Кластернет на марше! Даешь каждому феодалу по своей суверенной сети!

В августе США объявили о запуске программы Чистая сеть, состоявшей из пяти отдельных инициатив. В целом она была направлена на отлучение китайских поставщиков телекоммуникационных и облачных услуг от американского рынка, а также на зачистку мобильных магазинов от китайских приложений. Тогда даже Дурова на фоне наезда на TikTok проняло и он стал говорить, что от подобной национально ориентированной политики больше всех пострадают сами же американцы в лице сервисов типа Facebook или Gmail.

Но паровоз летит вперед и следующая остановка предусмотрена исключительно в информационном постапокалипсисе. Поэтому вчера Министерство национальной безопасности США (DHS) выпустило "business advisory", в котором посоветовало американским компаниям, пока по-хорошему, отказаться вообще от всех аппаратных средств и цифровых сервисов китайского производства.

Обоснуется это тем, что все китайские производители потенциально связаны с разведкой КНР и в их продуктах могут находиться закладки. Поэтому все оборудование и услуги, как-либо связанные с китайскими компаниями, следует рассматривать как угрозу для кибербезопасности.

К примеру, предупреждение касается использования зарубежных дата-центров, работающих на китайском оборудовании, или фитнес-трекеров и других носимых устройств.

Лет через 10 прилетишь так в JFK, сдашь в сейф смартфон "Надёжа-7" и ноутбук "Солженицын-39 (модификация Сколково)", оденешь на руку утвержденные DHS смарт-часы "BLM-Pro" (исключительно розовые, под цвет своей кожи) и пойдешь получать личный IP-адрес стека TCP/IP-USA для доставки мыла через сервис международного обмена электронными почтовыми сообщениями "Transparency", который находится в международной юрисдикции на Луне.

​​Старые формулировки, абсолютно точно подходящие к современному миру кибершпионажа.

Truesec провели исследование атаки оператора ransomware Ryuk на одно из предприятий и пришли к выводу, что атаковавшим была хакерская группа FIN7, "карбанакеры".

На это указывают применяемые в ходе атаки тактики, а также использовавшиеся вредоносные инструменты, принадлежащие FIN7 (хотя в отношении эксклюзивности CARBANAK RAT исследователи ошибаются, его исходники имеются в паблике).

В целом, мы можем подтвердить правоту Truesec. FIN7, как и многие другие коммерческие хакерские группы, столкнулись в уходящем году с существенными трудностями, когда из-за карантинов и локдаунов их системы вывода украденных денег серьезно пострадали из-за невозможности дропов выйти из дома.

Соответственно, имея большое количество доступов в скомпрометированные сети, товарищи хакеры стали искать альтернативные способы монетизации. И таким, естественно, оказалось сотрудничество с владельцами ransomware, работающими по схеме RaaS, которые расчитываются с операторами в криптовалюте.

​​Чота ржем...

​​Cybernews провели исследование 13 приватных мессенджеров, среди которых как известные типа Telegram, WhatsApp или Signal, так и весьма экзотические - вроде Qtox и Cyber Dust.

Каковы результаты? В целом положительные - большинство мессенджеров обеспечивают достаточный уровень безопасности. При этом отмечается, что в Telegram и Facebook Messenger необходимо руками включать секретные чаты, по умолчанию сквозное шифрование отключено.

При этом только два приложения - Briar и Qtox используют P2P при обмене сообщениями. Briar, имхо, вообще самый секьюрный мессенджер, жаль под iOS его нету.

Еще один интересный момент - iMessages от Apple не шифрует сообщения при использовании сетей 2G и 3G.

В завершении поста - сводная таблица, составленная журналистами по результатам исследования.

​​Нам сегодня годик!

Поэтому просим простить за столь скудную ленту, мы отмечаем 🥳

В сеть слили данные водителей Яндекс.Такси

В интернет утекли данные водителей Яндекс.Такси. Их количество составляет более 23 тысяч строк.

В них входит ФИО водителей, их номера телефонов, данные автомобилей и названия таксопарков.

К счастью, часть слитой информации уже устарела. Вероятно, данные были сформированы в прошлом году.

Некоторые водители уже давно не работают в Яндекс.Такси, а часть телефонных номеров вообще не обслуживается.

Исследователь Марко Хоффман обнаружил новый вид DDoS-атаки, использующий Citrix ADC для мультипликации трафика .

