Китайский политический шпионаж? Выводы по взлому Майкрософт

Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.

Что известно на данный момент?

- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.

- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.

- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.

- Майкрософт продолжают расследование.

А вот теперь выводы из всего этого:

0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?

А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.

Опечатки и порочные практики как угроза информационной безопасности

Мы привыкли, что основные угрозы в ИБ связаны так или иначе с действиями злоумышленников. Тем не менее, каждый год происходят сотни случаев разглашения конфиденциальной информации по банальной невнимательности. И кажется, у нас есть совершенно восхитительный пример.

Как известно, в США используют домен .MIL для инфраструктуры, связанной с военными. Сделав всего одну опечатку, .MIL превращается в .ML, а армия США - в Мали (такое государство в Африке). Забавно, но факт — голландский подрядчик, управляющий страновым доменом Мали утверждает, что с 2014 года американские военные отправили 117 тысяч (!) электронных писем в эту страну, а "только в прошлую среду пришло около тысячи". Секретной информации они не содержали, а вот конфиденциальной, включая данные военных и членов их семей, а также дипломатическую переписку — вполне.

Голландский подрядчик утверждает, что с 2014 года он безуспешно пытается донести суть проблемы до американской армии, которая ее просто игнорировала. В Пентагоне заявили, что решают проблему — а тем временем, срок передачи контроля над доменом правительству Мали истекает.

Судя по всему, чтобы решить проблему наверняка, американцам стоит переименовать Мали. По крайней мере, это будет проще, чем отучить людей совершать ошибки.

И вдогонку к предыдущему посту: никакого злого умысла, просто человеческий фактор.

https://xakep.ru/2023/07/19/virustotal-leak/

О зарплатах, или почему специалист по ИБ может зарабатывать меньше, чем дизайнер

Тут на Хабре вышло интересное исследование — они на собственных данных собрали статистику по зарплатам в IT. К IT традиционно причислили и ИБ (что не вполне корректно), но это мелочи. Посмотрев на итоговые цифры, мы видим интересное: среди "технических" специальностей специалисты по безопасности зарабатывают ... меньше всех. Более того, это единственная специальность, в которой зарплаты в отдельных городах ... падают. Да, можно обсуждать репрезентативность выборки, но в целом проблема есть.

Итак, средняя зарплата ИБ-специалиста в России (по данным Хабра) — 120 тысяч рублей, это меньше, чем у тестировщика. Причем в госсекторе ситуация может быть радикально хуже — про то, как в "госуху" искали специалиста по ИБ за 15 (!) тысяч рублей в месяц мы уже писали. В целом, проблема ИБ — это проблема любого риск-менеджмента или поддерживающей функции. Сам по себе кибербез не приносит прибыли (если вы, конечно, не занимаетесь продажей именно его).

В общем, когда снова услышите об утечках, особенно в госсекторе — не удивляйтесь. Когда услышите новости о том, что "в России не хватает специалистов по ИБ" — просто улыбнитесь. В реальности, специалистов хватает — им просто не готовы платить. И мы знаем достаточно ситуаций, когда грамотные ИБ-специалисты уезжают из России не из-за политики, а просто потому, что в условной Польше предложили зарплату в 3 раза больше.

На самом деле, реальной борьбы с утечками на уровне государства сейчас практически не ведется, и утечки клиентских данных никого особо не волнуют. Если бы волновали — в России давно бы появились оборотные штрафы за потерю данных. Но их нет и почти наверняка не будет.

Собственно, одна из причин, по которым появился 3side — это желание как-то изменить сложившуюся картину, когда 10 000 продажников продают услуги 1000 ИБ-специалистов.

Легендарный Кевин Митник скончался

Он умер 16 июля на 60 году жизни после годичной борьбы с раком поджелудочной железы. В этот раз обвести смерть вокруг пальца ему не удалось.
У него осталась жена и еще не родившийся первый ребенок.

Сложной найти человека из кибербезопасности, кто не знал бы о нем, не читал его книги или хотя бы не слышал истории об этом удивительном человеке.

Он один из первых открыто рассказывал о методах социальной инженерии на публике. На его книгах учились и мошенники и пентестеры соц. инженеры, как и автор этих строк, который по настоящему влюбился в это направление после книг Кевина.

Кому то покажется, что его методы в 2023 устарели, но это не так, просто адаптируйте их под реальность и смотрите глубже. Методы описанные им вечны!

Как и он будет вечен в памяти его последователей.

