Подъехали новости про передовые британские практики в области приватности пользователей сети.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
The Register
Why should the UK pensions watchdog be able to spy on your internet activities? Same reason as the Environment Agency and many…
Extraordinary surveillance powers set to be injected into govt orgs
В классификации APT сам Джигурда ногу сломит. Поскольку точно подтвержденных данных в наличие у инфосек вендоров немного, то при рассмотрении крупных хакерских групп, используемых ими инструментов и осуществляемых ими операций многие отпускают свою фантазию на волю.
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В последнее время было множество новостей о дырках в сервисе видеоконфереций ZOOM. Но, как выясняется, его конкуренты тоже не отстают.
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
BleepingComputer
Microsoft Teams patched against image-based account takeover
After looking at how Microsoft Teams handles image resources, security researchers found a way to take over accounts by sending recipients a regular GIF.
RedDrip Team, команда исследователей китайской компании Qianxin, сообщает, что выявили фишинговую кампанию, проводимую APT Lazarus и направленную на пользователей Южной Кореи.
Рассылка происходит от имени Центра по контролю заболеваемости в Инчхоне и содержит фейковый отчет о расследовании распространения коронавируса. Ну а дальше как обычно - скрипт, подгружаемый вредонос и пр.
APT Lazarus (aka Dark Seoul, Labyrinth Chollima, Hidden Cobra) - это северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Мы про нее обязательно поговорим отдельно.
Кстати, Lazarus - не первая северокорейская APT, эксплуатирующая тему COVID-19 в своих атаках. Ранее в этом были замечены APT Kimsuky (aka Velvet Chollima) и APT 37 (aka Konni).
Рассылка происходит от имени Центра по контролю заболеваемости в Инчхоне и содержит фейковый отчет о расследовании распространения коронавируса. Ну а дальше как обычно - скрипт, подгружаемый вредонос и пр.
APT Lazarus (aka Dark Seoul, Labyrinth Chollima, Hidden Cobra) - это северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Мы про нее обязательно поговорим отдельно.
Кстати, Lazarus - не первая северокорейская APT, эксплуатирующая тему COVID-19 в своих атаках. Ранее в этом были замечены APT Kimsuky (aka Velvet Chollima) и APT 37 (aka Konni).
Qianxin
奇安信威胁情报中心
Nuxt.js project
Израильский национальный киберцентр (INCD) выпустил предупреждение, предназначенное для энергетических компаний и компаний, специализирующихся на водоснабжении. В своем сообщении INCD призывает поменять пароли на всех подключенных к сети машинах либо отключить их до момента соответствующей настройки систем безопасности. Также предлагается провести срочный апдейт всего ПО.
Аналогичные алерты выпустили израильский CERT и Управление водными ресурсами Израиля. По данным израильского новостного портала Ynet, особое внимание уделяется операционным системам, в частности устройствам контроля хлора на водоочистительных сооружениях.
ZDNet пишет, что указанные предупреждения были выпущены после доклада в израильское правительство отчета инфосек компании ClearSky.
По слухам, ClearSky выявила кибератаку исламской хакерской группы, которая называет себя Иерусалимская электронная армия (JEArmy). Ранее хакеры заявляли, что получили доступ к ресурсам израильских государственных ведомств и университетов. ClearSky связывают JEArmy с палестинской хакерской группой Gaza Cybergang.
Аналогичные алерты выпустили израильский CERT и Управление водными ресурсами Израиля. По данным израильского новостного портала Ynet, особое внимание уделяется операционным системам, в частности устройствам контроля хлора на водоочистительных сооружениях.
ZDNet пишет, что указанные предупреждения были выпущены после доклада в израильское правительство отчета инфосек компании ClearSky.
По слухам, ClearSky выявила кибератаку исламской хакерской группы, которая называет себя Иерусалимская электронная армия (JEArmy). Ранее хакеры заявляли, что получили доступ к ресурсам израильских государственных ведомств и университетов. ClearSky связывают JEArmy с палестинской хакерской группой Gaza Cybergang.
ZDNET
Israel government tells water treatment companies to change passwords
Israel cyber-security agency reported intrusion attempts last week.
Британская The Register сообщает, что в результате неправильно сконфигурированной системы автоматического распознавания автомобильных номеров (ANPR) в открытый доступ попали 8,6 млн. записей поездок жителей городского округа Шеффилд.
На прошлой неделе исследователи Крис Кубецки и Джерард Янсен обнаружили незакрытый сетевой доступ к панели управления системы ANPR, состоящую из 100 камер наблюдения. Какие-либо механизмы аутентификации отсутствовали.
