Южнокорейская команда IssueMakersLab, следящая за киберактивностью хакерских групп Северной Кореи, сообщает, что APT Kimsuky, работающая на Департамент №5 Главного разведывательного бюро Армии КНДР, взломала Web-сервер Вашингтонского Университета.
Сервер работал под WordPress. После взлома хакеры использовали его в качестве управляющего центра для своих вредоносов.
Подтверждений пока нет. Но комментаторы уже пишут, что началась очередная холодная война.
Сервер работал под WordPress. После взлома хакеры использовали его в качестве управляющего центра для своих вредоносов.
Подтверждений пока нет. Но комментаторы уже пишут, что началась очередная холодная война.
Twitter
IssueMakersLab
North Korea🇰🇵's RGB-D5 hacked the Web server of the University of Washington in the U.S.🇺🇸 and used it as a C2 to control malware. The Web site is using WordPress.
Команда Unc0ver выпустила джейлбрейк Unc0ver 5.0.0 для устройств под управлением iOS, в том числе для последней версии операционной системы 13.5.
Джейлбрейк работает на основе неизвестной Apple 0-day уязвимости, которую нашел хакер Pwn20wnd, член Unc0ver. Это первый джейлбрейк для текущей версии iOS за последние 5 лет. При этом разработчики утверждают, что Unc0ver 5.0.0 поддерживает все функции безопасности iOS без изменений.
Ждем оперативного апдейта от Apple, который закроет найденную 0-day уязвимость.
Джейлбрейк лежит здесь. Использовать на свой страх и риск.
Джейлбрейк работает на основе неизвестной Apple 0-day уязвимости, которую нашел хакер Pwn20wnd, член Unc0ver. Это первый джейлбрейк для текущей версии iOS за последние 5 лет. При этом разработчики утверждают, что Unc0ver 5.0.0 поддерживает все функции безопасности iOS без изменений.
Ждем оперативного апдейта от Apple, который закроет найденную 0-day уязвимость.
Джейлбрейк лежит здесь. Использовать на свой страх и риск.
ZDNet
New Unc0ver jailbreak released, works on all recent iOS versions
New "Unc0ver" jailbreak unlocks devices, even those running the current iOS 13.5 release.
Исследователь Джек Райсайдер обнаружил, что при заходе на eBay посредством новомодного браузера Edge от Microsoft торговая площадка начинает сканировать 14 портов компьютера. При этом сканирование происходит в обход файрвола, поскольку осуществляется из браузера. Результаты, естественно, передаются в eBay.
Дискуссия по этому поводу развернулась нешуточная. Кто-то говорит, что античит приложения для игр делают то же самое. Кто-то вспоминает, что подобные вопросы уже поднимались Давидом Якоби пять лет назад. Кто-то комментирует, что один из сканируемых портов используется TeamViewer и недоумевает зачем такая информация потребовалась eBay.
Коллективными усилиями выяснилось, что сканирование портов проходит в Edge и Chrome. В то же время Tor, Opera и uBlock его блокируют. Firefox и Brave под вопросом. Плюс оказалось, что подобное сканирование также выполняет Spotify.
Естественно, что никаких дисклеймеров и предупреждений eBay не показывает. Новость разошлась по отрасли, пресса стала задавать вопросы eBay, поэтому подождем ответов.
Дискуссия по этому поводу развернулась нешуточная. Кто-то говорит, что античит приложения для игр делают то же самое. Кто-то вспоминает, что подобные вопросы уже поднимались Давидом Якоби пять лет назад. Кто-то комментирует, что один из сканируемых портов используется TeamViewer и недоумевает зачем такая информация потребовалась eBay.
Коллективными усилиями выяснилось, что сканирование портов проходит в Edge и Chrome. В то же время Tor, Opera и uBlock его блокируют. Firefox и Brave под вопросом. Плюс оказалось, что подобное сканирование также выполняет Spotify.
Естественно, что никаких дисклеймеров и предупреждений eBay не показывает. Новость разошлась по отрасли, пресса стала задавать вопросы eBay, поэтому подождем ответов.
ESET описали новое поколение вредоноса ComRAT, он же Agent.BTZ, предположительно использующегося APT Turla.
