А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.

Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.

По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.

Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.

Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.

#APT #TA428

​​Американский исследователь Chuong Dong сделал хороший и большой разбор ransomware Conti v2, в частности описал процесс многопоточного шифрования, за счет которого вымогатель достигает большой скорости работы.

Если интересуетесь ransomware - ознакомьтесь.

P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.

Евгений Валентинович Маск, основываясь на теории чисел, вангует нам счастливый 2021 год.

Теперь, если что, вы знаете с кого спросить...

​​​Журналисты таблоидов New York Fakes и Washington Toast фанатично добивают свой авторитет, навешивая solarwindsгейт на ГРУ (несмотря на всеобщий WTF от профессионального киберсек-сообщества). Тем временем мимо их внимания набухла другая интересная история, которая, по понятным причинам политического заказа, вряд ли найдёт отражение на страницах этих изданий. Просто потому, что история касается израильской компании NSO Group, а к ней русских хакеров не пришьёшь.

Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.

Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.

Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.

Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.

А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.

​​​Болгарский рисёрчер Георгий Герганов выложил на GitHub новую версию утилиты Keytap для распознавания набранного на клавиатуре текста по акустическим колебаниям.

Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.

Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.

​​Рисёрчер Henri Nurmi из финской компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI шину.

Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.

Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.

Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.

А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.

​​В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.

Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.

Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.

Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.

Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.

​​И в продолжение темы атаки SUNBURST.

Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.

Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.

Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.

"Внушает!" - как сказал бы Хрюн Моржов.

За всей этой движухой с SolarWinds операторы ransomware отошли на второй план медийной сцены. Но это не значит, что они прекратили свои гадости.

Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.

В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.

ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.

​​Использовать анализ массивов данных для вычисления сотрудников спецслужб противостоящей стороны могут не только лишь все. Но, как оказалось, кроме "журналистов-расследователей", а также их старших товарищей из трех- и четырехбуквенных контор по обе стороны Атлантики, в воровство информационных баз и Big Data также могут и китайские киберхунвейбины.

Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.

И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.

Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.

С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.

Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.

По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.

В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.

К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.

Совсем недавно мы рассказывали об описанном компанией Forescout наборе уязвимостей AMNESIA: 33, который включает 33 ошибки в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net. Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. Эти стеки используются в продукции 158 вендоров и могут затрагивать более миллиарда различных устройств, преимущественно IoT.

А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.

Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.

Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.

Кластернет на марше! Даешь каждому феодалу по своей суверенной сети!

В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.

Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.

Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.

К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.

Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.

​​Старые формулировки, абсолютно точно подходящие к современному миру кибершпионажа.

Truesec провели исследование атаки оператора ransomware Ryuk на одно из предприятий и пришли к выводу, что атаковавшим была хакерская группа FIN7, "карбанакеры".

На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).

В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.

Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.

​​Чота ржем...

​​Cybernews провели исследование 13 приватных мессенджеров, среди которых как известные типа Telegram, WhatsApp или Signal, так и весьма экзотические - вроде Qtox и Cyber Dust.

Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.

При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.

Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.

В завершении поста - сводная таблица, составленная журналистами по результатам исследования.

​​Нам сегодня годик!

Поэтому просим простить за столь скудную ленту, мы отмечаем 🥳

В сеть слили данные водителей Яндекс.Такси

В интернет утекли данные водителей Яндекс.Такси. Их количество составляет более 23 тысяч строк.

В них входит ФИО водителей, их номера телефонов, данные автомобилей и названия таксопарков.

К счастью, часть слитой информации уже устарела. Вероятно, данные были сформированы в прошлом году.

Некоторые водители уже давно не работают в Яндекс.Такси, а часть телефонных номеров вообще не обслуживается.

Исследователь Марко Хоффман обнаружил новый вид DDoS-атаки, использующий Citrix ADC для мультипликации трафика .

Злоумышленники используют протокол DTLS. В силу того, что протокол построен на основе UDP, он позволяет хакеру подделать запрос и инициировать ответ в адрес жертвы. Из-за проблемной реализации DTLS в Citrix ADC коэффициент мультипликации при этом составляет 35 (то есть обратный трафик в 35 раз больше входящего), что является одним из самых эффективных векторов усиления для DDoS-атак.

Вчера Citrix подтвердили проблему, но исправлений для Citrix ADC пока нет. В качестве временных рекомендаций владельцам - тупо отключить DTLS, а если он нужен для работы, то включить аутентификацию входящих соединений DTLS (хотя после этого ADC, вероятно, станет тупить).

Как сообщает BleepingComputer, компания Sangoma была успешно взломана оператором ransomware Conti.

Sangoma - это известный поставщик оборудования и ПО для корпоративных VoIP. Недавно мы писали про массовые атаки на интерфейс Sangcoma PBX, который уязвим перед ошибкой CVE-2019-19006, устраненной в конце прошлого года.

Но, как оказалось, у компании плохо не только с DevSecOps, но и с традиционным инфосеком. Поскольку хакеры успешно атаковали ее сеть с помощью вымогателя и удачно украли 26 Гб конфиденциальных данных, которые опубликовали вчера на своем сайте для слива информации, видимо выкупа они не дождались.

Кстати, Conti недавно представили новую версию своего DLS, который легко гуглится по сочетанию "Conti" и "news".

Среди слитых данных - финансовые и бухгалтерские документы, данные сотрудников, а также юридические документы. Но самое неприятное, что существует вероятность того, что хакеры могли получить доступ к рабочим файлам Sangoma. Ведь после истории с SolarWinds все смогли убедиться в серьезность атак на цепочку поставок, а внедрение троянов в корпоративное ПО от Sangcoma ничего хорошего не сулит.