Данные в системе содержали информацию о номере автомобиля, времени его фиксации камерой и ее местоположении, что позволяло восстановить историю перемещения конкретной машины. Предположительно также были доступны необработанные изображения, сделанные камерами в процессе распознавания автомобильных номеров. Кроме того, через панель управления были видны IP-адреса всех камер.
Доступ к панели управления ANPR позволял не только считывать данные, но и полноценно ими управлять - изменить реквизиты камер, стереть нужные сведения из базы и пр.
ANPR-система Register the Sheffield была смонтирована в 2014 году американской компанией 3M. Позднее подразделение, занимающееся разработкой подобных систем было продано компании Neology, в силу чего, как обычно в таких случаях бывает, виноватых не нашлось. В документах местных органов власти, регламентирующих установку ANPR-системы, слово "конфиденциальность" не упоминается ни разу.
Панель управления была запущена 20 ноября 2018 года. Сколько времени с тех пор она была в открытом доступе - неясно. Возможно, что весь период времени до конца апреля этого года, когда об уязвимости сообщили властям.
На прошлой неделе исследователи Крис Кубецки и Джерард Янсен обнаружили незакрытый сетевой доступ к панели управления системы ANPR, состоящую из 100 камер наблюдения. Какие-либо механизмы аутентификации отсутствовали.
Данные в системе содержали информацию о номере автомобиля, времени его фиксации камерой и ее местоположении, что позволяло восстановить историю перемещения конкретной машины. Предположительно также были доступны необработанные изображения, сделанные камерами в процессе распознавания автомобильных номеров. Кроме того, через панель управления были видны IP-адреса всех камер.
Доступ к панели управления ANPR позволял не только считывать данные, но и полноценно ими управлять - изменить реквизиты камер, стереть нужные сведения из базы и пр.
ANPR-система Register the Sheffield была смонтирована в 2014 году американской компанией 3M. Позднее подразделение, занимающееся разработкой подобных систем было продано компании Neology, в силу чего, как обычно в таких случаях бывает, виноватых не нашлось. В документах местных органов власти, регламентирующих установку ANPR-системы, слово "конфиденциальность" не упоминается ни разу.
Панель управления была запущена 20 ноября 2018 года. Сколько времени с тех пор она была в открытом доступе - неясно. Возможно, что весь период времени до конца апреля этого года, когда об уязвимости сообщили властям.
The Register
Nine million logs of Brits' road journeys spill onto the internet from password-less number-plate camera dashboard
Democratising mass surveillance, one snafu at a time
Motherboard разузнала, что несколько лет назад сотрудник NSO Group был пойман на использовании производимого компанией шпионского ПО Pegasus в личных целях.
Напомним, что израильская NSO производит ПО Pegasus, которое предназначено для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет гешефт и иск от Facebook.
По данным источников, сотрудник NSO был командирован в ОАЭ для технической поддержки программного комплекса Pegasus, установленного в одной из национальных спецслужб. В ходе своего нахождения в командировке работник NSO несанкционированно воспользовался Pegasus для взлома WhatsApp своей знакомой, предположительно в "любовных интересах".
Заказчик зафиксировал нецелевое использование купленного ПО, после чего устроил маленький тихий скандальчик. Сотрудника уволили (хорошо не расчленили, у арабов это в моде).
И, как всегда, отметим пару моментов.
Во-первых, уверены, что подобное использование Pegasus в личных целях сотрудниками NSO было (а может и есть) в порядке вещей. В данном случае просто заказчик запалил.
Во-вторых, странно - почему неугодных журналистов и политиков ломать можно, а близких сердцу барышень нельзя? Нет ли тут известной степени лицемерия?
И, в третьих, это каким надо быть волшебным дундуком, чтобы будучи откомандированным в спецслужбу другой страны попытаться втихаря использовать ее ресурсы (неважно, ты их обслуживаешь или нет) в личных целях.
Напомним, что израильская NSO производит ПО Pegasus, которое предназначено для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет гешефт и иск от Facebook.
По данным источников, сотрудник NSO был командирован в ОАЭ для технической поддержки программного комплекса Pegasus, установленного в одной из национальных спецслужб. В ходе своего нахождения в командировке работник NSO несанкционированно воспользовался Pegasus для взлома WhatsApp своей знакомой, предположительно в "любовных интересах".
Заказчик зафиксировал нецелевое использование купленного ПО, после чего устроил маленький тихий скандальчик. Сотрудника уволили (хорошо не расчленили, у арабов это в моде).
