Motherboard узнала, что с февраля этого года несколько человек, включая исследователей безопасности и хакеров, имеют доступ к ранней версии новой iOS 14, выход которой планируется в сентябре.

По слухам, кто-то приобрел за большие деньги у китайских поставщиков iPhone 11 с установленной не нем тестовой iOS 14, который был предназначен для разработчиков. Затем новую операционку извлекли и распространили среди взломщиков iOS.

Похоже также, что некоторые из техноблогеров получили копию новой iOS. Так, блогер 9to5Mac пишет о новых фичах iOS 14 с марта этого года. Кроме того, копия попала к нескольким исследователям безопасности.

Понятно, что релизная версия новой операционки будет сильно отличаться от ранней iOS 14. Тем не менее, и хакеры и инфосек ресерчеры теперь имеют достаточно времени для поиска уязвимостей в iOS. Первые для того, чтобы наделать новых джейлбрейков и эксплойтов, вторые - чтобы разобрать дыры и придумать как их залатать.

Motherboard получила подтверждение утечки из нескольких источников и даже сумела добыть копию iOS 14.

Apple в очередной раз пробивает дно в вопросах безопасности. У нас руки уже чешутся, такое большое желание выкинуть редакционный iPhone 11 Pro Max в окно. Жалко, что у нас его нет...

Microsoft не были бы сами собой, если бы их очередное месячное обновление что-нибудь не сломало бы. Так оно и сломало.

Как сообщают сами Microsoft, выпущенный 12 мая месячный апдейт Windows 10 KB4556799 может привести к тому, что LTE-модемы (встроенные или внешние) перестанут работать. При этом Windows будет показывать, что сеть есть. А ее, на самом деле, нет.

Решить проблему Microsoft обещает в ближайшем исправлении. Которое опять что-то поломает.

Тем временем на горизонте появилась утечка пользовательских данных, которая может стать королевой всех утечек.

По сообщению Bleeping Computer, на форуме Raidforums появилась выборка данных о 2,3 млн. избирателях из Индонезии. Информация 2014 года украдена из индонезийской Центральной избирательной комиссии (KPU). Автор слива обещает вскоре выложить на форум полную базу данных избирателей Индонезии, которая составляет больше 200 млн. человек.

Инфосек компания Under the Breach, которая выявила утечку, заявляет, что информация разбита по папкам в соответствии с городами Индонезии. В папках находятся PDF файлы, содержащие ID, имена, места и даты рождения, а также адреса граждан.

Индонезийский же ЦИК выдал такую отмазку, которой позавидует даже властелин PR с человеческим лицом г-н Греф. Индонезийские чиновники заявили, что данные об избирателях не украдены, а были размещены публично. И что хоть это и было нарушение, но взлома не было. Виртуозы, одно слово.

Infosec style. Это лучшее, что мы когда-либо видели.

Да, в наших реалиях информационная безопасность работает именно так. Только на крайнем балконе еще и трахаются.

https://twitter.com/threathuntergrl/status/1263960906905423872

Не смогли пройти мимо этой новости.

Вчера в своем блоге на Хабре компания AnalogBytes сообщила, что нашла интересное Согласие на обработку персданных на одном из ресурсов Правительства Москвы.

При попытке проверки причины блокировки цифрового пропуска на сайте i[.]moscow предлагается поставить галку под скрытым Соглашением, согласно которому пользователь на 10 лет (!) передает право на обработку и все прочее всех своих данных следующим организациям:
- Департамент предпринимательства и инновационного развития Москвы;
- Департамент информационных технологий Москвы;
- ГКУ "Информационный город";
- Фонд "Московский инновационный кластер".

Данные, на которые запрашивается согласие включают:
- ФИО, дата и место рождения, место жительства, место работы;
- данные документов;
- номера телефонов, адреса электронной почты;
- ID устройства, с которого осуществляется доступ к сайту, IP-адрес, куки и прочее.

Ну и, естественно, запрашивается согласие на передачу всех сведений третьим лицам, а также (самое главное) на получение всех видов рекламы от третьих лиц. Такой незатейливый способ монетизации всего чего только можно.

