Команда исследователей Unit42 из калифорнийской Palo Alto Networks выявила новую кампанию индийской группы APT-C-09, она же Patchwork, которую мы уже рассматривали.
Напомним, что Patchwork работает под контролем Разведывательного корпуса армии Индии.
Выявленная кибероперация представляет собой целевой фишинг, направленный на правительственные и военные организации Южной Азии, и использует malware BackConfig.
Исследователи полагают, что одной из целью атаки является Федеральный совет по доходам (FBR) Пакистана.
#APTC09 #Patchwork
Напомним, что Patchwork работает под контролем Разведывательного корпуса армии Индии.
Выявленная кибероперация представляет собой целевой фишинг, направленный на правительственные и военные организации Южной Азии, и использует malware BackConfig.
Исследователи полагают, что одной из целью атаки является Федеральный совет по доходам (FBR) Пакистана.
#APTC09 #Patchwork
Unit 42
Updated BackConfig Malware Targeting Government and Military Organizations in South Asia
New campaigns using an updated BackConfig malware by Hangover group were found targeting government and military organizations in South Asia.
ESET обнаружили интереснейший образец вредоноса, предназначенного, судя по всему, для проникновения в физически изолированные сети. Исследователи дали ему название Ramsay.
ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.
Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.
В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.
Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.
Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.
В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.
Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.
#DarkHotel #Ramsay
ESET полагает, что в настоящее время Ramsay находится в стадии развития. Всего обнаружено три версии малвари, первая из которых датируется сентябрем 2019 года, а последняя - концом марта этого года.
Ramsay маскируется под документ Word с вредоносной нагрузкой, либо под установщик 7zip. При попадании в атакованную систему вредонос заражает все исполняемые файлы, а потом начинает собирать все существующие на дисках документы Word в специально созданную папку. Собранные файлы шифруются RC4, архивируются, а затем на их основе генерируются специальные Ramsay-контейнеры, содержащие профиль оборудования зараженной машины.
В дальнейшем Ramsay-контейнеры скрыто прицепляются к обычным файлам Word, причем последние полностью сохраняют свою функциональность. Компонент для эксфильтрации контейнеров ESET не обнаружили, но предполагают, что он должен сканировать систему на предмет поиска заголовков контейнеров.
Кроме того, более поздние версии Ramsay стремятся распространиться на сетевые и внешние диски, что дало основание полагать, что вредонос предназначен для атак на физические изолированные системы. Также малварь сканирует хосты зараженной сети, которые подвержены уязвимости SMBv1.
Какие-либо управляющие центры Ramsay отсутствуют, он является децентрализированным. Малварь сканирует файлы Word, а также .PDF и .ZIP на предмет наличия специального маркера, за которым скрывается файл, содержащий контрольные команды. Причем вариантов подобных контрольных файлов может быть два - предназначенный для произвольного профиля оборудования и для конкретной машины. Что означает возможность целевого использования Ramsay.
В ходе изучения в Ramsay были найдены множественные сходства с бэкдором Retro, использовавшимся ранее известной нам APT DarkHotel, предположительно работающей на правительство Южной Кореи. Соответственно, именно эта группа, судя по всему, является автором Ramsay.
Без лишних слов, это красивое произведение вирмейкерского искусства. Похоже предназначенное для атак на сети спецслужб и военных организаций.
#DarkHotel #Ramsay
WeLiveSecurity
Ramsay: A cyber‑espionage toolkit tailored for air‑gapped networks
ESET researchers have discovered Ramsay, a previously unreported cyber-espionage framework that is tailored for collection and exfiltration of sensitive documents and is capable of operating within air-gapped networks.
Давненько мы не писали про коронавирус. В отличие от всех остальных. Но вот наткнулись на интересный препринт. Напоминаем, что препринты - это предварительные отчеты, не проверенные экспертами.
Исследование проведено тремя британскими медиками, нам их имена ничего не говорят. Да и в медицинских терминах мы не особенно разбираемся.
Суть исследования в том, что британцы проверили возможное наличие корреляции между средним уровнем витамина D и количеством случаев инфицирования на 1 миллион населения, а также с соответствующем уровнем смертности.
По уверениям медиков, по результатам анализа данных 20 европейских стран они выявили прямую зависимость между этими показателями. То есть, если хочешь легче переносить COVID-19 или вообще им не заболеть - употребляй витамин D.
В любом случае, стоит дождаться проверки полученных результатов экспертной группой, но, как минимум, обратить внимание на это следует.
Исследование проведено тремя британскими медиками, нам их имена ничего не говорят. Да и в медицинских терминах мы не особенно разбираемся.
Суть исследования в том, что британцы проверили возможное наличие корреляции между средним уровнем витамина D и количеством случаев инфицирования на 1 миллион населения, а также с соответствующем уровнем смертности.
По уверениям медиков, по результатам анализа данных 20 европейских стран они выявили прямую зависимость между этими показателями. То есть, если хочешь легче переносить COVID-19 или вообще им не заболеть - употребляй витамин D.
В любом случае, стоит дождаться проверки полученных результатов экспертной группой, но, как минимум, обратить внимание на это следует.