ComRAT был создан в 2007 году, а в 2008 с его использованием осуществлен взлом одной из изолированных сетей Пентагона через USB-носитель (да-да, в это умеют не только Equation). Но с 2012 года новых версий malware выявлено не было.
И вот, ESET сообщает, что с 2017 года функционирует новая версия ComRAT v4, которая, согласно ряду признаков, принадлежит Turla. Основная цель вредоноса - кража конфиденциальных документов, которые выгружаются в облачное хранилище, а также разведка зараженных сетей.
Интересные фичи этого вредоноса:
- ComRAT регулярно просматривает журналы антивирусного ПО, чтобы в дальнейшем их проанализировать;
- вредонос использует в качестве одного из способов связи с управляющим центром почтовый ящик на Gmail, на который приходят письма с вложениями, содержащими команды.
Turla (она же Uroburos, она же Venomous Bear, она же Iron Hunter) - APT, которая предположительно работает на одну из российских спецслужб. Однако конкретного подтверждения этому нет, а в октябре 2019 года британский Национальный центр кибербезопасности (NCSC) заявил, что обнаружил в активности Turla иранский след.
#APT #Turla
ComRAT был создан в 2007 году, а в 2008 с его использованием осуществлен взлом одной из изолированных сетей Пентагона через USB-носитель (да-да, в это умеют не только Equation). Но с 2012 года новых версий malware выявлено не было.
И вот, ESET сообщает, что с 2017 года функционирует новая версия ComRAT v4, которая, согласно ряду признаков, принадлежит Turla. Основная цель вредоноса - кража конфиденциальных документов, которые выгружаются в облачное хранилище, а также разведка зараженных сетей.
Интересные фичи этого вредоноса:
- ComRAT регулярно просматривает журналы антивирусного ПО, чтобы в дальнейшем их проанализировать;
- вредонос использует в качестве одного из способов связи с управляющим центром почтовый ящик на Gmail, на который приходят письма с вложениями, содержащими команды.
Turla (она же Uroburos, она же Venomous Bear, она же Iron Hunter) - APT, которая предположительно работает на одну из российских спецслужб. Однако конкретного подтверждения этому нет, а в октябре 2019 года британский Национальный центр кибербезопасности (NCSC) заявил, что обнаружил в активности Turla иранский след.
#APT #Turla
WeLiveSecurity
From Agent.BTZ to ComRAT v4: A ten‑year journey
ESET researchers have uncovered a new version of ComRAT, a backdoor that the Turla APT group has been using for years and that now uses the Gmail web interface for Command and Control.
Сегодня норвежские исследователи из компании Promon обнародовали информацию о новой уязвимости CVE-2020-0096 в Android, которая позволяет вредоносу взламывать приложения, установленные на атакуемом устройстве, и которую они назвали StrandHogg 2.0.
StrandHogg - это старое норвежское понятие, которое буквально обозначает процесс, когда викинги грабят корованы. Уязвимость была обнаружена в декабре 2019 года и тогда же Google были поставлены в известность. Ошибка была закрыта в числе других в начале мая.
Новая уязвимость позволяет malware шифроваться под легальные приложения, повышать свои привилегии и получать доступ ко всем пользовательским данным. Технические детали пока недоступны.
Хотя норвежцы утверждают, что в дикой природе использования StrandHogg 2.0 не наблюдали, учитывая неторопливость некоторых вендоров в вопросах обновления своих устройств, после обнародования эксплойта CVE-2020-0096 миллионы пользователей могут пострадать.
StrandHogg - это старое норвежское понятие, которое буквально обозначает процесс, когда викинги грабят корованы. Уязвимость была обнаружена в декабре 2019 года и тогда же Google были поставлены в известность. Ошибка была закрыта в числе других в начале мая.
Новая уязвимость позволяет malware шифроваться под легальные приложения, повышать свои привилегии и получать доступ ко всем пользовательским данным. Технические детали пока недоступны.
Хотя норвежцы утверждают, что в дикой природе использования StrandHogg 2.0 не наблюдали, учитывая неторопливость некоторых вендоров в вопросах обновления своих устройств, после обнародования эксплойта CVE-2020-0096 миллионы пользователей могут пострадать.
promon.io
StrandHogg 2.0 - Android Vulnerability | Promon
Promon researchers have discovered a new elevation of privilege vulnerability in Android that allows hackers to gain access to almost all apps.
