Очередной оператор ransomware - Avaddon - запустил сайт, на котором планирует публиковать украденные данные в случае если жертва не заплатит выкуп.

Напомним, что мода на открытую публикацию краденной информации появилась у вымогателей в конце прошлого года, когда самый, пожалуй, активный и продвинутый оператор Maze, работающий по схеме Ransomware-as-a-Service, первым запустил подобный сайт и широко сообщил об этом.

Остается признать, что подобное поведение стало мейнстримом среди операторов вымогателей и скоро вообще все вымогатели, включая WastedLocker от Evil Corp., будут в обязательном порядке красть данные перед шифрованием. А возможно часть ransomware вообще откажется от шифрования, как от ненужного атавизма.

А вот эффективного механизма противодействия, кроме надежной защиты внешнего периметра, пока не придумали.

Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C-01. Мы полезли посмотреть и немного зависли.

Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.

Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.

Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.

В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".

Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.

Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.

Будем смотреть дальше, вдруг чего еще найдем.

#APT #APTC01 #PoisonVine

Вчера Microsoft выпустила очередное месячное обновление безопасности, в котором исправила 120 уязвимостей, 17 из которых получили наивысший рейтинг критичности, а две являются уязвимостями нулевого дня.

Первая 0-day уязвимость CVE-2020-1464 касается механизма проверки подписи файлов Windows и при эксплуатации позволяет злоумышленнику загрузить некорректно подписанный файл. Технические подробности не доступны.

Вторая 0-day, CVE-2020-1380, была выявлена Касперскими и находится в механизме обработки скриптов Internet Explorer. При этом, поскольку этот механизм используется и другим ПО от Microsoft, например, Office, ошибке подвержены и эти продукты. Уязвимость позволяет хакеру удаленно выполнить произвольный код и была найдена в дикой природе (то есть хакеры использовали ее в реальных атаках).

Как всегда, всем используемым продукты Microsoft необходимо срочно обновиться.

И вчера же Adobe выпустили обновление безопасности для Adobe Acrobat и Reader, в котором исправили 26 уязвимостей, 11 из которых являются критическими.

И целых девять уязвимостей при эксплуатации приводят к удаленному выполнению кода со стороны хакера.

Опять же, всем желательно срочно обновить уязвимое ПО.

Небольшое дополнение к сегодняшнему посту про закрытые Microsoft 0-day уязвимости, одна из которых была найдена Касперскими в дикой природе.

Поскольку апдейт безопасности был вчера выпущен, ЛК опубликовали подробности в отношении найденной уязвимости.

Оказывается, ее эксплойт был обнаружен в мае этого года в ходе атаки, которую Касперские назвали Operation PowerFall. Тогда под ударом оказалась компания из Южной Кореи.

В качестве возможного автора атаки они называют APT DarkHotel. И вот тут интересно - похоже, что Касперские считают DarkHotel северокорейской хакерской группой. Хотя ряд инфосек вендоров, включая китайцев, которых DarkHotel регулярно атакуют, полагают, что эти хакеры родом из Сеула (сами мы склоняемся ко второй версии).

В любом случае это лишний раз подтверждает тот факт, что прогосударственные APT вовсю используют 0-day уязвимости в своих атаках.

Мы позавчера обещали дать краткий обзор деятельности APT-C-01 она же PoisonVine и GreenSpot, которую мы обнаружили в обзорах китайского инфосека. Выполняем.

Кстати, интересный факт, по классификации китайского инфосек вендора Qihoo 360, которому принадлежит формат "APT-C-xx" обозначения хакерских групп, гордое наименование APT-C-00 принадлежит вьетнамской Ocean Lotus (мы про них писали вот тут). Видимо, это первая прогосударственная хакерская группа, которую Qihoo 360 обнаружили. Ну, или самая грозная с их точки зрения.

Вернемся к APT-C-01. Достоверных сведений когда ее активность впервые была обнаружена мы, к сожалению, не нашли. Китайская Antiy утверждает, что первые признаки возможной деятельности PoisonVine относятся к 2007 году. Тогда неизвестный актор атаковал китайские ресурсы с использованием переписанных под свои нужны opensource инструментов и бесплатного ПО. К примеру, для упаковки украденной информации хакеры использовали модифицированный RAR (кажется, где-то недавно мы подобное встречали). Целью атак являлся сбор информации с скомпрометированных систем.