И, как всегда, отметим пару моментов.
Во-первых, уверены, что подобное использование Pegasus в личных целях сотрудниками NSO было (а может и есть) в порядке вещей. В данном случае просто заказчик запалил.
Во-вторых, странно - почему неугодных журналистов и политиков ломать можно, а близких сердцу барышень нельзя? Нет ли тут известной степени лицемерия?
И, в третьих, это каким надо быть волшебным дундуком, чтобы будучи откомандированным в спецслужбу другой страны попытаться втихаря использовать ее ресурсы (неважно, ты их обслуживаешь или нет) в личных целях.
Vice
NSO Employee Abused Phone Hacking Tech to Target a Love Interest
The previously unreported news is a serious abuse of NSO's products, which are typically used by governments and authoritarian regimes.
Вы знаете почему Брайан Кребс так хорош в информационной безопасности? Все потому, что он использует Крем для пикселизации лица каждый день.
Это высококачественное решение, которое мягко преобразует кожу Вашего лица в пиксели, оставляя Вам ощущения гладкости и полной анонимности. 86% пользователей крема признают, что их лицо сохраняется расплывчатым и неузнаваемым в течение 2 часов.
- теперь нет необходимости использовать балаклаву или заклеивать камеру Вашего ноутбука;
- можно спокойно ходить в публичные места, не боясь быть распознанным системами видеонаблюдения;
- и, самое главное, можно спокойно смотреть порнографию онлайн, не боясь тайной фиксации малолетними хакерами.
Внимание! Крем предназначен только для пикселизации лица! Не пытайтесь пикселизировать другие части Вашего тела.
На правах юмора.
Это высококачественное решение, которое мягко преобразует кожу Вашего лица в пиксели, оставляя Вам ощущения гладкости и полной анонимности. 86% пользователей крема признают, что их лицо сохраняется расплывчатым и неузнаваемым в течение 2 часов.
- теперь нет необходимости использовать балаклаву или заклеивать камеру Вашего ноутбука;
- можно спокойно ходить в публичные места, не боясь быть распознанным системами видеонаблюдения;
- и, самое главное, можно спокойно смотреть порнографию онлайн, не боясь тайной фиксации малолетними хакерами.
Внимание! Крем предназначен только для пикселизации лица! Не пытайтесь пикселизировать другие части Вашего тела.
На правах юмора.
Google решили, что самое время немного опустить акции конкурентов из Apple, и вчера опубликовали отчет о выявленных ранее уязвимостях яблочных операционных систем.
Как сообщает ZDNet, принадлежащая Google команда исследователей Project Zero изучила фреймворк Image I/O, отвечающий во всех операционных системах Apple (iOS, macOS, tvOS и watchOS) за обработку файлов изображений.
Исследователи применили технику под названием "фаззинг" (подача на вход ПО кучи рандомной информации в целях выявления аномалии его поведения) и выявили шесть (!) уязвимостей в фреймворке и еще восемь (!) в библиотеке анализа файлов изображений OpenEXR.
Возможности использования выявленных уязвимостей для удаленного исполнения кода в целевой системе Project Zero не изучались, но это не значит, что их нет.
Все выявленные уязвимости были устранены Apple в обновлениях в январе и апреле. Но интересно здесь другое - ошибки Google нашли еще в октябре 2019 года. Это означает, что в течение полугода уязвимости вполне могли эксплуатироваться в дикой природе.
Напомним, что все это происходит на фоне заявлений инфосек компании ZecOps о выявленных дырках в предустановленном яблочном приложении Mail, позволяющих получить контроль над почтовой перепиской жертвы на всей линейке устройств iPhone и iPad.
Похоже, что годами непоколебимый миф о безопасности устройств Apple начинает сыпаться как карточный домик. И это печально. Потому что ситуация с дырявым Android и дырявой iOS возвращает нас к безопасным, но малофункциональным кнопкофонам. Ведь Ubuntu сдохла, а Sailfish купил Ростелеком и переименовал в Aurora.
Одна надежда на китайцев, уж они-то наверняка создадут безопасную мобильную ОС, которая защитит ваши данные от хакеров. Но отправит их в НОАК.
Как сообщает ZDNet, принадлежащая Google команда исследователей Project Zero изучила фреймворк Image I/O, отвечающий во всех операционных системах Apple (iOS, macOS, tvOS и watchOS) за обработку файлов изображений.
Исследователи применили технику под названием "фаззинг" (подача на вход ПО кучи рандомной информации в целях выявления аномалии его поведения) и выявили шесть (!) уязвимостей в фреймворке и еще восемь (!) в библиотеке анализа файлов изображений OpenEXR.
