​​Мы когда вангуем про "дивный новый мир", в котором у каждого геополитического центра силы будет свой Интернет со своими онлайн-казино и dosug .cz, - мы не одиноки в своем мнении.

Уважаемые инфосек эксперты имеют аналогичное понимание ситуации.

Как сообщает наш подписчик, владельцы банковского трояна Cerberus случайно (или специально) раскрыли его исходники на хакерском форуме xss .is совместно с модератором.

В треде, посвященном трояну, модератор по просьбе топикстартера спрятал в хайд исходный код, не учтя, что все владельцы премиум аккаунтов форума могут просматривать скрытое содержимое.

Теперь исходники Cerberus оказались в паблике и нас ждет, вероятно, нашествие клонов.

Специалисты Check Point провели исследование, в процессе которого смогли проникнуть в целевую IP-сеть через "умную" лампочку Philips Hue.

По приведенной ссылке содержится очень подробный отчет, описывающий технические подробности исследования, мы же, как обычно, постараемся сберечь время подписчиков и дадим краткий обзор.

Два года назад израильские ресерчеры смогли взломать сеть "умных" лампочек Philips Hue, построенную по технологии ZigBee, специально предназначенной для подобных маломощных низкоскоростных сетей. Тогда исследователям удалось удаленно "украсть" лампочку c использованием дрона с расстояния в 350 метров, заслать на нее обновление с вредоносом и, самое неприятное, запустить с скомпрометированной лампочки IoT-червя, который был способен перемещаться на соседние "умные" лампочки, даже если они находились в другой сети ZigBee.

Philips устранили уязвимость, позволявшую червю распространяться, но остальные ошибки остались актуальными.

В этот раз израильтяне решили пойти дальше и захватить сетевой мост Philips Hue Bridge, с помощью которого управляется сеть "умных" лампочек и который подключается к Интернет. Они смогли найти новую уязвимость в мосте, связанную с переполнением буфера, а также нашли ключ, с помощью которого лампочки и мост шифруют свои сообщения.

Специалисты Check Point выяснили, что для эксплуатации выявленных ошибок им необходимо ввести в сеть новую лампочку, но это можно сделать только если пользователь целенаправленно укажет мосту Philips Hue искать новую лампочку через управляющее приложение.

В результате они разработали следующий сценарий атаки:
- одна из "умных" лампочек "крадется" ранее разработанным способом;
- цвет украденной лампочки меняется на максимально раздражающий, что побуждает пользователя думать что она засбоила, но, в целом, еще может работать;
- хакер меняет прошивку украденной лампочки и она отображается в приложении как недоступная;
- пользователь удаляет ее из сети и пытается найти еще раз, в этот момент начинается сама атака;
- поскольку украденная лампочка уже включена хакером в другую сеть ZigBee, мост не может ее найти, а вместо нее злоумышленник под видом новой лампочки подключается к мосту и заливает на него бэкдор;
- внедренный в Philips Hue Bridge вредонос подключается к управляющему центру через Интернет. Бинго, целевая сеть скомпрометирована.

Красивая и необычная атака. Опасайтесь умных домов, как на духу говорим.

Интересные материалы с DEFCON.

Исследователь Ямила Левалль из Dreamlab Technologies рассказала как она смогла обойти аутентификацию различных сканеров отпечатков пальцев.

Существуют несколько типов атак на биометрические системы. Можно проводить физическую атаку на сенсоры, а можно спуфить, подставляя сканеру поддельные отпечатки. Левалль рассмотрела как раз тонкости спуфинга.

Как оказалось, сканеру отпечатков пальцев не обязательно отслеживать весь набор индивидуальных особенностей конкретного человека в процессе функционирования - ему достаточно основных папиллярных узоров.

Левалль использовала относительно недорогой фотополимерный 3D-принтер Anycubic Photon (в России стоит около 30 тыс. рублей), который позволяет печатать с толщиной слоя в 25 микрон, в то время как гребни отпечатков пальца имеют высоту от 20 до 60 микрон.

Сначала ресечерка (да, мы в феминистическом тренде) скрытно сделала цифровой снимок отпечатка пальца с помощью режима макросъемки и улучшила его цифровым способом. Затем на основании снимка была создана трехмерная модель в TinkerCAD.

На последнем этапе на 3D принтере были распечатаны несколько отпечатков пальца. Основной проблемой являлся подбор правильной длины и ширины, поскольку делать точные измерения на натуре на было возможности. С десятой попытки удалось создать достаточно точную копию, чтобы можно было обмануть сканеры отпечатков.

