​​Мы неоднократно писали про APT, которые не являются прогосударственными, а занимаются кибершпионажем по найму. К примеру, про группу Death Stalker, обнаруженную Касперскими, или UNC1945, которая была недавно выявлена FireEye.

Отчет в отношении новой подобной хакерской группы, получившей название CostaRicto, опубликован компанией BlackBerry.

Новая APT, согласно выводам экспертов, по сложности своих TTPs очень похожа на прогосударственную, но разнообразие профилей и географии их жертв свидетельствует, что это наемники в области кибершпионажа.

Цели CostaRicto разбросаны буквально по всему миру, но основная их концентрация приходится на Индию, Бангладеш и Сингапур, что дает основание полагать, что родиной хакерской группы является Азия. Сама кибероперация, выявленная исследователями, длится как минимум с октября 2019 года, но отдельные временные метки во вредоносном ПО относятся еще к 2017 году.

Для атаки на целевую сеть CostaRicto использует набор оригинальных вредоносов, среди которых ключевым является авторский бэкдор Sombra (персонаж-хакер из игры Overwatch), обладающий основным функционалом трояна удаленного доступа (RAT). Всего ресерчеры обнаружили шесть различных версий Sombra. Для связи с управляющими центрами используется туннелирование и SSL-шифрование.

Один из IP-адресов вредоносной инфраструктуры CostaRicto пересекается с замеченным ранее фишинговым доменом, использовавшимся в киберкампании, приписываемой APT 28 aka Fancy Bear, но это, по мнению исследователей, не более чем совпадение.

Таким образом, BlackBerry обнаружили очередную профессиональную хакерскую группу, работающую на аутсорсе. Поскольку подобные услуги, судя по всему, становятся все более популярными, то предлагаем их называть APT-as-a-Service или APTaaS. По аналогии с RaaS.

Скамеры разводят Брайана Кребса на получение им наследства в размере 25 миллионов евро от потерявшегося дядюшки, который преставился в 2009 году от сердечного приступа.

Смешно.

​​Оказывается в некоторых Android-смартфонах есть очень полезная с точки зрения информационной безопасности функция автоперезагрузки в определенное время суток. Это помогает от сидящих в памяти устройства вредоносов, а повторное заражение с большей вероятностью вызовет алерт или ошибку.

Надо бы такую же функцию вшить в IoT-устройства. Например, в домашние роутеры (хинт - почаще их перезагружайте, это может уберечь от нехороших вещей).

Новость про атаку ransomware на сеть производителя офисной мебели Steelcase мы увидели несколько дней назад и не стали заострять на ней внимание, однако BleepingComputer подвезли интересных подробностей и мы решили таки написать про этот кейс.

Итак, дано - американский мебельный гигант Steelcase, номер 1 по производству офисной мебели в мире, ожидаемый в 2020 году доход - более 4 млрд. долларов.

22 октября его сеть атакует оператор вымогателя Ryuk, после чего компания была вынуждена остановить ВСЁ свое производство на две недели.

То есть, только исходя из годового revenue, прямые потери Steelcase составили 150-200 миллионов долларов. А если еще учесть затраты на восстановление, пенни и штрафы за срыв сроков поставок и пр., то цифра получается совсем неприличная.

Это мы еще не говорим про потенциальную утечку конфиденциальной информации, ибо Ryuk, как и большинство других крупных ransomware, крадет данные перед их шифрованием. Хотя представители пострадавшей стороны, как всегда, поют мантры про "цi хакери нiчого не крали".

Что же можно сказать по этому поводу. По всей видимости, пора крупным компаниям создавать отдельное направление в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки ransomware. Кстати, фактически это же советовали в сентябре и специалисты британского Центра национальной кибербезопасности (NCSC) в своем обновленном Руководстве по противодействию атакам вредоносов и ransomware.

Apple выпустили новую версию macOS, которую назвали Big Sur. Новая операционка, как говорят сами разработчики, больше похожа на iOS - все эти "ужимки и прыжки", скругленные окна, эффекты прозрачности и пр. Про это вы уже, наверное, и сами слышали.

А вот о чем разработчики не говорят, так это о том, что в новой яблочной ОС сразу же после релиза обнаружено большое количество багов.

Поэтому мы бы советовали не торопиться с обновлением ваших Маков.

Исторический твит 👆

​​—Партнерский пост—

GIT — это сборник полезных IT сервисов на каждый день

На канале собраны уникальные сервисы от ведущих IT компаний, которыми пользуются тысячи людей разных профессий.

Задача IT сервисов — упростить и улучшить жизнь человека

Вы найдете сервисы для работы, бизнеса, учебы и повседневной жизни. И не нужно быть IT-специалистом, чтобы уже сегодня начать использовать сервисы.