Несмотря на невысокий технический уровень, хакеры профессионально владели навыками социальной инженерии, а в качестве приманок использовали качественно подготовленные документы на основе взятых из официальных китайских источников.

Вторая волна активности, которую уже уверенно приписывают PoisonVine, началась в 2011 году. Основным методом атак тайваньских хакеров являлся целевой фишинг, а основными целями - китайские правительственные учреждения и НИИ, связанные с оборонкой и авиацией. На этот раз навыки PoisonVine выросли, они уже использовали свежие уязвимости, полноценные RAT с функционалом infostealer'а.

Появились у них и свои авторские методики сокрытия вредоносов от антивирусного ПО. К примеру, используя CVE-2012-0158, затрагивающую Microsoft Office и приводящую к RCE, хакеры стали прятать эксплойт не в документ RTF, как это делалось другими злоумышленниками, а в файлы MHT, что затрудняло его обнаружение.

Другую уязвимость, CVE-2014-4114, затрагивающую линейку ОС Windows и также приводящую к удаленному выполнению кода в атакованной системе, PoisonVine применяли еще до ее обнаружения в октябре 2014 года. Либо тайваньцы купили данные о ней, либо первые ее обнаружили.

В любом случае, их уровень существенно вырос.

В 2017 году PoisonVine провели очередную мощную фишинговую киберкампанию против китайских ресурсов. Они вовсю использовали популярные кибершпионские трояны Poison Ivy и Gh0st, а также бэкдоры ZXShell, переписанные под разные виды целей и с дополнительным функционалом для скрытия от антивирусов.

В качестве ключевых слов для старта сбора информации выступали "армия", "война" и пр. (всего двенадцать терминов), что дает четкое представление о направленности тайваньских хакеров.

В 2018-2020 годах APT-C-01 провела очередную кибероперацию против китайских правительственных и исследовательских учреждений. Основным методом опять же являлся целевой фишинг, направленный на получение учетных данных пользователей, в частности для взятия под контроль их почтовых ящиков.

В этот раз хакеры допустили достаточно много ошибок, которые позволили с достаточной долей вероятности идентифицировать их, как принадлежащих к Тайваню - тайваньский вариант китайского языка, использовавшийся в шрифтах по умолчанию и комментариях в коде вредоносов, несколько неспрятанных IP-адресов, ведущих в Тайбэй и пр.

Остается добавить, что среди тайваньских спецслужб есть две, которые могут потенциально играть роль кураторов PoisonVine. Первая - Бюро военной разведки (MIB) Минобороны, а вторая - 5 Департамент Бюро национальной безопасности (NSB). И если в пользу первой может свидетельствовать заинтересованность хакеров в военной тематике, то аргументом за второй вариант является тот факт, что NSB официально сотрудничает с АНБ, которая могла стать источником использовавшихся PoisonVine 0-day эксплойтов.

#APT #APTC01 #PoisonVine #GreenSpot

Сегодня Check Point сообщили, что смогли взломать виртуального помощника Amazon Alexa, аналог яндексовской Алисы. Сообщалось, что продано 200 млн. устройств на базе Alexa, существенная часть которых являются компонентами умного дома.

Amazon заявляет, что Alexa работает на основе искусственного интеллекта. Пользователи могут расширить ее возможности, установив т.н. skills - дополнительные функции, разработанные сторонними поставщиками.

Через это механизм skills исследователи и взломали Alexa.

Некоторые поддомены Amazon оказались уязвимы перед неправильной конфигурацией CORS (совместно использование ресурсов между разными источниками) и межсайтовым скриптингом (XSS). Как следствие, ресерчеры смогли перехватить учетные данные пользователя Alexa и внедрить на пользовательское устройство вредоносный код под видом одного из "умений".

Для реализации атаки оказалось достаточно, чтобы пользователь перешел по вредоносной ссылке, присланной ему хакерами.

Какие же данные смогли получить исследователи с взломанной Alexa? Историю голосовых команд, личную информацию жертвы, а также технические данные скомпрометированного устройства.

Уязвимости были найдены Check Point в июне и к настоящему времени уже исправлены Amazon.

Между тем мы всегда говорили, что чем больше свистелок будет прикручено к сети, тем больше угроз информационной безопасности будет возникать. Вот увидите, мы еще станем свидетелями восстания пылесосов и умных соковыжималок.