Так что в ближайшей перспективе фокусы супершпионов из голливудских боевиков с подделкой отпечатков пальцев можно будет проворачивать в домашних условиях. Ну, или через сеть за небольшую плату в BTC.

Разработчики Threema объявили о запуске сервиса видеозвонков в своем мессенджере. При этом обещают полноценное сквозное шифрование и еще что-то ненужное.

С учетом того, что предлагающие подобную функцию мессенджеры "не до конца" приватны, а, например, в том же Signal видеозвонки отсутствуют, это очень неплохая новость.

(хотя, если честно, Threema мы тоже полностью не доверяем)

В инфосек среде активно обсуждают опубликованное на Medium расследование в отношении выходных узлов Tor.

Согласно его материалам, в конце мая этого года, на пике, более 23% (!) выходных узлов Tor контролировалось одним злоумышленником/группой злоумышленников (ясно, что при частом использовании Tor вероятность попадания на "вредоносный" выходной узел резко увеличивалась).

Поскольку выходной узел является единственным в цепочке Tor-узлов, на котором виден клиентский трафик в незашифрованном виде, то злоумышленники могли использовать подконтрольные узлы для атаки "Man-in-the-middle", чтобы модифицировать проходящий трафик в своих интересах. По данным исследователей, хакеры выборочно убирали перенаправление HTTP-to-HTTPs (т.н. SSL stripping), после чего заменяли BTC-кошельки в проходящих через них криптотранзакциях на свои.

Обращает на себя внимание тот факт, что хакеры продемонстрировали способность восстановления своей вредоносной инфраструктуры после проводимых администрацией Tor чисток. На данный момент, по оценкам исследователей, злоумышленники контролируют до 10% выходных узлов Tor.

Евгений Валентинович Маск наносит ответный удар!

Вчера ФАС признала, что компания Apple злоупотребляет доминирующим положением на рынке распространения приложений. Купертиновцам будет выдано предписание об устранении нарушения.

Всю историю, которая объясняет из-за чего начался сыр-бор, Касперские приводят в своем блоге.

В двух словах, в марте ЛК подали жалобу в ФАС из-за выпущенного в 2019 году Apple запрета на использование конфигурационных профилей в Kaspersky Safe Kids, которая до этого три года спокойно висела в AppStore. Касперские связали это с запуском функции Screen Time, которая появилась в iOS 12 и которая частично дублировала функционал Kaspersky Safe Kids.

Они не одиноки в своей боротьбе с Apple - с похожими жалобами в Еврокомиссию обратились разработчики приложений родительского контроля Kidslox и Qustodio. Жаловалась в Еврокомиссию и Spotify.

Apple, понятное дело, не согласились с решением ФАС и заявили, что планируют его обжаловать.

Они такие смелые потому, что просто не знают какие страшные у нас регуляторные органы. Смотрите, Apple, допрыгаетесь до штрафа в миллион рублей, вся EBITDA коту под хвост!

​​Определенно, крылатая фраза Черномырдина "Никогда такого не было, и вот опять" является отраслеобразующей в информационной безопасности.

Помнится совсем недавно был небольшой скандал, связанный с нарушением приватности пользователей компанией Apple. Тогда бывший субподрядчик Apple, который разрабатывал ПО для прослушивания записей Siri, сообщил европейским регуляторам что Apple записывает аудио со всех устройств - iPhone, Apple Watch и iPad, - вне активации Siri, а затем пересылает аудиоданные на сервера компании.

Теперь аналогичная история случилась с Google.

В августе некоторые из пользователей Reddit сообщили, что умная колонка Google Home внезапно стала присылать им уведомления о срабатывании в доме детектора дыма или разбитии стекла. При этом, команда активации типа "Ok, Google" пользователем не подавалась.

Google пояснили, что это произошло в результате сбоя после обновления ПО для производимых ими умных колонок. Дело в том, что в мае был запущен сервис Nest Aware, в рамках которого умные устройства Google реагируют на любые "критические" звуки в доме и оповещают пользователя. А в результате апдейта некоторые из пользователей были случайно подключены к этому сервису без их уведомления.

Мы допускаем версию Google, только с некоторыми исправлениями. Скорее всего, умные колонки Google и не прекращали писать все звуки подряд. Просто серверная часть сервиса Nest Aware засбоила и стала реагировать на критические звуки для некоторых пользователей, которые не были подписаны.

Вот такая приватность, товарищи. Кстати, в Яндекс Станциях в настройках по умолчанию включена опция Помогать Алисе стать лучше, которая подразумевает анонимную передачу специалистам Яндекс голосовых и текстовых сообщений, которые пользователь отправляет Алисе. Скорее всего, речь идет о командах, которые пользователь отдает Алисе целенаправленно, хотя кто знает...

