Microsoft закрывают 2020 год на минорной ноте, подтверждая уровень своего раздолбайства и умение из каждого фикса старой проблемы сделать проблему новую.
В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления.
Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе.
Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft, которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой.
А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе.
Microsoft и 0-day уязвимости. Эта музыка будет вечной.
В конце прошлого года анонимным исследователем в рамках программы Zero Day Initiative японского инфосек вендора Trend Micro была обнаружена уязвимость CVE-2020-0986, которая находилась в драйвере принтера Windows и приводила к удаленному выполнению произвольного кода (RCE). Естественно, что технические подробности ошибки не были опубликованы, а сама Microsoft была поставлена в известность с целью разработки соответствующего исправления.
Дети Билла Гейтса тупили целых полгода, после чего закрыли дырку в рамках своего июньского обновления безопасности. За это время эксплуатация CVE-2020-0986 была замечена в дикой природе.
Да вот только оказалось, что патч был кривой и уязвимость так и не была исправлена до конца, что обнаружили исследователи из Google Project Zero. Об этом уведомили Microsoft, которая присвоила новой ошибке CVE-2020-17008. Она приводит к повышению привилегий. Ресерчеры быстро слабали Proof of Concept новой уязвимости, основываясь на PoC старой.
А Microsoft опять забили и по прошествии 90 дней не предприняли никаких мер по закрытию дырки, исходя из чего исследователи опубликовали информацию в отношении ее в паблике. Теперь разработчики обещают закрыть уязвимость в январе.
Microsoft и 0-day уязвимости. Эта музыка будет вечной.
Twitter
Maddie Stone
In May, Kaspersky (@oct0xor) discovered CVE-2020-0986 in Windows splwow64 was exploited itw as a 0day. Microsoft released a patch in June, but that patch didnt fix the vuln. After reporting that bad fix in Sept under a 90day deadline, it's still not fixed.…
December 25, 2020
Неделю назад мы написали пост по материалам расследования Foreign Policy про проводимые Китаем массовые взломы в целях сбора информационных массивов и дальнейшее их использование для вскрытия американской разведывательной сети. И посетовали, что только первая часть статьи была открыта, а за остальные две американские журналисты хотят денежку.
Американским журналистам, видимо, стало стыдно и они приоткрыли вторую часть расследования.
В этой части Foreign Policy рассматривает период с 2013 по 2016 годы, когда к власти в Китае уже пришел Си Цзыньпинь, но Обама еще не покинул пост Президента США.
Что же в ней интересного. Во-первых, источники издания из числа бывших сотрудников американских спецслужб признают, что в результате предшествующей чистки американских агентов на территории Китая руководство США не смогло получить достоверную информацию о планах Си Цзыньпиня на посту главы КНР. А, как мы помним, основой для этой чистки послужили украденные массивы данных, в том числе в результате взлома Управления кадровой службы США (OPM).
Во-вторых, после прихода Си Цзыньпиня китайские спецслужбы только усилили хакерскую активность, направленную на сбор данных об американских (и не только) гражданах. Взлом в 2014 году сети отелей Marriot, в результате которого были украдены данные почти полмиллиарда клиентов, взлом в 2016 году компании Equifax и кража данных 148 млн. граждан США - эти факты действительно известны. Как и то, что за ними стояли китайцы, в частности 54-й НИИ НОАК.
В-третьих, в сентябре 2015 года во время визита Си в Вашингтон они с Обамой подписали двустороннее соглашение о недопущении хищения коммерческой информации в результате хакерских действий. Некоторые чиновники из администрации Обамы предлагали расширить соглашение, включив в него кибершпионаж. Но тут рогом уперлись представители разведсообщества США, которые продавили отказ от такого расширения соглашения.
Классическое "а нас-то за шо?" - китайцам ломать США нельзя, это просто возмутительно, а вот американским хакерам ломать Китай очень даже нормально.
В-четвертых, Foreign Policy и ее источники в своем незамутненном состоянии души прямо пишут о том, что американские разведчики были обеспокоены использованием китайцев украденных информационных массивов. Особенно когда видели подтверждения, полученные в результате взлома разведсетей китайского МГБ и датацентров. Правда сетуют на то, что "получаемая информация была фрагментарной, а полученный в результате кибератак доступ неравномерным".
Американским журналистам, видимо, стало стыдно и они приоткрыли вторую часть расследования.