Researchsquare
The role of Vitamin D in the prevention of Coronavirus Disease 2019 infection and mortality
Background/Aims: WHO declared SARS-Cov-2 a global pandemic. The aims of this paper are to assess if there is any association between mean levels of vitamin D in various countries and cases respectively mortality caused by COVID-19.Methods: We have identified…
Вчера мы писали со ссылкой на группу Unit42 компании Palo Alto Networks, что выявлена новая киберкампания индийской группы Patchwork, ориентированная, в числе прочего, на государственные и военные учреждения Пакистана.
Сегодня пришло подтверждение другой информации (впервые она появилась тоже вчера), что индийская APT SideWinder развернула фишинговую атаку, приманкой в которой служит документ в отношении COVID-19. Целью, предположительно, является пакистанская отрасль образования.
Интересный всплеск активности индийских хакерских групп. С учетом того, что, как мы помним, кампании Patchwork обычно коррелируют с какими-либо конфликтами между Индией и Пакистаном, можно предположить, что что-то затевается между этими конкурирующими странами.
Сегодня пришло подтверждение другой информации (впервые она появилась тоже вчера), что индийская APT SideWinder развернула фишинговую атаку, приманкой в которой служит документ в отношении COVID-19. Целью, предположительно, является пакистанская отрасль образования.
Интересный всплеск активности индийских хакерских групп. С учетом того, что, как мы помним, кампании Patchwork обычно коррелируют с какими-либо конфликтами между Индией и Пакистаном, можно предположить, что что-то затевается между этими конкурирующими странами.
Twitter
Shadow Chaser Group
Today the #lnk Sample of #SideWinder #APT Group from #Inda has been uploaded on VT ITW:865e7c8013537414b97749e7a160a94e Filename:Policy Guidelines for Online Classes . zip type:zip maybe target at #Pakistan
В инфосек индустрии новости по связанной тематике частенько появляются одна за другой. Совсем как в Клинике - если одна злая баба вышла, то другая злая баба зашла. Почему так происходит, мы сами не в курсе.
Второго дня мы рассматривали вредонос Ramsay, предназначенный для проникновения в физически изолированные (air-gapped) сети. А сегодня нашли свежий отчет японского инфосек вендора Trend Micro про атаку хакерской группы Tropic Trooper на физически изолированные сети тайваньских и филиппинских военных.
Tropic Trooper впервые была описана той же Trend Micro в 2015 году после расследования большой кибероперации, действующей с 2012 года и направленной на государственные и военные учреждения, а также предприятия тяжелой промышленности Тайваня, Гонконга и Филиппин. Тогда в отношении потенциальных жертв проводился целевой фишинг, основное используемое вредоносное ПО называлось Yahoyah.
Кстати, интересный факт, Yahoyah в переводе с языка висоянов означает слуга. А висояны - это одна из ключевых народностей Филиппин, из числа которой вышло наибольшее количество руководителей страны. Например, нынешний президент Филиппин Дутерте - тоже из висоянов.
Это говорит о том, что лица, готовившие malware Yahoyah, хорошо разбирались во внутриполитической кухне Филиппин.
Анализ Yahoyah тогда показал большое сходство с другой малварью KeyBoy, использовавшейся с 2011 года для атак на организации Вьетнама и Индии.
Вернемся к свежевыявленной киберкампании.
Японцы назвали ее USBferry и утверждают, что она идет аж с 2018 года. Основная цель операции - получение разведывательных данных из закрытых ресурсов.
Первая версия содержит небольшой компонент уже упомянутого трояна Yahoyah, что позволяет связать инициатора атаки с Tropic Trooper.
USBferry после заражения хоста пытается распространиться по сети и через USB-носители. В случае подключения инфицированного USB-носителя к физически изолированной системе USBferry заражает ее и начинает поиск последних версий секретных документов, которые, в случае их нахождения, сбрасывает в USB %RECYCLER%. Также вредонос собирает данные о топологии сети, к которой подключен зараженный хост.
В дальнейшем, при подключении к машине с выходом в Интернет USBferry, проводит эксфильтрацию собранной информации на свой управляющий центр. Интересный факт - в отдельных случаях для получения команд от управляющего центра USBferry использует изображения со стеганографией. Такой же прием применялся и вредоносом Yahoyah.
Несомненно, что USBFerry примитивнее Ramsay. Это видно хотя бы по способу хранения краденной информации. Но, тем не менее, атаки на физически изолированные сети всегда интересны.
Что же касается исполнителя - считается, что Tropic Trooper является китайской APT. В некоторых источниках даже фигурирует альтернативное название Pirate Panda. Но четких признаков принадлежности группы на данный момент нет, поэтому большинство экспертов считает ее unaffiliated.
Второго дня мы рассматривали вредонос Ramsay, предназначенный для проникновения в физически изолированные (air-gapped) сети. А сегодня нашли свежий отчет японского инфосек вендора Trend Micro про атаку хакерской группы Tropic Trooper на физически изолированные сети тайваньских и филиппинских военных.
Tropic Trooper впервые была описана той же Trend Micro в 2015 году после расследования большой кибероперации, действующей с 2012 года и направленной на государственные и военные учреждения, а также предприятия тяжелой промышленности Тайваня, Гонконга и Филиппин. Тогда в отношении потенциальных жертв проводился целевой фишинг, основное используемое вредоносное ПО называлось Yahoyah.