Ваш телефон - шпионское устройство

В 2017 году на Wikileaks утекла информация о том, что ЦРУ могут скрытно активировать камеру и микрофон любого девайса под управлением iOS или Android. Наши смартфоны — полноценные шпионские устройства, которые мы добровольно носим с собой каждую секунду, делясь самыми интимными подробностями своей жизни.

Об этом и многом другом пишут на Эксплойте. Это один из лучших каналов по кибербезопасности в Telegram, где автор рассказывает о самых изощренных способах отслеживания людей в интернете, на которые вы 100% попадались, но даже не знали об этом.

А недавно там вышел пост о том, как защитить свой смартфон от нежелательной прослушки.

Подписывайтесь и оставайтесь на страже своей безопасности и анонимности в интернете.
➡️ Эксплойт

И помните, что «За безопасность необходимо платить, а за её отсутствие - расплачиваться» (Уинстон Черчилль)

Очередной оператор ransomware - Avaddon - запустил сайт, на котором планирует публиковать украденные данные в случае если жертва не заплатит выкуп.

Напомним, что мода на открытую публикацию краденной информации появилась у вымогателей в конце прошлого года, когда самый, пожалуй, активный и продвинутый оператор Maze, работающий по схеме Ransomware-as-a-Service, первым запустил подобный сайт и широко сообщил об этом.

Остается признать, что подобное поведение стало мейнстримом среди операторов вымогателей и скоро вообще все вымогатели, включая WastedLocker от Evil Corp., будут в обязательном порядке красть данные перед шифрованием. А возможно часть ransomware вообще откажется от шифрования, как от ненужного атавизма.

А вот эффективного механизма противодействия, кроме надежной защиты внешнего периметра, пока не придумали.

Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C-01. Мы полезли посмотреть и немного зависли.

Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.

Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.

Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.

В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".

Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.

Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.

Будем смотреть дальше, вдруг чего еще найдем.

#APT #APTC01 #PoisonVine

Вчера Microsoft выпустила очередное месячное обновление безопасности, в котором исправила 120 уязвимостей, 17 из которых получили наивысший рейтинг критичности, а две являются уязвимостями нулевого дня.

Первая 0-day уязвимость CVE-2020-1464 касается механизма проверки подписи файлов Windows и при эксплуатации позволяет злоумышленнику загрузить некорректно подписанный файл. Технические подробности не доступны.

Вторая 0-day, CVE-2020-1380, была выявлена Касперскими и находится в механизме обработки скриптов Internet Explorer. При этом, поскольку этот механизм используется и другим ПО от Microsoft, например, Office, ошибке подвержены и эти продукты. Уязвимость позволяет хакеру удаленно выполнить произвольный код и была найдена в дикой природе (то есть хакеры использовали ее в реальных атаках).

Как всегда, всем используемым продукты Microsoft необходимо срочно обновиться.

И вчера же Adobe выпустили обновление безопасности для Adobe Acrobat и Reader, в котором исправили 26 уязвимостей, 11 из которых являются критическими.

И целых девять уязвимостей при эксплуатации приводят к удаленному выполнению кода со стороны хакера.

Опять же, всем желательно срочно обновить уязвимое ПО.

Небольшое дополнение к сегодняшнему посту про закрытые Microsoft 0-day уязвимости, одна из которых была найдена Касперскими в дикой природе.

Поскольку апдейт безопасности был вчера выпущен, ЛК опубликовали подробности в отношении найденной уязвимости.

Оказывается, ее эксплойт был обнаружен в мае этого года в ходе атаки, которую Касперские назвали Operation PowerFall. Тогда под ударом оказалась компания из Южной Кореи.

В качестве возможного автора атаки они называют APT DarkHotel. И вот тут интересно - похоже, что Касперские считают DarkHotel северокорейской хакерской группой. Хотя ряд инфосек вендоров, включая китайцев, которых DarkHotel регулярно атакуют, полагают, что эти хакеры родом из Сеула (сами мы склоняемся ко второй версии).

В любом случае это лишний раз подтверждает тот факт, что прогосударственные APT вовсю используют 0-day уязвимости в своих атаках.

Мы позавчера обещали дать краткий обзор деятельности APT-C-01 она же PoisonVine и GreenSpot, которую мы обнаружили в обзорах китайского инфосека. Выполняем.

Кстати, интересный факт, по классификации китайского инфосек вендора Qihoo 360, которому принадлежит формат "APT-C-xx" обозначения хакерских групп, гордое наименование APT-C-00 принадлежит вьетнамской Ocean Lotus (мы про них писали вот тут). Видимо, это первая прогосударственная хакерская группа, которую Qihoo 360 обнаружили. Ну, или самая грозная с их точки зрения.

