Российское правительство отозвало законопроект о регулировании Big Data.
"С учетом обсуждений, в том числе в Правительстве Российской Федерации,принято решение об отзыве" - заявила заместитель министра связи Бокова.
Это хорошая новость, поскольку положения законопроекта были весьма странные - Big Data это вообще вся информация кроме персональных данных, а оператор Big Data, по логике, все кто ее обрабатывают любым образом (то есть вообще все юридические и физические лица в стране, цены на квартиры на Циан посмотрел - все, ты оператор больших данных).
Очень надеемся, что точно также поступят и с новым законопроектом о криптовалюте, в случае принятия которого вся крипта в России просто умрет, потянув за собой заодно игровую валюту, например.
Кстати, законопроект о криптовалюте лоббировался одновременно ФСБ и FATF (Financial Action Task Force on Money Laundering), межправительственной организацией, учрежденной странами G7 и имеющей штаб-квартиру в Париже. Тот самый случай когда ради разделки зайца и волк и лиса готовы дружить.
"С учетом обсуждений, в том числе в Правительстве Российской Федерации,принято решение об отзыве" - заявила заместитель министра связи Бокова.
Это хорошая новость, поскольку положения законопроекта были весьма странные - Big Data это вообще вся информация кроме персональных данных, а оператор Big Data, по логике, все кто ее обрабатывают любым образом (то есть вообще все юридические и физические лица в стране, цены на квартиры на Циан посмотрел - все, ты оператор больших данных).
Очень надеемся, что точно также поступят и с новым законопроектом о криптовалюте, в случае принятия которого вся крипта в России просто умрет, потянув за собой заодно игровую валюту, например.
Кстати, законопроект о криптовалюте лоббировался одновременно ФСБ и FATF (Financial Action Task Force on Money Laundering), межправительственной организацией, учрежденной странами G7 и имеющей штаб-квартиру в Париже. Тот самый случай когда ради разделки зайца и волк и лиса готовы дружить.
TAdviser.ru
В России утвердили первый национальный стандарт в области больших данных
Основными потребителями технологий Big Data являются банки, телеком-операторы и крупные ритейлеры. Главными проблемами развития направления больших данных являются нехватка квалифицированных кадров, отсутствие достаточного опыта российских внедрений, а также…
По данным инфосек компаний Sanguine Security и ESET, хакеры из группы Magecart взломали три крупных онлайн-магазина и внедрили в них свой вредоносный код, с помощью которого воровали вводимые покупателями данные платежных карт.
Сайты компании Clair's и ее партнера Icing были скомпрометированы в период с 25 по 30 апреля, в результате чего все платежные данные перенаправлялись на принадлежащий хакерам домен claires-assets .com, зарегистрированный всего за 4 недели до атаки. В итоге все, кто делал покупки на этом сайте в указанный период времени, подвержены риску потери денег со своих платежных карт.
Еще один сайт, принадлежащий европейской торговой сети Intersport (точнее его локальные версии для Хорватии, Сербии, Словении, Черногории и Боснии), был взломан 30 апреля. 3 мая вредоносный код вычистили, но 14 мая ресурсы взломали опять. В этот раз все поправили в течение нескольких часов. Intersport, кстати, имеет и российскую локальную версию своего сайта.
Надо заметить, что и Clair's и Intersport являются очень крупными ретейлерами, имеющими миллиардные обороты. По идее, вопросы информационной безопасности, особенно касающиеся платежных данных покупателей, должны быть решены у них на высоком уровне. Но, увы...
А с учетом все возрастающих объемов онлайн продаж в связи с эпидемией COVID-19, мы с ужасом думаем о возможных внедрениях вредоносов в онлайн-площадки российских ритейлеров. Особенно зная их привычки резать косты по любому поводу.
Сайты компании Clair's и ее партнера Icing были скомпрометированы в период с 25 по 30 апреля, в результате чего все платежные данные перенаправлялись на принадлежащий хакерам домен claires-assets .com, зарегистрированный всего за 4 недели до атаки. В итоге все, кто делал покупки на этом сайте в указанный период времени, подвержены риску потери денег со своих платежных карт.
Еще один сайт, принадлежащий европейской торговой сети Intersport (точнее его локальные версии для Хорватии, Сербии, Словении, Черногории и Боснии), был взломан 30 апреля. 3 мая вредоносный код вычистили, но 14 мая ресурсы взломали опять. В этот раз все поправили в течение нескольких часов. Intersport, кстати, имеет и российскую локальную версию своего сайта.
Надо заметить, что и Clair's и Intersport являются очень крупными ретейлерами, имеющими миллиардные обороты. По идее, вопросы информационной безопасности, особенно касающиеся платежных данных покупателей, должны быть решены у них на высоком уровне. Но, увы...
А с учетом все возрастающих объемов онлайн продаж в связи с эпидемией COVID-19, мы с ужасом думаем о возможных внедрениях вредоносов в онлайн-площадки российских ритейлеров. Особенно зная их привычки резать косты по любому поводу.
ZDNet
Web skimmers found on the websites of Intersport, Claire's, and Icing
The malicious code has now been removed from all stores, but users are advised to review card statements for suspicious transactions.
Вроде бы очередная новость об утечке. Но на деле не все так просто.
Ноам Ротем и Ран Локар, исследователи vpnMentor, обнародовали сегодня отчет о выявленной в конце мая масштабной утечке данных специализированных приложений для знакомств - 3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и ряда других.
Среди этих приложений есть как традиционные (типа SugarD, аналог отечественной Zolushka Project, или Casualx), так и, действительно, специфические - для любителей группового секса, ЛГБТ-знакомств, фетишистов и даже людей, страдающих герпесом (?).
В сливе содержалось более 845 Гб данных, в их числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовую информацию, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты. По оценке vpnMentor, утечка касалась сотен тысяч, если не миллионов пользователей сервисов.
Все сведения были отсортированы по названиям сервисов и лежали в неправильно настроенной Amazon S3 корзине, из-за чего стали видны снаружи.
Проведя анализ, исследователи пришли к выводу, что все сервисы принадлежат одному разработчику, который в некоторых приложениях был указан как Cheng Du New Tech Zone. Тогда Ротем и Локар обратились к разработчику одного из приложений - 3somes - с предупреждением об утечке. Несмотря на то, что никакого ответа не последовало, на следующий же день данные, относящиеся ко всем приложениям были скрыты, что подтвердило версию о едином разработчике.
