Honda похоже все-таки попала под ransomware, а не под китайские хакерские группы.

Исследователь milkream нашел образец вымогателя Ekans, который проверяет домен mds.honda.com для того, чтобы начать работу.

Ekans aka SNAKE - относительно новый вид ransomware, обнаруженный в декабре 2019 года. По мнению некоторых исследователей является развитием рансомвари Megacortex. Судя по некоторому функционалу, Ekans может быть специально предназначен для атак на промышленные системы управления.

https://twitter.com/milkr3am/status/1269932348860030979

Появились новости про свежую уязвимость CVE-2020-12695, также получившую название CallStranger и связанную, в первую очередь, с Интернетом вещей (IoT).

Уязвимость обнаружена в декабре 2019 года турецким ресерчером Юнусом Жадирчи, она затрагивает набор протоколов Universal Plug and Play (UPnP), которые предназначены для автоматической настройки сетевых устройств.

С помощью специальным образом сформированных TCP-пакетов злоумышленник может организовывать DDoS-атаки, сканировать внутреннюю сеть жертвы, а также воровать данные.

Уязвимость затрагивает множество устройств - PC c Windows 10, Xbox One, модемы и маршрутизаторы разных производителей, Smart телефизоры, устройства для "умного дома" и пр.

И хотя спецификации UPnP обновлены, а поставщики оборудования сообщают, что соответствующие апдейты выпущены, полной уверенности в полном устранении ошибки нет. Поэтому на сайте, посвященном CallStranger, рекомендуют закрывать порты UPnP.

Исследователи калифорнийской инфосек компании Proofpoint выпустили отчет посвященный выявленной кибероперации против энергетических сетей США.

APT, которую американцы обозначили как TA410, в период с июля по ноябрь 2019 года проводила фишинговые кампании, нацеленные на поставщиков энергетических услуг по всей территории США, в ходе которых использовались malware LookBack и FlowCloud. Оба вредоноса представляют собой трояны удаленного доступа (RAT), собирающие всю возможную информацию с инфицированной машины и в дальнейшем передающие ее на свой командный центр.

В качестве приманки хакеры использовали документы на тему энергетики и обучающих курсов в этой отрасли. В частности, рассылались фишинговые письма от имени Американского общества инженеров-строителей (ASCE).

Применяемые в ходе кибероперации RAT достаточно сложны и написаны на высоком уровне. Среди функционала - доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам. Некоторые признаки указывают, что это вредоносное ПО было активно в дикой природе с июля 2016 года, но ранее было направлено на цели в Азии.

Часть TTPs указывает на сходство TA410 и APT10 aka Stone Panda, китайской хакерской группой активной с 2009 года и нацеленной на аэрокосмические, строительные и телекоммуникационные отрасли, а также на государственный сектор Японии, США и Европы. В то же время, Proofpoint говорят, что окончательной уверенности в связи Stone Panda и выявленных фишинговых атак нет, поскольку TTPs вполне могли быть подделаны, чтобы указать на ложного исполнителя киберкампании.

#APT #TA410 #APT10 #StonePanda

А пока мы пишем (и все никак не допишем, shame on us) обзор про северокорейских хакеров из APT Lazarus, они хулиганить не прекращают.

Команда исследователей RedDrip Team китайской инфосек компании QiAnXin Technology нашла вредонос от Lazarus, маскирующийся под предложение о работе от компании Disney. Для размещения управляющего центра корейские хакеры взломали сервер известной итальянской фирмы Paghera, специализирующейся на ландшафтном дизайне.

А подчиненные Ким Чен Ына умеют веселиться.

Никому предложение о трудоустройстве в Disney не приходило? Мы, кстати, сейчас не шутим, поскольку Lazarus, в числе прочего, были замечены и в работе по российским пользователям.

#APT #Lazarus

https://twitter.com/RedDrip7/status/1270201358721769475

​​Неделю назад мы писали о том, что оператор ransomware Maze, который, судя по всему, является русскоязычной командой, начал размещать на своем сайте краденную информацию от другого ransomware LockBit. Более того, Maze сообщили, что через несколько дней к сотрудничеству подключится еще один оператор ransomware.