Сам сайт i[.]moscow зарегистрирован на ГКУ "Мосгортелеком", а управляется Фондом "Московский инновационный кластер". То есть это не шарашкина контра, а официальный ресурс Правительства Москвы, который широко рекламировался руководством города.

Мы задаемся лишь одним единственным вопросом - вы-таки немного покушали рыбный суп?

В декабре 2019 года в Тайланде по запросу США задержали гражданина Украины Дениса Ярмака, который обвинялся в компьютерном мошенничестве. Ярмак был четвертым членом хакерской группы FIN7 aka Carabanak, который был арестован по просьбе американцев. Ранее украинцев Федорова, Хладыра и Колпакова хлопнули в Германии, Польше и Испании соответственно.

FIN7 известна масштабными атаками на американские компании, а также на банковский сектор с использованием malware Carabanak. По данным инфосек вендоров всего жертвами хакеров с 2015 по 2018 годы могли стать более 130 организаций.

А вчера нам скинули ссылку на документы Суда штата Вашингтон в отношении Ярмака. Если вкратце - там много доказухи по 10 эпизодам, судя по которым Ярмаку, как очевидно и другим членам FIN7, вырисовывается дорога дальняя и казенный дом. Лет на 40.

Работали, кстати, FIN7 под прикрытием инфосек компании Combi Security со штаб-квартирой в Москве и филиалом в Хайфе, от имени которой нанимали пен-тестеров, реверс-инженеров и пр. На некоторых российских сайтах до сих пор висят объявления о найме специалистов.

Что еще интересного - судя по документам, для американского правосудия не составляет труда вытащить переписки и активность из Jabber, JIRA и почившего ныне HipChat. Ну если только не один из хакеров все это хранил и слил в рамках сделки со следствием, что маловероятно.

Что же, sic transit gloria mundi.

Но оставшаяся часть FIN7, похоже, все же не сдается - нужен специалист Metasploit или Cobalt strike. Для срочных проектов. Зарплата хорошая, только за рубеж потом лучше не выезжать.

Южнокорейская команда IssueMakersLab, следящая за киберактивностью хакерских групп Северной Кореи, сообщает, что APT Kimsuky, работающая на Департамент №5 Главного разведывательного бюро Армии КНДР, взломала Web-сервер Вашингтонского Университета.

Сервер работал под WordPress. После взлома хакеры использовали его в качестве управляющего центра для своих вредоносов.

Подтверждений пока нет. Но комментаторы уже пишут, что началась очередная холодная война.

Команда Unc0ver выпустила джейлбрейк Unc0ver 5.0.0 для устройств под управлением iOS, в том числе для последней версии операционной системы 13.5.

Джейлбрейк работает на основе неизвестной Apple 0-day уязвимости, которую нашел хакер Pwn20wnd, член Unc0ver. Это первый джейлбрейк для текущей версии iOS за последние 5 лет. При этом разработчики утверждают, что Unc0ver 5.0.0 поддерживает все функции безопасности iOS без изменений.

Ждем оперативного апдейта от Apple, который закроет найденную 0-day уязвимость.

Джейлбрейк лежит здесь. Использовать на свой страх и риск.

Исследователь Джек Райсайдер обнаружил, что при заходе на eBay посредством новомодного браузера Edge от Microsoft торговая площадка начинает сканировать 14 портов компьютера. При этом сканирование происходит в обход файрвола, поскольку осуществляется из браузера. Результаты, естественно, передаются в eBay.

Дискуссия по этому поводу развернулась нешуточная. Кто-то говорит, что античит приложения для игр делают то же самое. Кто-то вспоминает, что подобные вопросы уже поднимались Давидом Якоби пять лет назад. Кто-то комментирует, что один из сканируемых портов используется TeamViewer и недоумевает зачем такая информация потребовалась eBay.

Коллективными усилиями выяснилось, что сканирование портов проходит в Edge и Chrome. В то же время Tor, Opera и uBlock его блокируют. Firefox и Brave под вопросом. Плюс оказалось, что подобное сканирование также выполняет Spotify.