Похоже, что Позитивы распотрошили микрокод интелловского процессора .
На нашей памяти это первый случай. Сами Intel хранят микрокод в строжайшем секрете. Вики пишет, что не больше 10 человек знает как он шифруется при выкатке нового апдейта.
Что это значит для нас? То, что после того, как удастся микрокод отреверсить, можно будет понять его логику, найти дыры и пр. Ждем неожиданных открытий.
На нашей памяти это первый случай. Сами Intel хранят микрокод в строжайшем секрете. Вики пишет, что не больше 10 человек знает как он шифруется при выкатке нового апдейта.
Что это значит для нас? То, что после того, как удастся микрокод отреверсить, можно будет понять его логику, найти дыры и пр. Ждем неожиданных открытий.
GitHub
glm-ucode/README.md at master · chip-red-pill/glm-ucode
GLM uCode dumps . Contribute to chip-red-pill/glm-ucode development by creating an account on GitHub.
Румыны из Bitdefender обнаружили киберкампанию APT Chafer на критическую инфраструктуру стран Ближнего Востока.
APT Chafer (она же APT39 и Cobalt Hickman) - хакерская группа, активность которой наблюдается с 2014 года, но предполагается, что она работает с 2011. Считается, что Chafer связана с иранскими спецслужбами.
Bitdefender сообщает, что с 2018 года APT проводит кампанию, направленную на отрасль воздушного транспорта и правительственные учреждения Кувейта и Саудовской Аравии. Основная цель - поиск и эксфильтрация конфиденциальных документов.
Интересный момент - атакующие были активны в пятницу и субботу, которые являются выходными днями в арабских странах.
APT Chafer (она же APT39 и Cobalt Hickman) - хакерская группа, активность которой наблюдается с 2014 года, но предполагается, что она работает с 2011. Считается, что Chafer связана с иранскими спецслужбами.
Bitdefender сообщает, что с 2018 года APT проводит кампанию, направленную на отрасль воздушного транспорта и правительственные учреждения Кувейта и Саудовской Аравии. Основная цель - поиск и эксфильтрация конфиденциальных документов.
Интересный момент - атакующие были активны в пятницу и субботу, которые являются выходными днями в арабских странах.
Скандал в благородном семействе ресурсов Rambler.
Появилось подтверждение того, что в 2014 году Живой Журнал был скомпрометирован, в результате чего была украдена база, содержащая данные 26 миллионов пользователей. ЖЖ уже тогда находился под крылом Rambler.
Слухи об инциденте с утечкой информации появились еще в 2018, а уже в этом году блог-платформа DreamWidth, созданная на основе старой кодовой базы LiveJournal, сообщила о массовых попытках использовать старые связки логин-пароль ЖЖ. Тем не менее, Рамблер все отрицал.
Однако вчера сервис индексации утечек данных HIBP сообщил, что получил копию базы данных LiveJournal, содержащую данные 26372781 пользователей, включая логины, пароли и адреса электронной почты.
ZDNet пишет, что база LiveJournal продавалась в даркнете за смешные 35 долларов.
Ждем комментарии Рамблера. Поскольку Мамут с Грефом сейчас стратегические партнеры, то предполагаем применение лучших PR-практик Сбербанка в виде универсальной концепции "Я не я и корова не моя".
Появилось подтверждение того, что в 2014 году Живой Журнал был скомпрометирован, в результате чего была украдена база, содержащая данные 26 миллионов пользователей. ЖЖ уже тогда находился под крылом Rambler.
Слухи об инциденте с утечкой информации появились еще в 2018, а уже в этом году блог-платформа DreamWidth, созданная на основе старой кодовой базы LiveJournal, сообщила о массовых попытках использовать старые связки логин-пароль ЖЖ. Тем не менее, Рамблер все отрицал.
Однако вчера сервис индексации утечек данных HIBP сообщил, что получил копию базы данных LiveJournal, содержащую данные 26372781 пользователей, включая логины, пароли и адреса электронной почты.
ZDNet пишет, что база LiveJournal продавалась в даркнете за смешные 35 долларов.
Ждем комментарии Рамблера. Поскольку Мамут с Грефом сейчас стратегические партнеры, то предполагаем применение лучших PR-практик Сбербанка в виде универсальной концепции "Я не я и корова не моя".