Кстати, интересный факт, Yahoyah в переводе с языка висоянов означает слуга. А висояны - это одна из ключевых народностей Филиппин, из числа которой вышло наибольшее количество руководителей страны. Например, нынешний президент Филиппин Дутерте - тоже из висоянов.
Это говорит о том, что лица, готовившие malware Yahoyah, хорошо разбирались во внутриполитической кухне Филиппин.
Анализ Yahoyah тогда показал большое сходство с другой малварью KeyBoy, использовавшейся с 2011 года для атак на организации Вьетнама и Индии.
Вернемся к свежевыявленной киберкампании.
Японцы назвали ее USBferry и утверждают, что она идет аж с 2018 года. Основная цель операции - получение разведывательных данных из закрытых ресурсов.
Первая версия содержит небольшой компонент уже упомянутого трояна Yahoyah, что позволяет связать инициатора атаки с Tropic Trooper.
USBferry после заражения хоста пытается распространиться по сети и через USB-носители. В случае подключения инфицированного USB-носителя к физически изолированной системе USBferry заражает ее и начинает поиск последних версий секретных документов, которые, в случае их нахождения, сбрасывает в USB %RECYCLER%. Также вредонос собирает данные о топологии сети, к которой подключен зараженный хост.
В дальнейшем, при подключении к машине с выходом в Интернет USBferry, проводит эксфильтрацию собранной информации на свой управляющий центр. Интересный факт - в отдельных случаях для получения команд от управляющего центра USBferry использует изображения со стеганографией. Такой же прием применялся и вредоносом Yahoyah.
Несомненно, что USBFerry примитивнее Ramsay. Это видно хотя бы по способу хранения краденной информации. Но, тем не менее, атаки на физически изолированные сети всегда интересны.
Что же касается исполнителя - считается, что Tropic Trooper является китайской APT. В некоторых источниках даже фигурирует альтернативное название Pirate Panda. Но четких признаков принадлежности группы на данный момент нет, поэтому большинство экспертов считает ее unaffiliated.
Trend Micro
Tropic Trooper’s USBferry Targets Air-Gapped Networks
We found that Tropic Trooper’s latest activities center on targeting Taiwanese and the Philippine military’s physically isolated networks through a USBferry attack. Targets include military/navy agencies, government, and even a national bank.
Южнокорейская команда IssueMakersLab сообщает, что хакерская группа Пятого Департамента Главного разведывательного бюро армии КНДР прямо сейчас проводит целевой фишинг на сотрудников турецкой компании Otokar.
Otokar производит продукцию военного назначения - колесные и гусеничные бронетранспортеры, бронеавтомобили и оружейные системы.
Пятый Департамент Главного разведывательного бюро армии КНДР, известный также как Bureau 35, специализируется на закордонной разведке, включая Южную Корею. Странно, что именно это подразделение занялось кибератаками, поскольку, в основном, это епархия другого департамента ГРБ, известного также как Bureau 121.
IssueMakersLab позиционирует себя как некоммерческое разведсообщество, расследующее киберактивность Северной Кореи, но, скорее всего, связана со спецслужбами Южной Кореи.
Предполагаем, что КНДР интересуют документы в отношении производимой Otokar бронетехники. Не рецепт хорошего кальяна они ведь пытаются украсть, в самом деле.
Otokar производит продукцию военного назначения - колесные и гусеничные бронетранспортеры, бронеавтомобили и оружейные системы.
Пятый Департамент Главного разведывательного бюро армии КНДР, известный также как Bureau 35, специализируется на закордонной разведке, включая Южную Корею. Странно, что именно это подразделение занялось кибератаками, поскольку, в основном, это епархия другого департамента ГРБ, известного также как Bureau 121.
IssueMakersLab позиционирует себя как некоммерческое разведсообщество, расследующее киберактивность Северной Кореи, но, скорее всего, связана со спецслужбами Южной Кореи.
Предполагаем, что КНДР интересуют документы в отношении производимой Otokar бронетехники. Не рецепт хорошего кальяна они ведь пытаются украсть, в самом деле.
Twitter
IssueMakersLab
North Korea🇰🇵's RGB-D5 launched spearphishing attacks on employees of "Otokar," a Turkish🇹🇷 defense firm that manufactures military armored vehicles. They created the same Outlook mail server login phishing page used by the defense firm and used them for…
Microsoft предупреждают, что наблюдают многочисленные фишинговые кампании, в ходе которых злоумышленники используют поддельные страницы логина Azure AD.
Azure AD - облачное решение для управления единой точкой доступа (SSO), используемое, как правило, корпоративными клиентами. Новая страница логина была анонсирована в феврале и начала использоваться в апреле. Учитывая это можно говорить о достаточно оперативной реакции хакеров на изменения ПО, которое они пытаются подделать.
Если кто-то использует Azure AD - предупредите пользователей. чтобы были аккуратны.
Azure AD - облачное решение для управления единой точкой доступа (SSO), используемое, как правило, корпоративными клиентами. Новая страница логина была анонсирована в феврале и начала использоваться в апреле. Учитывая это можно говорить о достаточно оперативной реакции хакеров на изменения ПО, которое они пытаются подделать.
Если кто-то использует Azure AD - предупредите пользователей. чтобы были аккуратны.
