначения может быть два. Первое - обострение обвинительного дискурса в отношении русских, китайских, иранских и северокорейских хакеров. Второе - полноценное введение в действие концепции активной кибербезопасности, когда в целях "предотвращения возможной кибератаки" считается нормальным атаковать первым самому. При этом была ли реальна эта угроза - дело десятое.

Надеемся, что ошибёмся, но в последнее время что-то наши мрачные прогнозы стали сбываться.

В прошедшие выходные хакеры сломали форум компании IObit, являющейся разработчиком популярного пакета утилит для домашних ПК, например Advanced SystemCare, с целью распространения ransomware DeroHE.

Пользователи форума стали получать электронные письма с информацией о полагающейся им бесплатной годовой лицензии и ссылкой на страницу форума forums .iobit .com, который была заранее скомпрометирован. На этой странице был архив, содержавший, само собой, вредонос.

При запуске содержащегося в нем IObit License Manager вываливалось предупреждение о недопустимости выключения компьютера в процессе установки лицензии (lol) и начиналось шифрование файлов. В записке с требованием выкупа содержалась информация о необходимости заплатить 200 монет криптовалюты DERO, что эквивалентно приблизительно 100 долларам. Кроме того, хакеры написали, что если IObit заплатит им 100 тыс. DERO, то они направят дешифратор всем жертвам.

По данным BleepingComputer, похоже, что злоумышленники скомпрометировали учетную запись админа форума. И хотя страница, на которой был размещен вредоносный архив в настоящее время удалена, сам форум вероятно до сих пор небезопасен.

Исследователь Jake Williams aka MalwareJake задал в Twitter следующий вопрос - "Ваш CEO просит Вас обезопасить компанию от потенциальных атак а-ля SolarWinds. Какие конкретные меры вы предпримете чтобы защитить себя от атак со стороны цепочки поставок?".

И этот, казалось бы, несложный вопрос вызвал бурную дискуссию. И оказалось, что понятных и универсальных мер, которые с большой вероятностью смогли бы решить ту задачу просто нет.

Кто-то предлагал отказываться от стороннего ПО и разрабатывать аналогичное in-house, если это возможно, кто-то максимально порезать этому ПО привилегии, кто-то посчитать и принять риски. Были даже предложения сложить все компы в ящик, залить бетоном и выкинуть на дно Марианской впадины.

И в этом заключается большая проблема современного инфосека - если вы доверяете производителю используемого ПО, если вы согласны дать ему требуемые привилегии, в том числе частичного отключения своих антивирусных решений в конкретные моменты времени, то вы оказываетесь не в состоянии принять исчерпывающие меры по обеспечению своей информационной безопасности. И вы можете лишь уповать на добросовестное исполнение своих функций DevSecOps-подразделением этого разработчика.

А это означает, что пока сами принципы такого взаимодействия в области информационной безопасности не будут пересмотрены атаки типа Sunburst будут продолжаться.

Хайповая история с взломом SolarWinds продолжается. На этот раз постарались Symantec, которые нашли очередной, уже четвертый штамм вредоноса, использованного в процессе этой кибератаки.

Исследователи назвали выявленный штамм Raindrop. По их словам, он похож на обнаруженный ранее бэкдор Teardrop и предназначен для доставки в целевую систему полезной нагрузки, в том числе Cobalt Strike Beacon.

Вместе с тем, в Raindrop есть и серьезные отличия. В то время как Teardrop доставлялся бэкдором Sunburst, то никаких свидетельств того, что новый вредонос попадает в атакованную сеть таким же образом нет. Вместе с тем, Raindrop появляется в тех сетях, где хотя бы на одной из машин уже есть Sunburst.

Действительно, судя по отчету Symantec, между Teardrop и Raindrop есть "схожесть до степени смешения" в некоторых TTPs. К примеру, крайне похожие шаблоны конфигурации (приведены в отчете). В то же время бэкдоры используют совершенно разные упаковщики.

Короче, понятно, что ничего не понятно. Если автором Raindrop и Teardrop является один актор, то зачем использовать два разных вредоноса для исполнения одной и той же задачи в одних и тех же условиях? Если это были разные хакерские группы, то почему так похожи шаблоны конфигурации вредоносов и почему Raindrop присутствовал в сетях, зараженных ранее Sunburst?

Думается, в ходе разбор взлома SolarWinds мы увидим еще немало загадок.

//Conspiracy mode on
На самом деле SolarWinds взломали рептилоиды, а в атаке так много непонятного, потому что они думают задом наперед.
//Conspiracy mode off

​​Malware Hunter Team нашли mail .protonmail1 .com, зарегистрированный в июле 2020 года. Страница оформлена под аналогичную на оригинальном Protonmail. Сам домен под прайваси протектом в США.