В этой части Foreign Policy рассматривает период с 2013 по 2016 годы, когда к власти в Китае уже пришел Си Цзыньпинь, но Обама еще не покинул пост Президента США.
Что же в ней интересного. Во-первых, источники издания из числа бывших сотрудников американских спецслужб признают, что в результате предшествующей чистки американских агентов на территории Китая руководство США не смогло получить достоверную информацию о планах Си Цзыньпиня на посту главы КНР. А, как мы помним, основой для этой чистки послужили украденные массивы данных, в том числе в результате взлома Управления кадровой службы США (OPM).
Во-вторых, после прихода Си Цзыньпиня китайские спецслужбы только усилили хакерскую активность, направленную на сбор данных об американских (и не только) гражданах. Взлом в 2014 году сети отелей Marriot, в результате которого были украдены данные почти полмиллиарда клиентов, взлом в 2016 году компании Equifax и кража данных 148 млн. граждан США - эти факты действительно известны. Как и то, что за ними стояли китайцы, в частности 54-й НИИ НОАК.
В-третьих, в сентябре 2015 года во время визита Си в Вашингтон они с Обамой подписали двустороннее соглашение о недопущении хищения коммерческой информации в результате хакерских действий. Некоторые чиновники из администрации Обамы предлагали расширить соглашение, включив в него кибершпионаж. Но тут рогом уперлись представители разведсообщества США, которые продавили отказ от такого расширения соглашения.
Классическое "а нас-то за шо?" - китайцам ломать США нельзя, это просто возмутительно, а вот американским хакерам ломать Китай очень даже нормально.
В-четвертых, Foreign Policy и ее источники в своем незамутненном состоянии души прямо пишут о том, что американские разведчики были обеспокоены использованием китайцев украденных информационных массивов. Особенно когда видели подтверждения, полученные в результате взлома разведсетей китайского МГБ и датацентров. Правда сетуют на то, что "получаемая информация была фрагментарной, а полученный в результате кибератак доступ неравномерным".
Foreign Policy
Beijing Ransacked Data as U.S. Sources Went Dark in China
As Xi consolidated power, U.S. officials struggled to read China’s new ruler.
December 28, 2020
Появились некоторые подробности в отношении бэкдора Supernova, который был обнаружен у некоторых клиентов SolarWinds и, по предположению исследователей, был связан с другой хакерской группой, нежели авторы нашумевшей атаки на цепочку поставок SUNBURST.
Еще когда неделю назад появилась первая информация о бэкдоре, Ник Карр, исследователь Microsoft, предположил, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917, устраненной в конце 2018 года.
И оказалось таки да! Этой уязвимостью был обход аутентификации многострадального SolarWinds Orion, позволявший осуществить удаленный вызов API функций. Ошибке присвоен CVE-2020-10148, технических подробностей пока нет.
Вот честно, мы бы на месте CISO SolarWinds приняли бы постриг и ушли в монастырь. На крайний случай, сменили бы пол и поехали в Мексику.
Еще когда неделю назад появилась первая информация о бэкдоре, Ник Карр, исследователь Microsoft, предположил, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917, устраненной в конце 2018 года.
И оказалось таки да! Этой уязвимостью был обход аутентификации многострадального SolarWinds Orion, позволявший осуществить удаленный вызов API функций. Ошибке присвоен CVE-2020-10148, технических подробностей пока нет.
Вот честно, мы бы на месте CISO SolarWinds приняли бы постриг и ушли в монастырь. На крайний случай, сменили бы пол и поехали в Мексику.
kb.cert.org
CERT/CC Vulnerability Note VU#843464
SolarWinds Orion API authentication bypass allows remote command execution
December 28, 2020
На прошлой неделе на различных серых форумах появились объявления о продаже базы данных 16 тыс. клиентов инвестиционной компании Freedom Finance, работающей на рынках России и Казахстана. Мы про это не писали, поскольку не совсем наш профиль, но коллеги из Утечек информации сей факт у себя на канале отметили.
Freedom Finance - российская инвестиционная компания, которая входит в американский холдинг Freedom Holding Corp, принадлежащий основателям Freedom Finance. Холдинг работает на рынках России, Казахстана, Украины, США и Европы. Под управлением Freedom Holding Corp - активы на более чем 450 млн. долларов.