Хакинг в ногу

Вот тут всплыла совершенно потрясающая история — один очень талантливый хакер, продававший в даркнете данные со взломанных машин и корпоративные учетки, случайно продал и свои данные.

Но для начала немного предыстории. Разделение труда давно дошло до злоумышленников в сети. Даже термин такой появился — RaaS (ransom-as-a-service), по аналогии с SaaS. Грубо говоря, первичные уязвимости собирают одни, ломают другие, деньги выводят третьи, схема получается достаточно сложная и многоэтапная. Есть даже определенная конкуренция между производителями malware, в том числе по цене. Там забавно, но история не про это.

Так вот, наш герой занимался поисками тех самых первичных уязвимостей, заражая компьютеры тысячами и продавая за копейки содержимое — дальше уже другие люди разбирались, что с этим делать. Есть такой класс вредоносных программ — инфостилеры (по-сути троян, который собирает информацию по системе жертвы). Продавал он логи этих самых инфостилеров в даркнете любому желающему, в том числе (очевидно) полиции и "белым" исследователям.

Очевидно, что таких "низкоуровневых" злоумышленников довольно много, заражают друг друга они регулярно, но наш герой пошел дальше — он ухитрился продать доступ к собственному (!) компьютеру, что достаточно быстро обнаружили израильтяне из Hudson Rock, ну а дальнейшее было делом техники. К слову, те же исследователи утверждают, что подобную ошибку допускали тысячи злоумышленников до него.

А теперь менее смешная часть этой истории

Инфостилеры — это вообще совершенно типовая проблема. Каждый год злоумышленниками похищаются сотни тысяч записей клиентов, так что именно они вместе с шифровальщиками останутся ключевой проблемой и в этом, и в следующем году. Тут есть еще какой момент — злоумышленники не пытаются целенаправленно атаковать одну конкретную компанию, они работают "по площадям", говоря простым языком, и дальше продолжают атаки там, где это может быть наиболее эффективно.

В общем, занимайтесь защитой. По крайней мере, пока не все хакеры продадут полиции компромат на самих себя.

Новый инструмент защиты или контроля?
Google Web Environment Integrity

Архитектура современных браузеров такова, что зачастую доверять им совершенно невозможно. Почему?
- Имитировать легитимный браузер крайне легко, чем пользуются ботоводы накручивающие рекламу.
- Изменять код на клиенте - проще простого, чем пользуются в фишинге и этим же пользуются вредоносные расширения.
- Отделить реального комментатора от бота-манипулятора в социальных сетях, можно только по контенту и статистике, но не по браузеру.
- Читерство в веб-играх, неконтролируемо.
- С атаками на перебор паролей, тоже не всегда все просто (да в 2023 году!).

При этом подобные проблемы на мобильных устройствах стоят гораздо менее остро, там есть возможность проверить целостность кода и отсутствие root-прав. Но этим часто и злоупотребляют.
Разработчики Google хотят внедрить схожий механизм проверки содержимого браузера, как они говорят с целью защиты.

Цель благая, но какие подводные камни?
1. Блокировщики рекламы могут попасть под удар, они намеренно изменяют код и защита должна это видеть.
2. Это уникальный сбор данных о браузере, фактически супер-fingerprinting, который будут видеть только Google.
3. Фактически заблокировав доступ к этому API, многие сайты могут перестать открываться.

А что с другими браузерами? Это станет обязательным, уровня "интернет-паспорт"?
И вот в этом и кроется основной срач генерирующий споры момент.
- Сейчас разработчики утверждают, что не собираются влиять на работу блокировщиков рекламы или иных плагинов и расширений.
- Фингерпринтинг и слежку отвергают, хотят лишь регулировать скорость доставки контента до конечного устройства.

Сейчас проект располагается на личном Github одного из разработчиков, Google намеренно абстрагируется от столь неоднозначной технологии.

Она с точки зрения защиты дает Google большие возможности, но с большой силой приходит большая ответственность, как ей распорядится компания, увидим. Это может стать как благом для пользователей, так и проклятием для всего интернета.

Обманывают не только пенсионеров

Если вы все еще считаете, что колл-центры мошенников из "службы безопасности" обманывают в основном людей пожилого возраста, то прочтите этот пост.

Ольга П. 24 года, учительница из Воронежской области. Сегодня она подожгла военкомат, так как считала, что помогает задержать преступников, которые пытаются украсть ее деньги и на навесить на нее кредиты. Конечно же, все это ей сообщили по телефону сначала из "Центробанка", потом из "МВД". Ее настолько убедили в этом, что она не задумалась о том, что она делает даже в процессе изготовления горючей смеси!
Сейчас решается вопрос о возбуждении уголовного дела не только против мошенников, но и против нее.