Twitter
Microsoft Security Intelligence
Office 365 ATP data shows that attackers have started to spoof the new Azure AD sign-in page in multiple phishing campaigns. We have so far seen several dozens of phishing sites used in these campaigns.
Elexon, британская электросетевая компания, подтвердила, что подверглась кибератаке, которая затронула ее IT-системы.
Elexon является оператором Кода баланса и расчетов (BSC Central System), который отвечает за распределение энергии в британских электросетях.
Атака затронула внутреннюю сеть оператора, включая почтовый сервер и часть компьютеров сотрудников. Технологическая часть сети Elexon осталась в целости, системы, управляющие транзитом электроэнергии, не пострадали.
Компания не раскрывает подробностей атаки, но эксперты полагают, что это была ransomware. Ранее инфосек фирма Bad Packets отмечала, что Elexon использует устаревшую версию Pulse Secure в качестве корпоративного VPN, которая могла послужить точкой компрометации ее сети.
Этот инцидент еще раз напоминает о важности грамотного сегментирования сетей в компаниях критической инфраструктуры, без которого Великобритания вполне могла словить блэкаут. Ну и конечно, о необходимости своевременного апдейта имеющегося ПО.
Elexon является оператором Кода баланса и расчетов (BSC Central System), который отвечает за распределение энергии в британских электросетях.
Атака затронула внутреннюю сеть оператора, включая почтовый сервер и часть компьютеров сотрудников. Технологическая часть сети Elexon осталась в целости, системы, управляющие транзитом электроэнергии, не пострадали.
Компания не раскрывает подробностей атаки, но эксперты полагают, что это была ransomware. Ранее инфосек фирма Bad Packets отмечала, что Elexon использует устаревшую версию Pulse Secure в качестве корпоративного VPN, которая могла послужить точкой компрометации ее сети.
Этот инцидент еще раз напоминает о важности грамотного сегментирования сетей в компаниях критической инфраструктуры, без которого Великобритания вполне могла словить блэкаут. Ну и конечно, о необходимости своевременного апдейта имеющегося ПО.
И еще одна кибератака на промышленного гиганта.
Австралийский металлургический концерн BlueScope официально заявил, что его ресурсы пострадали от кибератаки, которая изначально была направлена на один из заводов в США.
В результате инцидента на некоторых предприятиях концерна, в том числе в Австралии и США, были нарушены производственные(!) и логистические процессы. В итоге часть производства была приостановлена, отправка же стали осуществляется в ручном режиме.
BlueScope имеет более 16 тыс. сотрудников, которые работают на предприятиях в Австралии, Северной Америке, Азии и Новой Зеландии. Доход концерна в 2016 году составил почти 6 млрд. долларов.
Это, в отличие от кейса с Elexon, наглядный пример того, что бывает когда наряду с брешами в информационной безопасности ответственные подразделения не могут качественно сегментировать сеть и защитить ее технологический сегмент.
Мы, конечно, те еще металлурги. Но подозреваем, что остановка производственного процесса в металлургии чревата миллионами (если не десятками миллионов) долларов потерь. Зато на инфосеке сэкономили.
Австралийский металлургический концерн BlueScope официально заявил, что его ресурсы пострадали от кибератаки, которая изначально была направлена на один из заводов в США.
В результате инцидента на некоторых предприятиях концерна, в том числе в Австралии и США, были нарушены производственные(!) и логистические процессы. В итоге часть производства была приостановлена, отправка же стали осуществляется в ручном режиме.
BlueScope имеет более 16 тыс. сотрудников, которые работают на предприятиях в Австралии, Северной Америке, Азии и Новой Зеландии. Доход концерна в 2016 году составил почти 6 млрд. долларов.
Это, в отличие от кейса с Elexon, наглядный пример того, что бывает когда наряду с брешами в информационной безопасности ответственные подразделения не могут качественно сегментировать сеть и защитить ее технологический сегмент.
Мы, конечно, те еще металлурги. Но подозреваем, что остановка производственного процесса в металлургии чревата миллионами (если не десятками миллионов) долларов потерь. Зато на инфосеке сэкономили.
Bluescope
BlueScope response to cyber incident - BlueScope Corporate
This is the official corporate web site for BlueScope, an international business operating in Australia, Asia and North America
Западные эксперты обсуждают принятый Госдумой закон, разрешающий дистанционное голосование в условиях эпидемии коронавируса.
SecAtor вне политики, но мы не могли пройти мимо фразы "Putin and the blockchain will rule forever".
SecAtor вне политики, но мы не могли пройти мимо фразы "Putin and the blockchain will rule forever".
Twitter
switched
“The Russian State Duma adopted a law on remote voting”, or, How Putin and the blockchain will rule forever. https://t.co/f5A0EYKuYi
А пока мы тут плюшками балуемся на этой неделе началась интересная история, которая еще не понятно чем закончится.
12 мая хакеры взломали ресурсы нью-йоркской юридической конторы Grubman Shire Meiselas & Sacks и увели 756 Gb конфиденциальных документов ее клиентов. Основатель фирмы Аллен Грубман является самым известным адвокатом индустрии развлечений, который работает, в числе прочих, с Мадонной, Леди Гагой, Элтоном Джоном, Робертом Де Ниро и U2.