ZDNet
26 million LiveJournal credentials leaked online, sold on the dark web
LiveJournal credentials were obtained in a 2014 hack, but leaked online earlier this month.
Motherboard подводит черту под историей существования компании Hacking Team, опубликовав твит ее основателя Дэвида Винчензетти "Hacking Team is dead".
Итальянская Hacking Team, основанная в далеком 2003 году, была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Но в том же 2015 хакер-активист под псевдонимом Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальных документов, включая закрытый список клиентов, в сеть.
С этого момента начался закат Hacking Team, а в 2019 году ее купила инфосек компания IntheCyber Group и переименовала в Memento Labs. Но смена вывески не спасла фирму, особенно после ухода нескольких ключевых сотрудников.
И вот теперь Дэвид Винчензетти написал, что компания умерла.
Впрочем, грустить мы по этому поводу не будем. Нам одних NSO Group с их Pegasus выше крыши.
Итальянская Hacking Team, основанная в далеком 2003 году, была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Но в том же 2015 хакер-активист под псевдонимом Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальных документов, включая закрытый список клиентов, в сеть.
С этого момента начался закат Hacking Team, а в 2019 году ее купила инфосек компания IntheCyber Group и переименовала в Memento Labs. Но смена вывески не спасла фирму, особенно после ухода нескольких ключевых сотрудников.
И вот теперь Дэвид Винчензетти написал, что компания умерла.
Впрочем, грустить мы по этому поводу не будем. Нам одних NSO Group с их Pegasus выше крыши.
Space X и Министерство обороны США подписали соглашение о тестировании спутниковой сети Starlink в военных целях.
Ой, да неужели. А как же свободный и бесплатный Интернет на века от Илона Эрроловича?
Эдак нам придется Евгения Валентиновича из Маска обратно в Касперского переименовывать.
Ой, да неужели. А как же свободный и бесплатный Интернет на века от Илона Эрроловича?
Эдак нам придется Евгения Валентиновича из Маска обратно в Касперского переименовывать.
Ars Technica
SpaceX and US Army sign deal to test Starlink broadband for military use
Army will test Starlink performance before deciding whether to be a customer.
Новостники из Tagesschau[.]de пишут, что 18 мая три немецких федеральных органа - Разведывательная служба (BND), Служба по защите конституции (BfV) и Управление по информационной безопасности (BSI), - выпустили закрытый документ с рекомендациями по защите от атак хакерской группы Berserk Bear.
Рекомендации подготовлены по результатам зафиксированных атак на предприятия KRITIS (немецкая критическая инфраструктура). Эти атаки были результатам "давних компрометаций" сетей компаний со стороны хакеров.
Со слов немецких журналистов, в документе нет прямого указания на причастность России к произошедшим инцидентам, однако содержится ссылка на отчеты американских инфосек вендоров, в которых Berserk Bear называется российской хакерской группой.
APT Berserk Bear, она же Dragonfly и Energetic Bear, активна с 2010 года и специализируется на атаках на энергетический сектор Европы и Америки, считается российской. В 2014 году после публикации результатов большого расследования Symantec деятельности Dragonfly группа затихарилась и удалила всю свою инфраструктуру. Но через два года возобновила активность с новой инфраструктурой и новыми модификациями вредоносов.
Никаких соображений по поводу причастности Berserk Bear к атакам на немецкую критическую инфраструктуру давать не будем, поскольку отсутствуют даже минимальные TTPs. Мы уже писали как ESET пару месяцев назад пытались приплести эту группу к атаке на аэропорт Сан-Франциско на основе лишь одного использования SMB relay для получения NTLM-хешей. А после замечаний от других инфосек экспертов аккуратно отползли.
Заметим лишь, что с точки зрения политической целесообразности момент выбран очень точно. Газовый транзит через Польшу, бурления говен вокруг Северного Потока 2, а тут, раз, - и русские хакеры атакуют немецкую энергетику. Иногда такой мелочи достаточно для того, чтобы было принято необходимое решение.
#APT #BerserkBear #EnergeticBear #Dragonfly
Рекомендации подготовлены по результатам зафиксированных атак на предприятия KRITIS (немецкая критическая инфраструктура). Эти атаки были результатам "давних компрометаций" сетей компаний со стороны хакеров.