Автор кратко и простым языком рассказывает о пользе и фишках того или иного онлайн-сервиса.

По сообщению The Register, старший вице-президент американского Центра стратегических и международных исследований (CSIS) Джеймс Льюис выступая перед британским Парламентом сообщил, что затраты на разработку самолета пятого поколения F-35 существенно возросли после того, как китайская APT скомпрометировала одного из поставщиков ПО (т.н. атака на цепочку поставок) для Lockheed Martin.

После того, как у него попросили подробностей, Льюис пояснил, что неустановленным способом китайцы взломали одного из субподрядчиков и внедрили бэкдор в его программное обеспечение, использовавшееся в разработке F-35. Дырка была обнаружена, а скомпрометированное ПО было переписано.

Это очень интересное заявление, поскольку ранее подобной информации не появлялось. Однако, китайцы могут.

Субботнее чтиво. За ссылку спасибо подписчику.

В начале ноября на Yahoo появилась очень интересная статья, посвященная катастрофическому провалу системы связи ЦРУ в 2013 году.

В статье много воды и эмоций, плюс очень мало конкретики, но мы постарались выделить основное.

Журналисты переговорили с десятком бывших сотрудников американского разведсообщества и выяснили, что в 2011-2013 годах система секретной связи ЦРУ со своими агентами через Интернет была скомпрометирована как минимум в Китае и Иране.

Сама система появилась не позднее 2008 года, но возможно, что и раньше. Для связи американских разведчиков со своими агентами на чужой территории использовалась сеть сайтов, как мы поняли - для каждого агента использовался свой сайт.

Американцы полагают, что иранцы перевербовали одного из агентов ЦРУ, либо подставили своего агента под американскую вербовку. Таким образом они получили доступ к одному из сайтов, использовавшемуся в качестве канала связи. А затем, используя сложные поисковые запросы Google, нашли другие подобные сайты, поскольку раскрыли закономерность их создания (определенные символы в доменном имени, дата создания, направленность сайта и пр.)

В 2011 году Иран практически полностью раскрыл шпионскую сеть ЦРУ и арестовал более 30 американских агентов. Параллельно начались задержания агентов в Китае, в 2011-2012 году китайские спецслужбы аррестовали, судили и казнили более 20 шпионов.

В итоге в 2013 году ЦРУ было вынуждено предпринять неотложные меры по полной переделке своей системы связи с агентами.

Отставные ЦРУшники полагают, что Иран и Китай осуществляли обмен данными в отношении каналов связи американских агентов, но при этом Китай пошел дальше и сумел взломать и проникнуть внутрь этой системы.

Иран же, вычистив ЦРУшников у себя дома, стал искать агентов США в других странах и в 2013 году поставил под угрозу разведывательную сеть ЦРУ в Йемене, вычислив ее через все ту же систему связи.

Интересно, что один из частных подрядчиков ЦРУ Джой Рейди еще в 2008 году пытался поднять тревогу, поскольку полагал, что около 70% системы Интернет-связи с агентами потенциально может быть скомпрометировано. Но, как полагается в лучших традициях спецслужб, особо умных там не любят и Рейди никто не слушал, а после того как он обратился к руководству ЦРУ и членам Конгресса, его уволили в ноябре 2011 года.

Остается лишь добавить, что американские разведчики удивлены тем фактом, что, несмотря на обмен информацией между Ираном, Китаем и Россией, сеть ЦРУ в нашей стране практически не пострадала. Мы же не видим в этом ничего необычного, поскольку при слове "Интернет" среднестатический российский контрразведчик впадает в коллапс сознания до следующего годового отчета.

​​Илья Константинович Сачков, открыв европейский офис компании Group-IB в Амстердаме, решил пройтись по PR, в целях чего дал интервью журналистам Bloomberg, а те разметили статью по его результатам на своем канадском ресурсе.

Статью назвали характерно - "Российский кибергуру находит способы дистанцировать компанию от Кремля". К сожалению, не до конца ясно, что говорил сам Сачков, а что ему приписали журналисты, но общий тон публикации понятен - Group-IB перетаскивает свой бизнес на Запад.

Ну и, как бы, мы могли бы даже посочувствовать Илье Константиновичу, поскольку наше видение ситуации с российской киберпреступностью во многом перекликается с его (другое дело, что мы-то анонимный ТГ-канал, нам можно). Но некоторые пассажи из интервью свидетельствуют, что Сачков твердо решил "перейти границу у реки" - типа русские шпионы это плохо, американские разведчики это хорошо (утрируем, конечно, но где-то так).