По нашему мнению, исследователи vpnMentor обнаружили данные в процессе их перекачки от китайского разработчика неустановленному адресату. Вполне возможно, что китайским спецслужбам. Сами же приложения для знакомств сделаны таким образом, что позволяют разработчику получать полный доступ ко всей конфиденциальной информации пользователей, циркулирующей внутри приложения.
Для чего это надо? Для сбора компромата и информации о пристрастиях того или иного пользователя. Кто знает, возможно среди любителей престарелых дам есть бравый американский военный, а в числе фетишистов обнаружится европейский политик. Методы работы все те же, просто инструментарий новый.
Ноам Ротем и Ран Локар, исследователи vpnMentor, обнародовали сегодня отчет о выявленной в конце мая масштабной утечке данных специализированных приложений для знакомств - 3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и ряда других.
Среди этих приложений есть как традиционные (типа SugarD, аналог отечественной Zolushka Project, или Casualx), так и, действительно, специфические - для любителей группового секса, ЛГБТ-знакомств, фетишистов и даже людей, страдающих герпесом (?).
В сливе содержалось более 845 Гб данных, в их числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовую информацию, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты. По оценке vpnMentor, утечка касалась сотен тысяч, если не миллионов пользователей сервисов.
Все сведения были отсортированы по названиям сервисов и лежали в неправильно настроенной Amazon S3 корзине, из-за чего стали видны снаружи.
Проведя анализ, исследователи пришли к выводу, что все сервисы принадлежат одному разработчику, который в некоторых приложениях был указан как Cheng Du New Tech Zone. Тогда Ротем и Локар обратились к разработчику одного из приложений - 3somes - с предупреждением об утечке. Несмотря на то, что никакого ответа не последовало, на следующий же день данные, относящиеся ко всем приложениям были скрыты, что подтвердило версию о едином разработчике.
По нашему мнению, исследователи vpnMentor обнаружили данные в процессе их перекачки от китайского разработчика неустановленному адресату. Вполне возможно, что китайским спецслужбам. Сами же приложения для знакомств сделаны таким образом, что позволяют разработчику получать полный доступ ко всей конфиденциальной информации пользователей, циркулирующей внутри приложения.
Для чего это надо? Для сбора компромата и информации о пристрастиях того или иного пользователя. Кто знает, возможно среди любителей престарелых дам есть бравый американский военный, а в числе фетишистов обнаружится европейский политик. Методы работы все те же, просто инструментарий новый.
Positive Technologies на прошлой неделе опубликовали отчет об уязвимостях в GPRS Tunneling Protocol (GTP), которые будут влиять на работу 5G сетей даже после их отпочкования от 4G.
Последствия использования этих уязвимостей хакерами:
- атаки на отказ в обслуживании (DoS) оборудования оператора (как мы понимаем имеется в виду GGSN, приблуда для предоставления мобильных данных);
- телекоммуникационный фрод;
- раскрытие информации об абоненте, в том числе его геолокация.
Любопытно, что, по утверждению Позитивов, в ряде случаев атакующему не обязательно иметь доступ к межоператорской сети, а достаточно подключенного к сети смартфона или мобильного модема.
Positive Technologies продолжают усиленно рыть тему уязвимости телекоммуникационных протоколов (SS7, Diameter, теперь GTP), за счет чего являются лидерами в России (а вполне возможно и в мире) по этому сегменту инфосека. И это хорошо.
А мы напоминаем, что GGSN, по идее, является объектом критической информационной инфраструктуры, поскольку его работа затрагивает огромное количество абонентов. Мы не в курсе, провели ли наши сотовые операторы категоризацию своих объектов КИИ, но отказ в обслуживании GGSN по новому УК является составом статьи 274.1. А кого наша Фемида посчитает виноватым в произошедшем, атакующих или обеспечивающих безопасность, - только ей самой и известно.
Последствия использования этих уязвимостей хакерами:
- атаки на отказ в обслуживании (DoS) оборудования оператора (как мы понимаем имеется в виду GGSN, приблуда для предоставления мобильных данных);
- телекоммуникационный фрод;
- раскрытие информации об абоненте, в том числе его геолокация.
Любопытно, что, по утверждению Позитивов, в ряде случаев атакующему не обязательно иметь доступ к межоператорской сети, а достаточно подключенного к сети смартфона или мобильного модема.
Positive Technologies продолжают усиленно рыть тему уязвимости телекоммуникационных протоколов (SS7, Diameter, теперь GTP), за счет чего являются лидерами в России (а вполне возможно и в мире) по этому сегменту инфосека. И это хорошо.
А мы напоминаем, что GGSN, по идее, является объектом критической информационной инфраструктуры, поскольку его работа затрагивает огромное количество абонентов. Мы не в курсе, провели ли наши сотовые операторы категоризацию своих объектов КИИ, но отказ в обслуживании GGSN по новому УК является составом статьи 274.1. А кого наша Фемида посчитает виноватым в произошедшем, атакующих или обеспечивающих безопасность, - только ей самой и известно.
Positive-Tech
Threat vector: GTP. Vulnerabilities in LTE and 5G networks 2020
With new 5G networks, mobile operators face numerous challenges. One of them is the GTP protocol, used alongside SS7 and Diameter on core networks to transmit user and control traffic. Stay ahead of the curve with knowledge and preparation. Download the «Threat…
А мы в очередной раз удостоверяемся в справедливости старой поговорки из Клиники - если одна злая баба вышла, то другая злая баба зашла.
Только мы написали про уязвимости в телекоммуникационном протоколе GTP, выявленные Positive Technologies, как пришла новость про проблемы у T-Mobile.
T-Mobile это третий по размеру абонентской базы американский сотовый оператор, обслуживающий около 80 млн. человек и имеющий оборот более 40 млрд. долларов США.
Вчера произошел серьезный сбой в работе оборудования оператора, в результате которого в течение дня миллионы абонентов были лишены голосовых услуг и SMS, а также сервиса мобильных данных.
Наверное не стоит лишний раз напоминать сколько денег может стоить T-Mobile такой факап. Не знаем как там с переносом мобильных номеров обстоит дело в США, но и без того уверены, что сотни тысяч абонентов убегут к конкурентам - AT&T, Verizon и Sprint.