Вернемся к APT-C-01. Достоверных сведений когда ее активность впервые была обнаружена мы, к сожалению, не нашли. Китайская Antiy утверждает, что первые признаки возможной деятельности PoisonVine относятся к 2007 году. Тогда неизвестный актор атаковал китайские ресурсы с использованием переписанных под свои нужны opensource инструментов и бесплатного ПО. К примеру, для упаковки украденной информации хакеры использовали модифицированный RAR (кажется, где-то недавно мы подобное встречали). Целью атак являлся сбор информации с скомпрометированных систем.

Несмотря на невысокий технический уровень, хакеры профессионально владели навыками социальной инженерии, а в качестве приманок использовали качественно подготовленные документы на основе взятых из официальных китайских источников.

Вторая волна активности, которую уже уверенно приписывают PoisonVine, началась в 2011 году. Основным методом атак тайваньских хакеров являлся целевой фишинг, а основными целями - китайские правительственные учреждения и НИИ, связанные с оборонкой и авиацией. На этот раз навыки PoisonVine выросли, они уже использовали свежие уязвимости, полноценные RAT с функционалом infostealer'а.

Появились у них и свои авторские методики сокрытия вредоносов от антивирусного ПО. К примеру, используя CVE-2012-0158, затрагивающую Microsoft Office и приводящую к RCE, хакеры стали прятать эксплойт не в документ RTF, как это делалось другими злоумышленниками, а в файлы MHT, что затрудняло его обнаружение.

Другую уязвимость, CVE-2014-4114, затрагивающую линейку ОС Windows и также приводящую к удаленному выполнению кода в атакованной системе, PoisonVine применяли еще до ее обнаружения в октябре 2014 года. Либо тайваньцы купили данные о ней, либо первые ее обнаружили.

В любом случае, их уровень существенно вырос.

В 2017 году PoisonVine провели очередную мощную фишинговую киберкампанию против китайских ресурсов. Они вовсю использовали популярные кибершпионские трояны Poison Ivy и Gh0st, а также бэкдоры ZXShell, переписанные под разные виды целей и с дополнительным функционалом для скрытия от антивирусов.

В качестве ключевых слов для старта сбора информации выступали "армия", "война" и пр. (всего двенадцать терминов), что дает четкое представление о направленности тайваньских хакеров.

В 2018-2020 годах APT-C-01 провела очередную кибероперацию против китайских правительственных и исследовательских учреждений. Основным методом опять же являлся целевой фишинг, направленный на получение учетных данных пользователей, в частности для взятия под контроль их почтовых ящиков.

В этот раз хакеры допустили достаточно много ошибок, которые позволили с достаточной долей вероятности идентифицировать их, как принадлежащих к Тайваню - тайваньский вариант китайского языка, использовавшийся в шрифтах по умолчанию и комментариях в коде вредоносов, несколько неспрятанных IP-адресов, ведущих в Тайбэй и пр.

Остается добавить, что среди тайваньских спецслужб есть две, которые могут потенциально играть роль кураторов PoisonVine. Первая - Бюро военной разведки (MIB) Минобороны, а вторая - 5 Департамент Бюро национальной безопасности (NSB). И если в пользу первой может свидетельствовать заинтересованность хакеров в военной тематике, то аргументом за второй вариант является тот факт, что NSB официально сотрудничает с АНБ, которая могла стать источником использовавшихся PoisonVine 0-day эксплойтов.

#APT #APTC01 #PoisonVine #GreenSpot

Сегодня Check Point сообщили, что смогли взломать виртуального помощника Amazon Alexa, аналог яндексовской Алисы. Сообщалось, что продано 200 млн. устройств на базе Alexa, существенная часть которых являются компонентами умного дома.

Amazon заявляет, что Alexa работает на основе искусственного интеллекта. Пользователи могут расширить ее возможности, установив т.н. skills - дополнительные функции, разработанные сторонними поставщиками.

Через это механизм skills исследователи и взломали Alexa.

Некоторые поддомены Amazon оказались уязвимы перед неправильной конфигурацией CORS (совместно использование ресурсов между разными источниками) и межсайтовым скриптингом (XSS). Как следствие, ресерчеры смогли перехватить учетные данные пользователя Alexa и внедрить на пользовательское устройство вредоносный код под видом одного из "умений".

Для реализации атаки оказалось достаточно, чтобы пользователь перешел по вредоносной ссылке, присланной ему хакерами.