Поэтому похоже, что в скором времени российский бизнес Group-IB может накрыться медным тазом. Ибо подобная риторика вряд ли будет с пониманием воспринята руководителями органов власти и госкомпаний, которые играют весомую роль в портфеле заказов у Group-IB.

​​В начале ноября владельцы ransomware Maze заявили о прекращении своей деятельности. Правда работающие с Maze хакерские группы организованно начали переходить на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor, похоже, это новая итерация Maze, за которым стоят те же разработчики.

Ну и вот случилась очередная громкая атака от оператора Egregor. Чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, в выходные стала жертвой вымогателя.

В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру невозможности оплаты товаров банковскими картами.

Новой фишкой Egregor является распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах. Видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware.

Интересно, а насколько готов российский ритейл к атакам вымогателей? А то так придешь за батоном в Пятерочку, а они на кассе ransomware веником гоняют.

Северокорейские хакеры из APT Lazarus использовали в своей новой вредоносной кампании, направленной на пользователей из Южной Кореи, интересный метод заражения, пишут в свежем отчете исследователи из словацкого инфосек вендора ESET.

Cловаки называют новую операцию Lazarus "атакой на цепочку поставок", но мы бы сказали, что это гибрид "атаки на цепочку поставок" и "атаки на водопой".

В этот раз хакеры из КНДР воспользовались недостатком в южнокорейском программном обеспечении WIZVERA VeraPort, которое используется для управления установкой дополнительных программ безопасности. К примеру, при посещении банковского сайта пользователя просят установить ПО для проверки личности или специализированный модуль для браузера. Все это в автоматическом режиме обеспечивает WIZVERA VeraPort.

Для получения данных о ПО, которое необходимо загрузить с конкретного ресурса, VeraPort берет с целевого сайта файл конфигурации, подписанный цифровой подписью. Там используется RSA и взламывать ее весьма трудоемко, поэтому Lazarus придумали другой трюк.

Они скомпрометировали несколько сайтов, поддерживающих VeraPort, и заменили легальное ПО, которое должно было загрузиться на компьютер пользователя, вредоносным доппельганером. Недостаток VeraPort проявился в том, что программа проверяет только подлинность цифровой подписи загружаемых двоичных файлов, но не проверяет принадлежит ли эта подпись сайту, с которого идет загрузка, если не включена опция проверки хэша загружаемого файла.

Северокорейцы, скомпрометировав две подобные цифровые подписи, которые принадлежат южнокорейским филиалам двух американских компаний по безопасности, пописали ими свои вредоносы и разметили на взломанных сайтах. Таким образом пользователи при обращении к этим сайтам автоматически загружали себе полный комплект радости, включая полноценный троян удаленного доступа (RAT).

В этот раз ESET провели хорошую работу по атрибуции и принадлежность атаки именно APT Lazarus подтверждена большим количеством TTPs, как то - совпадения в коде, вредоносной инфраструктуре, методах шифрования и пр.

Эта атака лишний раз подтверждает нашу правоту относительно того, что каждый новый процесс автоматизации чего-либо потенциально приносит новые уязвимости. Поэтому иногда безопаснее что-то сделать руками, а не полагаться на ПО.

#APT #Lazarus

​​—Партнерский пост—

Код Дурова — канал, где люди уже 4 года узнают честные новости о Telegram

◖ Без фейков
◖ Быстрее всех
◖ С комментариями команды Telegram

Так же редакция делится передовыми новостями из мира IT, гаджетов и технологий.

На кого ещё подписываться, если не на старый и проверенный временем Код Дурова?

Павел, моргните дважды, если тоже их читаете

​​Тут в дополнение к сегодняшней новости про атаку ransomware Egregor на ритейлерскую сеть Cencosud подъехало видео, на котором видно как кассовый аппарат в магазине распечатывает записку с требованием выкупа.

Современные технологии, которые мы заслужили.

Канадский город Сайнт-Джон в минувшее воскресенье подвергся серьезной кибератаке, как сообщает CBC.

В результате все муниципальные сервисы города были выведены из строя, за исключением службы экстренной помощи 911. Кроме того, власти пока не знают были ли скомпрометированы какие-либо персональные данные жителей города.

Судя по попыткам властей "сдержать и искоренить вирус", речь идет об очередной атаке ransomware на муниципальную инфраструктуру. Какой конкретно вымогатель стоит за этим - пока неизвестно.

Никогда такого не было и вот опять. Motherboard выяснили, что американские военные, а также частные разведывательные компании, покупают данные о местоположении пользователей мобильных устройств у разработчиков приложений.

Журналисты смогли выявить две фирмы, торгующие обогащенными данными о местоположении пользователей. Первая - это Babel Street, про сотрудничество которой с американскими спецслужбами мы уже писали. Теперь оказалось, что геоданные у этой компании покупает также и Командование специальных операций ВС США (USSOCOM). И хотя передаваемые данные якобы являются анонимными, один из бывших сотрудников Babel Street сообщил журналистам, что имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.