Некоторые сразу назвали сбой T-Mobile последствием DDoS-атаки на сеть сотового оператора, в то время как другие инфосек эксперты заявили, что никакой DDoS-атаки не было.
Мы же вполне допускаем возможность специализированной телекоммуникационной атаки по уязвимым протоколам SS7, Diameter и пр., про дырки в которых как раз много пишут Позитивы.
Только мы написали про уязвимости в телекоммуникационном протоколе GTP, выявленные Positive Technologies, как пришла новость про проблемы у T-Mobile.
T-Mobile это третий по размеру абонентской базы американский сотовый оператор, обслуживающий около 80 млн. человек и имеющий оборот более 40 млрд. долларов США.
Вчера произошел серьезный сбой в работе оборудования оператора, в результате которого в течение дня миллионы абонентов были лишены голосовых услуг и SMS, а также сервиса мобильных данных.
Наверное не стоит лишний раз напоминать сколько денег может стоить T-Mobile такой факап. Не знаем как там с переносом мобильных номеров обстоит дело в США, но и без того уверены, что сотни тысяч абонентов убегут к конкурентам - AT&T, Verizon и Sprint.
Некоторые сразу назвали сбой T-Mobile последствием DDoS-атаки на сеть сотового оператора, в то время как другие инфосек эксперты заявили, что никакой DDoS-атаки не было.
Мы же вполне допускаем возможность специализированной телекоммуникационной атаки по уязвимым протоколам SS7, Diameter и пр., про дырки в которых как раз много пишут Позитивы.
Securityweek
T-Mobile Outage Mistaken for Massive DDoS Attack on U.S. | SecurityWeek.Com
T-Mobile on Monday suffered a major outage in the United States and it ended up being reported as a “massive” DDoS attack.
Израильские исследователи из Университета Бен-Гуриона и Института Вейцмана открыли новый способ подслушивания на расстоянии, который они назвали Lamphone.
Суть нового метода заключается в том, что лампы освещения, улавливая звук, производят микровибрации, которые можно отфиксировать с помощью электрооптического датчика, подключенного к телескопу.
В натурном эксперименте исследователи, сняв данные о вибрации с 12-ватной светодиодной лампочки с расстояния 25 метров, преобразовав их в цифру и проанализировав с помощью Google Cloud Speech API, смогли распознать песни Beatles и Coldplay, а также речь Трампа про Great again.
Варианты защиты? Либо утяжелять лампочки, либо завешивать окна непроницаемыми шторами. Ну, или вести секретные переговоры при выключенном свете.
Суть нового метода заключается в том, что лампы освещения, улавливая звук, производят микровибрации, которые можно отфиксировать с помощью электрооптического датчика, подключенного к телескопу.
В натурном эксперименте исследователи, сняв данные о вибрации с 12-ватной светодиодной лампочки с расстояния 25 метров, преобразовав их в цифру и проанализировав с помощью Google Cloud Speech API, смогли распознать песни Beatles и Coldplay, а также речь Трампа про Great again.
Варианты защиты? Либо утяжелять лампочки, либо завешивать окна непроницаемыми шторами. Ну, или вести секретные переговоры при выключенном свете.
Threat Post
‘Lamphone’ Hack Uses Lightbulb Vibrations to Eavesdrop on Homes
A new hack allowed researchers to discern sound – including "Let it Be" by the Beatles, and audio from a Donald Trump speech – from lightbulb vibrations.
Сегодня, кстати, годовщина.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
Ровно 16 лет назад был обнаружен первый мобильный вредонос - Cabir, который работал под Symbian OS, мобильную операционку от Nokia.
Cabir распространялся через Bluetooth и каждый раз при включении телефона выводил надпись Caribe.
А уже потом от этой безобидной поделки народились всякие банковские трояны, кликеры и прочая мобильная нечисть.
www.abc.net.au
First mobile phone virus discovered
The first computer virus that can infect mobile phones has been discovered by researchers in France.
I resurrect myself
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими мы решили рассмотреть две хакерские группы - Lazarus и Kimsuky. Разумеется, по очереди.
Почему именно эти группы? Да потому что они работают на разные подразделения одной и той же спецслужбы. А именно – на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи.
Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
Lazarus, она же Dark Seoul, Hidden Cobra, APT 38, Labyrinth Chollima и еще куча названий, является, пожалуй, самой известной северокорейской хакерской группой. Хотя бы уже потому, что считается автором вредоноса WannaCry, вызвавшего самую громкую эпидемию последних лет в мае 2017 года.
Сразу отметим интересную особенность северокорейских хакерских групп – в силу ограниченности ресурсов, которые может выделить государство на финансирование APT, они вынуждены стремиться к самоокупаемости, в силу чего не могут концентрироваться только лишь на кибершпионаже. Существенную часть их активности занимает коммерческий взлом.
Считается, что Lazarus состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Первым появлением Lazarus можно полагать серию DDoS-атак в июле 2009 года на информационные ресурсы государственных учреждений Южной Кореи, когда была нарушена работа 11 сайтов, в том числе принадлежащих Синему дому (резиденция Президента Южной Кореи), Министерству обороны, Национальному собранию, и нескольким банкам. А еще хакеры уронили крупнейший Интернет-портал Южной Кореи Naver. Также атаковавший южнокорейцев ботнет был нацелен на сайты Белого Дома, Пентагона и Нью-Йоркской фондовой биржи, но ни один из американских ресурсов проблем с доступом не испытал. Возможно потому, что ботнет был не самым большим – от 50 до 65 тыс. ботов.
Впрочем, ранее в 2008 и 2009 годах инфосек вендорами наблюдалось массовое использование malware Gh0st RAT, которым, в числе других хакерских групп, пользуются Lazarus. Но тогда киберкампания была приписана китайцам, хотя среди атакованных организаций были и дипломатические миссии Южной Кореи. Так что вполне возможно, что акторов было несколько и среди них - Lazarus.
Lazarus за время своей активности провели множество различных атак, некоторые исследователи насчитывают не один десяток, но мы остановимся на наиболее известных и громких.
#APT #Lazarus
В марте 2013 Lazarus атаковали ресурсы Южной Кореи в ходе кибероперации, которая получила название DarkSeoul. Под удар попали сети 3 крупных банков (Jeju, Nonghyup и Shinhan) и 3 телевизионных компаний (KBS, MBC и YTN) Южной Кореи. Всего атакованными оказались 45-50 тыс. систем.
