Израильское издание Haaretz опубликовало результаты расследования в отношении совершенно секретной израильской фирмы Candiru, специализирующаяся на взломах компьютеров и мобильных устройств.

Поскольку материал большой, то мы, как обычно, дадим краткую выжимку наиболее интересных фактов.

Отрасль наступательных киберопераций - это крупный бизнес в Израиле, его доход оценивается в 1 млрд. долларов в год. Самым известным ее представителем является скандальная NSO Group, с которой из-за взлома WhatsApp сейчас судится Facebook (мы много про это писали, там все очень интересно).

Компания Candiru до сей поры была не особо известна, что и неудивительно - она предпринимает все возможные усилия, чтобы остаться незамеченной. У нее нет сайта, сотрудники, коих сейчас ориентировочно 150 человек, подписывают строгий NDA и даже не имеют права вносить свое место работы в профиль в LinkedIn. Но рано или поздно все тайное становится явным.

Компания была основана в 2015 году. Крупнейшим ее акционером и председателем является Исаак Зак, один из основателей NSO Group (судя по фотографии - Моссад Моссадом). За время существования компания сменила 5 названий.

Журналисты получили в свое распоряжение документ, подписанный одним из вице-президентов Candiru, в котором описывается "высококлассная платформа киберразведки, предназначенная для скрытного проникновения в компьютеры, сети и мобильные устройства". Кибершпионское ПО может собирать информацию и вмешиваться в работу атакованных устройств.

А теперь действительно интересное. Во-первых, ПО от Candiru работает на устройствах под управлением Windows, iOS (!) и Android.

Во-вторых, Candiru предупреждает, что ее киберразведывательная платформа не работает в США, Израиле, России и Китае. И этому может быть только одно объяснение - Россия и Китай купили ПО у Candiru и используют его самостоятельно.

Все это стало известно в ходе рассмотрения иска одного из бывших топ-менеджеров Candiru к компании по поводу невыплаченного вознаграждения. По заявлению истца, в настоящее время фирма поставляет свои решения в более чем 60 стран мира на всех континентах, включая Африку. Общая стоимость всех проектов, которым присвоены кодовые обозначения Sphinx, Tiger, Ukulele, Oltron1, Oltron2, Pointer1, Pointer2 и т.д., составляет 367 миллионов долларов.

Candiru пытается закрыть материалы суда и удалить их из всех общедоступных источников, ссылаясь на то, что они представляют собой секретные сведения. Потому что законы - они для плебса, это гражданам нельзя компьютеры ломать, а государствам - можно.

Сегодня в ночи Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма.

В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.

Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.

По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).

Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.

#APT #Winnti

В пятницу Министерство обороны США (DoD) раскрыло 4 уязвимости в своей информационной инфраструктуре, которые были обнаружены благодаря белым хакерам посредством BugBounty-платформы HackerOne. Две уязвимости признаны высокой степени критичности, две - критичными.

Первая критичная уязвимость - возможность захвата поддомена, обнаруженная исследователем chron0x. Потенциальное использование злоумышленниками в данном случае стандартное - фишинг от лица DoD и межсайтовый скриптинг.

Вторая критичная уязвимость - это возможность удаленного выполнения кода (RCE) на сервере DoD под управлением Apache, на котором не было апдейтов с августа 2019 года. Без комментариев.

Еще две уязвимости касаются необновленного оборудования Cisco, подверженного уязвимости CVE-2020-3452, позволяющей получить доступ к закрытой информации, и уязвимый перед внедрением кода хост DoD. Последнее вообще смешно, так как ошибку нашел e3xpl0it, пентестер Позитивов.

Но предостерегаем всех от повторения подобных историй по отношению к российским госорганам. Вам плюшек не дадут, а вот посадить могут с высокой вероятностью.Потому что в данном случае цвет (белый или черный) не является определяющим, определяющим является слово "хакер".

Команда Unit42 вендора Paolo Alto Networks выпустила отчет о новом функционале ransomware Thanos, который должен был бы еще больше напугать жертву, но не работает.

Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом вымогатель переименовался в Hakbit, а теперь он - Thanos. Видно, что создатели ransomware ищут себя.

Thanos работает по схеме Ransomware-as-a-Service (RaaS), забирая 30-40% от выкупа. Поддерживает его актор под псевдонимом Nosophorus. Рекламируется (на английском) на русскоязычных хакерских форумах.