Второй организацией, занимающейся сбором и продажей геоданных, является американская компания X-Mode и с ней все еще интереснее. X-Mode предлагает разработчикам включать ее SDK, собирающий данные местоположения, в свои приложения, за что платит деньги. Например, приложение, имеющее 50 тыс. активных пользователей, будет приносить разработчику 1500 долларов в месяц.

X-Mode ежемесячно отслеживает как минимум 25 млн. устройств на территории США и 40 млн. устройств в остальном мире, но, скорее всего, это количество сильно больше. Так, SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее более 70 млн. загрузок, в счетчик шагов Accupedo, в серию приложений для знакомств xxxx Social, среди которых есть и Russia Social с более чем 100 тыс. установок, а также во многие другие.

Кроме USSOCOM, клиентами X-Mode являются две крупные частные разведывательные компании - Sierra Nevada Corporation и Systems&Technology Research, которые предлагают американским военным и спецслужбам аналитику данных.

Кстати, Sierra Nevada Corporation являлась автором известного отчета, в котором возникновение COVID-19 объяснялось аварией в Уханьском институте вирусологии в октябре 2019 года. И хотя выводы отчета были неоднократно раскритикованы, интересен факт использования в качестве первичных данных информации о геолокации сотрудников китайского Института.

Треш, угар и содомия. Вот что происходит с приватностью пользовательских данных в современном мире.

​​Несмотря ни на что есть и хорошие новости, касающиеся обеспечения приватности пользователей.

На прошлой неделе Apple объявили, что с 8 декабря разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры, а также в каких целях эти данные будут использоваться.

Теперь же Mozilla включили в новую версию Firefox функцию HTTPS-Only Mode, которая автоматически пытается соединиться с посещаемым сайтом HTTPS, а в случае если это невозможно выдает ошибку и просит подтвердить соединение по HTTP вручную.

По умолчанию новая функция отключена, но ее можно активировать вручную.

Еще один небольшой кирпичик в стену конфиденциальности.

​​Кокая прелесть 🤗

В связи с увольнением Трампом директора американского Агентства кибербезопасности (CISA) Криса Кребса половина инфосек сообщества кинулась с задором обсасывать эту новость.

Кребс - хороший человек или редиска? Профессионал или нет? Трамп или кот? Вот такие вопросы интересуют уважаемых специалистов по информационной безопасности.

Какие там APT, что за проблемы с атрибуцией, о чем вы...

В апреле этого года британская организация Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг (мы уже писали про ее исследования), совместно с британской же инфосек компанией Context, изучила ПО двух популярных в Европе автомобилей - Ford Focus и Volkswagen Polo.

В прошивке медиаустройства Volkswagen Polo нашлась уязвимость, благодаря которой исследователи смогли произвольно отключить систему контроля тяги (TCS), управлять светом фар, а также получить доступ к личным данным водителя.

У Ford Focus удалось подделать показания датчиков системы контроля давления в шинах (TPMS), а также получить данные сервисной сети Wi-Fi завода в Детройте, включая пароль от нее.

И если Volkswagen с готовностью пошли на сотрудничество с исследователями, то Ford отморозились и сказали, что у них все хорошо, а что касается пароля от заводского Wi-Fi, то это еще доказать надо и "нет у вас методов против Кости Сапрыкина".

И вот на днях Context опубликовали технические подробности взлома VW Polo. Как мы понимаем, потому, что Volkswagen исправил недостатки. Что же касается Ford Focus, то они в России все-равно в данный момент не продаются и их не жалко.

Context рассказали в общих деталях как они смогли обойти механизм проверки подписи обновления прошивки медиацентра Discover Media Volkswagen Polo версии 2019 года, а потом внедрить в него свой вредоносный код. Для этого им потребовался физический доступ к слоту SD-карт. посредством которых осуществляется обновление.

Но эксплойт британцы не опубликовали, поскольку, по их заявлению, основные элементы взломанной прошивки головного устройства используются, кроме Volkswagen, двумя другими автопроизводителями. И какие возможности по влиянию на системы управления автомобилем получат хакеры после взлома этих моделей - неизвестно.

Количество багов в автомобильном ПО все возрастает. К чему рано или поздно приведет их эксплуатация со стороны злоумышленников - тоже, в принципе, понятно. К людским жертвам.

Дорогие друзья! Пожалуй, пришло время сделать обзор на очередную прогосударственную APT. И в этот раз мы решили рассмотреть одну из иранских хакерских групп. А вот какую конкретно - мы спросим у вас!