И вот на прошлой неделе их базы появляются в продаже, а в пятницу основной владелец и CEO всей этой петрушки Тимур Турлов делает заявление, в котором говорит, что компания Freedom Finance стала жертвой оператора ransomware и ему очень стыдно за произошедшее.
А далее товарищ Турлов рассказывает про прекрасное инфосек будущее Freedom Finance и в ходе этого рассказа мы начинаем понимать в каком афедроне находится информационная безопасность компании в текущем моменте.
У компании, которая является основной в холдинге, управляющем полумиллиадом долларов, нет ни DLP, ни SIEM, ни EDR, ни PKI, ни IAM. Нету тренингов сотрудников по вопросам информационной безопасности. По всей видимости, нет и самого подразделения ИБ. Короче, нету ни хрена.
И это именно тот самый случай, который мы называем "эффективный" топ-менеджмент и информационная безопасность за мелкий прайс". Полагаем, на репутации Freedom Finance это скажется соответствующим образом. ССЗБ.
Freedom Finance - российская инвестиционная компания, которая входит в американский холдинг Freedom Holding Corp, принадлежащий основателям Freedom Finance. Холдинг работает на рынках России, Казахстана, Украины, США и Европы. Под управлением Freedom Holding Corp - активы на более чем 450 млн. долларов.
И вот на прошлой неделе их базы появляются в продаже, а в пятницу основной владелец и CEO всей этой петрушки Тимур Турлов делает заявление, в котором говорит, что компания Freedom Finance стала жертвой оператора ransomware и ему очень стыдно за произошедшее.
А далее товарищ Турлов рассказывает про прекрасное инфосек будущее Freedom Finance и в ходе этого рассказа мы начинаем понимать в каком афедроне находится информационная безопасность компании в текущем моменте.
У компании, которая является основной в холдинге, управляющем полумиллиадом долларов, нет ни DLP, ни SIEM, ни EDR, ни PKI, ни IAM. Нету тренингов сотрудников по вопросам информационной безопасности. По всей видимости, нет и самого подразделения ИБ. Короче, нету ни хрена.
И это именно тот самый случай, который мы называем "эффективный" топ-менеджмент и информационная безопасность за мелкий прайс". Полагаем, на репутации Freedom Finance это скажется соответствующим образом. ССЗБ.
December 29, 2020
Вчера финский парламент заявил, что осенью этого года несколько учетных записей электронной почты членов парламента были взломаны неизвестными хакерами.
Атака была обнаружена группой технического мониторинга учреждения. Дело передано в Национальное бюро расследований (NBI).
Последние уже заявляют, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства. Какого - пока не сообщается.
Но мы-то с вами, как представители прогрессивной общественности, знаем, что во всем виноваты русские хакеры. За исключением случаев, когда виноваты китайцы, иранцы или малыш Ким. Поэтому подавляющее большинство инфосек журналистов сразу же начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. Ну, а поэтому, сами понимаете...
Мы ни разу не спорим о том, что русские хакеры существуют и даже работают на благо спецслужб. В ином случае грош цена была бы таким спецслужбам. И это справедливо для всех мировых геополитических акторов.
Но хотелось бы хотя бы раз увидеть TTPs. Потому что случаи, когда APT стран Five Eyes или Израиля активно атаковали европейские организации, известны.
Атака была обнаружена группой технического мониторинга учреждения. Дело передано в Национальное бюро расследований (NBI).
Последние уже заявляют, что это был акт кибершпионажа и, возможно, он был проведен в интересах некоего государства. Какого - пока не сообщается.
Но мы-то с вами, как представители прогрессивной общественности, знаем, что во всем виноваты русские хакеры. За исключением случаев, когда виноваты китайцы, иранцы или малыш Ким. Поэтому подавляющее большинство инфосек журналистов сразу же начали писать про "поразительно похожий инцидент со взломом почты парламента Норвегии", за который, якобы, ответственны русские хакеры. Ну, а поэтому, сами понимаете...
Мы ни разу не спорим о том, что русские хакеры существуют и даже работают на благо спецслужб. В ином случае грош цена была бы таким спецслужбам. И это справедливо для всех мировых геополитических акторов.
Но хотелось бы хотя бы раз увидеть TTPs. Потому что случаи, когда APT стран Five Eyes или Израиля активно атаковали европейские организации, известны.
www.eduskunta.fi
Cyberattack against Parliament of Finland
December 29, 2020
Исследователь Shreeram KL (мы так поняли, что это псевдоним - имя известного индийского певца) сообщил, что в июле текущего года нашел уязвимость в Google Docs, позволившую перехватывать скриншоты документов.