Сегодня Group-IB (кстати, кто-нибудь объяснит зачем Сачков с таким упорством пытается изобразить компанию сингапурской, он же совсем не похож на китайца?) опубликовали отчет о новой APT RedCurl, специализирующейся на корпоративном шпионаже.

Впервые Group-IB заявили о RedCurl в конце прошлого года. Активность хакеров, которая началась не позже мая 2018 года, направлена на кражу внутренней документации и данных сотрудников в компаниях страховой, консалтинговой, добывающей, туристической, юридической, металлургической и строительной отраслей, а также из сферы ретейла. После кражи информации злоумышленники устанавливали криптомайнеры Monero (эту крипту, между прочим, очень любит оператор ransomware Sodinokibi aka REvil).

За время наблюдения исследователи зафиксировали 26 атак RedCurl на компании из 6 стран мира - России, Канады, Великобритании, Норвегии, Германии и Украины.

В качестве способа атаки используется целевой фишинг, причем Group-IB заявляет, что хакеры тщательно готовят свои приманки, применяя высокие навыки социальной инженерии (например, присылая письма о годовом бонусе одновременно нескольким сотрудникам одного подразделения). Полезную нагрузку хакеры хранят в общедоступных облачных хранилищах.

Кроме непосредственно кражи информации с скомпрометированной машины и учетных данных пользователя, вредоносы имеют функционал бокового перемещения для распространения внутри целевой сети.

ГрИБы заявляют, что после первичной компрометации сети компании хакеры проводят там достаточно много времени - от 2 до 6 месяцев, аккуратно анализируя информацию и распространяясь дальше.

Судя по географии и сфере интересов RedCurl являются коммерческими хакерами, специализирующейся именно на кибершпионаже (хотя, возможно, это такое прикрытие для прогосударственной APT). Так что появление таких активных и профессиональных групп - лишний повод для бизнеса усилить предпринимаемые меры по информационной безопасности.

​​Команда исследователей Рурского университета и Нью-Йоркского университета в Абу-Даби представила новую атаку ReVoLTE, которая позволяет перехватывать голосовые вызовы VoLTE в сетях 4G и 5G.

VoLTE (Voice over LTE) - передача голоса по LTE как потока данных. В России используется всеми ведущими сотовыми операторами.

Атака основана на том, что большинство мобильных операторов плохо настраивают свои базовые станции, в результате чего VoLTE используют одни и те же ключи в двух последовательных близких звонках.

Атака реализуется следующим образом. Злоумышленник подключается к той же базовой станции, что и жертва, и устанавливает сниффер канала для записи целевого вызова. После того, как целевой вызов завершен, злоумышленник в течение 10 секунд делает новый вызов жертве, в котором используется тот же ключ шифрования. Зная открытый и закрытый (который записан сниффером) потоки данных второго вызова, злоумышленник может получить ключевую последовательность, после чего расшифровать содержимое первого целевого звонка.

При этом длительность второго вызова должна быть не меньше длительности целевого вызова.

Исследователи продемонстрировали практическую реализацию ReVoLTE, при этом ее стоимость составила менее 7 тыс. долларов США. При произвольной проверке базовых станций немецких сотовых операторов, выяснилось, что 12 из 15 БС уязвимы перед этой атакой.

Чтобы проверить, подвержена та или иная БС атаке ReVoLTE ресерчеры выпустили приложение Mobile Sentinel для Android, которое определяет уязвима или нет конкретная базовая станция. Для работы приложения требуется смартфон на базе Qualcomm с рутовыми правами.

А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне

Вчера АНБ выпустили совместный с ФБР отчет, в котором описали выявленный вредонос для Linux под названием Drovorub за авторством хакерской группы Fancy Bear, за которой, как утверждается, стоит ГРУ.

По утверждению американцев, Drovorub - многокомпонентная система, включающая руткит модуля ядра, предназначенный для скрытия вредоносной деятельности. Основное предназначения Drovorub - поиск и эксфильтрация информации.

Хотелось бы дождаться аналогичных отчетов в отношении, например, Regin. Но, к сожалению, как гласит Malpedia, "Regin is a sophisticated malware and hacking toolkit attributed to United States' National Security Agency (NSA) for government spying operations" (на самом деле, это англичане).