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
В ходе дальнейшего расследования стало ясно, что более чем за месяц до этого целевые сети были заражены трояном удаленного доступа (RAT) 3Rat, с помощью которого злоумышленники осуществили сетевую разведку и получили учетные данные пользователей.
Изначально, когда атакованные сети стали выходить из строя, была версия о произошедшей DDoS-атаке, однако чуть позже было установлено, что у машин в атакованных сетях были стерты начальные разделы жестких дисков и вместо них записаны строки “Principes” и “hastai” (названия пехотных подразделений в армии Древнего Рима).
Хакеры использовали целый набор инструментов - исследователи нашли как минимум 3 варианта загрузчиков, 3 варианта вайперов, чистящих жесткие диски, для Windows и один вайпер для Unix.
Malware доставлялось различными способами, самым распространенным было использование ПО AhnLab, предназначенного для управления обновлениями, доступ к которому хакеры получили путем применения украденных ранее учетных данных. Там, где этот метод не подходил, нападавшие использовали фишинговую рассылку.
Ответственность за атаку взяли на себя две группы Whois Crew и NewRomantic Cyber Army Team, которые больше не встречались ни до, ни после операции DarkSeoul. Позднее инфосек эксперты сделали вывод, что это было лишь прикрытием для Lazarus, на авторство которой указывали TTPs, полученные в ходе анализа использовавшихся для проведения атаки инфраструктуры и вредоносного ПО.
Некоторые из исследователей, изучавших DarkSeoul, придерживаются версии, что эта кибероперация была одним из актов четырехлетней кибершпионской кампании (Операция Троя), в ходе которой северокорейские хакеры собирали данные о военном сотрудничестве Южной Кореи и США. Правда, в этом случае не совсем понятен выбор целей Lazarus. Поэтому другие эксперты полагает, что DarkSeoul – это яркий пример кибервойны, в ходе которой противнику наносится весомый ущерб, который, по некоторым оценкам, составил 750 млн. долларов США.
#APT #Lazarus
Перенесемся в 2014 год.
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus
24 ноября группа хакеров, называющая себя Guardians of Peace (GOP) распотрошила сеть Sony Pictures Entertainment, похитив учетные и личные данные сотрудников, электронную переписку, финансовую информацию, цифровые версии еще неизданных фильмов (например, Ярость с Брэдом Питтом) и многое другое. Часть данных в сети Sony при этом была удалена. Как и в случае с операцией DarkSeoul, взявшая на себя ответственность хакерская группа никогда ранее не попадала в поле зрения инфосек исследователей.
Спустя несколько дней хакеры стали выкладывать в паблик украденные данные. К расследованию взлома подключились ФБР и ряд инфосек компаний.
Через месяц ФБР выпустило отчет, в котором утверждалось, что ответственность за взлом Sony лежит на Bureau 121. В качестве доказательств приводились совпадения в программном коде использовавшихся при атаке вредоносов с выявленными ранее северокорейскими malware, в том числе с теми, которые применялись в операции DarkSeoul, а также в инфраструктуре, которая частично совпадала с инфраструктурой хакеров КНДР.
Причиной кибератаки назывался планируемый Sony выпуск на широкие экраны фильма Интервью, комедии о попытке убийстве Ким Чен Ына. Так ли это было на самом деле достоверно не известно, но широкий прокат Интервью был отменен, хотя позже фильм вышел в цифровом виде.
В то же время ряд инфосек экспертов выразили сомнения в причастности КНДР к атаке на Sony, склоняясь к версии, что взлом был последствием работы инсайдера внутри компании.
По прошествии более года компания Novetta, обобщив и проанализировав большое количество данных, в том числе полученных от других игроков инфосек рынка, таки сделала вывод, что за кибератакой стоит Lazarus (собственно, это название группы и было впервые применено в этом отчете). Novetta назвала атаку Operation Blockbuster. В докладе ресерчеры утверждали, что обнаружили более 45 вредоносных инструментов, используемых северокорейскими хакерами в своих взломах, а сама группа активна (на начало 2016 года) около десяти лет.
И в то время, пока Novetta проводила свое расследование, хакеры из Lazarus готовили поистине масштабный взлом. Они собирались украсть 1 млрд. долларов.
#APT #Lazarus
Каждый из нас множество раз ошибался при подготовке тех или иных документов. Какова стоимость одной такой опечатки? Вероятно, не больше стоимости времени, потраченного на ее исправление. Или, если такая опечатка ушла в пост, то она стоит максимум недоумения обратившего на нее внимание подписчика. Хакерам Lazarus опечатка стоила почти 900 миллионов долларов.
В ночь с 4 на 5 февраля 2016 года, дня, который являлся выходным в Бангладеш и США, было взломано ПО системы межбанковских расчетов SWIFT Центрального Банка Бангладеш (далее - ББ), после чего злоумышленники сгенерировали несколько десятков платежных поручений в адрес ФРС Нью-Йорка о переводе денежных средств со счета ББ в размере 951 млн. долларов на счета нескольких бенефициаров в различных банках мира.
Первые 4 платежных поручения были исполнены, а вот в пятом хакеры сделали маленькую ошибку – вместо “foundation” написали “fandation” (впрочем, это была не первая опечатка Lazarus), что привлекло внимание финансовых контролеров и дальнейшие транзакции были заморожены.
В итоге ББ потерял “всего” 81 млн. долларов, которые ушли на счета в филиппинские банки. В дальнейшем часть этих денег все-таки вернулась в Бангладеш, часть была заморожена, но несколько десятков млн. все-таки исчезли и, скорее всего, были выведены северокорейскими хакерами.
Скандал получился очень громким. К расследованию подключились многие инфосек компании, а также, как обычно, не обошлось без ФБР, поскольку ФРС Нью-Йорка все-таки американская организация.
Дальнейшее изучение атаки показало, что первые мероприятия по разведке сети ББ начались еще в январе 2015 года. В марте сеть была скомпрометирована, в нее были внедрены бэкдоры и хакеры Lazarus стали изучать ее изнутри, собирать данные пользователей и вообще создавать позиции для более глубокого проникновения. В августе 2015 года уже взломанная сеть ББ была соединена с сетью SWIFT, при этом в процессе сопряжения были допущены явные нарушения информационной безопасности.