Оказалось, что ошибка содержалась в функции "Отправить отзыв", которая имеется в большинстве продуктов Google. В ней есть возможность прикрепления скриншота. Сама функция развернута на google .com и интегрирована с другими доменами через iframe.
В Google Docs не было заголовка X-Frame-Options, который используется для предотвращения кликджекинга. Поэтому ресерчер смог подставить свой сайт в один из фреймов, не осуществляющий проверку целевого домена, и перехватить скриншот.
Безусловно, атака требует определенных действий со стороны пользователя и достаточно геморойна для практической реализации, но в данном случае более интересен сам факт раздолбайства со стороны Google.
И хотя конкретно эта уязвимость закрыта разработчиком, а Shreeram KL получил за нее баунти в размере более 3 тыс. долларов, по его словам, в Google Docs все еще отсутствует X-Frame-Options. Так что...
Оказалось, что ошибка содержалась в функции "Отправить отзыв", которая имеется в большинстве продуктов Google. В ней есть возможность прикрепления скриншота. Сама функция развернута на google .com и интегрирована с другими доменами через iframe.
В Google Docs не было заголовка X-Frame-Options, который используется для предотвращения кликджекинга. Поэтому ресерчер смог подставить свой сайт в один из фреймов, не осуществляющий проверку целевого домена, и перехватить скриншот.
Безусловно, атака требует определенных действий со стороны пользователя и достаточно геморойна для практической реализации, но в данном случае более интересен сам факт раздолбайства со стороны Google.
И хотя конкретно эта уязвимость закрыта разработчиком, а Shreeram KL получил за нее баунти в размере более 3 тыс. долларов, по его словам, в Google Docs все еще отсутствует X-Frame-Options. Так что...
December 29, 2020
Forwarded from Эксплойт | Live
Российский аналог Zoom назвали «Сфера ума»
Этот сервис уже успешно опробовали в Москве и продолжают тестировать в 15 регионах.
«Ростелеком» передаст школам этот сервис бесплатно.
Ранее было известно, что сервис назовут «Сферум», но министр просвещения Сергей Кравцов сообщил, что он будет называться именно «Сфера ума».
В его основе лежит технология, которая применялась для видеонаблюдения на ЕГЭ.
В связи с этим он так же отметил, что этой системе не грозят «никакие хакерские атаки».
Этот сервис уже успешно опробовали в Москве и продолжают тестировать в 15 регионах.
«Ростелеком» передаст школам этот сервис бесплатно.
Ранее было известно, что сервис назовут «Сферум», но министр просвещения Сергей Кравцов сообщил, что он будет называться именно «Сфера ума».
В его основе лежит технология, которая применялась для видеонаблюдения на ЕГЭ.
В связи с этим он так же отметил, что этой системе не грозят «никакие хакерские атаки».
December 30, 2020
Японская компания Kawasaki Heavy Industries сообщила об инциденте безопасности, который предположительно мог привести к утечке конфиденциальных данных.
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
Еще 11 июня в ходе внутреннего аудита выяснилось, что неустановленные хакеры скомпрометировали сеть офиса компании в Тайланде и получили доступ к одному их внутренних серверов в Японии. В ходе дальнейшего расследования в течение месяца была обнаружена компрометация сетей еще трех зарубежных офисов Kawasaki - на Филлипинах, в Индонезии и США. В целях недопущения взлома своей основной сети в Японии компания была вынуждена отключить доступ из всех зарубежных офисов, а вновь восстановлен он был лишь 30 ноября.
Мы знаем Kawasaki преимущественно по мотоциклам, между тем это один из крупнейших в мире промышленных концернов, который занимается созданием промышленных роботов, поездов, самолетов и вертолетов и пр. А еще космических аппаратов и некой боевой экипировки.
Можно с большой долей уверенности сказать, что Kawasaki работает в области японской оборонки. А значит мы примерно знаем что за APT могла стоять за атакой на компанию.
Есть такая китайская группа, которая называется Stalker Panda, она же RedBaldNight и Bronze Butler. Предполагается, что за ней стоит Оборонный научно-технический университет НОАК. Эти товарищи планомерно кошмарят японских промышленных дзайбацу с целью кражи конфиденциальной информации. К примеру летом 2019 года они взломали Mitsubishi Electric. Вероятно и взлом Kawasaki их рук дело.