Тогда же хакеры потребовали выкуп в размере 21 миллиона долларов. Расследованием занялось ФБР. При этом федералы сообщили, что этот взлом является актом международного терроризма (?!), а с террористами они переговоры не ведут и выкуп платить не будут. Виновными во взломе назвали группу, являющуюся оператором ransomware Sodinokibi.
Однако в четверге ситуация изменилась. Хакеры заявили, что прошерстили украденный массив данных и обнаружили там "грязное белье" Президента США Трампа, поэтому сумма выкупа увеличивается в два раза - до 42 миллионов долларов.
Взломанная юридическая фирма называет виновными во взломе "иностранных киберпреступников". А также говорит, что ФБР запретили им платить выкуп, поскольку это "нарушение федерального законодательства".
Да неужели? А когда Travelex заплатили 2,3 млн. долларов попав под ту же Sodinokibi, то это нарушением законов США не было. Похоже, ФБР не против, чтобы "грязное белье" Трампа оказалось в паблике.
И еще один важный момент. Создатели Sodinokibi, которой называют группу Pinchy Spider, ранее являвшейся автором другого ransomware GandCrab, работают по схеме RaaS - Ransomware as a Service. Соответственно за атакой на Grubman, по логике вещей, может стоять кто угодно.
12 мая хакеры взломали ресурсы нью-йоркской юридической конторы Grubman Shire Meiselas & Sacks и увели 756 Gb конфиденциальных документов ее клиентов. Основатель фирмы Аллен Грубман является самым известным адвокатом индустрии развлечений, который работает, в числе прочих, с Мадонной, Леди Гагой, Элтоном Джоном, Робертом Де Ниро и U2.
Тогда же хакеры потребовали выкуп в размере 21 миллиона долларов. Расследованием занялось ФБР. При этом федералы сообщили, что этот взлом является актом международного терроризма (?!), а с террористами они переговоры не ведут и выкуп платить не будут. Виновными во взломе назвали группу, являющуюся оператором ransomware Sodinokibi.
Однако в четверге ситуация изменилась. Хакеры заявили, что прошерстили украденный массив данных и обнаружили там "грязное белье" Президента США Трампа, поэтому сумма выкупа увеличивается в два раза - до 42 миллионов долларов.
Взломанная юридическая фирма называет виновными во взломе "иностранных киберпреступников". А также говорит, что ФБР запретили им платить выкуп, поскольку это "нарушение федерального законодательства".
Да неужели? А когда Travelex заплатили 2,3 млн. долларов попав под ту же Sodinokibi, то это нарушением законов США не было. Похоже, ФБР не против, чтобы "грязное белье" Трампа оказалось в паблике.
И еще один важный момент. Создатели Sodinokibi, которой называют группу Pinchy Spider, ранее являвшейся автором другого ransomware GandCrab, работают по схеме RaaS - Ransomware as a Service. Соответственно за атакой на Grubman, по логике вещей, может стоять кто угодно.
Vice
Hackers Say They Have Trump's 'Dirty Laundry' and Want $42 Million to Keep It Secret
The anonymous hackers this week crippled the computer systems of high-profile celebrity law firm Grubman Shire Meiselas & Sacks claiming to have stolen 756GB of highly-confidential documents.
Как пишет ZDNet, на прошедшей неделе несколько европейских суперкомпьютеров были взломаны и заражены вредоносами для майнинга криптовалюты.
В понедельник о взломе суперкомпьютера ARCHER заявил Эдинбургский университет. В тот же день немецкая организация BwHPC сообщила о том, что пять суперкомьютеров в немецких университетах закрываются из-за "инцидентов безопасности".
В среду стало известно о закрытии суперкомпьютера в Барселоне. В четверг были отключены еще 4 суперкомпьютера в Германии. В субботу - по одному в Германии и Швейцарии.
Также вчера стало известно, что взлом суперкомпьютеров был осуществлен с помощью компрометации учеток SSH университетов в Канаде, Китае и Польше, которым был открыт легальный доступ. После взлома хакеры развернули на суперкомпьютерах ПО для майнинга криптовалюты Monero.
Масштаб внушает. Воровать, как известно, - так миллион.
В понедельник о взломе суперкомпьютера ARCHER заявил Эдинбургский университет. В тот же день немецкая организация BwHPC сообщила о том, что пять суперкомьютеров в немецких университетах закрываются из-за "инцидентов безопасности".
В среду стало известно о закрытии суперкомпьютера в Барселоне. В четверг были отключены еще 4 суперкомпьютера в Германии. В субботу - по одному в Германии и Швейцарии.
Также вчера стало известно, что взлом суперкомпьютеров был осуществлен с помощью компрометации учеток SSH университетов в Канаде, Китае и Польше, которым был открыт легальный доступ. После взлома хакеры развернули на суперкомпьютерах ПО для майнинга криптовалюты Monero.
Масштаб внушает. Воровать, как известно, - так миллион.
ZDNET
Supercomputers hacked across Europe to mine cryptocurrency
Confirmed infections have been reported in the UK, Germany, and Switzerland. Another suspected infection was reported in Spain.
Когда мы писали несколько дней назад о возросшей активности индийских хакерских групп, направленной на Пакистан, то сделали предположение, что намечается обострение противостояния Пакистана и Индии.