Какие же данные смогли получить исследователи с взломанной Alexa? Историю голосовых команд, личную информацию жертвы, а также технические данные скомпрометированного устройства.

Уязвимости были найдены Check Point в июне и к настоящему времени уже исправлены Amazon.

Между тем мы всегда говорили, что чем больше свистелок будет прикручено к сети, тем больше угроз информационной безопасности будет возникать. Вот увидите, мы еще станем свидетелями восстания пылесосов и умных соковыжималок.

Сегодня Group-IB (кстати, кто-нибудь объяснит зачем Сачков с таким упорством пытается изобразить компанию сингапурской, он же совсем не похож на китайца?) опубликовали отчет о новой APT RedCurl, специализирующейся на корпоративном шпионаже.

Впервые Group-IB заявили о RedCurl в конце прошлого года. Активность хакеров, которая началась не позже мая 2018 года, направлена на кражу внутренней документации и данных сотрудников в компаниях страховой, консалтинговой, добывающей, туристической, юридической, металлургической и строительной отраслей, а также из сферы ретейла. После кражи информации злоумышленники устанавливали криптомайнеры Monero (эту крипту, между прочим, очень любит оператор ransomware Sodinokibi aka REvil).

За время наблюдения исследователи зафиксировали 26 атак RedCurl на компании из 6 стран мира - России, Канады, Великобритании, Норвегии, Германии и Украины.

В качестве способа атаки используется целевой фишинг, причем Group-IB заявляет, что хакеры тщательно готовят свои приманки, применяя высокие навыки социальной инженерии (например, присылая письма о годовом бонусе одновременно нескольким сотрудникам одного подразделения). Полезную нагрузку хакеры хранят в общедоступных облачных хранилищах.

Кроме непосредственно кражи информации с скомпрометированной машины и учетных данных пользователя, вредоносы имеют функционал бокового перемещения для распространения внутри целевой сети.

ГрИБы заявляют, что после первичной компрометации сети компании хакеры проводят там достаточно много времени - от 2 до 6 месяцев, аккуратно анализируя информацию и распространяясь дальше.

Судя по географии и сфере интересов RedCurl являются коммерческими хакерами, специализирующейся именно на кибершпионаже (хотя, возможно, это такое прикрытие для прогосударственной APT). Так что появление таких активных и профессиональных групп - лишний повод для бизнеса усилить предпринимаемые меры по информационной безопасности.

​​Команда исследователей Рурского университета и Нью-Йоркского университета в Абу-Даби представила новую атаку ReVoLTE, которая позволяет перехватывать голосовые вызовы VoLTE в сетях 4G и 5G.

VoLTE (Voice over LTE) - передача голоса по LTE как потока данных. В России используется всеми ведущими сотовыми операторами.

Атака основана на том, что большинство мобильных операторов плохо настраивают свои базовые станции, в результате чего VoLTE используют одни и те же ключи в двух последовательных близких звонках.

Атака реализуется следующим образом. Злоумышленник подключается к той же базовой станции, что и жертва, и устанавливает сниффер канала для записи целевого вызова. После того, как целевой вызов завершен, злоумышленник в течение 10 секунд делает новый вызов жертве, в котором используется тот же ключ шифрования. Зная открытый и закрытый (который записан сниффером) потоки данных второго вызова, злоумышленник может получить ключевую последовательность, после чего расшифровать содержимое первого целевого звонка.

При этом длительность второго вызова должна быть не меньше длительности целевого вызова.

Исследователи продемонстрировали практическую реализацию ReVoLTE, при этом ее стоимость составила менее 7 тыс. долларов США. При произвольной проверке базовых станций немецких сотовых операторов, выяснилось, что 12 из 15 БС уязвимы перед этой атакой.

Чтобы проверить, подвержена та или иная БС атаке ReVoLTE ресерчеры выпустили приложение Mobile Sentinel для Android, которое определяет уязвима или нет конкретная базовая станция. Для работы приложения требуется смартфон на базе Qualcomm с рутовыми правами.

А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне

Вчера АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ.

По утверждению американцев, Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное предназначения Drovorub - поиск и эксфильтрация информации.

Хотелось бы дождаться аналогичных отчетов в отношении, например, Regin. Но, к сожалению, как гласит Malpedia, "Regin is a sophisticated malware and hacking toolkit attributed to United States' National Security Agency (NSA) for government spying operations" (на самом деле, это англичане).

С другой стороны, все наши придирки надуманы - американцы, совершенно логично, преследуют свои национальные интересы в киберпространстве.

А вот где аналогичные отчеты от ФСБ - вопрос вопросов.