В июле Unit42 анализировали атаки Thanos на две государственные организации на Ближнем Востоке и в Северной Африке. Ransomware, в числе прочего, попыталось перезаписать MBR (Master Boot Record), чтобы вместо загрузки сломанная машина выдавала требование о выкупе, но что-то пошло не так. Хакеры банально допустили ошибку в коде, в результате чего MBR не перезаписывалась.

Впервые подобный прием (перезапись MBR) применили создатели ransomware Petya, появившегося в 2016 году (там еще и вымогатель Mischa был). Подобными фокусами (ну, кроме Equation, конечно) активно баловались тогда северокорейские хакеры из Lazarus. Но это не точно.

Кстати, названия Petya и Mischa вовсе не означают, что создатели вымогателей были русскоязычными - это наименования двух спутников с ядерными боеголовками из фильма GoldenEye про Джеймса Бонда. Соответственно, когда в 2017 году появился EternalPetya (он же NotPetya) - это также не имело никакого отношения к русскоязычности авторов этого ransomware.

Ну, а логичным завершением серии сегодняшних постов, в которых мы обсуждали информационную безопасность органов госвласти, а также ransomware, которое в наше время является киберугрозой №1, будет пост про то, как органы госвласти пострадали от ransomware.

Аргентинское агентство по борьбе с киберпреступностью Unidad Fiscal Especializada en Ciberdelincuencia завело уголовное производство по факту атаки оператора ransomware NetWalker на аргентинское же Агентство иммиграции Direccion Nacional de Migraciones.

Взлом ЦОД Агентства произошел утром (ночью) 27 августа. Для предотвращения дальнейшего распространения шифровальщика техническая поддержка была вынуждена отключить все удаленные сервисы, в том числе и те, которые используются на пограничных КПП. В результате аргентинская граница была закрыта в течение 4 часов (по нашему мнению, это еще скромно).

Аргентинские СМИ пишут, что правительство не собирается идти на переговоры с хакерами, а зашифрованные данные не являются критичными.

Да вот только оператор NetWalker думает по другому, ведь, согласно последней моде, злоумышленники крадут конфиденциальную информацию перед тем как ее зашифровать. Сумма выкупа с первоначальных 2 млн. долларов уже увеличилась до 4 млн., а на своем сайте хакеры опубликовали часть слитых данных. Журналисты BleepingComputer, которые ознакомились с содержимым, отказались в своей статье даже опубликовать скриншоты, поскольку "утечка носит конфиденциальный характер".

NetWalker - ransomware, работающее по схеме RaaS и появившееся в октябре 2019 года. Операторы вымогателя преимущественно специализировались на взломах сетей учебных заведений. Эта атака является, пожалуй, первой известной атакой ransomware на центральный орган госвласти, в результате которой были затронуты исполняемые государством функции.

А теперь давайте немного повангуем.

Как нам кажется, ransomware будет становиться все популярнее и популярнее, потому что под угрозой публикации украденных конфиденциальных данных все больше жертв будет платить выкуп (и это тенденция уже видна невооруженным глазом). А там где есть потенциальная прибыль всегда есть желающие ее получить.

И в конце концов активность операторов вымогателей распространится не только на крупный бизнес (что мы все больше наблюдаем в последние месяцы), но и на крупные государственные структуры (что мы увидели сегодня). И никакие вооруженные силы и черные вертолеты с пативэнами не помогут, если у государства не налажена информационная безопасность.

Dixi.

Новость прошлой недели, но мы не смогли пройти мимо.

ZDNet сообщили, что разработчики приватного мессенджера Threema пообещали в ближайшие месяцы полностью открыть его код , который будет полностью соответствовать загружаемому приложению.

Это должно означать одно - пользователь сможет самостоятельно проверить код мессенджера на предмет наличия/отсутствия закладок, скомпилировать его и получится рабочая версия Threema, которая будет обладать всем заявленным функционалом.

Правда возможен еще один вариант, который уже проворачивал известный всем приватный мессенджер на букву S, - выложить исходники, которые после компиляции не будут подключаться к рабочим серверам.

Но будем надеяться, что швейцарцы на такую уловку не пойдут, поскольку их схема монетизации все-таки более менее понятная - они тупо продают мессенджер за деньги. В отличие от.

​​Вчера мы описали инцидент, в котором атака ransomware на аргентинское Агентство иммиграции Direccion Nacional de Migraciones повлекла за собой закрытие границы Аргентины на четыре часа. Хорошо, что никто не пострадал, хотя люди и испытали достаточно серьезные неудобства.