Чуть ранее, 15 мая 2015 года в филиппинском банке RCBC были открыты 5 долларовых счетов на фиктивных лиц, которые останутся пустыми до 5 февраля 2016 года.
19 или 20 января 2016 года сервера SWIFT в Банке Бангладеш были взломаны, на них установлены бэкдоры, после чего 24 января скомпрометированы учетные записи двух сотрудников ББ, имеющих полномочия на осуществления банковских переводов в SWIFT. После осуществления транзакций, 6 февраля вредонос потер большую часть следов своей активности, в частности сгенерированные сообщения SWIFT.
Анализ использовавшегося в процессе взлома вредоносного ПО, показал, что оно создано специально для работы в SWIFT Alliance Access, хотя и было модифицировано под конкретную сетевую инфраструктуру ББ. Malware применяло интересные трюки для сокрытия следов своей деятельности – например, обходило механизм контроля корректности транзакций через принтер (данные о всех транзакциях печатаются для просмотра человеком) путем перехвата и модификации отправляемых на печать сообщений с их последующим удалением.
Ну и, как и раньше, последующий анализ применяемых в процессе взлома Банка Бангладеш TTPs дал достаточные основания считать группу Lazarus ответственной за эту атаку. В качестве доказательств были и пересечения используемой инфраструктуры, и сходства в вредоносном ПО с использовавшимся в ходе DarkSeoul и Operation Blockbuster.
Взлом Банка Бангладеш привлек внимание к проблеме существования специализированного ПО для взлома SWIFT. Выяснилось, что в январе 2016 года более 12 млн. долларов было переведено хакерами через SWIFT из эквадорского банка BDA на счета в Гонконге. А в мае 2016 года вьетнамский банк Tie Phong признался, что в четвертом квартале 2015 года хакеры украли через SWIFT более 1,36 млн. долларов.
Но на этом кейсы со взломом SWIFT не закончились.
#APT #Lazarus
В ночь с 4 на 5 февраля 2016 года, дня, который являлся выходным в Бангладеш и США, было взломано ПО системы межбанковских расчетов SWIFT Центрального Банка Бангладеш (далее - ББ), после чего злоумышленники сгенерировали несколько десятков платежных поручений в адрес ФРС Нью-Йорка о переводе денежных средств со счета ББ в размере 951 млн. долларов на счета нескольких бенефициаров в различных банках мира.
Первые 4 платежных поручения были исполнены, а вот в пятом хакеры сделали маленькую ошибку – вместо “foundation” написали “fandation” (впрочем, это была не первая опечатка Lazarus), что привлекло внимание финансовых контролеров и дальнейшие транзакции были заморожены.
В итоге ББ потерял “всего” 81 млн. долларов, которые ушли на счета в филиппинские банки. В дальнейшем часть этих денег все-таки вернулась в Бангладеш, часть была заморожена, но несколько десятков млн. все-таки исчезли и, скорее всего, были выведены северокорейскими хакерами.
Скандал получился очень громким. К расследованию подключились многие инфосек компании, а также, как обычно, не обошлось без ФБР, поскольку ФРС Нью-Йорка все-таки американская организация.
Дальнейшее изучение атаки показало, что первые мероприятия по разведке сети ББ начались еще в январе 2015 года. В марте сеть была скомпрометирована, в нее были внедрены бэкдоры и хакеры Lazarus стали изучать ее изнутри, собирать данные пользователей и вообще создавать позиции для более глубокого проникновения. В августе 2015 года уже взломанная сеть ББ была соединена с сетью SWIFT, при этом в процессе сопряжения были допущены явные нарушения информационной безопасности.
Чуть ранее, 15 мая 2015 года в филиппинском банке RCBC были открыты 5 долларовых счетов на фиктивных лиц, которые останутся пустыми до 5 февраля 2016 года.
19 или 20 января 2016 года сервера SWIFT в Банке Бангладеш были взломаны, на них установлены бэкдоры, после чего 24 января скомпрометированы учетные записи двух сотрудников ББ, имеющих полномочия на осуществления банковских переводов в SWIFT. После осуществления транзакций, 6 февраля вредонос потер большую часть следов своей активности, в частности сгенерированные сообщения SWIFT.
Анализ использовавшегося в процессе взлома вредоносного ПО, показал, что оно создано специально для работы в SWIFT Alliance Access, хотя и было модифицировано под конкретную сетевую инфраструктуру ББ. Malware применяло интересные трюки для сокрытия следов своей деятельности – например, обходило механизм контроля корректности транзакций через принтер (данные о всех транзакциях печатаются для просмотра человеком) путем перехвата и модификации отправляемых на печать сообщений с их последующим удалением.
Ну и, как и раньше, последующий анализ применяемых в процессе взлома Банка Бангладеш TTPs дал достаточные основания считать группу Lazarus ответственной за эту атаку. В качестве доказательств были и пересечения используемой инфраструктуры, и сходства в вредоносном ПО с использовавшимся в ходе DarkSeoul и Operation Blockbuster.
Взлом Банка Бангладеш привлек внимание к проблеме существования специализированного ПО для взлома SWIFT. Выяснилось, что в январе 2016 года более 12 млн. долларов было переведено хакерами через SWIFT из эквадорского банка BDA на счета в Гонконге. А в мае 2016 года вьетнамский банк Tie Phong признался, что в четвертом квартале 2015 года хакеры украли через SWIFT более 1,36 млн. долларов.
Но на этом кейсы со взломом SWIFT не закончились.
#APT #Lazarus
В мае 2016 года Symantec сообщили, что обнаружили еще более раннюю атаку на один из филиппинских банков, которая произошла в период до октября 2016 года. И опять, сходство программного кода в выявленном вайпере вело прямиком к Lazarus. Также Symantec упоминали об обнаруженных атаках хакеров на польский финансовый сектор.
Окончательную же точку в принадлежности атак на SWIFT группе Lazarus поставило расследование Лаборатории Касперского, результаты которого вышли весной 2017 года. В отчете инфосек вендор, в частности, сообщал о двух инцидентах с банками, которые он расследовал.