Со слов немецких журналистов, в документе нет прямого указания на причастность России к произошедшим инцидентам, однако содержится ссылка на отчеты американских инфосек вендоров, в которых Berserk Bear называется российской хакерской группой.
APT Berserk Bear, она же Dragonfly и Energetic Bear, активна с 2010 года и специализируется на атаках на энергетический сектор Европы и Америки, считается российской. В 2014 году после публикации результатов большого расследования Symantec деятельности Dragonfly группа затихарилась и удалила всю свою инфраструктуру. Но через два года возобновила активность с новой инфраструктурой и новыми модификациями вредоносов.
Никаких соображений по поводу причастности Berserk Bear к атакам на немецкую критическую инфраструктуру давать не будем, поскольку отсутствуют даже минимальные TTPs. Мы уже писали как ESET пару месяцев назад пытались приплести эту группу к атаке на аэропорт Сан-Франциско на основе лишь одного использования SMB relay для получения NTLM-хешей. А после замечаний от других инфосек экспертов аккуратно отползли.
Заметим лишь, что с точки зрения политической целесообразности момент выбран очень точно. Газовый транзит через Польшу, бурления говен вокруг Северного Потока 2, а тут, раз, - и русские хакеры атакуют немецкую энергетику. Иногда такой мелочи достаточно для того, чтобы было принято необходимое решение.
#APT #BerserkBear #EnergeticBear #Dragonfly
tagesschau.de
Russische Bären unter Hackerverdacht
Eine mutmaßlich russische Hackergruppe soll es auf Firmen in der Energie-, Wasser und Telekommunikationsbranche abgesehen haben. Drei Bundesbehörden bieten betroffenen Betrieben Hilfe an. Von Hakan Tanriverdi.
Центральная служба безопасности АНБ (NSA CSS) запустила официальный твиттер. И хотя он еще не имеет статус подтвержденного, но, полагаем, это дело ближайшего времени.
Вопросов про Equation и Сноудена пока не было. Про дружбу домами с Израилем тоже.
Вопросов про Equation и Сноудена пока не было. Про дружбу домами с Израилем тоже.
X (formerly Twitter)
NSA Cyber (@NSACyber) on X
We protect our nation’s most sensitive systems against cyber threats. Likes, retweets, and follows ≠ endorsement.
Операторы ransomware NetWalker объявили, что они заразили сеть Мичиганского государственного университета.
Злоумышленники дали администрации университета неделю, чтобы заплатить выкуп. В случае отказа они угрожают, как сейчас принято, разместить украденные данные на всеобщее обозрение.
В качестве доказательства хакеры разместили в сети несколько изображений, в числе которых отсканированные паспорта студентов.
Злоумышленники дали администрации университета неделю, чтобы заплатить выкуп. В случае отказа они угрожают, как сейчас принято, разместить украденные данные на всеобщее обозрение.
В качестве доказательства хакеры разместили в сети несколько изображений, в числе которых отсканированные паспорта студентов.
ZDNet
Michigan State University hit by ransomware gang
The operators of the NetWalker ransomware gang have given MSU officials seven days to pay the ransom or they will leak stolen university files.
Северокорейская APT 37, известная также как Konni, по названию используемого ей семейства вредоносов, проводит фишинговую кампанию, в которой в качестве приманки используются документы на русскому языке.
Один из них касается вопросов ракетного вооружения, состоящего в настоящее время на боевом дежурстве в КНДР, второй - влияния санкций на внутреннюю ситуацию в Северной Корее.
Русский язык приманки свидетельствует, что в качестве целей могут выступать русскоязычные пользователи. Будьте аккуратнее.
#APT #APT37 #Konni
Один из них касается вопросов ракетного вооружения, состоящего в настоящее время на боевом дежурстве в КНДР, второй - влияния санкций на внутреннюю ситуацию в Северной Корее.
Русский язык приманки свидетельствует, что в качестве целей могут выступать русскоязычные пользователи. Будьте аккуратнее.
#APT #APT37 #Konni
А помните мы 5 мая писали про то, что немецкая прокуратура выдала ордер на арест российского гражданина Дмитрия Бадина, которого считают причастным к взлому сети Бундестага в 2015 году в составе APT28, она же пресловутая Fancy Bear.
Так сегодня это уже вышло в политическую плоскость - Берлин попросит ЕС применить санкции к россиянам из-за хакерской атаки на бундестаг, сообщает нам Интерфакс.