Злоумышленники используют протокол DTLS. В силу того, что протокол построен на основе UDP, он позволяет хакеру подделать запрос и инициировать ответ в адрес жертвы. Из-за проблемной реализации DTLS в Citrix ADC коэффициент мультипликации при этом составляет 35 (то есть обратный трафик в 35 раз больше входящего), что является одним из самых эффективных векторов усиления для DDoS-атак.

Вчера Citrix подтвердили проблему, но исправлений для Citrix ADC пока нет. В качестве временных рекомендаций владельцам - тупо отключить DTLS, а если он нужен для работы, то включить аутентификацию входящих соединений DTLS (хотя после этого ADC, вероятно, станет тупить).

Как сообщает BleepingComputer, компания Sangoma была успешно взломана оператором ransomware Conti.

Sangoma - это известный поставщик оборудования и ПО для корпоративных VoIP. Недавно мы писали про массовые атаки на интерфейс Sangcoma PBX, который уязвим перед ошибкой CVE-2019-19006, устраненной в конце прошлого года.

Но, как оказалось, у компании плохо не только с DevSecOps, но и с традиционным инфосеком. Поскольку хакеры успешно атаковали ее сеть с помощью вымогателя и удачно украли 26 Гб конфиденциальных данных, которые опубликовали вчера на своем сайте для слива информации, видимо выкупа они не дождались.

Кстати, Conti недавно представили новую версию своего DLS, который легко гуглится по сочетанию "Conti" и "news".

Среди слитых данных - финансовые и бухгалтерские документы, данные сотрудников, а также юридические документы. Но самое неприятное, что существует вероятность того, что хакеры могли получить доступ к рабочим файлам Sangoma. Ведь после истории с SolarWinds все смогли убедиться в серьезность атак на цепочку поставок, а внедрение троянов в корпоративное ПО от Sangcoma ничего хорошего не сулит.

​​Microsoft закрывают 2020 год на минорной ноте, подтверждая уровень своего раздолбайства и умение из каждого фикса старой проблемы сделать проблему новую.

В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления.

Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе.

Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft, которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой.

А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе.

Microsoft и 0-day уязвимости. Эта музыка будет вечной.

​​Неделю назад мы написали пост по материалам расследования Foreign Policy про проводимые Китаем массовые взломы в целях сбора информационных массивов и дальнейшее их использование для вскрытия американской разведывательной сети. И посетовали, что только первая часть статьи была открыта, а за остальные две американские журналисты хотят денежку.

Американским журналистам, видимо, стало стыдно и они приоткрыли вторую часть расследования.

В этой части Foreign Policy рассматривает период с 2013 по 2016 годы, когда к власти в Китае уже пришел Си Цзыньпинь, но Обама еще не покинул пост Президента США.

Что же в ней интересного. Во-первых, источники издания из числа бывших сотрудников американских спецслужб признают, что в результате предшествующей чистки американских агентов на территории Китая руководство США не смогло получить достоверную информацию о планах Си Цзыньпиня на посту главы КНР. А, как мы помним, основой для этой чистки послужили украденные массивы данных, в том числе в результате взлома Управления кадровой службы США (OPM).

Во-вторых, после прихода Си Цзыньпиня китайские спецслужбы только усилили хакерскую активность, направленную на сбор данных об американских (и не только) гражданах. Взлом в 2014 году сети отелей Marriot, в результате которого были украдены данные почти полмиллиарда клиентов, взлом в 2016 году компании Equifax и кража данных 148 млн. граждан США - эти факты действительно известны. Как и то, что за ними стояли китайцы, в частности 54-й НИИ НОАК.

В-третьих, в сентябре 2015 года во время визита Си в Вашингтон они с Обамой подписали двустороннее соглашение о недопущении хищения коммерческой информации в результате хакерских действий. Некоторые чиновники из администрации Обамы предлагали расширить соглашение, включив в него кибершпионаж. Но тут рогом уперлись представители разведсообщества США, которые продавили отказ от такого расширения соглашения.

Классическое "а нас-то за шо?" - китайцам ломать США нельзя, это просто возмутительно, а вот американским хакерам ломать Китай очень даже нормально.