Похоже оказались правы - https://twitter.com/kashmirosint/status/1262170513364922370
Похоже оказались правы - https://twitter.com/kashmirosint/status/1262170513364922370
Twitter
Kashmir Intel
#Kashmir: Massive cordon and search ops underway since 0200 hours in Murran area of southern Pulwama district.
По данным Infosecurity Magazine, румынские полицейские задержали группу хакеров Pentaguard, специализировавшуюся на распространении ransomware.
Как сообщило Румынское управление по расследованию организованной преступности и терроризма (DIICOT), группа, состоящая из трех граждан Румынии и одного молдаванина, была сформирована в начале года. В ближайшее время хакеры планировали зарансомить ряд медицинских учреждений, используя в качестве приманки документы про COVID-19.
По местам жительства подозреваемых были проведены обыски, а сами они, как мы полагаем, посажены на кичу. И поделом.
Как сообщило Румынское управление по расследованию организованной преступности и терроризма (DIICOT), группа, состоящая из трех граждан Румынии и одного молдаванина, была сформирована в начале года. В ближайшее время хакеры планировали зарансомить ряд медицинских учреждений, используя в качестве приманки документы про COVID-19.
По местам жительства подозреваемых были проведены обыски, а сами они, как мы полагаем, посажены на кичу. И поделом.
Infosecurity Magazine
Police Catch Suspected Hackers Planning #COVID19 Hospital Ransomware
Four arrested in Romania and Moldova
ZDNet пишет, что ФБР выпустило предупреждение о новом ransomware ProLock, под которое уже попал один из крупнейших производителей банкоматов Diebold Nixdorf.
Ранее на прошлой неделе о ProLock сообщила Group IB.
Рансомварь доставляется в скомпрометированную систему с помощью трояна Qbot. Впервые ProLock был зафиксирован в марту 2020 года.
Но интересно в ProLock следующее - как говорит ФБР, ransomware написано с ошибками, в силу чего при расшифровке может испортить зашифрованные файлы размером больше 64Мб. Сдается нам, платить операторам ProLock будут неохотно.
Ранее на прошлой неделе о ProLock сообщила Group IB.
Рансомварь доставляется в скомпрометированную систему с помощью трояна Qbot. Впервые ProLock был зафиксирован в марту 2020 года.
Но интересно в ProLock следующее - как говорит ФБР, ransomware написано с ошибками, в силу чего при расшифровке может испортить зашифрованные файлы размером больше 64Мб. Сдается нам, платить операторам ProLock будут неохотно.
ZDNet
FBI: ProLock ransomware gains access to victim networks via Qakbot infections
The FBI also warns that the ProLock decryptor doesn't always work correctly, even after victims pay the ransom.
Однако самым интересным приемом, от которого в осадок выпали все инфосек эксперты, стала возможность вредоносов Equation по перепрошивке жестких дисков. Malware меняла стоковую прошивку и выделяла для своих нужд скрытую часть диска, где могла хранить себя и краденные данные (помечала как битые сектора). Таким образом, вредонос не только создавал скрытое надежное хранилище, но самое главное – его практически невозможно было убрать с зараженного HDD. Только физическим удалением диска или его перепрошивкой. Ни переустановка операционной системы, ни форматирование жесткого диска не помогали.
Одна из поздних версий GrayFish, например, могла перепрошивать жесткие диски 12 брендов, среди которых – Western Digital, Samsung, Seagate, Maxtor и другие. Но самый сок в том, что вредоносы в ряде случаев для перепрошивки использовали множество недокументированных команд, о которых знали только производители. И снова две версии имеют право на жизнь – либо АНБ получали данные от производителей, пользуясь административными рычагами, либо Equation совершали глубокие проникновения в сети вендоров, добывая конфиденциальную информацию из скомпрометированных систем.
Активность Equation также впечатляла – Касперские говорили о 2000 целевых заражениях в месяц, кибероперации были направлены против ресурсов более чем 30 стран. В инфраструктуру хакеров входило более чем 300 доменов на более чем 100 серверах.
Отдельный интерес вызвало присутствие признаков того, что Equation была способна атаковать не только системы под управлением Windows. В частности, хакеры взламывали компьютеры с Mac OS X (ныне macOS), а также iPhone. И никакие GreyKey не нужны.
Сразу после доклада Лаборатории Касперского в инфосек сообществе начались попытки установить принадлежность Equation, тем более что сама ЛК никакого мнения по сему поводу не высказала.
Тем не менее, часть данных достаточно достоверно указывала на АНБ:
- кейлоггер Grok, принадлежащий Equation, упоминался Сноуденом в своем сливе;
- найденное в коде Equation название StraitShooter также коррелирует с данными Сноудена, документы которого содержали информацию о вредоносе StraitBizarre, который «может превращаться в «shooter».
Был еще ряд признаков, указывающих на связь между Equation и АНБ, в первую очередь, касающихся сходств вредоносов этой группы с кибершпионским ПО Stuxnet, DuQu, Flame и Gauss, использовавшихся в кибероперациях, приписываемых спецслужбам США и их союзников.
Также Виртуальная файловая система, которая эксплуатировалась Equation в более продвинутом виде, использовалась во вредоносе Regin. А Regin, детище разведсообщества FiveEyes, активно применяется в операциях кибершпионажа аж с 2003 года. И да, если вы этого не знаете, именно с помощью Regin в конце 2018 года распотрошили внутреннюю сеть Яндекса – типичная атака на цепочку поставок с целью внедрения своих бэкдоров в стороннее ПО.