А что было бы если бы киберинцидент повлек за собой реальный физический ущерб (вплоть до гибели), кто был бы ответственным? В настоящее время, полагаем, никто из должностных лиц подвергшейся атаке организации, за исключением, возможно, CISО. Но так будет не всегда, утверждает компания Gartner, одна из ведущих консалтинговых компаний в области информационных технологий.

По данным исследования компании Gartner, к 2024 году 75 процентов CEO будут нести личную ответственность за киберинциденты, произошедшие с подведомственными им системам кибер-физической безопасности (CPS).

Gartner определяет CPS как компьютерные системы, которые оказывают непосредственное влияние на физический мир (включая людей). В настоящее время подобные системы встречаются преимущественно в критической информационной инфраструктуре и медицинских учреждениях, однако, по мнению консультантов, в ближайшие годы они получат широкое распространение благодаря внедрению "умных" городов и зданий, автомобильных автопилотов и других систем управления транспортом, удаленной медицине и пр.

В таких условиях "инциденты могут привести к физическому ущербу для людей, разрушению имущества или экологическим катастрофам", говорит Gartner. Финансовые последствия атак на CPS, по оценкам экспертов компании, к 2023 году составят более 50 млрд. долларов.

С учетом такого развития событий национальные правительства и международные органы будут вынуждены резко ужесточить ответственность должностных лиц за происходящие с их CPS инциденты. И ссылаться на "неправильное сегментирование сети" можно будет уже непосредственно на киче.

Мы абсолютно согласны с исследователями Gartner и сами неоднократно обращали внимание на несоответствие принимаемых государственными и частными организациями, владеющими критическими информационными системами, такими как ICS (Industrial Control Systems, по нашему - АСУ ТП).

Российские госорганы также идут в сторону ужесточения, введя в оборот понятие объектов КИИ и разработав (разрабатывая) множество соответствующих норм.

Поэтому мы думаем, что попытки найти руководителей подразделений информационной безопасности на предприятия, имеющие в номенклатуре несколько объектов КИИ 1-й категории, за 200 тыс. рублей в месяц станут безуспешными с первой же посадкой такого руководителя по статье 274.1 УК. А полностью прекратятся после того, как сядет первый CEO.

И вот тогда CISO точно станут самыми уважаемыми специалистами в любой организации. А не HR-директора, как сейчас.

И в продолжение темы влияния кибератак на реальную жизнь людей.

Вчера BancoEstado, один трех крупнейших банков Чили, был вынужден закрыть все свои отделения после атаки ransomware, которая произошла в выходные.

Подробности банк не сообщил, но журналисты ZDNet утверждают, что это был вымогатель Sodinokibi (он же REvil). Внутренняя сеть банка была скомпрометирована через бэкдор, который содержался в фишинговом сообщении, полученном одним из сотрудников банка.

В воскресенье чилийское правительство разослало общенациональный алерт по поводу кампании ransomware, нацеленной на частный сектор страны.

Пока на принадлежащем REvil сайте сливов украденной информации данных BancoEstado не появилось. Это значит, что хакеры еще ждут выплаты выкупа. Обычный срок, который дается жертве для принятия решения, - неделя. Если в следующий понедельник слива не появится, значит, с большой долей вероятности, банкиры заплатили REvil деньги.

​​Команда IssueMakersLab сообщает, что северокорейские хакеры из APT Lazarus развернули новую фишинговую атаку, направленную на военную и аэрокосмическую отрасли США.

В этот раз под видом предложения работы от лица американской компании General Dynamics Mission Systems (GDMS) корейцы рассылают фишинговое сообщение с вредоносным макросом внутри.

Мы нашли очень интересную и очень большую статью исследователей Национального центра биотехнологической информации (NCBI) американского Национального института здоровья (NIH), посвященную разработке основанной на нейросети системы выявления активности APT на основе анализа DNS-трафика.

Как связаны хакеры и Национальный центр биотехнологической информации - не спрашивайте, сами не знаем.

В двух словах, ресерчеры определили восемь параметров для обнаружения подозрительного DNS-трафика:
- длина доменного имени;
- числовые включения в доменном имени;
- наличие в домене ключевых слов;
- период непрерывного появления одного и того же доменного имени;
- отображается ли доменное имя лишь один раз;
- частотный вектор появления доменного имени в ходе всего мониторинга;
- временной интервал между DNS-запросом и ответом;
- частота смены IP-адреса для конкретного доменного имени.

Далее они построили нейросеть на основе оценки этих параметров и провели ее глубокое обучение на примере более чем 376 миллионов записей.