В-четвертых, Foreign Policy и ее источники в своем незамутненном состоянии души прямо пишут о том, что американские разведчики были обеспокоены использованием китайцев украденных информационных массивов. Особенно когда видели подтверждения, полученные в результате взлома разведсетей китайского МГБ и датацентров. Правда сетуют на то, что "получаемая информация была фрагментарной, а полученный в результате кибератак доступ неравномерным".

Появились некоторые подробности в отношении бэкдора Supernova, который был обнаружен у некоторых клиентов SolarWinds и, по предположению исследователей, был связан с другой хакерской группой, нежели авторы нашумевшей атаки на цепочку поставок SUNBURST.

Еще когда неделю назад появилась первая информация о бэкдоре, Ник Карр, исследователь Microsoft, предположил, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917, устраненной в конце 2018 года.

И оказалось таки да! Этой уязвимостью был обход аутентификации многострадального SolarWinds Orion, позволявший осуществить удаленный вызов API функций. Ошибке присвоен CVE-2020-10148, технических подробностей пока нет.

Вот честно, мы бы на месте CISO SolarWinds приняли бы постриг и ушли в монастырь. На крайний случай, сменили бы пол и поехали в Мексику.

​​На прошлой неделе на различных серых форумах появились объявления о продаже базы данных 16 тыс. клиентов инвестиционной компании Freedom Finance, работающей на рынках России и Казахстана. Мы про это не писали, поскольку не совсем наш профиль, но коллеги из Утечек информации сей факт у себя на канале отметили.

Freedom Finance - российская инвестиционная компания, которая входит в американский холдинг Freedom Holding Corp, принадлежащий основателям Freedom Finance. Холдинг работает на рынках России, Казахстана, Украины, США и Европы. Под управлением Freedom Holding Corp - активы на более чем 450 млн. долларов.

И вот на прошлой неделе их базы появляются в продаже, а в пятницу основной владелец и CEO всей этой петрушки Тимур Турлов делает заявление, в котором говорит, что компания Freedom Finance стала жертвой оператора ransomware и ему очень стыдно за произошедшее.

А далее товарищ Турлов рассказывает про прекрасное инфосек будущее Freedom Finance и в ходе этого рассказа мы начинаем понимать в каком афедроне находится информационная безопасность компании в текущем моменте.

У компании, которая является основной в холдинге, управляющем полумиллиадом долларов, нет ни DLP, ни SIEM, ни EDR, ни PKI, ни IAM. Нету тренингов сотрудников по вопросам информационной безопасности. По всей видимости, нет и самого подразделения ИБ. Короче, нету ни хрена.

И это именно тот самый случай, который мы называем "эффективный" топ-менеджмент и информационная безопасность за мелкий прайс". Полагаем, на репутации Freedom Finance это скажется соответствующим образом. ССЗБ.

Вчера финский парламент заявил, что осенью этого года несколько учетных записей электронной почты членов парламента были взломаны неизвестными хакерами.

Атака была обнаружена группой технического мониторинга учреждения. Дело передано в Национальное бюро расследований (NBI).

Последние уже заявляют, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства. Какого - пока не сообщается.

Но мы-то с вами, как представители прогрессивной общественности, знаем, что во всем виноваты русские хакеры. За исключением случаев, когда виноваты китайцы, иранцы или малыш Ким. Поэтому подавляющее большинство инфосек журналистов сразу же начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. Ну, а поэтому, сами понимаете...

Мы ни разу не спорим о том, что русские хакеры существуют и даже работают на благо спецслужб. В ином случае грош цена была бы таким спецслужбам. И это справедливо для всех мировых геополитических акторов.

Но хотелось бы хотя бы раз увидеть TTPs. Потому что случаи, когда APT стран Five Eyes или Израиля активно атаковали европейские организации, известны.

Исследователь Shreeram KL (мы так поняли, что это псевдоним - имя известного индийского певца) сообщил, что в июле текущего года нашел уязвимость в Google Docs, позволившую перехватывать скриншоты документов.

Оказалось, что ошибка содержалась в функции "Отправить отзыв", которая имеется в большинстве продуктов Google. В ней есть возможность прикрепления скриншота. Сама функция развернута на google .com и интегрирована с другими доменами через iframe.

В Google Docs не было заголовка X-Frame-Options, который используется для предотвращения кликджекинга. Поэтому ресерчер смог подставить свой сайт в один из фреймов, не осуществляющий проверку целевого домена, и перехватить скриншот.