И вот вчера на BleepingComputer появилась новость о том, что к Maze присоединился оператор вымогателя Ragnar Locker, а сами "лабиринтовцы" поменяли название на Maze Cartel.

Ragnar Locker памятен нам тем, что в апреле зашифровал данные Energias de Portugal (EDP), одной из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, и требовал выкуп в 10,9 млн долларов.

Примечательно, что Ragnar Locker располагает собственным сайтом для публикации украденных данных, в отличии от LockBit, и, на первый взгляд, выгода от его сотрудничества с Maze не совсем ясна.

Но тенденция не может не напрягать. Обмен опытом по тактике вымогательства сделает Maze Cartel намного опаснее. Колумбийские наркобароны от зависти удавятся.

​​А у Honda-то все невесело, оказывается. Вчерашняя атака вымогателя Ekans вывела из строя не только сервис обслуживания клиентов и финансовые сервисы компании.

Как пишет BBC, зашифрована внутренняя сеть, включая почтовые сервера. Но что более неприятно, кибератака повлияла на производственные системы Honda за пределами Японии. А это означает потерю больших денег. Сегментирование сети - не, не слышали.

Вот какие еще примеры нужны принимающим решения лицам, чтобы понять необходимость и важность информационной безопасности как для бизнеса, так и для государства? Вопрос риторический.

Лучше еще пару единых регистров запилить.

Что-то взгрустнулось нам и решили мы поделиться своим настроением с подписчиками. Иногда грустить бывает полезно.

В 1997 году в свет вышел альбом The Offspring под названием Ixnay Of The Hombre, на котором была представлена песня Gone Away.

По легенде, лидер группы Декстер Холланд написал ее после того, как его подруга погибла в автокатастрофе. Так ли это - нам достоверно не известно, но в песне действительно поется о потере любимого человека. И музыка, и текст очень искренние.

В 2017 году оригинальный клип на песню 1997 года был размещен на Youtube. И неожиданно пользователи стали посвящать комментарии под видео своим близким, которых они потеряли.

Комментарии в память умерших детей, родителей, супругов и просто любимых женщин и мужчин. Комментарии от умирающих людей, которые просят не забывать их. И дополнения от их родных, внесенные после их смерти. Тысячи комментариев.

Клип The Offspring стал мемориальной стеной, на которой каждый может поделиться своим горем и его поддержат другие. Ничего подобного мы больше не видели.

Если честно, мы знали про это явление давно. Но как-то в жизненной круговерти забыли про него. А сегодня вспомнили и все вместе погрустили.

Пройдут годы, забудут и Билли Айлиш, и реперов всех мастей и окрасов, а Gone Away все-так же будет собирать на своей стене комментарии скорбящих людей. Мы в это верим.

https://www.youtube.com/watch?v=40V9_1PMUGM

В процессорах ARM выявлена новая уязвимость.

На этой неделе Chipmaker Arm выпустили руководство с описанием мер по устранению новой уязвимости в архитектуре Cortex-A, она же Armv8-A. Ошибку назвали Straght Line Speculation или SLS.

Построенные на основе архитектуры ARM процессоры используются преимущественно в мобильных устройствах, Интернете вещей и пр.

Разработчики сообщают, что SLS является новой разновидностью уязвимости Spectre, которая вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу.

Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.

Chipmaker Arm работают над устранением SLS с прошлого года и утверждают, что угроза использования уязвимости со стороны злоумышленников относительно невелика. По крайне мере, рабочего эксплойта еще никто не видел.

Мы неоднократно говорили, что кибератаки в существенном количестве случаев неотрывно связаны с геополитическими интересами тех или иных игроков.

Ну так вот не мы одни так думаем. Товарищи из Quointelligence начинают цикл из небольших статей, в которых они постараются разъяснить свою точку зрения о важности учета геополитических реалий при анализе киберугроз.

С большим интересом ознакомимся и вам рекомендуем.