Все мы можем быть уязвимы к подобному, ведь еще до звонка мы можем быть в стрессовом и поэтому уязвимом состоянии.
Не давайте мошенникам шанса вас обмануть, сразу бросайте трубку.

И распространите, пожалуйста, нашу одноименную памятку "Бросай трубку!".
Информирование - лучшая защита от подобного.

Фантастика — проблему перехода от мошенничества к терроризму, о которой мы писали год (!), наконец заметили крупные СМИ. Правда, реальность все равно несколько иная.

Во-первых, в статье ниже пишут, что причиной взрывного роста числа поджогов стало ужесточение регулирование оборота наличной валюты на Украине. На сколько мы понимаем — это не так, никакого нового "закона о контроле над финансовыми операциями" от 1 августа на Украине нет, а Нацбанк просто изменил правила внесения валюты на счета, например с использованием платежных терминалов. И да, теперь они больше похожи на российские. Так что это неприятно ударит по "серому" рынку и приведет к росту комиссий — но нет, вред для бизнеса колл-центов будет минимальным.

Наоборот, осенью на Украине Минфин (точнее, Нацбанк и НКЦБФР) с ненулевой вероятностью окончательно "легализует" крипту. Сейчас там есть закон «О виртуальных активах», подписанный Зеленским в феврале прошлого года, но в нем много пробелов. Скорее всего, осенью их исправят.

Почему мы говорим о крипте? Потому что во всей этой истории она гораздо важнее любых ограничений на кэш, и без нее любой вывод средств из России на Украину вообще достаточно нетривиален. Пока что цепочка не меняется: жертва - дроп - сервис обнала - криптокошелек call-центра - микшер (анонимизация транзакций) - Binance -"белый" кошелек call-центра. Что интересно в этой схеме: фактически, "отмыв" происходит дважды. Первый раз деньги "заводятся" на криптокошелек сервисом обнала чтоб вывести их в России, второй раз — чтобы "легализовать" их на Binance. Вариаций у этой схемы миллион, но идея каждый раз плюс минус одинаковая. Если интересно - очень советуем старый отчет Сбера про работу колл-центров.

Что касается поджогов и прочего терроризма. То, что крупные СМИ заметили ее только сейчас совершенно не говорит о том, что проблема новая. Первый известный нам поджог произошел практически год (!) назад. Кстати, по РБ мошенники тоже работают. Вообще, есть стойкое ощущение, что изначально все это было самодеятельностью отдельных сотрудников колл-центров, а в последние месяцы история стала более централизованной. Ну, и за это скажем спасибо — могли начать и раньше.

Кстати, история касается не только телефонных мошенников. Недавно был характерный пример — обманутому клиенту (покупал БПЛА, перевел деньги дропу) угрожали "отправкой денег на Украину", а чтобы этого не случилось — предлагали снять с коптера воинскую часть. Мужчина обратился в полицию.

А теперь поговорим о том, как этому можно противодействовать. С точки зрения государства — никак. Запретить анонимные обменники невозможно, запретить мошенникам обманывать "клиентов" пока тоже не получается. Отбросив заведомо нереалистичные сценарии (разбомбить все колл-центры, программным способом выявлять мошенников на этапе звонка) останется только один. Информирование, информирование, информирование.

И вот здесь СМИ действительно могут помочь. Мы уже писали об этом много раз, правило одно и очень простое. При любых сомнениях, бросайте трубку. Надежда на то, что украинские власти "запретят" мошенников, крайне сомнительна.

Поджоги военкоматов становятся массовым явлением?

Тут пишут, что за сутки подобных случаев было больше десятка (мы проверили и нашли несколько фактов). К сожалению, дальше может быть только хуже. Причина простая — на той стороне тоже учатся. Почти наверняка, за год россияне отдадут мошенникам около 10 млрд (!) рублей, общее количество звонков в сутки приближается к 10 млн.

И вот тут возникает вопрос — что со всем этим делать. Простого ответа на него нет. Даже ЦБ, отчаявшись научить сограждан хоть каким-то основам финансовой грамотности, решил переложить проблему на банки. Вот только с поджогами и прочими резонансными делами так не выйдет — там ответственность перекладывать не на кого.

Лучшее, что государство может в этой ситуации сделать — это не замалчивать проблему. В конце концов, у нас в стране вагон разной социальной рекламы, достаточно просто добавить еще одну. Не надо разговаривать с мошенниками. Вообще. Не надо пытаться понять, что они вам говорят. Не надо отвечать им. Просто бросайте трубку.