Первый инцидент произошел с "банком из Юго-Восточной Азии", назовем его Банк А (у нас есть догадка, что за финансовое учреждение скрывается под этим оперативным псевдонимом, но мы ее озвучивать не будем). Взлом сети (в том числе серверов SWIFT) банка был обнаружен в августе 2016 года, хотя по утверждению Касперских, произошел он более чем за 7 месяцев до этого, еще до кражи денег из Банка Бангладеш.
Точкой компрометации банковской сети послужил веб-сервер, который, судя по всему, был взломан в период проведения его пентеста со стороны привлеченной Банком А инфосек компании. То есть хакеры Lazarus замаскировали свою атаку под легальные попытки найти уязвимость во внешнем периметре сети. Это очень круто.
После того, как атака на Банк Бангладеш всплыла на поверхность, хакеры заморозили свою активность внутри сети Банка А, но спустя 2 месяца возобновили ее вновь. В мае 2016 года SWIFT Alliance обновил свое программное обеспечение с учетом бангладешской атаки, на что Lazarus ответили обновлением используемого вредоносного ПО. Успели ли хакеры украсть какие-либо деньги ЛК не сообщали.
Спустя несколько дней после начала активного вмешательства Lazarus в работу SWIFT, к расследованию были подключены Касперские. Северокорейские хакеры обнаружили это и стали активно скрывать следы своего присутствия в сети Банка А. Бодалово продолжалось около 2 месяцев, по итогу чего ЛК все-таки получили часть фактуры, включая некоторые образцы используемых вредоносов.
Второй инцидент произошел с "европейским банком" (назовем его Банк Б, из подробностей расследования понятно, что это польский банк), который был взломан в январе 2017 года. Взлом произошел через атаку на водопой, путем взлома и заражения одного из польских правительственных сайтов, с которого был подгружен вредонос, использовавший уязвимость в необновленном Adobe Flash Player (интересно, что у программы стояло автообновление, но она, видимо из-за сетевых проблем, не получила своевременный апдейт).
В этом случае Lazarus пытались шифроваться под русскоязычных хакеров, разместив в одном из эксплойтов выражения "chainik", "BabaLena", "vyzov-chainika" и "podgotovkaskotiny". Откуда Хон Гиль Доны взяли "подготовку скотины" – только им и известно.
Лаборатория Касперского нашла признаки компрометации со стороны Lazarus сайтов для дальнейших атак на водопой в России, Австралии, Уругвае, Мексике, Индии, Нигерии и Перу. Причем эти атаки были направлены не только на банковский сектор, но и на бизнес, связанный с криптовалютой. Финансовые учреждения по крайней мере 18 стран были атакованы Lazarus.
И это тоже еще не все.
#APT #Lazarus
Окончательную же точку в принадлежности атак на SWIFT группе Lazarus поставило расследование Лаборатории Касперского, результаты которого вышли весной 2017 года. В отчете инфосек вендор, в частности, сообщал о двух инцидентах с банками, которые он расследовал.
Первый инцидент произошел с "банком из Юго-Восточной Азии", назовем его Банк А (у нас есть догадка, что за финансовое учреждение скрывается под этим оперативным псевдонимом, но мы ее озвучивать не будем). Взлом сети (в том числе серверов SWIFT) банка был обнаружен в августе 2016 года, хотя по утверждению Касперских, произошел он более чем за 7 месяцев до этого, еще до кражи денег из Банка Бангладеш.
Точкой компрометации банковской сети послужил веб-сервер, который, судя по всему, был взломан в период проведения его пентеста со стороны привлеченной Банком А инфосек компании. То есть хакеры Lazarus замаскировали свою атаку под легальные попытки найти уязвимость во внешнем периметре сети. Это очень круто.
После того, как атака на Банк Бангладеш всплыла на поверхность, хакеры заморозили свою активность внутри сети Банка А, но спустя 2 месяца возобновили ее вновь. В мае 2016 года SWIFT Alliance обновил свое программное обеспечение с учетом бангладешской атаки, на что Lazarus ответили обновлением используемого вредоносного ПО. Успели ли хакеры украсть какие-либо деньги ЛК не сообщали.
Спустя несколько дней после начала активного вмешательства Lazarus в работу SWIFT, к расследованию были подключены Касперские. Северокорейские хакеры обнаружили это и стали активно скрывать следы своего присутствия в сети Банка А. Бодалово продолжалось около 2 месяцев, по итогу чего ЛК все-таки получили часть фактуры, включая некоторые образцы используемых вредоносов.
Второй инцидент произошел с "европейским банком" (назовем его Банк Б, из подробностей расследования понятно, что это польский банк), который был взломан в январе 2017 года. Взлом произошел через атаку на водопой, путем взлома и заражения одного из польских правительственных сайтов, с которого был подгружен вредонос, использовавший уязвимость в необновленном Adobe Flash Player (интересно, что у программы стояло автообновление, но она, видимо из-за сетевых проблем, не получила своевременный апдейт).
В этом случае Lazarus пытались шифроваться под русскоязычных хакеров, разместив в одном из эксплойтов выражения "chainik", "BabaLena", "vyzov-chainika" и "podgotovkaskotiny". Откуда Хон Гиль Доны взяли "подготовку скотины" – только им и известно.
Лаборатория Касперского нашла признаки компрометации со стороны Lazarus сайтов для дальнейших атак на водопой в России, Австралии, Уругвае, Мексике, Индии, Нигерии и Перу. Причем эти атаки были направлены не только на банковский сектор, но и на бизнес, связанный с криптовалютой. Финансовые учреждения по крайней мере 18 стран были атакованы Lazarus.
И это тоже еще не все.
#APT #Lazarus
12 мая 2017 года, весь мир накрыла волна ransomware WannaCry, использующего эксплойт EternalBlue и бэкдор DoublePulsar, которые принадлежали работающей под крышей АНБ группе Equation и были опубликованы таинственными хакерами Shadow Brockers в своем сливе Lost In Translation. По всему миру было заражено более 150 тыс. хостов, а ущерб от атаки оценивается в сумму до 4 млрд. долларов. Американцами и британцами, а также рядом инфосек вендоров авторами WannaCry считается как раз APT Lazarus. Но про WannaCry все слышали, поэтому мы особо заострять внимание на этом не будем.
Между делом Lazarus полезли еще и в мобильный сектор, когда начали создавать вредоносы под Android и с помощью фишинга заражать ими пользователей из Южной Кореи.