Естественно, что никаких дисклеймеров и предупреждений eBay не показывает. Новость разошлась по отрасли, пресса стала задавать вопросы eBay, поэтому подождем ответов.

​​И нет нам покоя! Гори, но живи!

ESET описали новое поколение вредоноса ComRAT, он же Agent.BTZ, предположительно использующегося APT Turla.

ComRAT был создан в 2007 году, а в 2008 с его использованием осуществлен взлом одной из изолированных сетей Пентагона через USB-носитель (да-да, в это умеют не только Equation). Но с 2012 года новых версий malware выявлено не было.

И вот, ESET сообщает, что с 2017 года функционирует новая версия ComRAT v4, которая, согласно ряду признаков, принадлежит Turla. Основная цель вредоноса - кража конфиденциальных документов, которые выгружаются в облачное хранилище, а также разведка зараженных сетей.

Интересные фичи этого вредоноса:
- ComRAT регулярно просматривает журналы антивирусного ПО, чтобы в дальнейшем их проанализировать;
- вредонос использует в качестве одного из способов связи с управляющим центром почтовый ящик на Gmail, на который приходят письма с вложениями, содержащими команды.

Turla (она же Uroburos, она же Venomous Bear, она же Iron Hunter) - APT, которая предположительно работает на одну из российских спецслужб. Однако конкретного подтверждения этому нет, а в октябре 2019 года британский Национальный центр кибербезопасности (NCSC) заявил, что обнаружил в активности Turla иранский след.

#APT #Turla

Сегодня норвежские исследователи из компании Promon обнародовали информацию о новой уязвимости CVE-2020-0096 в Android, которая позволяет вредоносу взламывать приложения, установленные на атакуемом устройстве, и которую они назвали StrandHogg 2.0.

StrandHogg - это старое норвежское понятие, которое буквально обозначает процесс, когда викинги грабят корованы. Уязвимость была обнаружена в декабре 2019 года и тогда же Google были поставлены в известность. Ошибка была закрыта в числе других в начале мая.

Новая уязвимость позволяет malware шифроваться под легальные приложения, повышать свои привилегии и получать доступ ко всем пользовательским данным. Технические детали пока недоступны.

Хотя норвежцы утверждают, что в дикой природе использования StrandHogg 2.0 не наблюдали, учитывая неторопливость некоторых вендоров в вопросах обновления своих устройств, после обнародования эксплойта CVE-2020-0096 миллионы пользователей могут пострадать.

Похоже, что Позитивы распотрошили микрокод интелловского процессора .

На нашей памяти это первый случай. Сами Intel хранят микрокод в строжайшем секрете. Вики пишет, что не больше 10 человек знает как он шифруется при выкатке нового апдейта.

Что это значит для нас? То, что после того, как удастся микрокод отреверсить, можно будет понять его логику, найти дыры и пр. Ждем неожиданных открытий.

Румыны из Bitdefender обнаружили киберкампанию APT Chafer на критическую инфраструктуру стран Ближнего Востока.

APT Chafer (она же APT39 и Cobalt Hickman) - хакерская группа, активность которой наблюдается с 2014 года, но предполагается, что она работает с 2011. Считается, что Chafer связана с иранскими спецслужбами.

Bitdefender сообщает, что с 2018 года APT проводит кампанию, направленную на отрасль воздушного транспорта и правительственные учреждения Кувейта и Саудовской Аравии. Основная цель - поиск и эксфильтрация конфиденциальных документов.

Интересный момент - атакующие были активны в пятницу и субботу, которые являются выходными днями в арабских странах.

Скандал в благородном семействе ресурсов Rambler.

Появилось подтверждение того, что в 2014 году Живой Журнал был скомпрометирован, в результате чего была украдена база, содержащая данные 26 миллионов пользователей. ЖЖ уже тогда находился под крылом Rambler.

Слухи об инциденте с утечкой информации появились еще в 2018, а уже в этом году блог-платформа DreamWidth, созданная на основе старой кодовой базы LiveJournal, сообщила о массовых попытках использовать старые связки логин-пароль ЖЖ. Тем не менее, Рамблер все отрицал.