#APT
December 30, 2020
Дорогие друзья!
2020-й подходит к концу. Год, если честно, был хреновый. И мы говорим сейчас не только про коронавирус и все связанные с этим события. В уходящем году ситуация в индустрии информационной безопасности и в области сети вообще, по нашему скромному мнению, стала только хуже.
Вместе с эпидемией COVID-19 мы получили эпидемию ransomware, и если от короны лекарства появляются, то эффективного средства противодействия вымогателям пока не ожидается. Все более отчетливо видны очертания будущей структуры всемирной сети и это не розовые пони с обнимашками, а жестко разделенные кластеры, подчиняющиеся нескольким центрам силы. И все громче заявления сильных мира сего о том, что надо уже не стесняться, а разворачивать кибервойны в полный рост - и главной целью в это противостоянии, полагаем, станет критическая инфраструктура.
В российском инфосек тоже не все гладко. Если со стороны инфосек компаний все в целом на уровне, то понимания важности мер информационной безопасности у ответственных лиц в государственном и частном секторах за 2020 год не прибавилось. Так что частота инцидентов будет только возрастать.
Но, с другой стороны, в 2020 году фактически появился и начал развиваться наш канал. И мы полагаем, что смогли достичь неплохих результатов.
Поэтому в следующем году мы будем стараться не отходить от своей повестки и продолжать радовать вас интересными материалами. И периодически, конечно, поругивать отдельных функционеров и инфосек вендоров. Но, просим заметить, что делаем это исключительно в качестве дружеской критики. Так что мир, дружба, всем чмоки в этом чяте!
Мы со спокойной душой уходим на новогодние каникулы, потому что после такого 2020-го надо как следует отдохнуть.
С наступающим Новым Годом! Желаем всего! Ура, товарищи инфосек специалисты!
P.S. Мы помним про свой долг в виде обзора активности иранской APT MuddyWater. И нам очень стыдно, что мы не успели его доделать вовремя. С другой стороны, там Water действительно оказалась Muddy. Торжественно обещаем его закончить и выложить в ближайшее время.
2020-й подходит к концу. Год, если честно, был хреновый. И мы говорим сейчас не только про коронавирус и все связанные с этим события. В уходящем году ситуация в индустрии информационной безопасности и в области сети вообще, по нашему скромному мнению, стала только хуже.
Вместе с эпидемией COVID-19 мы получили эпидемию ransomware, и если от короны лекарства появляются, то эффективного средства противодействия вымогателям пока не ожидается. Все более отчетливо видны очертания будущей структуры всемирной сети и это не розовые пони с обнимашками, а жестко разделенные кластеры, подчиняющиеся нескольким центрам силы. И все громче заявления сильных мира сего о том, что надо уже не стесняться, а разворачивать кибервойны в полный рост - и главной целью в это противостоянии, полагаем, станет критическая инфраструктура.
В российском инфосек тоже не все гладко. Если со стороны инфосек компаний все в целом на уровне, то понимания важности мер информационной безопасности у ответственных лиц в государственном и частном секторах за 2020 год не прибавилось. Так что частота инцидентов будет только возрастать.
Но, с другой стороны, в 2020 году фактически появился и начал развиваться наш канал. И мы полагаем, что смогли достичь неплохих результатов.
Поэтому в следующем году мы будем стараться не отходить от своей повестки и продолжать радовать вас интересными материалами. И периодически, конечно, поругивать отдельных функционеров и инфосек вендоров. Но, просим заметить, что делаем это исключительно в качестве дружеской критики. Так что мир, дружба, всем чмоки в этом чяте!
Мы со спокойной душой уходим на новогодние каникулы, потому что после такого 2020-го надо как следует отдохнуть.
С наступающим Новым Годом! Желаем всего! Ура, товарищи инфосек специалисты!
P.S. Мы помним про свой долг в виде обзора активности иранской APT MuddyWater. И нам очень стыдно, что мы не успели его доделать вовремя. С другой стороны, там Water действительно оказалась Muddy. Торжественно обещаем его закончить и выложить в ближайшее время.
December 31, 2020
Ну что же, здравствуйте в 2021!
Год только начался, а уже произошла куча событий, которые кардинальным образом влияют на жизнь сети.