В результате обученная нейросеть стала выявлять подозрительный DNS-трафик с точностью до 97,6%. Конечно неизвестно как система проявит себя в реальной жизни, но предварительные данные выглядят весьма перспективно.

Мы всегда верили в Big Data.

​​Вчера Microsoft выпустили очередное сентябрьское обновление безопасности, в котором исправили 129 уязвимостей в 15 своих продуктах, среди которых - Windows, Edge, Internet Explorer, Microsoft Office, Share Point и ряд других.

Из 129 уязвимостей - 32 позволяют злоумышленнику удаленное выполнение кода (RCE), 20 из них - критичные.

Всем срочно обновляться.

​​Новости про ransomware идут сплошным потоком каждый день, хоть отдельный канал для них заводи.

Первая - руководство города Хартфорд (штат Коннектикут, США) объявило о том, то первый школьный день в городе откладывается из-за атаки вымогателя на городскую компьютерную сеть, которая произошла в прошлый четверг.

В результате, как сообщил мэр Хатфорда, атака затронула несколько школьных сетей, а также систему управления школьными автотранспортом. Чиновник рассказал, что город не планирует выплачивать оператору ransomware выкуп, поскольку не ведет переговоров с вымогателями, а никакие чувствительные данные украдены не были (или мэр об этом просто не знает).

По данным BleepingComputer, за атакой стоит ransomware Hermes, но это не точно.

Вторая новость, уже совсем невеселая, - оператор ransomware NetWalker, атака которого только недавно стала причиной закрытия аргентинской границы на 4 часа, 7 сентября успешно атаковал пакистанскую электросетевую компанию K-Electric, являющуюся единственным поставщиком электричества в пакистанском городе Карачи.

В результате взлома пострадали биллинг и онлайн-сервисы. Хорошо, что хакеры не добрались до системы управления транзитом электричества (или как это правильно называется). Потому что город Карачи - это агломерация размером с Москву, 15 миллионов человек.

Хакеры требуют 3 млн. 850 тыс. долларов, которые, по традиции, превратятся в 7,7 миллионов баксов если жертва не выплатит выкуп в течение недели.

Учитывая, что был взломан биллинг, наверняка персональные данные всех клиентов K-Electric были украдены и в случае отказа пакистанцев платить окажутся в открытом доступе в сети.

Напомним, что NetWalker работает по схеме Ransomware-as-a-Service, когда хакеры-клиенты, используя вредоносную инфраструктуру ransomware, в случае удачного вымогательства делят прибыль с владельцами вредоноса. Это объясняет необычайную активность NetWalker (да и других вымогателей, работающих по схеме RaaS) в последнее время - фактически взломы осуществляет множество независимых хакеров (хакерских групп). По данным McAfee, только с марта 2020 года владельцы NetWalker заработали 25 миллионов долларов США.

​​Исследовательский Центр Белферов Гарвардского Университета выпустил отчет Национальный индекс кибербезопасности 2020.

В ходе составления Индекса эксперты анализировали кучу параметров, которые можно условно объединить в 7 объективных показателей, среди которых укрепление национальной кибербезопасности, контроль и управление информационной средой и возможности по кибератакам инфраструктуры потенциального противника.

Ожидаемо, на первом месте - США, на втором - Китай. Россия - четвертая, пропустив вперед Великобританию.

Рейтинг, конечно, странный, хотя с отсутствием России в первой десятке стран с наилучшей национальной кибербезопасностью мы согласны.

Но как понимать четвертое место Испании и девятое место Эстонии в десятке стран с самыми мощными возможностями по кибератакам? Где все эти грозные хакерские группы типа "Неудержимые Кибермучачос" или "Eesti Kangelased". А вот КНДР в топ не попала, что весьма странно, учитывая количество и активность северокорейских хакерских групп.

​​Свежая новость.

На одном из русскоязычных хакерских форумов актор с псевдонимом Ferb прямо сейчас продает за 20 тыс. долларов возможность удаленного выполнения кода (RCE) в сети одного из российских банков. Естественно, что названия взломанного банка нет.

Кроме того, Ferb со товарищи продает доступы к сетям нескольких банков из Италии, Парагвая и Австрии.

Гадаем "на кого Бог пошлет" и попадет ли информация о компрометации взломанного банка в паблик.

Согласно новому отчету Mid-Year Threat Landscape Report 2020 румынского инфосек вендора Bitdefender количество атак ransomware за год выросло больше чем в 7 раз!