Безусловно, атака требует определенных действий со стороны пользователя и достаточно геморойна для практической реализации, но в данном случае более интересен сам факт раздолбайства со стороны Google.

И хотя конкретно эта уязвимость закрыта разработчиком, а Shreeram KL получил за нее баунти в размере более 3 тыс. долларов, по его словам, в Google Docs все еще отсутствует X-Frame-Options. Так что...

Российский аналог Zoom назвали «Сфера ума»

Этот сервис уже успешно опробовали в Москве и продолжают тестировать в 15 регионах.

«Ростелеком» передаст школам этот сервис бесплатно.

Ранее было известно, что сервис назовут «Сферум», но министр просвещения Сергей Кравцов сообщил, что он будет называться именно «Сфера ума».

В его основе лежит технология, которая применялась для видеонаблюдения на ЕГЭ.

В связи с этим он так же отметил, что этой системе не грозят «никакие хакерские атаки».

​​Японская компания Kawasaki Heavy Industries сообщила об инциденте безопасности, который предположительно мог привести к утечке конфиденциальных данных.

Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.

Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.

Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.

Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.

#APT

​​Дорогие друзья!

2020-й подходит к концу. Год, если честно, был хреновый. И мы говорим сейчас не только про коронавирус и все связанные с этим события. В уходящем году ситуация в индустрии информационной безопасности и в области сети вообще, по нашему скромному мнению, стала только хуже.

Вместе с эпидемией COVID-19 мы получили эпидемию ransomware, и если от короны лекарства появляются, то эффективного средства противодействия вымогателям пока не ожидается. Все более отчетливо видны очертания будущей структуры всемирной сети и это не розовые пони с обнимашками, а жестко разделенные кластеры, подчиняющиеся нескольким центрам силы. И все громче заявления сильных мира сего о том, что надо уже не стесняться, а разворачивать кибервойны в полный рост - и главной целью в это противостоянии, полагаем, станет критическая инфраструктура.

В российском инфосек тоже не все гладко. Если со стороны инфосек компаний все в целом на уровне, то понимания важности мер информационной безопасности у ответственных лиц в государственном и частном секторах за 2020 год не прибавилось. Так что частота инцидентов будет только возрастать.

Но, с другой стороны, в 2020 году фактически появился и начал развиваться наш канал. И мы полагаем, что смогли достичь неплохих результатов.

Поэтому в следующем году мы будем стараться не отходить от своей повестки и продолжать радовать вас интересными материалами. И периодически, конечно, поругивать отдельных функционеров и инфосек вендоров. Но, просим заметить, что делаем это исключительно в качестве дружеской критики. Так что мир, дружба, всем чмоки в этом чяте!

Мы со спокойной душой уходим на новогодние каникулы, потому что после такого 2020-го надо как следует отдохнуть.

С наступающим Новым Годом! Желаем всего! Ура, товарищи инфосек специалисты!

P.S. Мы помним про свой долг в виде обзора активности иранской APT MuddyWater. И нам очень стыдно, что мы не успели его доделать вовремя. С другой стороны, там Water действительно оказалась Muddy. Торжественно обещаем его закончить и выложить в ближайшее время.

Ну что же, здравствуйте в 2021!

Год только начался, а уже произошла куча событий, которые кардинальным образом влияют на жизнь сети.

Подавляющее большинство западных социальных сетей (а что есть незападные? - еще как, посмотрите на Weibo и WeChat) заблокировало пока еще действующего президента США Трампа. При этом Twitter пошел еще дальше и пообещал бессрочно блокировать любого пользователя, который даст Трампу слово.

От такого проняло даже либерального Здольникова, хотя некоторые особо упоротые адепты святой демократии тут же переобулись в прыжке и стали рассказывать, что цензура со стороны коммерческих компаний это хорошо и легетимно, а вот государственная цензура - это отвратительно и Мордор.

Как нам видится, без разницы кто навязывает цензуру, от этого она цензурой быть не перестает. Рассказываем хинт - все магистральные российские провайдеры, включая Ростелеком, это коммерческие компании. С этой точки зрения блокировка ими трафика, например, YouTube - это ок? Полагаем, что нет.

Следующими нас порадовали AppStore и Google Play, которые выпилили мобильную версию соцсети Parler, в которую массово стали переходить американские республиканцы. Apple и Google не устроило отсутствие в Parler модерации контента, сиречь той же самой цензуры. Причем не просто цензуры, а угодной определенному кругу американского истеблишмента, к которому относятся руководители этих компаний.