И российского посла в МИД вызвали, и санкции теперь обещают. При этом "Представитель МИД Германии также заявила, что у ФРГ есть веские доказательства того, что виновник хакерской атаки на бундестаг, то есть Бадин, работал на российское ГРУ."
Прекрасная иллюстрация того, что кибервойны это не только про циферки в компьютере. Подождите, через пару недель еще и за Berserk Bear (вчера про это писали) будут предъявлять.
Так сегодня это уже вышло в политическую плоскость - Берлин попросит ЕС применить санкции к россиянам из-за хакерской атаки на бундестаг, сообщает нам Интерфакс.
И российского посла в МИД вызвали, и санкции теперь обещают. При этом "Представитель МИД Германии также заявила, что у ФРГ есть веские доказательства того, что виновник хакерской атаки на бундестаг, то есть Бадин, работал на российское ГРУ."
Прекрасная иллюстрация того, что кибервойны это не только про циферки в компьютере. Подождите, через пару недель еще и за Berserk Bear (вчера про это писали) будут предъявлять.
Интерфакс
Берлин попросит ЕС применить санкции к россиянам из-за хакерской атаки на бундестаг
Берлин обратится к европейским структурам с просьбой наложить санкции на россиян, которые ответственны за кибератаку на бундестаг, сообщила в четверг представитель МИД Германии после того, как посол России в ФРГ Сергей Нечаев был вызван для разговора в министерство.
Несколько часов назад АНБ в своем только что открытом твиттере, посвященном киберугрозам, разместило ссылку на сделанное сегодня предупреждение о том, что русские хакеры из ГРУ взламывают почтовые серверы по всему миру.
АНБ сообщает, что APT Sandworm Team с августа прошлого года использует уязвимость CVE-2019-10149 в почтовом сервере Exim, которая позволяет удаленное выполнение кода с рутовыми правами. После использования эксплойта хакеры загружали скрипт на атакованную систему, который заводил привилегированных пользователей и создавал позиции для дальнейшего проникновения (журналисты BleepingComputer смогли раздобыть образец скрипта и разобрали атаку более подробно).
При этом по состоянию на начало мая только половина почтовых серверов Exim была пропатчена до безопасного состояния, поэтому угроза более чем актуальна.
В качестве TTPs, свидетельствующих о причастности Sandworm Team к киберкампании, американцы указывают два IP-адреса и домен, которые, по их мнению, принадлежат инфраструктуре этой APT.
АНБ в своем предупреждении прямо обвиняет Главный центр специальных технологий (ГЦСТ) ГРУ aka в/ч 74455 в причастности к активности Sandworm Team.
Кучно пошло. За три дня - три публичных обвинения ГРУ в масштабных кибератаках (2 от Германии и 1 от АНБ). Грета Тунберг протухла, коронавирус кончается, значит надо подвезти новых угроз мировому сообществу.
АНБ сообщает, что APT Sandworm Team с августа прошлого года использует уязвимость CVE-2019-10149 в почтовом сервере Exim, которая позволяет удаленное выполнение кода с рутовыми правами. После использования эксплойта хакеры загружали скрипт на атакованную систему, который заводил привилегированных пользователей и создавал позиции для дальнейшего проникновения (журналисты BleepingComputer смогли раздобыть образец скрипта и разобрали атаку более подробно).
При этом по состоянию на начало мая только половина почтовых серверов Exim была пропатчена до безопасного состояния, поэтому угроза более чем актуальна.
В качестве TTPs, свидетельствующих о причастности Sandworm Team к киберкампании, американцы указывают два IP-адреса и домен, которые, по их мнению, принадлежат инфраструктуре этой APT.
АНБ в своем предупреждении прямо обвиняет Главный центр специальных технологий (ГЦСТ) ГРУ aka в/ч 74455 в причастности к активности Sandworm Team.
Кучно пошло. За три дня - три публичных обвинения ГРУ в масштабных кибератаках (2 от Германии и 1 от АНБ). Грета Тунберг протухла, коронавирус кончается, значит надо подвезти новых угроз мировому сообществу.