Однако вчера сервис индексации утечек данных HIBP сообщил, что получил копию базы данных LiveJournal, содержащую данные 26372781 пользователей, включая логины, пароли и адреса электронной почты.

ZDNet пишет, что база LiveJournal продавалась в даркнете за смешные 35 долларов.

Ждем комментарии Рамблера. Поскольку Мамут с Грефом сейчас стратегические партнеры, то предполагаем применение лучших PR-практик Сбербанка в виде универсальной концепции "Я не я и корова не моя".

​​Motherboard подводит черту под историей существования компании Hacking Team, опубликовав твит ее основателя Дэвида Винчензетти "Hacking Team is dead".

Итальянская Hacking Team, основанная в далеком 2003 году, была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.

Но в том же 2015 хакер-активист под псевдонимом Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальных документов, включая закрытый список клиентов, в сеть.

С этого момента начался закат Hacking Team, а в 2019 году ее купила инфосек компания IntheCyber Group и переименовала в Memento Labs. Но смена вывески не спасла фирму, особенно после ухода нескольких ключевых сотрудников.

И вот теперь Дэвид Винчензетти написал, что компания умерла.

Впрочем, грустить мы по этому поводу не будем. Нам одних NSO Group с их Pegasus выше крыши.

Space X и Министерство обороны США подписали соглашение о тестировании спутниковой сети Starlink в военных целях.

Ой, да неужели. А как же свободный и бесплатный Интернет на века от Илона Эрроловича?

Эдак нам придется Евгения Валентиновича из Маска обратно в Касперского переименовывать.

Новостники из Tagesschau[.]de пишут, что 18 мая три немецких федеральных органа - Разведывательная служба (BND), Служба по защите конституции (BfV) и Управление по информационной безопасности (BSI), - выпустили закрытый документ с рекомендациями по защите от атак хакерской группы Berserk Bear.

Рекомендации подготовлены по результатам зафиксированных атак на предприятия KRITIS (немецкая критическая инфраструктура). Эти атаки были результатам "давних компрометаций" сетей компаний со стороны хакеров.

Со слов немецких журналистов, в документе нет прямого указания на причастность России к произошедшим инцидентам, однако содержится ссылка на отчеты американских инфосек вендоров, в которых Berserk Bear называется российской хакерской группой.

APT Berserk Bear, она же Dragonfly и Energetic Bear, активна с 2010 года и специализируется на атаках на энергетический сектор Европы и Америки, считается российской. В 2014 году после публикации результатов большого расследования Symantec деятельности Dragonfly группа затихарилась и удалила всю свою инфраструктуру. Но через два года возобновила активность с новой инфраструктурой и новыми модификациями вредоносов.

Никаких соображений по поводу причастности Berserk Bear к атакам на немецкую критическую инфраструктуру давать не будем, поскольку отсутствуют даже минимальные TTPs. Мы уже писали как ESET пару месяцев назад пытались приплести эту группу к атаке на аэропорт Сан-Франциско на основе лишь одного использования SMB relay для получения NTLM-хешей. А после замечаний от других инфосек экспертов аккуратно отползли.

Заметим лишь, что с точки зрения политической целесообразности момент выбран очень точно. Газовый транзит через Польшу, бурления говен вокруг Северного Потока 2, а тут, раз, - и русские хакеры атакуют немецкую энергетику. Иногда такой мелочи достаточно для того, чтобы было принято необходимое решение.

#APT #BerserkBear #EnergeticBear #Dragonfly

Центральная служба безопасности АНБ (NSA CSS) запустила официальный твиттер. И хотя он еще не имеет статус подтвержденного, но, полагаем, это дело ближайшего времени.

Вопросов про Equation и Сноудена пока не было. Про дружбу домами с Израилем тоже.

Операторы ransomware NetWalker объявили, что они заразили сеть Мичиганского государственного университета.

Злоумышленники дали администрации университета неделю, чтобы заплатить выкуп. В случае отказа они угрожают, как сейчас принято, разместить украденные данные на всеобщее обозрение.

В качестве доказательства хакеры разместили в сети несколько изображений, в числе которых отсканированные паспорта студентов.