Похоже на фишинг, Protonmail пока не прокомментировал. Будьте аккуратнее.

​​Мы вчера писали про превращение Twitter в платформу для политической пропаганды и тоталитарного диктата "правильной" точки зрения.

Так вот, не мы одним так думаем.

Brave стал первым браузером, который поддерживает протокол IPFS

Обычно, чтобы воспользоваться этим протоколом, пользователям приходилось устанавливать приложение IPFS или расширение для браузера.

Brave же сообщает, что версия 1.19 поддерживает IPFS по умолчанию, без необходимости расширения.

К слову, этот протокол предназначен для того, чтобы получить доступ к децентрализованному или цензурированному контенту.

Помимо этого, пользователи в один клик смогут установить собственные узлы IPFS, чтобы помочь разместить часть содержимого для просмотра.

Инфосек вендор Malwarebytes завил, что в декабре 2020 года (а возможно и ранее) подвергся атаке хакерской группы, стоящей за кибероперацией Sunburst по компрометации американского IT-разработчика SolarWinds.

Со слов руководителей компании, эта атака ни коим образом не связана с использованием зараженного ПО от SolarWinds, а произошла путем взлома некого стороннего неактивного продукта для защиты электронной почты в Office 365. В результате хакеры смогли получить доступ к ограниченному объему внутренней переписки. Malwarebytes также проверили все собственные производственные среды и уверяют, что их ПО осталось незатронутым.

Насколько мы поняли из сообщения, данные о причастности к этой атаке APT, ответственной за Sunburst, были получены от Microsoft Security Response Center. Конкретных TTPs Malwarebytes не приводит, возможно у них самих их нет.

Позавчера мы написали пост про анонимный поисковик DuckDuckGo, в котором выразили опасения о том, что за этим благим, но слабо монетизируемым, проектом могут стоять большие дяди, а сама анонимность может являться фикцией.

Нам написали несколько подписчиков, которые подсказали, что небольшое количество рекламы, ориентированной, в основном, на англоязычных пользователей, в DuckDuckGo все-таки есть.

А вот новостью для нас оказалось, что DuckDuckGo - это один из основных поисковиков Даркнета. И в связи с этим нам скинули ссылку на статью портала FLB, которая вышла в конце 2019 года и которую мы не видели. А статья прелюбопытная и посвящена Tor. Хоть и написана, скорее всего, не без участия соответствующих органов. Но нас в первую очередь интересует фактура.

То, что Tor является продуктом американской военной разведки РУМО мы знали и раньше, о чем не раз писали. Но журналисты FLB рассказывают эту историю более подробно, а главное - приводят официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.

Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов. С очень большой долей вероятности они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor, возможно и получать данные в отношении активности пользователей.

Еще год назад большинство наших подписчиков сказали бы, что у нас паранойя и мы перечитали теории заговоров. Но последние события четко показывают, что в нужный момент все права и свободы пользователей моментально ставятся в кавычки.

Анонимность такая анонимность.

Исследователи лаборатории JOSF Еврейского университета в Иерусалиме выпустили отчет о выявленном наборе уязвимостей, позволяющих осуществить DNS-спуфинг (модификация кэша DNS с целью возврата пользователю ложного IP-адреса) и удаленное выполнение кода (RCE), который они назвали DNSpooq.

DNSpooq состоит из 7 уязвимостей в открытом DNS-сервере dnsmasq, который широко используется в IoT, домашних и корпоративных маршрутизаторах, даже в Android-телефонах. Все ошибки разделены на два типа - три (CVE-2020-25684, 25685, 25686) позволяют осуществлять DNS-спуфинг, а четыре других (CVE-2020-25681, 25682, 25683, 25687) приводят к RCE за счет переполнения кучи. С помощью комбинации эксплойтов уязвимостей исследователи смогли существенно снизить сложность атаки.

Самое смешное, что все выявленные уязвимости связаны с корявой реализацией работы протокола DNSSEC, как раз предназначенного для повышения безопасности DNS. Таким образом, пользователь устройства с уязвимой версией dnsmasq может отключить DNSSEC, чтобы избежать атак с использованием ошибок DNSpooq, но тогда станет уязвим перед более старыми атаками DNS-спуфинга.

Вместо отключения DNSSEC исследователи рекомендуют обновить dnsmaq до безопасной версии, но, как мы знаем, далеко не все IoT-устройства вовремя получают обновления прошивки.

Среди уязвимых устройств - некоторые маршрутизаторы ASUS, Cisco, D-Link, смартфоны Honor и Motorola, и даже дистрибутив Red Hat. Крупные производители уже выпустили исправления.

Полный список уязвимых устройств доступен по ссылке.

​​Осторожно! Работает хакер-профессионал.