Twitter
NSA Cyber
Sandworm Team, Russian GRU Main Center for Special Technologies actors, continue to exploit Exim mail transfer agent #vulnerability, CVE-2019-10149. Patch to the latest version to protect your networks. Learn more here: https://t.co/6HU3mSPam9
История с хакерами ГРУ, взламывающими почтовые сервера, которая была вчера запущена в мир АНБ, получает логичное продолжение.
Когда мы писали про эту новость мы совсем забыли про надвигающиеся президентские выборы в США. А вот американские СМИ не забыли.
Wired вчера выпустили материал, в котором неожиданно вспомнили, что Sandworm Team причастны к взломам серверов DNC (Демократическая партия США) в 2016 году. Причем в качестве аргумента привели свою же статью от 2018 года, написанную в стиле детективного расследования.
Хотя CrowdStrike, выступавшая в качестве экспертов в расследовании взлома DNC, указывала на группы Fancy Bear и Cozy Bear, а не на Sandworm Team (она же Vodoo Bear). Короче, не киберкриминалистика, а винегрет.
Опять же, необходимо вспомнить, что Sandworm Team были официально связаны с ГРУ в заявлении Госдепартамента от февраля этого года, когда группу обвинили в атаке на 15 тыс. грузинских сайтов осенью 2019. Тогда хакеры взломали грузинских хост-провайдеров и отдефейсили сайты, разместив на них фотографию Саакашвили с надписью "Я вернусь".
Вот, серьезно? ГРУ дефейсит фотки Саакашвили? А АНБ, наверное, включает гей-порно на рекламных билбордах на Смоленской площади?
Ну и, понятно, в статье полно эпитетов "самая разрушительная и агрессивная хакерская группа в мире". Или заключений директоров из FireEye, которые "ожидают нападения в/ч 74455 на выборы в США в этом году".
Когда нет TTPs, а есть куча эмоций, то это не инфосек, а политические игрища.
Не надо игрищ, дайте TTPs!
#APT #SandwormTeam
Когда мы писали про эту новость мы совсем забыли про надвигающиеся президентские выборы в США. А вот американские СМИ не забыли.
Wired вчера выпустили материал, в котором неожиданно вспомнили, что Sandworm Team причастны к взломам серверов DNC (Демократическая партия США) в 2016 году. Причем в качестве аргумента привели свою же статью от 2018 года, написанную в стиле детективного расследования.
Хотя CrowdStrike, выступавшая в качестве экспертов в расследовании взлома DNC, указывала на группы Fancy Bear и Cozy Bear, а не на Sandworm Team (она же Vodoo Bear). Короче, не киберкриминалистика, а винегрет.
Опять же, необходимо вспомнить, что Sandworm Team были официально связаны с ГРУ в заявлении Госдепартамента от февраля этого года, когда группу обвинили в атаке на 15 тыс. грузинских сайтов осенью 2019. Тогда хакеры взломали грузинских хост-провайдеров и отдефейсили сайты, разместив на них фотографию Саакашвили с надписью "Я вернусь".
Вот, серьезно? ГРУ дефейсит фотки Саакашвили? А АНБ, наверное, включает гей-порно на рекламных билбордах на Смоленской площади?
Ну и, понятно, в статье полно эпитетов "самая разрушительная и агрессивная хакерская группа в мире". Или заключений директоров из FireEye, которые "ожидают нападения в/ч 74455 на выборы в США в этом году".
Когда нет TTPs, а есть куча эмоций, то это не инфосек, а политические игрища.
Не надо игрищ, дайте TTPs!
#APT #SandwormTeam
Wired
NSA: Russia's Sandworm Hackers Have Hijacked Mail Servers
In a rare public warning, the US spy agency says the notorious arm of Russian military intelligence is targeting a known vulnerability in Exim.
Помните, как компания F-Secure устроила веселые майские праздники пользователям SaltStack, опубликовав 30 апреля подробности уязвимости, патч под которую был выпущен только накануне? Чем не промедлили воспользоваться хакеры, за сутки написавшие эксплойт и начавшие атаковать непропатченные сервера.
Спустя почти месяц продолжают всплывать данные про пострадавших. Вчера Cisco признала, что шесть ее внутренних серверов под управлением SaltStack были взломаны.
Пострадавшие сервера были обновлены только 7 мая. Не совсем ясно, был ли это плановый апдейт или срочное обновление после выявления взлома. В любом случае, это дает представление о сроках обновления уязвимого ПО после выхода соответствующего патча, которые встречаются даже в таких софтверных гигантах как Cisco, имеющих свои крупные инфосек подразделения. Что уж говорить про непрофильные компании.