Подавляющее большинство западных социальных сетей (а что есть незападные? - еще как, посмотрите на Weibo и WeChat) заблокировало пока еще действующего президента США Трампа. При этом Twitter пошел еще дальше и пообещал бессрочно блокировать любого пользователя, который даст Трампу слово.
От такого проняло даже либерального Здольникова, хотя некоторые особо упоротые адепты святой демократии тут же переобулись в прыжке и стали рассказывать, что цензура со стороны коммерческих компаний это хорошо и легетимно, а вот государственная цензура - это отвратительно и Мордор.
Как нам видится, без разницы кто навязывает цензуру, от этого она цензурой быть не перестает. Рассказываем хинт - все магистральные российские провайдеры, включая Ростелеком, это коммерческие компании. С этой точки зрения блокировка ими трафика, например, YouTube - это ок? Полагаем, что нет.
Следующими нас порадовали AppStore и Google Play, которые выпилили мобильную версию соцсети Parler, в которую массово стали переходить американские республиканцы. Apple и Google не устроило отсутствие в Parler модерации контента, сиречь той же самой цензуры. Причем не просто цензуры, а угодной определенному кругу американского истеблишмента, к которому относятся руководители этих компаний.
И если на Android есть еще хоть какая-то возможность поставить приложение в обход официального магазина Google, то пользователи яблочных устройств этого лишены. По этому поводу возбудился даже Дуров, который призвал всех переходить на Android, а также признал, что Telegram разрабатывает версию под Siri.
Ну и WhatsApp выдал изменение политики конфиденциальности, обязав всех пользователей безальтернативно согласиться с передачей данных мессенджера в Facebook. Не то что бы мы уверены, что раньше такого не было, но теперь ведь даже не стесняются, гады. На этом фоне товарищ Эрдоган демонстративно призвал всех неравнодушных турецкоподданых переходить на единственно верный турецкий мессенджер BiP (ждем выступления Мишустина по поводу ТамТама).
Помните мы частенько предупреждали про наступление эры Кластернета. Так вот же она, приближается семимильными шагами.
UPD. Telegram разрабатывает версию конечно-же под Safari, а не под Siri. Это мы описались. Спасибо внимательному подписчику.
Год только начался, а уже произошла куча событий, которые кардинальным образом влияют на жизнь сети.
Подавляющее большинство западных социальных сетей (а что есть незападные? - еще как, посмотрите на Weibo и WeChat) заблокировало пока еще действующего президента США Трампа. При этом Twitter пошел еще дальше и пообещал бессрочно блокировать любого пользователя, который даст Трампу слово.
От такого проняло даже либерального Здольникова, хотя некоторые особо упоротые адепты святой демократии тут же переобулись в прыжке и стали рассказывать, что цензура со стороны коммерческих компаний это хорошо и легетимно, а вот государственная цензура - это отвратительно и Мордор.
Как нам видится, без разницы кто навязывает цензуру, от этого она цензурой быть не перестает. Рассказываем хинт - все магистральные российские провайдеры, включая Ростелеком, это коммерческие компании. С этой точки зрения блокировка ими трафика, например, YouTube - это ок? Полагаем, что нет.
Следующими нас порадовали AppStore и Google Play, которые выпилили мобильную версию соцсети Parler, в которую массово стали переходить американские республиканцы. Apple и Google не устроило отсутствие в Parler модерации контента, сиречь той же самой цензуры. Причем не просто цензуры, а угодной определенному кругу американского истеблишмента, к которому относятся руководители этих компаний.
И если на Android есть еще хоть какая-то возможность поставить приложение в обход официального магазина Google, то пользователи яблочных устройств этого лишены. По этому поводу возбудился даже Дуров, который призвал всех переходить на Android, а также признал, что Telegram разрабатывает версию под Siri.
Ну и WhatsApp выдал изменение политики конфиденциальности, обязав всех пользователей безальтернативно согласиться с передачей данных мессенджера в Facebook. Не то что бы мы уверены, что раньше такого не было, но теперь ведь даже не стесняются, гады. На этом фоне товарищ Эрдоган демонстративно призвал всех неравнодушных турецкоподданых переходить на единственно верный турецкий мессенджер BiP (ждем выступления Мишустина по поводу ТамТама).
Помните мы частенько предупреждали про наступление эры Кластернета. Так вот же она, приближается семимильными шагами.