Возможности использования выявленных уязвимостей для удаленного исполнения кода в целевой системе Project Zero не изучались, но это не значит, что их нет.
Все выявленные уязвимости были устранены Apple в обновлениях в январе и апреле. Но интересно здесь другое - ошибки Google нашли еще в октябре 2019 года. Это означает, что в течение полугода уязвимости вполне могли эксплуатироваться в дикой природе.
Напомним, что все это происходит на фоне заявлений инфосек компании ZecOps о выявленных дырках в предустановленном яблочном приложении Mail, позволяющих получить контроль над почтовой перепиской жертвы на всей линейке устройств iPhone и iPad.
Похоже, что годами непоколебимый миф о безопасности устройств Apple начинает сыпаться как карточный домик. И это печально. Потому что ситуация с дырявым Android и дырявой iOS возвращает нас к безопасным, но малофункциональным кнопкофонам. Ведь Ubuntu сдохла, а Sailfish купил Ростелеком и переименовал в Aurora.
Одна надежда на китайцев, уж они-то наверняка создадут безопасную мобильную ОС, которая защитит ваши данные от хакеров. Но отправит их в НОАК.
ZDNet
Google discloses zero-click bugs impacting several Apple operating systems | ZDNet
Apple needs to follow in Google and Mozilla's footsteps and secure its multimedia processing libraries.
Эстонская служба внутренней безопасности (KaPo) сообщила, что в прошлом году неназванная прогосударственная APT, используя 0-day уязвимости, взломала некоторое количество учетных записей эстонского почтового сервиса Mail.ee.
Взломанные учетные записи принадлежали лицам, представляющим интерес для иностранного государства, сообщает KaPo. Способ атаки - целевой фишинг. После взлома все получаемые жертвой электронные письма копировались на отдельный ящик электронной почты.
Готовы биться об заклад, что под неназванной APT эстонцы подразумевают группу, последним словом в одном из названий которой фигурирует Bear. Ну не вьетнамцы же с их Chollima, в самом деле.
Взломанные учетные записи принадлежали лицам, представляющим интерес для иностранного государства, сообщает KaPo. Способ атаки - целевой фишинг. После взлома все получаемые жертвой электронные письма копировались на отдельный ящик электронной почты.
Готовы биться об заклад, что под неназванной APT эстонцы подразумевают группу, последним словом в одном из названий которой фигурирует Bear. Ну не вьетнамцы же с их Chollima, в самом деле.
ZDNet
Estonia: Foreign hackers breached local email provider for targeted attacks | ZDNet
Hackers hijacked a small number of Mail.ee accounts "belonging to persons of interest to a foreign country."
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
ShadowPad – это еще одна впечатляющая атака на цепочку поставок, в причастности к которой подозревается APT 41. В июле 2017 года ЛК выявили подозрительные запросы, осуществляемые легальным программным обеспечением для управления серверами, производимым компанией NetSarang.
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
Разработчики Mozilla, как мы помним, уделяют достаточно много внимания вопросам приватности пользователей. И этим они нам нравятся.
Как оказалось, сейчас Mozilla работает над новой фичей Private Relay, которая генерирует разовые адреса электронной почты для регистрации на разных онлайн сервисах.
Private Relay функционирует как add-on Firefox, позволяющий одним кликом создать уникальный почтовый ящик, который можно указать при заполнении регистрационной формы. При этом Mozilla перешлет все приходящие на него письма, такие как подтверждения регистрации, на электронную почту пользователя.
Действительно, удобная штука. Вопрос лишь в необходимости привязки какого-либо из реальных почтовых ящиков к Mozilla, что потенциально может создать проблемы безопасности.
Как оказалось, сейчас Mozilla работает над новой фичей Private Relay, которая генерирует разовые адреса электронной почты для регистрации на разных онлайн сервисах.
Private Relay функционирует как add-on Firefox, позволяющий одним кликом создать уникальный почтовый ящик, который можно указать при заполнении регистрационной формы. При этом Mozilla перешлет все приходящие на него письма, такие как подтверждения регистрации, на электронную почту пользователя.
Действительно, удобная штука. Вопрос лишь в необходимости привязки какого-либо из реальных почтовых ящиков к Mozilla, что потенциально может создать проблемы безопасности.
ZDNET
New Firefox service will generate unique email aliases to enter in online forms
Firefox Private Relay add-on to help users safeguard their email addresses from spammers.
Операторы ransomware Maze скомпрометировали сеть государственного банка Коста-Рики (Banco BCR), в результате чего, в числе прочего, украли данные 11 миллионов банковских карт.