Спустя почти месяц продолжают всплывать данные про пострадавших. Вчера Cisco признала, что шесть ее внутренних серверов под управлением SaltStack были взломаны.
Пострадавшие сервера были обновлены только 7 мая. Не совсем ясно, был ли это плановый апдейт или срочное обновление после выявления взлома. В любом случае, это дает представление о сроках обновления уязвимого ПО после выхода соответствующего патча, которые встречаются даже в таких софтверных гигантах как Cisco, имеющих свои крупные инфосек подразделения. Что уж говорить про непрофильные компании.
BleepingComputer
Cisco hacked by exploiting vulnerable SaltStack servers
Cisco said today that some of its Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) backend servers were hacked by exploiting critical SaltStack vulnerabilities patched last month.
На просторах этих ваших Интернетов нынче весело. И как бы АНБ не старалось ввести в информационную повестку страшных русских хакеров из ГРУ, наблюдать за задорным перекидыванием гумуса между товарищем Трампом и сервисом Twitter намного увлекательнее.
Тем, кто не следит за обстановкой, дадим краткое описание предыдущих серий - ̶К̶о̶н̶ч̶и̶т̶а̶ ̶в̶ы̶ш̶л̶а̶ ̶з̶а̶м̶у̶ж̶ ̶з̶а̶ ̶Х̶у̶а̶н̶а̶ ̶А̶л̶ь̶б̶е̶р̶т̶о̶ началось все с того, как во вторник Twitter пометил два твита Трампа плашкой "требует подтверждения".
На это Трамп заявил, что Twitter подавляет свободу слова. А в четверг, то есть вчера, подписал указ о регулировании социальных сетей. На основании указа может быть изменено действие статьи 230 Акта о соблюдении приличий в СМИ (CDA), которая защищает соцсети от уголовного преследования за размещенный пользователями контент. Кроме того, в соответствии с указом возможности модерации со стороны администрации соцсетей могут быть ограничены.
На это Цукерберг, на всякий случай, включил режим шкафа - мол, Facebook стоит, площадку поддерживает, контент не модерирует.
А Twitter решил бодаться дальше. Сначала они заявили, что указ Трампа - это реакционистский и политизированный наезд на CDA и демократию вообще. А сегодня скрыли пост Трампа, посвященный беспорядкам в Миннеаполисе, как нарушающий политику Twitter в части прославления насилия. Аналогично поступили и с таким же твитом Белого Дома.
Трамп ответил постами про то, что Twitter поддерживает китайскую пропаганду и радикальных леваков Демпартии.
Show must go on. Где там наш попкорн...
Тем, кто не следит за обстановкой, дадим краткое описание предыдущих серий - ̶К̶о̶н̶ч̶и̶т̶а̶ ̶в̶ы̶ш̶л̶а̶ ̶з̶а̶м̶у̶ж̶ ̶з̶а̶ ̶Х̶у̶а̶н̶а̶ ̶А̶л̶ь̶б̶е̶р̶т̶о̶ началось все с того, как во вторник Twitter пометил два твита Трампа плашкой "требует подтверждения".
На это Трамп заявил, что Twitter подавляет свободу слова. А в четверг, то есть вчера, подписал указ о регулировании социальных сетей. На основании указа может быть изменено действие статьи 230 Акта о соблюдении приличий в СМИ (CDA), которая защищает соцсети от уголовного преследования за размещенный пользователями контент. Кроме того, в соответствии с указом возможности модерации со стороны администрации соцсетей могут быть ограничены.
На это Цукерберг, на всякий случай, включил режим шкафа - мол, Facebook стоит, площадку поддерживает, контент не модерирует.
А Twitter решил бодаться дальше. Сначала они заявили, что указ Трампа - это реакционистский и политизированный наезд на CDA и демократию вообще. А сегодня скрыли пост Трампа, посвященный беспорядкам в Миннеаполисе, как нарушающий политику Twitter в части прославления насилия. Аналогично поступили и с таким же твитом Белого Дома.
Трамп ответил постами про то, что Twitter поддерживает китайскую пропаганду и радикальных леваков Демпартии.
Show must go on. Где там наш попкорн...