В 2017 года Lazarus атаковали южнокорейские критовалютные биржи и пользователей, владеющих криптой. В начале года они атаковали криптобиржу Bithumb, украв криптовалюты на сумму, эквивалентную 7 млн. долларов и личные данные более 30 тысяч пользователей. В конце этого же года, Lazarus развернули фишинговую кампанию, направленную на пользователей корейского текстового редактора Hangul, а также на криптовалютные биржи.
В том же 2017 году корейцы начали распространять троян удаленного доступа RATANKBA, больше 50% заражений которым пришлось на Индию.
В начале 2018 года они атаковали турецкий банковский сектор. Тогда же атаковали американские онлайн казино.
В то же году Lazarus запустили Operation AppleJeus, в рамках которой рассылали фишинговые письма со ссылкой на приложение, предназначенное для торговли криптовалютами. На деле, в загружаемом приложении скрывался модифицированный RAT FallChill, предназначенный не только для устройств под управлением Windows, но и для MacOS. Троян собирал информацию с зараженной машины, шифровал ее и отправлял на свой управляющий центр.
В том же году была вскрыта их киберкампания по созданию глобальной киберразведывательной сети, получившая название Operation GhostSecret.
В 2019 году северокорейские хакеры продолжили атаковать криптовалютный бизнес и проводить киберразведку. И прочее, и прочее…
В общем, как вы уже поняли, хакеры из группы Lazarus являются одними из самых продуктивных в мире. Их атаки отслеживаются и по сей момент – последнюю новость про Lazarus мы писали буквально неделю назад, когда была выявлена рассылка вредоноса, маскирующегося под предложение о работе от компании Disney.
Без всякого сомнения, Lazarus это высокопрофессиональные хакеры, обладающие как необходимой технической подготовкой, так и умением планировать долгосрочные многоэтапные киберкампании.
#APT #Lazarus
Между делом Lazarus полезли еще и в мобильный сектор, когда начали создавать вредоносы под Android и с помощью фишинга заражать ими пользователей из Южной Кореи.
В 2017 года Lazarus атаковали южнокорейские критовалютные биржи и пользователей, владеющих криптой. В начале года они атаковали криптобиржу Bithumb, украв криптовалюты на сумму, эквивалентную 7 млн. долларов и личные данные более 30 тысяч пользователей. В конце этого же года, Lazarus развернули фишинговую кампанию, направленную на пользователей корейского текстового редактора Hangul, а также на криптовалютные биржи.
В том же 2017 году корейцы начали распространять троян удаленного доступа RATANKBA, больше 50% заражений которым пришлось на Индию.
В начале 2018 года они атаковали турецкий банковский сектор. Тогда же атаковали американские онлайн казино.
В то же году Lazarus запустили Operation AppleJeus, в рамках которой рассылали фишинговые письма со ссылкой на приложение, предназначенное для торговли криптовалютами. На деле, в загружаемом приложении скрывался модифицированный RAT FallChill, предназначенный не только для устройств под управлением Windows, но и для MacOS. Троян собирал информацию с зараженной машины, шифровал ее и отправлял на свой управляющий центр.
В том же году была вскрыта их киберкампания по созданию глобальной киберразведывательной сети, получившая название Operation GhostSecret.
В 2019 году северокорейские хакеры продолжили атаковать криптовалютный бизнес и проводить киберразведку. И прочее, и прочее…
В общем, как вы уже поняли, хакеры из группы Lazarus являются одними из самых продуктивных в мире. Их атаки отслеживаются и по сей момент – последнюю новость про Lazarus мы писали буквально неделю назад, когда была выявлена рассылка вредоноса, маскирующегося под предложение о работе от компании Disney.
Без всякого сомнения, Lazarus это высокопрофессиональные хакеры, обладающие как необходимой технической подготовкой, так и умением планировать долгосрочные многоэтапные киберкампании.
#APT #Lazarus
Инфосек компания Intego выявила в дикой природе новый образец вредоноса Shlayer, предназначенного для MacOS.
Shlayer распространяется под видом обновления Adobe Flash Player. В целях скрытия от антивирусного ПО он загружается как образ диска, который монтируется после открытия и показывает инструкции по дальнейшей установке.
Самое удивительное, что инструкция советует пользователю "нажать правой кнопкой мыши на Flash Installer и выбрать пункт Открыть". Как известно, в родных мышах Apple просто нет правой кнопки мыши, кнопка там одна. Равно как и на тачпадах макбуков кнопки вообще отсутствуют. И не все знают как эмулировать нажатие несуществующей правой кнопки.
Лично нас такая несостыковка напрягла бы. Но если пользователь достаточно упорен в своем стремлении поставить таки странный Flash Player, то вместо инсталлятора он запустит bash-скрипт, который извлекает из запароленного ZIP-архива вредонос и запускает его, после чего выходит из терминала. А уже потом загружается легальный установщик Adobe Flash Player.
Такой механизм работы свидетельствует, что хакеры придумывают новые способы обхода антивирусной защиты.
Что же, MacOS уже не такая безопасная, как считалось ранее.
Shlayer распространяется под видом обновления Adobe Flash Player. В целях скрытия от антивирусного ПО он загружается как образ диска, который монтируется после открытия и показывает инструкции по дальнейшей установке.
Самое удивительное, что инструкция советует пользователю "нажать правой кнопкой мыши на Flash Installer и выбрать пункт Открыть". Как известно, в родных мышах Apple просто нет правой кнопки мыши, кнопка там одна. Равно как и на тачпадах макбуков кнопки вообще отсутствуют. И не все знают как эмулировать нажатие несуществующей правой кнопки.
Лично нас такая несостыковка напрягла бы. Но если пользователь достаточно упорен в своем стремлении поставить таки странный Flash Player, то вместо инсталлятора он запустит bash-скрипт, который извлекает из запароленного ZIP-архива вредонос и запускает его, после чего выходит из терминала. А уже потом загружается легальный установщик Adobe Flash Player.
Такой механизм работы свидетельствует, что хакеры придумывают новые способы обхода антивирусной защиты.
Что же, MacOS уже не такая безопасная, как считалось ранее.
Threatpost
Shlayer Mac Malware Returns with Extra Sneakiness
Spreading via poisoned Google search results, this new version of Mac's No. 1 threat comes with added stealth.