Новые угрозы безопасности на практике — здесь и сейчас

Мы много раз писали, что ландшафт киберугроз за последние полтора года претерпел колоссальные изменения. Сегодняшняя история только подтверждает этот факт. В конце концов, ну кому из злоумышленников до 2022 года могло в голову придти взламыать МосгорБТИ?

И вот сегодня (про)украинские взломщики, активно продвигаемые известным кардером российского происхождения устроили полноценную диверсию. Подкрепленную не только словами, но и скриншотами, крайне похожими на реальные. Сам МосГорБТИ пишет, что информация надежна защищена, а с инцидентом уже разбираются. Так это или нет, узнаем через пару дней.

Мы не готовы утверждать, что диверсия была успешной и мы совершенно точно не знаем, восстановимы ли данные. Мы можем только с уверенностью сказать, что пруфы "другой стороны" выглядят очень правдоподобно. Так что атака была как минимум отчасти успешной.

Пару лет назад МосГорБТИ был нафиг никому не нужен. Ну камон, кардингу не интересно, рансому не интересно (выкуп не заплатят), кибершпионаж тоже не при делах, т.к. данные банально не ликвидны. И угроз как таковых не было. Угрозы банкам - были, платежным системам - были. А ломать государственные бюджетные учреждения, как правило нищие как церковные мыши, мало кому в голову то приходило.

А сейчас появился новый тип атак — целенаправленная диверсия с целью нанесения максимального ущерба. Цель хактивистов — не деньги, они хотят засветиться в атаке на российскую инфраструктуру. Мы уверены, что с каждым месяцев будет только хуже. Тут история как с колл-центрами, когда "та сторона" за год получила достаточно компетенций для того, чтобы перерасти чисто мошенническую деятельность.

Сейчас будет то же самое — вместо атак ради выкупа и атак ради данных придут атаки ради ущерба. Их главная цель — получить максимальный хайп, засветиться в СМИ и медиа.

State sponsored APT

Каждый интересующийся кибербезом неизбежно сталкивался с аббревиатурой APT, гуглил расшифровку которая выглядела как APT (Advanced Persistent Threat) и яснее не становилось. На русский это переводится как "Постоянная серьезная угроза", стало яснее? Нет.

APT - это высококвалифицированная хакерская группа, финансово мотивированная как и прочий киберкриминал, либо "State sponsored".

State sponsored APT называют группы подконтрольные или даже находящиеся в штате одной из спецслужб какой-либо страны. Это или отделы, или внешние постоянные подрядчики, которые де-юре независимые, де-факто просто вынесенные за периметр службы. Соответственно и операции которые проводятся подобными APT группами - мотивированы интересами государств. Какие-то группы традиционно приписывают определённым странам, иногда с доказательствами, иногда голословно.

Тема атрибуции (определения конечного исполнителя атаки) будет всегда политизирована, доказательства могут быть подтасованы и проверить их через независимые источники крайне сложно.
Красивый не политизированный список APT-групп можно посмотреть на сайте Лаборатории Касперского.
А политизированную версию с атрибуцией, например, на сайте MITRE.

Чем же state sponsored APT отличается от киберкриминала, помимо своих про государственных, диверсионных и/или шпионских целей?
- Уровнем мастерства/подготовки. Участники любых APT это зачастую бОльшие профессионалы.
- Ресурсами. APT группы аккумулируют бОльшее количество уязвимостей нулевого дня, а остальное зависит от финансирования той страны к которой они принадлежат или собственного финансирования.
- Целевыми атаками. Киберкриминал не ставит целью взлом конкретной компании, если не получается им проще перейти к иной цели. State sponsored APT же будут стремиться выполнить задачу любыми способами, они готовы даже ждать удачного момента.

Свежий пример подобной атаки.

SecAtor пишет со ссылкой на британцев, что уже как 2 года назад взломали Избирком Великобритании.
Удачный взлом произошел в августе 2021 года, утекли данные всех избирателей за последние 8 лет. А узнали они об этом только сейчас. Фактически все 2 года абсолютно незаметно неизвестная APT-группа контролировала всю инфраструктуру организации и все ее коммуникации.

Их цель понятна - шпионаж.

Британцы сейчас, конечно же говорят, что ничего страшного не случилось, а угрозы выборам не было. Словом, пытаются замять историю.