На своем сайте хакеры утверждают, что в первый раз получили доступ к сети банка еще в августе 2019 года, однако не стали шифровать данные, поскольку "возможный ущерб был бы слишком велик".
В силу того, что костариканцы не уделяют должного внимания вопросам информационной безопасности, в феврале операторы Maze снова подломали сеть Banco BCR. В этот раз они не стали шифровать информацию по причине "пандемии коронавируса", но украли данные 11 миллионов банковских карт, которые теперь продают в дарквебе.
В качестве подтверждения кражи Maze опубликовали номера 240 кредитных карт без последних 4 цифр, а также их сроки действия и коды CVC.
Напомним, что недавно американский ИТ гигант Cognizant, компания из NASDAQ-100 подтвердил, что попал под шифровальщик Maze. С учетом 30 млрд. $ капитализации компании сумма выкупа за данные должна составлять не один миллион , а то и не один десяток миллионов долларов.
На своем сайте хакеры утверждают, что в первый раз получили доступ к сети банка еще в августе 2019 года, однако не стали шифровать данные, поскольку "возможный ущерб был бы слишком велик".
В силу того, что костариканцы не уделяют должного внимания вопросам информационной безопасности, в феврале операторы Maze снова подломали сеть Banco BCR. В этот раз они не стали шифровать информацию по причине "пандемии коронавируса", но украли данные 11 миллионов банковских карт, которые теперь продают в дарквебе.
В качестве подтверждения кражи Maze опубликовали номера 240 кредитных карт без последних 4 цифр, а также их сроки действия и коды CVC.
Напомним, что недавно американский ИТ гигант Cognizant, компания из NASDAQ-100 подтвердил, что попал под шифровальщик Maze. С учетом 30 млрд. $ капитализации компании сумма выкупа за данные должна составлять не один миллион , а то и не один десяток миллионов долларов.
BleepingComputer
Hackers say they stole millions of credit cards from Banco BCR
Hackers claim to have gained access to the network of Banco BCR, the state-owned Bank of Costa Rica, and stolen 11 million credit card credentials along with other data.
"Сингапурская инфосек кампания" (привет, Сачков) Group IB выпустила отчет о расследовании серии фишинговых атак под условным обозначением PerSwaysion.
В качестве приманки выступает PDF файл, а в дальнейшем используются службы обмена файлов Microsoft, включая Sway, - отсюда и название фишинговой кампании. Цель хакеров - высокопоставленные сотрудники в отраслях финансов, юриспруденции и торговли недвижимости. Географические предпочтения - США, Канада, Сингапур, Германия, Великобритания, Нидерланды, Гонконг.
У PerSwaysion есть интересная черта. По мнению исследователей, за серией атак стоит сразу несколько хакерских групп, использующих одну и ту же инфраструктуру. При этом, судя по всему, автором ПО является вьетнамская группа, а один из акторов связан с кибермошенниками из Нигерии.
Но мы обратили внимание на отчет ГрИБов не по этим причинам. А потому, что в нем достаточно детально и последовательно расписан процесс изучения особенностей атаки, позволяющих сделать те или иные выводы в отношении хакерских групп, стоящих за ней.
И, хотя конкретных наименований стоящих за PerSwaysion групп на данном этапе не получено, все равно так намного лучше, чем фантазии некоторых вендоров.
Ну в самом деле, не всем же всерьез говорить о китайском происхождении APT на основании того, что в момент китайского Нового Года активность хакеров спала. Или называть Energetic Bear причастной к атаке на аэропорты только потому, что в атаке использовалась уязвимость SMB, чем ранее пользовалась и эта APT.
Даешь больше TTPs, хороших и разных.
https://www.group-ib.com/blog/perswaysion
В качестве приманки выступает PDF файл, а в дальнейшем используются службы обмена файлов Microsoft, включая Sway, - отсюда и название фишинговой кампании. Цель хакеров - высокопоставленные сотрудники в отраслях финансов, юриспруденции и торговли недвижимости. Географические предпочтения - США, Канада, Сингапур, Германия, Великобритания, Нидерланды, Гонконг.
У PerSwaysion есть интересная черта. По мнению исследователей, за серией атак стоит сразу несколько хакерских групп, использующих одну и ту же инфраструктуру. При этом, судя по всему, автором ПО является вьетнамская группа, а один из акторов связан с кибермошенниками из Нигерии.