Ресерчер Томми Мьюр обнаружил в популярном видеоплеере VLC уязвимость CVE-2020-13428, которая позволяет злоумышленнику вызвать сбой программы или удаленно выполнить произвольный код в атакуемой системе с привилегиями пользователя, запустившего VLC.
Хакер может сделать это используя подготовленный специальным образом файл или видеострим. Уязвимость актуальна для версии видеоплеера 3.0.10 и более ранних.
И хотя эксплойта этой уязвимости пока не выявлено, рекомендуем всем срочно обновить VLC до версии 3.0.11
https://www.videolan.org/security/sb-vlc3011.html
Хакер может сделать это используя подготовленный специальным образом файл или видеострим. Уязвимость актуальна для версии видеоплеера 3.0.10 и более ранних.
И хотя эксплойта этой уязвимости пока не выявлено, рекомендуем всем срочно обновить VLC до версии 3.0.11
https://www.videolan.org/security/sb-vlc3011.html
www.videolan.org
VideoLAN Security Bulletin VLC 3.0.11 - VideoLAN
Ровно десять лет назад, 18 июня 2010 года, белорусский исследователь Сергей Уласень обнаружил вредонос Stuxnet, самый известный образец кибероружия, который спецслужбы Израиля и США использовали для выведения из строя центрифуг для обогащения урана, задействованных в иранской ядерной программе.
Два независимых исследователя Адам Николсон и d4rkn3ss обнаружили уязвимость, которая затрагивает 758 версий прошивки в 79 различных моделях маршрутизаторов Netgear.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику перехватить управление маршрутизатором с помощью вредоносных HTTP-запросов без использования учетных данных его владельца.
Несмотря на то, что производитель узнал об уязвимости еще в начале года, из-за большого количества затрагиваемых устройств необходимый апдейт до сих пор не выпущен. При этом, поскольку Netgear обозначил 15 июня в качестве дедлайна, ресерчеры опубликовали отчеты с подробным описанием уязвимости.
Это значит только одно - до появления рабочих эксплойтов осталось пара суток, если не несколько часов.
Маршрутизаторы Netgear в достаточной мере распространены и в России.
Рекомендуем перестать ими пользоваться до момента выхода соответствующего патча. Список уязвимых моделей можно найти в статье ZeroDay.
ZDNet
Unpatched vulnerability identified in 79 Netgear router models
Bug lets attackers run code as "root" on vulnerable routers. Impacted routers go back to 2007.
Немного из истории информационной безопасности.
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
1930-е. Технические специалисты американской SIS, предшественника АНБ, проводят первые натурные испытания фишинговой рассылки.
https://twitter.com/engineers_feed/status/1273523565061705729
Twitter
World of Engineering
Early attempts to deliver mail by rocket plane in the 1930s
BleepingComputer пишет про очередную любопытную уловку хакеров по скрытию вредоносного кода.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
Исследователи компании Huntress Labs обнаружили атаку, в которой злоумышленник, получив доступ к целевой системе, использовал файл a.chk, который, на первый взгляд, выглядит как журнал ошибок какого-то приложения. В последнем его столбце содержатся некие шестнадцатеричные значения, которые на самом деле являются десятичной кодировкой символов ASCII.
Закодированные символы извлекаются одним из вредоносных файлов и преобразуются в скрипт, который используется для сбора данных о взломанной системе.
Само собой это не самый изощренный механизм сокрытия полезной нагрузки, но он показывает, что в стремлении остаться незамеченными хакеры будут придумывать все новые трюки, иногда весьма интересные.
ZeroDay дает ссылку на очень интересный эксперимент, проведенный группой исследователей из Кембриджа и компании SecuriOT, результаты которого озвучены на НАТОвской киберконференции CyCon.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Ресерчеры создали сеть из 120 ханипотов (ресурсов-приманок) в 22 странах, которые имитировали программируемые логические контроллеры (ПЛК) и удаленные терминалы промышленных систем управления (ICS, АСУ ТП).
В течение 13 месяцев было зафиксировано более 80 тыс. обращений к ханипотам, 9 из которых были кибератаками.
Любопытно посмотреть на связки страна-источник - страна-цель:
США атачит Китай;
Китай - Польшу;
Россия - США;
Украина - Китай;
Вьетнам набигает одновременно на Францию, Литву и Польшу;
Сейшелы зачем-то ломятся в Чехию.
Хотя, скорее всего, атаки совершаются из-под заранее скомпрометированных ресурсов и поэтому приведенные связки не указывают нам на истинного инициатора атаки.
А вот что действительно интересно - исследователи обнаружили 4 атаки, использующие 0-day уязвимости в промышленных протоколах, например в S7comm и Modbus.
Это означает что, во-первых, состояние дел в информационной безопасности промышленных систем из рук вон плохое, и, во-вторых, что атакующие всерьез заинтересованы в нарушении работы и в проникновении в технологические сети крупных промышленных объектов.
Атакующими выступают, скорее всего, прогосударственные APT - по крайней мере, имеющиеся примеры свидетельствуют в пользу этой версии.
А в качестве целей могут выступать и химические производства, и предприятия энергетического сектора, и коммунальный сектор (мы уже видели атаки на каждую из этих отраслей). И это со временем может привести к очередному Бхопалу.
Судя по поднявшемуся в Twitter шуму, Blu-ray плееры Samsung, в том числе входящие в комплект домашних кинотеатров, по всему миру начали сходить в ума.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Начиная с пятницы Blu-ray плееры либо начинают входить в бесконечный цикл перезагрузки, либо пытаются постоянно прочитать диск, даже если слот пустой, либо просто намертво зависают.
Не похоже, что проблема вызвана обновлением прошивок, поскольку пострадало множество моделей плееров, некоторые из которых являются устаревшими. Более вероятное объяснение заключается в устаревшем сертификате SSL, который используют Blu-ray плееры Samsung.
Техподдержка корейской компании пока ответов не дает. Выходные же, чего напрягаться.
В любом случае, какой бы не была причина столь масштабных сбоев, случившееся сильно ударит по привлекательности бренда Samsung.
Twitter
Scott
@SamsungSupport This is happening to Blu-Ray home theaters around the world. Look at the Samsung Community posts. We don’t need the hardware serviced, we need you to fix the problem! What is up?!? https://t.co/0iDTExuYYr