СМИ и кибербезопасность — пример того, как можно круто писать про ИБ

Мы уже как-то писали о том, что СМИ традиционно освещают проблемы ИБ крайне специфично, а их материалы часто далеки от реальности. Справедливости ради, так происходит далеко не всегда. Некоторые издания готовы и могут писать очень качественно, если индустрия совсем немного поможет им материалами и комментариями. И вау — все будет супер.

Собственно, как это было — мы сами специально связались с "Бизнес-Онлайн", скинули цикл наших постов про мошеннические колл-центры, поджоги и социальную инженерию, издание (к их чести) предельно адекватно восприняло написанное и предложило нам просто прокомментировать их новый материал. Мы ответили на их вопросы в формате "комментарии эксперта", и у них вышел вот такой шедевр! И мы искренне рады, что приняли небольшое участие в его подготовке.

Вывод — СМИ и индустрия вместе делают могут хорошо рассказать об очень важных и иногда достаточно сложных вещах.

П - популяризация

Сейчас активно раскручивается новое IT-медиа "вАЙТИ" и нам предложили написать статью о том, как же развивать культуру безопасности в компании?
Мы постарались простым языком об этом рассказать, с легкими и понятными примерами и небольшими лайфхаками. Отдельно остановились на том, что точно делать не нужно)

Если коротко, самое главное — нужно искать золотую середину. Попытка "запрещать все" вредит бизнесу, "разрешить все" тоже вредит бизнесу, но иначе) А вот про то, как эту самую золотую середину искать — практически половина статьи))

Уязвимости в крипте

Исследовательская группа Fireblocks по криптографии обнаружила BitForge – серию уязвимостей нулевого дня в некоторых из наиболее широко распространенных реализаций протоколов многопартийных вычислений (MPC), включая GG-18, GG-20 и Lindell17 (да, на русском здесь).

Многопользовательские вычисления остаются отраслевым стандартом безопасности кошельков, которым доверяют бесчисленные учреждения и розничные пользователи по всей отрасли. В рамках постоянных усилий по повышению безопасности MPC в области криптографии исследовательская группа Fireblocks проанализировала десятки общедоступных протоколов MPC и поставщиков кошельков. При этом команда обнаружила уязвимости нулевого дня в реализациях, используемых более чем 15 провайдерами кошельков цифровых активов, блокчейнами и проектами с открытым исходным кодом, которые позволили бы злоумышленнику с привилегированным доступом выводить средства из кошельков. В некоторых реализациях атака займет всего несколько секунд без ведома пользователя или поставщика.

А теперь то же самое, но простыми словами. Про 0-day мы когда-то давно уже писали для РБК, это (грубо говоря) такие ультимативные уязвимости. "Владение" 0-day позволяет при должном умении проводить исключительно эффективные атаки, а сами по себе они стоят миллионы долларов. И в случае с криптой все это вдвойне опасно. Потому, что во многих случаях "откатить" транзакции практически нереально, а в случае с северными корейцами нереально еще и что-то сделать с атакующей командой. "Что ты мне сделаешь, я в Пхеньяне, кекеке".

Особенно опасны 0-day в руках APT (Advanced Persistent Threat, грубо говоря, элиты от мира киберкриминала или state sponsored, про них мы тоже писали). Там в ход пойдет и социальная инженерия, фишинг, атаки на личные устройства — в общем все, что угодно. И именно пользователи криптокошельков — самая простая и понятная цель для них. Хотя при таких возможностях мы не удивимся, что скоро попытаются атаковать и биржи, и бриджи, да вообще все.

А на фоне роста числа пользователей крипты в новом "фрагментированном" мире, прошлогодние 4 лярда потерь могу показаться цветочками.

IT-конференция "Стачка"

Для индустрии очень важно рассказывать на именно IT-конференциях про безопасность. Приходите на мой доклад
"Безопасность/удобство глазами CISO". Он адаптирован именно для IT, для ознакомления и погружение в культуру кибербезопасности.

По своей сути IT и кибербезопасность – антиподы. Как и их стремления сделать что-то удобнее и безопаснее. Оптимальный баланс для самого себя выработать не так сложно, но вот в компании все гораздо сложнее.
В этом докладе я расскажу:
- Об актуальных угрозы бизнесу от малого до энтерпрайза.
- Какие бывают подходы к кибербезу в компаниях и что с ними не так.
- Почему баланс всегда в движении и будет нарушаться.
- Как взаимодействовать с пользователями и владельцами бизнеса.
- Почему не работают только технические методы.
- И как наконец найти тот самый стабильный баланс, подходящий именно вашей компании.


Ульяновск. 15-16 Сентября 2023.