Но мы обратили внимание на отчет ГрИБов не по этим причинам. А потому, что в нем достаточно детально и последовательно расписан процесс изучения особенностей атаки, позволяющих сделать те или иные выводы в отношении хакерских групп, стоящих за ней.
И, хотя конкретных наименований стоящих за PerSwaysion групп на данном этапе не получено, все равно так намного лучше, чем фантазии некоторых вендоров.
Ну в самом деле, не всем же всерьез говорить о китайском происхождении APT на основании того, что в момент китайского Нового Года активность хакеров спала. Или называть Energetic Bear причастной к атаке на аэропорты только потому, что в атаке использовалась уязвимость SMB, чем ранее пользовалась и эта APT.
Даешь больше TTPs, хороших и разных.
https://www.group-ib.com/blog/perswaysion
Group-IB
PerSwaysion Campaign
Group-IB DFIR and Threat Intelligence teams revealed an uptrending phishing technique which is essentially achieved by abusing Microsoft file sharing services.
Тем временем, на фоне эпидемии коронавируса, США разворачивают протекционистские меры во всю.
Вчера Трамп объявил о том, что предприятиям американского электрического сектора запрещается покупать и устанавливать электрическое оборудование, произведенное за пределами США.
Причиной этому Трамп назвал то, что "иностранные противники все чаще эксплуатируют уязвимости в системе электроснабжения США, что может представлять значительные риски для американской экономики, здоровья и безопасности граждан США".
Одновременно с этим, Министерство энергетики США начинает аудит в целях определить используемое в отрасли в настоящее время оборудование, которое произведено за пределами США, и разработать стратегию по его постепенному отключению и замене американскими аналогами.
Хороший пример заботы не только о своих производителях, но и об информационной безопасности критической инфраструктуры национальных отраслей экономики. К сожалению, наши государственные органы едва ли уделяют подобным вопросам хоть какое-то внимание.
Нас же немного напрягает еще один момент. Не сомневаясь, что американские think tanks помнят высказывание Сунь-Цзы "Неуязвимость - в обороне, но возможность достичь победы - только в нападении", предполагаем, что, параллельно с активизацией мер "информационной обороны", США не менее активно разрабатывают меры "информационного нападения".
К которым мы совершенно не готовы.
Вчера Трамп объявил о том, что предприятиям американского электрического сектора запрещается покупать и устанавливать электрическое оборудование, произведенное за пределами США.
Причиной этому Трамп назвал то, что "иностранные противники все чаще эксплуатируют уязвимости в системе электроснабжения США, что может представлять значительные риски для американской экономики, здоровья и безопасности граждан США".
Одновременно с этим, Министерство энергетики США начинает аудит в целях определить используемое в отрасли в настоящее время оборудование, которое произведено за пределами США, и разработать стратегию по его постепенному отключению и замене американскими аналогами.
Хороший пример заботы не только о своих производителях, но и об информационной безопасности критической инфраструктуры национальных отраслей экономики. К сожалению, наши государственные органы едва ли уделяют подобным вопросам хоть какое-то внимание.
Нас же немного напрягает еще один момент. Не сомневаясь, что американские think tanks помнят высказывание Сунь-Цзы "Неуязвимость - в обороне, но возможность достичь победы - только в нападении", предполагаем, что, параллельно с активизацией мер "информационной обороны", США не менее активно разрабатывают меры "информационного нападения".
К которым мы совершенно не готовы.
ZDNet
Trump bans acquisition of foreign power grid equipment, citing hacking threats | ZDNet
White House says foreign-made equipment "augments the ability of foreign adversaries to create and exploit vulnerabilities" in the US power grid.
А у нас, тем временем, нарисовался очередной показательный скандальчик с нарушением приватности пользовательских данных.
В четверг Forbes опубликовали материал, в котором со ссылкой на ресерчеров Габи Кирлинга и Эндрю Тирни сообщили, что смартфоны производства Xiaomi и их мобильные браузеры Mi Browser Pro и Mint Browser собирают пользовательские данные и отправляют их на удаленные сервера, принадлежащие китайцам.
В числе собираемой информации – история серфинга и поиска, сведения о просмотре новостной ленты, открытые на смартфоне папки и пр. Причем эта информация собиралась даже в режиме браузера инкогнито.
Кроме того, исследователи обнаружили, что передающиеся данные закодированы base64. Таким образом, в случае получения доступа к передаваемой информации третьими лицами, она может быть легко раскрыта.
Вчера последовал ответ Xiaomi, в котором китайцы отморозились и сказали, что все данные они собирают в рамках общепринятых практик, строго в соответствии с пользовательским соглашением и полностью их анонимизируют.