Но, все же, однозначный вывод сделать было сложно. Сноуден сказать точно ничего не мог, поскольку был аналитиком и имел доступ только к верхнеуровневым документам, не содержащим технические подробности.
#APT #Equation
Одна из поздних версий GrayFish, например, могла перепрошивать жесткие диски 12 брендов, среди которых – Western Digital, Samsung, Seagate, Maxtor и другие. Но самый сок в том, что вредоносы в ряде случаев для перепрошивки использовали множество недокументированных команд, о которых знали только производители. И снова две версии имеют право на жизнь – либо АНБ получали данные от производителей, пользуясь административными рычагами, либо Equation совершали глубокие проникновения в сети вендоров, добывая конфиденциальную информацию из скомпрометированных систем.
Активность Equation также впечатляла – Касперские говорили о 2000 целевых заражениях в месяц, кибероперации были направлены против ресурсов более чем 30 стран. В инфраструктуру хакеров входило более чем 300 доменов на более чем 100 серверах.
Отдельный интерес вызвало присутствие признаков того, что Equation была способна атаковать не только системы под управлением Windows. В частности, хакеры взламывали компьютеры с Mac OS X (ныне macOS), а также iPhone. И никакие GreyKey не нужны.
Сразу после доклада Лаборатории Касперского в инфосек сообществе начались попытки установить принадлежность Equation, тем более что сама ЛК никакого мнения по сему поводу не высказала.
Тем не менее, часть данных достаточно достоверно указывала на АНБ:
- кейлоггер Grok, принадлежащий Equation, упоминался Сноуденом в своем сливе;
- найденное в коде Equation название StraitShooter также коррелирует с данными Сноудена, документы которого содержали информацию о вредоносе StraitBizarre, который «может превращаться в «shooter».
Был еще ряд признаков, указывающих на связь между Equation и АНБ, в первую очередь, касающихся сходств вредоносов этой группы с кибершпионским ПО Stuxnet, DuQu, Flame и Gauss, использовавшихся в кибероперациях, приписываемых спецслужбам США и их союзников.
Также Виртуальная файловая система, которая эксплуатировалась Equation в более продвинутом виде, использовалась во вредоносе Regin. А Regin, детище разведсообщества FiveEyes, активно применяется в операциях кибершпионажа аж с 2003 года. И да, если вы этого не знаете, именно с помощью Regin в конце 2018 года распотрошили внутреннюю сеть Яндекса – типичная атака на цепочку поставок с целью внедрения своих бэкдоров в стороннее ПО.
Но, все же, однозначный вывод сделать было сложно. Сноуден сказать точно ничего не мог, поскольку был аналитиком и имел доступ только к верхнеуровневым документам, не содержащим технические подробности.
#APT #Equation
Однако, спустя полтора года инфосек сообщество получило подтверждение принадлежности Equation АНБ и это подтверждение вышло очень громким.
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
#APT #Equation
13 августа 2016 года в только что зарегистрированной учетке Твиттера shadowbrokers появилось несколько записей, в которых объявлялось о начале аукциона по продаже кибероружия группы Equation, а также приводились ссылки на GitHub и Pastebin, где содержалось обращение хакерской группы Shadow Brokers и примеры украденных данных. В обращении хакеры утверждали, что Equation являются авторами таких вредоносов как Stuxnet, Duqu и Flame.
В течение пяти сливов с августа 2016 по 14 апреля 2017 Shadow Brokers выкинули в паблик большое количество данных об Equation, самыми разрушительными из которых стала информация последнего слива, который хакеры назвали Lost In Translation и который содержал ряд эксплойтов неизвестных до момента вброса уязвимостей.
Спустя месяц, 12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего принадлежащие Equation эксплойт EternalBlue и бэкдор DoublePulsar, содержавшиеся в Lost In Translation (автором WannaCry считается северокорейская APT Lazarus). По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов.
Интересно, что Microsoft объявили о закрытии уязвимости, эксплуатируемой EternalBlue, на месяц раньше слива Shadow Brockers (как будто заранее что-то знали), но многие забили на своевременный апдейт своих операционных систем.
Но еще более интересно то, что данные АНБ, похоже, утекли к Shadow Brokers еще в 2013 году. То есть более 4 лет существовал ряд неизвестных инфосек индустрии уязвимостей, которые активно использовали Equation. И опять же, может быть два варианта – либо хакеры АНБ настолько гениальны, что скопом находят дырки, которые годами не могут найти другие эксперты, либо эти уязвимости закладываются в ПО на стадии разработки. И почему-то нам кажется более вероятным второе.
И, как вишенка на торте, приблизительно тогда же, в марте 2017 года произошла утечка данных Vault 7, организованная WikiLeaks, в которой содержались сведения про другую американскую хакерскую группу Longhorn aka Lambert, курируемую ЦРУ. И в числе прочего в слитых документах было найдено онлайн-обсуждение, организованное хакерами ЦРУ через два дня после доклада Лаборатории Касперского на SAS, в котором американцы рассуждали о том, что АНБ сделала неправильно и как ЦРУ избежать подобного раскрытия своей хакерской деятельности. После этого стало окончательно ясно, что Equation – это Управление по организации спецдоступа АНБ (ТАО NSA).