​​Исследователь Юлиан Хорошкевич обнаружил ошибку в обработке команд во всем известном интерпретаторе командной строки Windows cmd.exe, которая позволяет осуществлять обход пути.

For example, приведенная на приложенной картинке строка позволит запустить встроенный калькулятор вместо утилиты ping. Этот пример, безусловно, не угрожает безопасности, но допускающая его ошибка может, по утверждению Хорошкевича, привести к удаленному выполнению кода в атакуемой системе.

Самое интересное, что ресерчер передал все данные в Microsoft, на что те ответили (не в первый раз, если честно), что эта ошибка не создает угрозу безопасности. Поэтому Хорошкевич, хоть и не получил плашку CVE на выявленную уязвимость, но зато смог с чистым сердцем поведать о ней всему миру.

Еще одно подтверждение выражения "кто ищет, тот всегда найдет".

​​В нашей новостной повестке операторы ransomware Maze занимают в последнее время одно из первых мест. То они создают вымогательский картель , то ломают американские компании, обслуживающие ядерные ракеты.

Вчера Maze опубликовали список более чем 10 компаний, ресурсы которых они скомпрометировали. В него входят фирмы из США, Македонии, Бразилии, ОАЭ, а также один бразильский государственный портал.

Ну и, как мы предсказывали, уже появились обвинения России в атаках Maze. По крайней мере, сингапурские исследователи из Cyfirma утверждают, что за Maze стоят APT 28 aka Fancy Bear и APT 29 aka Dukes и Cozy Bear. А за первой из этих хакерских групп, как считается, стоит ГРУ.

Обоснование этого утверждения в виде того, что и операторы Maze и Fancy Bear в ходе атак используют обфускацию, боковое перемещение и кражу личных данных с помощью фишинга обсуждать смысла нет, поскольку это делают вообще все хакерские группы. Равно как и то, что ГРУ стоит за созданием Maze Cartel - вряд ли разведка будет заявлять о факте компрометации той или иной компании, особенно американского военного подрядчика, или атаковать государственный банк Коста-Рики и объявлять об этом публично.

С другой стороны, Cozy Bear были замечены в коммерческом взломе, так что их связь с Maze может присутствовать. Но, как всегда, нужно больше TTPs.

Политическая турбулентность в любой стране иногда выносит на поверхность вещи, которые в других случаях власть предпочитает замести под ковер. США в этом плане не исключение. Приближающиеся президентские выборы заставляют игроков в запале делать не совсем логичные с точки зрения национальных интересов вещи.

13 американских сенаторов из стана демократов решили вдруг вспомнить скандал пятилетней давности и наехать на Juniper Networks и АНБ. Ими было направлено письмо в адрес Juniper, в котором сенаторы просят опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.

Напомним, что в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.

Позже выяснилось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ и сразу же получившего необходимые сертификаты. А в алгоритме, как нетрудно догадаться, была заложенная на стадии разработки дыра.

По разным оценкам Juniper ввел в использование Dual_EC в своей ScreenOS в период с 2008 по 2012 годы. И все время по декабрь 2015 года АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик. Немало таких устройств приехало и в Россию, Juniper у нас традиционно любят.

Теперь же сенаторы-демократы решили вытащить эту, без сомнения, грязную историю на всеобщий обзор. Поглядим чем закончится.

Сегодня хоть и не пятница, но предпраздничный день. Поэтому подвезли пятничного контента.

Мы не знаем, что там Евгений Валентинович (tm) Маск со своими подчиненными в офисе на Водном стадионе делает, но не все это выдерживают.

Вот и один из бывших сотрудников Лаборатории Касперского (имя писать не будем, но он особо и не скрывается, при желании можно найти) сразу после увольнения свистнул кукушкой и написал в Твиттер леденящую душу историю, как Касперский его невозобранно травил:

- вешал под фальшпотолок микрофоны;
- подкупал водителя такси, чтобы он врезался вместе с сабжем во встречный BMW;
- посылал слежку ФСБ на черных Land Rover'ах;
- спалил хату родственников в Калифорнии и какой-то ресторан в Казахстане;
- натравливал на сабжа военные вертолеты и перевернутые джипы (?);
- но в целом все хорошо (это цитата!!!).