С другой стороны, все наши придирки надуманы - американцы, совершенно логично, преследуют свои национальные интересы в киберпространстве.

А вот где аналогичные отчеты от ФСБ - вопрос вопросов.

Нас, как известных параноиков на тему приватности, заинтересовала тема сегодняшнего репоста и мы решили немного разобраться, что же это за смартфон такой с физическим отключением всех подряд модулей.

Естественно, тема не новая, для всяких госорганов в России уже давно производятся раскладушки, у которых при складывании физически прерывается питание микрофона. Но для широкой публики мы пока такого не видели.

Итак, заинтересовавший нас смартфон называется PinePhone и производится он калифорнийской компанией Pine64. И это, на самом деле, смартфон для пользователя - сборка с помощью винтов, облегчающая ремонт, работа на мобильных ОС на базе Linux (предустановлена Ubuntu Touch), а также те самые шесть переключателей под задней крышкой, отключающие камеры, микрофон, Wi-Fi, Bluetooth и сотовый модем.

PinePhone предлагает загрузку с microSD, что позволяет запускать его сразу под несколько операционных систем. Плюс имеет разъем I2C под задней крышкой, дающий возможность подключить беспроводную зарядку, дополнительный аккумулятор или клавиатуру.

Большой и жирный минус - отсутствие большинства привычных мобильных приложений. То есть в качестве основного смартфона использовать PinePhone вряд ли получится. А вот как устройство для приватных переговоров - вполне.

Стоит PinePhone от 149 до 199 долларов, отправка в Европу - еще 20 баксов. А вот в Россию официальный магазин Pine64 пересылать его отказывается.

Есть еще смартфон Purism Librem 5, который работает на PureOS (на основе Debian) и стоит в 749 долларов, а ждать его надо 6 месяцев. Он, правда, чуть удобнее - выключатели камер, микрофона и коммуникационных модулей, находятся в нем не под задней крышкой, а выведены на боковую поверхность. В нем также применяется ряд механизмов, дающих пользователю дополнительную защиту, - шифровка данных, песочница и пр. В России не продается.

Короче говоря, за приватностью надо ехать в Европу.

​​Две недели назад ransomware Maze переехало Canon, о чем случайно узнали BleepingComputer.

Теперь журналисты рассказывают о продолжении этой истории.

Canon смогли за короткое время восстановить работоспособность своих систем, что свидетельствует о наличии бэкапа, однако выкуп они платить не стали и Maze начали публиковать украденные у компании данные.

Пока что Maze выкинули, по их утверждениям, около 5% украденной информации - архив STRATEGICPLANNINGpart62 .zip размером 2,2 Гб. Архив не содержит никаких конфиденциальных данных и очевидно, что вымогатели разместили его в качестве предупреждения.

Посмотрим, хватит ли Canon решительности не платить оператору Maze.

Касперских в последнее время что-то разобрало на исследование активности разных APT.

Вчера они разместили обзор в отношении выявленной киберкампании китайской APT CactusPete (она же Tonto Team и Karma Panda), которая началась в марте 2019 года и направлена на военные и финансовые организации Восточной Европы.

В ходе кампании китайцы использовали десятилетный троян Bisonal, точнее его модернизированный вариант. ЛК говорят, что выявили более 300 вариантов вредоноса в период с марта 2019 по апрель 2020 года, то есть скорость разработки, которую продемонстрировали CactusPete, составляет более 20 образцов в месяц.

RAT предназначен для сбора данных о скомпрометированной системе, поиска и эксфильтрации информации, бокового перемещения по внутренней сети для дальнейшего заражения. Обмен данными с управляющим центром происходит с помощью шифрования RC4.

Заражение осуществлялось с помощью целевого фишинга, но, что интересно, китайские хакеры не использовали ни одной 0-day уязвимости.

APT CactusPete - китайская хакерская группа, действующая с 2009 года и ранее специализировавшаяся, преимущественно, на азиатском направлении, в частности, она была связана с осуществленной в 2017 году атакой на южнокорейский зенитный ракетный комплекс (THAAD). Согласно заявлению американцев из FireEye, эта группа базируется в Шэньянском военно-техническом разведывательном бюро.

И все бы хорошо в отчете Касперских, но что-то нам показалось сочетание Bisonal и Tonto Team очень знакомым. И мы оказались правы - еще в начале марта Cisco Talos сообщали, что китайцы задействовали Bisonal в атаках на российские, южнокорейские и японские сети. Причем в русскоязычном сегменте их активность была направлена на научно-технический сектор.