Впрочем, мало кто им поверил. К обсуждению подключились другие инфосек эксперты и внезапно обнаружилось, что Xiaomi, кроме всего прочего, помечает Индию, Россию и остальной мир, собирая данные на отдельные эндпойнты. А некоторые даже получили прямое подтверждение, зафиксировав как их данные в режиме инкогнито передаются на сервера Xiaomi.
Резюмируя, скажем, что основное различие между тем, как данные собирает, например, Chrome и как собирает их Xiaomi – для Google необходимо согласие пользователя для такого сбора, в отличие от китайцев. И Google не собирает данные в режиме инкогнито. В отличие от.
В четверг Forbes опубликовали материал, в котором со ссылкой на ресерчеров Габи Кирлинга и Эндрю Тирни сообщили, что смартфоны производства Xiaomi и их мобильные браузеры Mi Browser Pro и Mint Browser собирают пользовательские данные и отправляют их на удаленные сервера, принадлежащие китайцам.
В числе собираемой информации – история серфинга и поиска, сведения о просмотре новостной ленты, открытые на смартфоне папки и пр. Причем эта информация собиралась даже в режиме браузера инкогнито.
Кроме того, исследователи обнаружили, что передающиеся данные закодированы base64. Таким образом, в случае получения доступа к передаваемой информации третьими лицами, она может быть легко раскрыта.
Вчера последовал ответ Xiaomi, в котором китайцы отморозились и сказали, что все данные они собирают в рамках общепринятых практик, строго в соответствии с пользовательским соглашением и полностью их анонимизируют.
Впрочем, мало кто им поверил. К обсуждению подключились другие инфосек эксперты и внезапно обнаружилось, что Xiaomi, кроме всего прочего, помечает Индию, Россию и остальной мир, собирая данные на отдельные эндпойнты. А некоторые даже получили прямое подтверждение, зафиксировав как их данные в режиме инкогнито передаются на сервера Xiaomi.
Резюмируя, скажем, что основное различие между тем, как данные собирает, например, Chrome и как собирает их Xiaomi – для Google необходимо согласие пользователя для такого сбора, в отличие от китайцев. И Google не собирает данные в режиме инкогнито. В отличие от.
30 апреля компания F-Secure опубликовала данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. Ошибки позволяли обойти механизм аутентификации и получить рутовые права в системе.
Изначально уязвимости были выявлены F-Secure в середине марта этого года, после чего исследователи обратились к производителю ПО компании SaltStack. В результате взаимодействия 29 апреля был выпущена Salt v.3000.2, в которой уязвимости были устранены.
Как мы уже говорили, на следующий день F-Secure опубликовала данные на своем ресурсе, где сделала приписку - "любой компетентный хакер сможет создать 100%-й эксплойт для этих уязвимостей менее чем за 24 часа. Поэтому мы оставим эксплуатацию в качестве упражнения для читателей".
С чем "благодарные читатели" и не стали тянуть.
Спустя сутки после публикации на серверы с развернутой Salt начались атаки. Сперва хакеры накрыли сервера мобильной операционной системы LineageOS. Разработчики заявили, что злоумышленники использовали уязвимости в Salt.
Сегодня ночью роль жертвы на себя примерила крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей, среди которых Mozilla и NASA. Для взлома хакеры использовали все те же дырки в Salt.
По данным ZDNet, в настоящее время в сети открыто более 6000 серверов с Salt, существенная часть которых, очевидно, не была обновлена. Перечисленные взломы не единственные, в некоторых случаях злоумышленники сажали на взломанные сервера бэкдоры, а в других - сажали майнеры.
Благими намерениями, как известно, вымощена дорога в ад. F-Secure, формально выдержав все этические норм, но не выждав срок, который мог бы потребоваться на обновление дырявых серверов, открыли ящик Пандоры.
Изначально уязвимости были выявлены F-Secure в середине марта этого года, после чего исследователи обратились к производителю ПО компании SaltStack. В результате взаимодействия 29 апреля был выпущена Salt v.3000.2, в которой уязвимости были устранены.
Как мы уже говорили, на следующий день F-Secure опубликовала данные на своем ресурсе, где сделала приписку - "любой компетентный хакер сможет создать 100%-й эксплойт для этих уязвимостей менее чем за 24 часа. Поэтому мы оставим эксплуатацию в качестве упражнения для читателей".
С чем "благодарные читатели" и не стали тянуть.
Спустя сутки после публикации на серверы с развернутой Salt начались атаки. Сперва хакеры накрыли сервера мобильной операционной системы LineageOS. Разработчики заявили, что злоумышленники использовали уязвимости в Salt.