Евгений Валентинович (тм), вызовите пациенту белую карету уже, погибает ведь человек. В конце концов, он работал в Вашей компании.

https://twitter.com/newesprod/status/1270782152674873346

Крупнейший провайдер Австрии A1 Telekom официально признал, что подразделению информационной безопасности компании понадобилось более полугода, чтобы устранить последствия компрометации сети неизвестными хакерами.

Офисный сегмент внутренней сети A1 Telekom был заражен в ноябре 2019 года, что было обнаружено только месяц спустя. И с декабря 2019 года по май года текущего инфосек специалисты зачищали следы присутствия злоумышленников, удаляя оставленные ими бэкдоры.

Австрийская компания заявила, что технический сегмент ее сети не был затронут благодаря грамотному сегментированию, технологические процессы не нарушены и конфиденциальные данные абонентов не попали в руки хакеров.

Австрийский исследователь Кристиан Хащек сообщил, что к взлому A1 Telekom может быть причастна хакерская группа Gallium. Эта APT описана Microsoft (других данных мы не нашли), согласно информации которой хакерская группа нацелена, в основном, на телекоммуникационные компании.

Используемые Gallium вредоносные инструменты, в частности видоизмененные Gh0st RAT или China Choper, не уникальны, хотя дают некоторые основания считать, что группа связана с Китаем или КНДР.

Что мы думаем по этому поводу?

Во-первых, подобная многомесячная борьба с проникшими во внутреннюю сеть хакерами не нова, в истории отечественного инфосека есть подобные истории.

Во-вторых, мы в миллионный раз напоминаем про необходимость сегментирования сетей объектов критической инфраструктуры, к коей, несомненно, относятся крупные телекоммуникационные операторы-провайдеры. И к нашим компаниям это относится более чем. Вы даже не представляете, какой там зоопарк...

Наивно было бы предполагать, что хакеры не воспользуются такой благодатной темой, как уличные протесты в США.

Так они и воспользовались.

По сообщению BleepingComputer, исследователи Abuse[.]ch выявили фишинговую кампанию, в качестве приманки в которой используется предложение анонимно проголосовать по поводу Black Lives Matter. Ну, а в приложенной "форме для голосования" содержится банковский троян TrickBot.

Кажется данные о COVID-19 начинают терять свою популярность в качестве приманки в фишинговых рассылках, на их место приходит новая хайповая тема про BLM.

​​Как мы знаем, Facebook, как владелец WhatsApp, судится с израильской компанией NSO Group за продажу ряду правительств своего шпионского ПО Pegasus, которое позволяло контролировать переписку пользователей в мессенджере путем заражения их смартфонов.

NSO Group продавало свои кибершпионские инструменты исключительно спецслужбам и правоохранительным органам разных стран в целях предотвращения преступлений. Естественно, что разные спецслужбы трактуют понятие "преступление" по-разному, в связи с чем и разразился скандал, когда некоторые страны Ближнего Востока стали преследовать с использованием Pegasus политических оппонентов действующей власти и журналистов.

Но, как оказывается, Facebook тоже не чужда тому, чтобы кого-нибудь подломать. Естественно, в интересах правосудия.

Как пишет Motherboard, компания Цукерберга заплатила шестизначную сумму (в долларах, разумеется) некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил.

Злоумышленник в течение нескольких лет преследовал по сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием. ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.

Примечательно, что, по данным Motherboard, неясно, были ли ФБР вообще в курсе активности Facebook до получения эксплойта.

И, спрашивается, чем действия Facebook в этом эпизоде отличаются от действий NSO Group. Фактически ничем - и те и другие разработали инструмент для взлома и передали его правоохранительным органам. Подаст ли теперь The Tor Project, как спонсор разработки Tails, в суд на Facebook за взлом их программного продукта?

Возможно вы эту новость уже видели и тем не менее.