Скорее всего, Касперские выявили ту же кампанию Tonto Team, только направленную на другие объекты.

Очередные проделки операторов ransomware.

В этот раз наехали на одного из мировых лидеров по производству всяких принтеро-копиров Konica Minolta.

Еще 30 июля начал испытывать проблемы сайт поддержки mykmbs .com, а вскоре стали выдавать ошибку некоторые принтеры, отображавшие "Сбой сервисного уведомления". Konica Minolta же давали стандартный ответ о "техническом сбое".

Как выяснили BleepingComputer, компания подверглась атаке появившегося в июне этого года вымогателя RansomEXX - журналисты смогли раздобыть записку с требованием выплаты выкупа. При этом, по их утверждениям, новый вид ransomware не имеет функции кражи конфиденциальной информации перед выкупом (пока).

Konica Minolta - это технологический гигант с доходом более 9 млрд. долларов по результатам прошлого года. То есть информационная безопасность, по идее, должна быть поставлена на хорошем уровне. По идее.

Между тем, в последнее время некоторые из нас имели общение со специалистами по инфосеку из ряда крупных российских организаций. И когда в разговоре речь заходила о ransomware, то все качали головами и говорили "Да-да, это существенная проблема". Только вот всерьез эту угрозу практически никто не воспринимает, по крайней мере у нас сложилось такое впечатление. Ну, то есть это как смерчи в США - они вроде и есть, и даже очень реальные, но к нам отношения особого не имеют.

Кто готов пожертвовать своим core business, дабы остальные поменяли точку зрения?

Мир сошел с ума - Моссад рекрутит инфосек специалистов через LinkedIn.

Ждем сообщений в Одноклассниках от ФСБ - "Эй, парень.. Тс-с-с... Ты знаешь что такое APT? А̶ ̶р̶а̶с̶с̶к̶а̶ж̶е̶ш̶ь̶? А не хочешь попробовать немного контрразведки?"

​​Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят.

Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного сервиса Locate X от компании Babel Street.

Что делает Locate X? Анонимно собирает данные о геолокации пользователей смартфонов, используя информацию различных мобильных приложений.

В марте этого года издание Protocol сообщило, что на Locate X подписана Погранично-таможенная служба США (USCBP), а сейчас появилось документальное подтверждение в отношении USSS - контракт на годовую лицензию сервиса с сентября 2017 по сентябрь 2018 года.

Естественно, что для получения данных геолокации таким способом американским спецслужбам (кстати, и USCBP, и USSS структурно входят в Министерство внутренней безопасности США (DHS) никакой судебный ордер не требуется.

Американские сенаторы обеспокоены возмущены и требуют соблюдения Четвертой поправки к Конституции США, дабы оградить американских граждан от пристального внимания DHS.

Ну а неамериканские граждане, такие как мы с вами, разумеется никого не интересуют. Вместе с тем, глупо полагать, что американские правоохранительные органы откажутся от возможности сбора сведений о месте пребывания в отношении лиц, проживающих в других странах. Вся информация, которая по крупицам просачивается в паблик, свидетельствует, что при наличие доступа к каким-либо данным американцы начинают фанатично их собирать и скирдовать в кучу, благо ЦОДов хватает.

Так что помните об этом, когда едете, к примеру, в Крым и включаете там разрешение на получение геоданных погодному приложению.

Американская Brown-Forman Corporation, производящая в числе прочих один из самых известных алкогольных продуктов в мире - виски Jack Daniel's, стала жертвой оператора ransomware Sodinokibi (они же REvil).

Представители компании сообщили, что смогли защититься от шифрования важной информации, видимо, путем эффективного резервного копирования.

А вот от чего они не смогли защититься, так это от кражи конфиденциальной информации. REvil заявили, что успешно увели 1 Тб корпоративных данных и теперь будут сливать их в паблик по частям, чтобы побудить Brown-Forman заплатить выкуп.

Даже никаких комментариев давать не будем, уже все, что только можно, сказали раньше. Ransomware, однозначно, - самая опасная угроза в современном Интернете.

И опять ransomware.

Carnival Corp, крупнейший оператор круизных лайнеров в мире, владеющий флотом из 600 судов и имеющий доход более 20 млрд. долларов в 2019 году, стал жертвой вымогателя.