Если не это свидетельство того, что ransomware - это современная киберугроза №1, то мы даже не знаем что сказать.

Кстати RCE в сети российского банка из предыдущего поста вполне может быть использовано для развертывания внутри вымогателя. Последствия можно себе представить.

Shadow Intelligence сообщает, что последние несколько часов недоступны блог страницы сразу нескольких ransomware:
- Maze
- REvil (Sodinokibi)
- Nefilim
- Conti.

За первыми тремя стоят русскоязычные хакерские группы.

Как выясняется, сайт Maze все еще доступен по IP-адресу, но доменное имя больше не резолвится. Похоже, что кто-то начал организованно давить ресурсы владельцев ransomware, чтобы они не могли сливать украденные данные в паблик.

Мера очевидная, но вряд ли решит проблему.

Две группы исследователей из американского Университета Пердью и Федеральной политехнической школы в Лозанне обнаружили уязвимость в стандартах Blurtooth Classic (BR/EDR) и Bluetooth Low Energy (BLE).

Ошибка, названная BLURtooth (CVE-2020-15802), содержится в компоненте Cross-Transport Key Derivation (CTDK), который используется для согласования ключей аутентификации при сопряжении устройств через BR/EDR или BLE, и позволяет злоумышленнику перехватывать такие ключи. В итоге хакер может заменить аутентификационный ключ или снизить его надежность.

Атаке подвержены все устройства, использующие версии Bluetooth с 4.0 по 5.0.

А что насчет исправлений уязвимости BLURtooth? А их пока нет и точный срок появления неизвестен. Поэтому единственной возможностью защититься от подобной атаки является контроль подключенных по Bluetooth устройств.

Кстати, представленные недавно мозговые чипы Neuralink от Илона Маска соединяются с внешними устройствами как раз по протоколу BLE. А теперь представьте, что злоумышленники подключились к вживленному в голову чипу - Киберпанк 2077, не иначе.

​​Мы нечасто, но все-таки, уделяем внимание атакам на промышленные системы управления (ICS) - например, здесь писали про атаку Triton. Но, вообще говоря, эти малоизвестные широкой публике атаки с точки зрения потенциальных негативных последствий являются, пожалуй, самыми разрушительными. Ведь под управлением ICS находятся промышленные объекты, зачастую имеющие дело с опасными для окружающей среды и людей веществами.

Исследователи инфосек компании Clarity во вторник опубликовали материалы отчета, в котором сообщили, что нашли 6 критических уязвимостей в компоненте CodeMeter компании Wibu-Systems, использующемся производителями программного обеспечения для ICS для управления лицензиями.

Выявленные уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании, получить информацию с атакованного устройства и др. Фактически - полностью взять под внешнее управление атакованный узел ICS.

Такие крупные поставщики ICS как Siemens и Rockwell уже признали наличие связанных с выявленными уязвимостями в CodeMeter угроз безопасности в своем ПО.

Будем надеяться, что не бахнет.

Транснациональная корпорация Equinix с доходом в 5,5 млрд. долларов США за 2019 год стала жертвой атаки ransomware, о чем сообщила вчера в своем Twitter-аккаунте.

Чтобы был понятнее масштаб трагедии - Equinix это один из мировых лидеров на рынке центров обработки данных, имеет под своим управлением 205 ЦОД в 25 странах мира.

В своем сообщении компания утверждает, что данные клиентов не пострадали, но, положа руку на сердце, так делают большинство пострадавших от ransomware. Правда, это не всегда соответствует действительности.

Group-IB запилила в своем Twitter странную викторину, в которой надо отвечать на вопросы о ransomware ProLock.

Мы сначала подумали, что это оригинальный метод социальной инженерии, чтобы выловить владельцев вымогателя через Twitter.

Но потом оказалось, что это просто такая иновационная реклама нового исследования компании про этот самый ProLock.

Объедятся чили-краба в своем Сингапуре, а потом другу другу викторины придумывают.

​​Поскольку избирательная кампания в США набирает обороты, то обстановка вокруг кандидатов на пост американского Президента все больше накаляется.

Согласно сообщениям американских журналистов, избирательный штаб Джо Байдена был предупрежден о том, что находится в прицеле русских хакеров.

Мы, как всегда не оставаясь в стороне, провели собственное расследование и получили видео, на котором зафиксировано проникновение русских хакеров через установленный в штабе Байдена Next-Gen Firewall от американской компании Palo Alto Networks. При взломе ГРУ использовало новую технологию обфускации под названием "Babe".