Сегодня ночью роль жертвы на себя примерила крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей, среди которых Mozilla и NASA. Для взлома хакеры использовали все те же дырки в Salt.
По данным ZDNet, в настоящее время в сети открыто более 6000 серверов с Salt, существенная часть которых, очевидно, не была обновлена. Перечисленные взломы не единственные, в некоторых случаях злоумышленники сажали на взломанные сервера бэкдоры, а в других - сажали майнеры.
Благими намерениями, как известно, вымощена дорога в ад. F-Secure, формально выдержав все этические норм, но не выждав срок, который мог бы потребоваться на обновление дырявых серверов, открыли ящик Пандоры.
После развернувшейся в отраслевых СМИ и инфосек сообществе бучи по поводу того, что смартфоны и браузеры Xiaomi сливают пользовательские данные на свои сервера, китайцы включили обратный ход.
Сегодня Томас Брюстер, журналист Forbes, который и поднял шум, сообщил, что Xiaomi сделают опцию, позволяющую пользователю отключить сбор данных в режиме инкогнито.
Лучшее лекарство от покушений на приватность - это их опубличивание. Так победим!
Сегодня Томас Брюстер, журналист Forbes, который и поднял шум, сообщил, что Xiaomi сделают опцию, позволяющую пользователю отключить сбор данных в режиме инкогнито.
Лучшее лекарство от покушений на приватность - это их опубличивание. Так победим!
Twitter
Thomas Brewster
Update! Xiaomi is going to let users turn off aggregated data collection (which includes visited URLs) in incognito mode. And thanks researchers for their work. A step in the right direction for privacy-focused folks. https://t.co/FVzjj66rfA
Когда мы пишем посты про хакерские группы и их киберкампании мы постоянно обращаем внимание на самую важную вещь в расследовании - TTPs. Что расшифровывается как Tactics, Techniques and Procedures.
Именно TTPs позволяют с большей или меньшей степенью вероятности идентифицировать реализовавшую атаку APT и, как следствие, стоящее за ней государство.
Поэтому когда команда RedDrip компании QiAnXin выкладывает сэмплы, подтверждающие причастность DarkHotel к атакам на китайские VPN, или FireEye разбирает использовавшееся в атаке на CCleaner ПО, имеющее пересечение с APT 41, - это правильно.
А когда та же FireEye в качестве основного аргумента того, что к атаке на Citrix ADC и Gateway причастна та же APT 41, указывает спад активности атаки в период Китайского Нового Года - это неправильно.
Но есть еще один уровень экспертизы, который называется "дно". И его нам демонстрирует The Guardian.
Вчера британцы выпустили статью, в которой сообщили, что согласно Национальному центру кибербезопасности (NCSC), доля целевых кибератак на британские университеты и научные учреждения, специализирующиеся на исследованиях COVID-19, возросла.
А виноваты в этом, как на рассказывает The Guardian, Россия и Иран. Потому что "It is understood". Никаких ссылок на NCSC, никаких ссылок на конкретных экспертов. Какие там TTPs, вы о чем.
Приговор вынесен, обжалованию не подлежит. Так и живем.
Именно TTPs позволяют с большей или меньшей степенью вероятности идентифицировать реализовавшую атаку APT и, как следствие, стоящее за ней государство.
Поэтому когда команда RedDrip компании QiAnXin выкладывает сэмплы, подтверждающие причастность DarkHotel к атакам на китайские VPN, или FireEye разбирает использовавшееся в атаке на CCleaner ПО, имеющее пересечение с APT 41, - это правильно.
А когда та же FireEye в качестве основного аргумента того, что к атаке на Citrix ADC и Gateway причастна та же APT 41, указывает спад активности атаки в период Китайского Нового Года - это неправильно.
Но есть еще один уровень экспертизы, который называется "дно". И его нам демонстрирует The Guardian.
Вчера британцы выпустили статью, в которой сообщили, что согласно Национальному центру кибербезопасности (NCSC), доля целевых кибератак на британские университеты и научные учреждения, специализирующиеся на исследованиях COVID-19, возросла.
А виноваты в этом, как на рассказывает The Guardian, Россия и Иран. Потому что "It is understood". Никаких ссылок на NCSC, никаких ссылок на конкретных экспертов. Какие там TTPs, вы о чем.
Приговор вынесен, обжалованию не подлежит. Так и живем.
the Guardian
Hostile states trying to steal coronavirus research, says UK agency
Experts say Russia, Iran and China likely to be behind cyber-attacks on universities