В документе, поданном в американскую Комиссию по ценным бумагам (SEC), корпорация сообщила, что 15 августа один из брендов корпорации был успешно взломан оператором неназванного ransomware, в результате чего часть конфиденциальных сведений, включая личные данные клиентов и сотрудников Carnival Corp., была похищена и зашифрована.

При этом Carnival ожидают, что украденная информация может попасть в паблик, а следовательно выкуп вымогателям заплачен не был.

И можно было бы пожалеть несчастных судовладельцев, да вот исследователи из Bad Packets подсказывают, что взлом, скорее всего, произошел по причине наличия у Carnival Corp. множества уязвимых перед CVE-2019-19781 серверов Citrix, а также непропатченных фаерволов от Palo Alto Networks, уязвимых перед CVE- 2020-2021.

Для понимания - первая ошибка была исправлена в соответствующих обновлениях в январе 2020 года, а вторая - в конце июня. И если "эффективные" топ-менеджеры мультимиллиардного бизнеса не в состоянии наладить такой элементарный бизнес-процесс, как своевременное обновление имеющегося ПО, то они сами себе буратины.

​​Мы неоднократно высказывали сомнения по поводу планируемого мировыми автопроизводителями широкого использования беспроводных подключений для обновлений и поддержки различных систем автомобиля. К примеру, вот здесь.

Тайваньские китайцы, прикидывающиеся японцами, а именно Trend Micro, тоже озаботились этими вопросами и провели исследование Безопасность вождения в подключенных к сети машинах. Результаты неутешительны - уже сейчас ресерчеры идентифицировали 29 видов атак, из которых 17% несут высокий риск для водителей.

Но рассмотрим отчет Trend Micro подробнее.

Исследователи заявляют, что в настоящее время новая модель автомобиля работает под управлением 100 млн. строк кода в среднем. Обычные машины имеют на борту как минимум 30 электронных блоков управления (ЭБУ), оснащенных микропроцессорами, в люксовых же моделях эта цифра достигает 100. Все это соединяется по различным каналам - CAN-шина, Ethernet, LIN (Local Interconnet Network), MOST (Media Oriented Systems Transport) и пр. А сверху на все это хозяйство пытаются нахлобучить спутниковый канал связи, Wi-Fi, eSIM и т.д.

Trend Micro проанализировали уже известные атаки по беспроводному каналу связи.

1. Открытая исследователями в 2015 году атака на Jeep, которая повлекла за собой отзыв более 1,4 млн. автомобилей. Тогда через ошибку в модуле 3G связи от телеком оператора Sprint удалось взломать головное мультимедийное устройство и смоделировать команды CAN-шины, в результате чего добиться отключения двигателя, отказа тормозной системы и удаленного управления рулевым колесом.

2. Атака на Tesla Model S в 2016 году. Исследователи из Tencent Keen Security Lab, используя цепочку уязвимостей, смогли сделать поддельную точку Wi-Fi доступа, применяемую авторизованными мастерскими и электрозаправками, пробиться к CAN-шине и отключить ESP, ABS и усилитель руля.

3. В 2017 году Tencent Keen Security Lab удалось расширить атаку на Tesla Model S и получить доступ к автопилоту автомобиля.

4. В 2018 году все те же ресерчеры из Tencent Keen Security Lab смогли разработать сразу три атаки на автомобили BMW - одну через USB-порт, а две других - удаленные. В первой из удаленных атак они обманули сервис BMW ConnectedDrive путем использования поддельной мобильной базовой станции и добрались до CAN-шины. Во второй - через ту же поддельную базовую станцию исследователи отправили вредоносные SMS-сообщения и, используя ряд уязвимостей, смогли произвольно сбрасывать любой ЭБУ прямо во время движения, а также дистанционно менять положение водительского сиденья.

На основе проведенного анализа Trend Micro построили модель угроз DREAD (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability) и оценили в соответствии с ней потенциальные атаки. Также они разработали ряд рекомендаций для автопроизводителей, в которые входят сегментация сети автомобиля, использование файрволов и антивирусного ПО, шифрование и многое другое.

Короче говоря, Trend Micro как бы сообщают - если вы хотите сделать из автомобиля компьютер на колесах, то и меры информационной безопасности следует применять соответствующие.