В пятницу Twitter объявил, что заблокировал более 32 тысяч учетных записей, связанных с Россией, Китаем и Турцией (на самом деле заблокировали в четверг, а в пятницу раскрыли подробности). Кроме того, все данные об этих учетных записях (и логи тоже? и переписку?) Twitter передал Австралийскому институту стратегической политики (ASPI) и Стендфордской Интернет-обсерватории (SIO) для дальнейших исследований.

Учетки, относящиеся ко всем трем странам, обвиняются в пропаганде в пользу действующей власти. Например, российские - в пропаганде Единой России и критику "политических диссидентов".

Мы не больше администрации Twitter любим Единую Россию, но все же хотим задаться вопросом - а какого хрена какие-то функционеры сервиса, руководствуясь своим частным мнением, начинают цензурировать контент? Напомним, что Вконтакте, например, в конце 2011 года не прогнулся под ФСБ и не стал блокировать учетки оппозиции. А Twitter'у можно, значит?

И пока все ломают копья вокруг Единого Реестра (мы на этот счет тоже имеем свое аргументированное мнение и обязательно его опубликуем позже), цифровой концлагерь приходит совсем с другой стороны. Со стороны транснациональной олигархии, завладевшей контролем над ведущими мировыми Интернет-сервисами и теперь диктующей всем что писать и как думать.

А если ты не согласен, что только Black Lives Matter и думаешь, что важны жизни вообще всех людей, или не хочешь преклоняться перед гопотой и мыть им ноги, то ты будешь подвергнут остракизму, заблокирован, а все твои личные данные будут переданы на изучение "правильным" ребятам из ASPI или SIO.

"В концлагере моей мечты все будет наоборот и надзирателями будут евреи" (одна российская либертарианка).

"Я не разделяю ваших убеждений, но готов умереть за ваше право их высказать" (парафраз слов Вольтера).

Почувствуйте разницу.

По данным BleepingComputer, польские исследователи из компании REDTEAM. PL поймали в ханипот образец вымогателя Black Kingdom, который нацелен на корпоративные сети с непропатченным Pulse Secure VPN.

Вредонос использует уязвимость CVE-2019-11510, которая была исправлена еще в апреле 2019 года. Тем не менее, многие компании до сих пор не обновили свои VPN, что может стоить им финансовых потерь.

Напомним, что в мае британская энергетическая компания Elexon, которая занимается распределением транзита электроэнергии по всей Великобритании, была атакована ransomware Sodinokibi (она же REvil) как раз через уязвимость в устаревшей версии Pulse Secure VPN.

Своевременно обновляйте корпоративное ПО.

А пока в мире нестабильность и коронавирус, польские милитаристы все еще грезят о "Польска от можа до можа".

Как выяснила CNN, в конце мая недалеко от чешского города Пельгржимов, польские военные, охранявшие границу в период эпидемии коронавируса, пересекли границу с Чехией и поставили на ее территории свой пограничный пункт. После чего стали заворачивать чехов, которые шли в местную церковь.

Инцидент в итоге удалось разрешить и поляки вернулись в свою страну после ноты чешского МИД. При этом официальное разъяснение польская сторона так и не дала, хотя неофициально военные Польши, заявили, что это было недоразумение и Чехию они оккупировали случайно.

Поскольку в прошлый раз, 82 года назад, такая "случайная оккупация" привела к аннексии поляками Тешинской области Чехословакии в размере 800 квадратных километров, то чехи напряглись.

Команда ресерчеров инфосек компании Cyble в ходе исследования дарквеба наткнулась на хакера, продающего сборку украденных пользовательских данных, содержащую сведения более чем о миллиарде записей.

В продаваемую базу входят данные с AliExpress (300 млн. пользователей), Ebay (145 млн.), Sony Online Entertainment (24 млн.), Sony Playstation Network (77 млн.) и др.

Радует одно, что слитые базы данных достаточно старые (встречаются даже датируемые 2011 годом). Не радует то, что такие уважаемые конторы как Sony допускают утечки пользовательской информации.

Напомним, что в январе 2019 года появились сборки украденных данных Collection #1, #2 и т.д., содержавшие в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.