И если на Android есть еще хоть какая-то возможность поставить приложение в обход официального магазина Google, то пользователи яблочных устройств этого лишены. По этому поводу возбудился даже Дуров, который призвал всех переходить на Android, а также признал, что Telegram разрабатывает версию под Siri.

Ну и WhatsApp выдал изменение политики конфиденциальности, обязав всех пользователей безальтернативно согласиться с передачей данных мессенджера в Facebook. Не то что бы мы уверены, что раньше такого не было, но теперь ведь даже не стесняются, гады. На этом фоне товарищ Эрдоган демонстративно призвал всех неравнодушных турецкоподданых переходить на единственно верный турецкий мессенджер BiP (ждем выступления Мишустина по поводу ТамТама).

Помните мы частенько предупреждали про наступление эры Кластернета. Так вот же она, приближается семимильными шагами.

UPD. Telegram разрабатывает версию конечно-же под Safari, а не под Siri. Это мы описались. Спасибо внимательному подписчику.

​​В прошедший четверг Nvidia выпустила очередное обновление безопасности своего ПО исправляющее 16 уязвимостей, среди которых есть и критические.

Радует то, что среди уязвимостей нет приводящих к удаленному выполнению кода (RCE). Но и имеющихся CVE, эксплуатация которых позволит хакеру провести атаку на отказ в обслуживании или повысить локальные привилегии достаточно для того, чтобы не откладывая в долгий ящик провести обновление своего ПО.

За время каникул появились и новости в отношении ransomware, владельцы и операторы которых, закатав рукава, зарабатывали нетрудовые доходы.

ZDNet со ссылкой на одну из компаний-жертв ransomware Clop сообщают, что оператор вымогателя использовал в процессе рансома новую тактику. Первичной целью злоумышленников являлись рабочие станции топ-менеджмента, который может участвовать в принятии решений о выплате выкупа.

Таким образом среди информации, которую хакеры собираются опубликовать, могут быть не только рабочие сведения, но и принадлежащие этим самым топ-менеджерам данные личного характера. Безусловно это может существенно повлиять на процесс принятия решения о выплате выкупа. По крайней мере, компания, от сотрудников которой журналисты узнали новость, в итоге выплатила многомиллионный выкуп.

Аналогичная тактика была замечена исследователями компании Arete IR у одного из операторов ransomware Sodinokibi (REvil). Правда, есть предположение, что в обоих случаях выступала одна и та же хакерская группа, которая работает с владельцами сразу нескольких ransomware. Тем не менее, наверняка новый подход к уламыванию несговорчивых жертв будет широко распространен в ближайшее время. Ведь, в отличие от неповоротливого руководства крупных компаний, неспособного оперативно реагировать на постоянно изменяющийся ландшафт киберугроз, хакерские группы моментально меняют свое поведение если речь идет о возможности заработать больше денег.

Тем временем инфосек компании Advanced Intelligence и HYAS выпустили отчет по результатам исследования деятельности владельцев ransomware Ryuk, в котором проанализировали движения по используемым ими кошелькам. Поскольку Ryuk требуют выкуп в BTC, то это оказалось возможно. В отличие, кстати, от криптовалюты Monero, которую любят, к примеру, владельцы Sodinokibi.

По результатам анализа движений средств 61 криптокошелька, принадлежащих Ryuk, исследователи установили, что большая часть полученных битков обналичиваются через азиатские биржи Huobi и Binance. Кроме того, вымогатели использовали закрытые криминальные обменники.

Общую сумму выкупа Ryuk за 2020 год ресерчеры оценивают в 150 млн. долларов. Причем это консервативная оценка и конечная сумма наверняка существенно выше. Правда тут надо учитывать, что, поскольку Ryuk работает по схеме RaaS, то эти деньги разделяются между владельцем и оператором ransomware.

И напоследок, свежие новости от ransomware Conti. Вымогатели взломали американскую дочку всемирно известного производителя кофемашин и прочей кухонной техники DeLonghi. Но не договорились о выкупе и сегодня выкинули на своем DLS около 40 Гб украденной информации. Не знаем как американская компания, а итальянская голова DeLonghi имеет годовой доход более 2 млрд. долларов. В котором, видимо, не нашлось денег на усиление мер информационной безопасности.