После своего громкого разоблачения Equation ушли в тину. Нет, они не перестали работать, но поменяли свои методики и инструменты, так что четких следов их операций на данный момент нет.
Итак, резюмируем. APT Equation – это подразделение (либо его большая часть) АНБ, которое сейчас переименовалось и называется Управление по компьютерным сетевым операциям (CNO). Хакерская группа функционирует, как минимум, с начала 2000-х, а скорее – с середины 90-х годов. Использует в своей деятельности большое количество аппаратных и программных уязвимостей, часть из которых, как мы полагаем, закладывается при участии АНБ на стадии проектирования. Проводит не только взломы в интересах АНБ, но и сбор разведывательных данных о работе других хакерских групп. И делится своими инструментами и наработками с союзными хакерами из стран Five Eyes и Израиля.
И, напоследок, интересное наблюдение – в своих последних наездах на Huawei американцы продемонстрировали знание некоторых технических подробностей, которые не могли быть получены без глубокого проникновения в китайские сети. Наверняка, Equation сыграла в этом не последнюю роль.
#APT #Equation
NBC нагнетает нервозность.
По опубликованным данным, в распоряжении американских правоохранительных органов появилась возможность разблокировать iPhone подозреваемых без их взлома.
Такая возможность появилась благодаря новому модулю Hide UI программного обеспечения GrayKey американской компании GrayShift, которое предназначено для вскрытия заблокированных iPhone и распространяется исключительно среди правоохранительных органов.
Hide UI устанавливается на заблокированный смартфон, после чего перехватывает вводимый при разблокировке пароль и сохраняет его так, что он может быть получен даже если iPhone будет вновь заблокирован. Сценарий использования Hide UI простой - iPhone с предустановленным ПО передается задержанному, чтобы тот позвонил родным/адвокату/Трампу. Потом смартфон отбирается опять и полиция получает его пароль для разблокировки.
Не исключаем, что рано или поздно GrayKey может попасть и в руки отечественных спецслужб и полицейских. Поэтому если добрый следователь дает вам ваш заблокированный iPhone, чтобы позвонить родственникам, разумнее будет не делать этого. Хотя от наших следователей стоит скорее ожидать, что после разблокировки они тупо отберут смартфон.
По опубликованным данным, в распоряжении американских правоохранительных органов появилась возможность разблокировать iPhone подозреваемых без их взлома.
Такая возможность появилась благодаря новому модулю Hide UI программного обеспечения GrayKey американской компании GrayShift, которое предназначено для вскрытия заблокированных iPhone и распространяется исключительно среди правоохранительных органов.
Hide UI устанавливается на заблокированный смартфон, после чего перехватывает вводимый при разблокировке пароль и сохраняет его так, что он может быть получен даже если iPhone будет вновь заблокирован. Сценарий использования Hide UI простой - iPhone с предустановленным ПО передается задержанному, чтобы тот позвонил родным/адвокату/Трампу. Потом смартфон отбирается опять и полиция получает его пароль для разблокировки.
Не исключаем, что рано или поздно GrayKey может попасть и в руки отечественных спецслужб и полицейских. Поэтому если добрый следователь дает вам ваш заблокированный iPhone, чтобы позвонить родственникам, разумнее будет не делать этого. Хотя от наших следователей стоит скорее ожидать, что после разблокировки они тупо отберут смартфон.
NBC News
iPhone spyware lets police log suspects’ passcodes when cracking doesn’t work
A tool, previously unknown to the public, doesn't have to crack the code that people use to unlock their phones. It just has to log the code as the user types it in.
На Украине арестовали брокера данных Sanix, которого обвиняют в причастности к торговле ворованными пользовательскими данными.
Sanix'а взяло СБУ в Ивано-Франковске, где он проживал. Злоумышленник занимался своей зловредной деятельностью, как минимум, с 2018 года. Сам украинец ничего не ломал, но собирал и перепродавал данные, полученные в ходе других взломов.
Как сообщается, Sanix был причастен к сборкам данных Collection #1, #2 и т.д., появившимся в январе 2019 года и содержавшим в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Данный арест вполне может быть связан с задержанием в начале месяца пяти польских хакеров из группы Infinity Black, также специализировавшихся на продаже данных (поляки, правда, еще и сами подламывали). В свое время Infinity Black также считали причастными к сборкам Collection.
Sanix'а взяло СБУ в Ивано-Франковске, где он проживал. Злоумышленник занимался своей зловредной деятельностью, как минимум, с 2018 года. Сам украинец ничего не ломал, но собирал и перепродавал данные, полученные в ходе других взломов.
Как сообщается, Sanix был причастен к сборкам данных Collection #1, #2 и т.д., появившимся в январе 2019 года и содержавшим в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Данный арест вполне может быть связан с задержанием в начале месяца пяти польских хакеров из группы Infinity Black, также специализировавшихся на продаже данных (поляки, правда, еще и сами подламывали). В свое время Infinity Black также считали причастными к сборкам Collection.
ZDNET
Hacker arrested in Ukraine for selling billions of stolen credentials
Hacker "Sanix" has been selling billions of hacked user credentials on hacker forums and Telegram channels.