UPD. Telegram разрабатывает версию конечно-же под Safari, а не под Siri. Это мы описались. Спасибо внимательному подписчику.
January 11, 2021
В прошедший четверг Nvidia выпустила очередное обновление безопасности своего ПО исправляющее 16 уязвимостей, среди которых есть и критические.
Радует то, что среди уязвимостей нет приводящих к удаленному выполнению кода (RCE). Но и имеющихся CVE, эксплуатация которых позволит хакеру провести атаку на отказ в обслуживании или повысить локальные привилегии достаточно для того, чтобы не откладывая в долгий ящик провести обновление своего ПО.
Радует то, что среди уязвимостей нет приводящих к удаленному выполнению кода (RCE). Но и имеющихся CVE, эксплуатация которых позволит хакеру провести атаку на отказ в обслуживании или повысить локальные привилегии достаточно для того, чтобы не откладывая в долгий ящик провести обновление своего ПО.
January 11, 2021
За время каникул появились и новости в отношении ransomware, владельцы и операторы которых, закатав рукава, зарабатывали нетрудовые доходы.
ZDNet со ссылкой на одну из компаний-жертв ransomware Clop сообщают, что оператор вымогателя использовал в процессе рансома новую тактику. Первичной целью злоумышленников являлись рабочие станции топ-менеджмента, который может участвовать в принятии решений о выплате выкупа.
Таким образом среди информации, которую хакеры собираются опубликовать, могут быть не только рабочие сведения, но и принадлежащие этим самым топ-менеджерам данные личного характера. Безусловно это может существенно повлиять на процесс принятия решения о выплате выкупа. По крайней мере, компания, от сотрудников которой журналисты узнали новость, в итоге выплатила многомиллионный выкуп.
Аналогичная тактика была замечена исследователями компании Arete IR у одного из операторов ransomware Sodinokibi (REvil). Правда, есть предположение, что в обоих случаях выступала одна и та же хакерская группа, которая работает с владельцами сразу нескольких ransomware. Тем не менее, наверняка новый подход к уламыванию несговорчивых жертв будет широко распространен в ближайшее время. Ведь, в отличие от неповоротливого руководства крупных компаний, неспособного оперативно реагировать на постоянно изменяющийся ландшафт киберугроз, хакерские группы моментально меняют свое поведение если речь идет о возможности заработать больше денег.
Тем временем инфосек компании Advanced Intelligence и HYAS выпустили отчет по результатам исследования деятельности владельцев ransomware Ryuk, в котором проанализировали движения по используемым ими кошелькам. Поскольку Ryuk требуют выкуп в BTC, то это оказалось возможно. В отличие, кстати, от криптовалюты Monero, которую любят, к примеру, владельцы Sodinokibi.
По результатам анализа движений средств 61 криптокошелька, принадлежащих Ryuk, исследователи установили, что большая часть полученных битков обналичиваются через азиатские биржи Huobi и Binance. Кроме того, вымогатели использовали закрытые криминальные обменники.
Общую сумму выкупа Ryuk за 2020 год ресерчеры оценивают в 150 млн. долларов. Причем это консервативная оценка и конечная сумма наверняка существенно выше. Правда тут надо учитывать, что, поскольку Ryuk работает по схеме RaaS, то эти деньги разделяются между владельцем и оператором ransomware.
И напоследок, свежие новости от ransomware Conti. Вымогатели взломали американскую дочку всемирно известного производителя кофемашин и прочей кухонной техники DeLonghi. Но не договорились о выкупе и сегодня выкинули на своем DLS около 40 Гб украденной информации. Не знаем как американская компания, а итальянская голова DeLonghi имеет годовой доход более 2 млрд. долларов. В котором, видимо, не нашлось денег на усиление мер информационной безопасности.
ZDNet со ссылкой на одну из компаний-жертв ransomware Clop сообщают, что оператор вымогателя использовал в процессе рансома новую тактику. Первичной целью злоумышленников являлись рабочие станции топ-менеджмента, который может участвовать в принятии решений о выплате выкупа.
Таким образом среди информации, которую хакеры собираются опубликовать, могут быть не только рабочие сведения, но и принадлежащие этим самым топ-менеджерам данные личного характера. Безусловно это может существенно повлиять на процесс принятия решения о выплате выкупа. По крайней мере, компания, от сотрудников которой журналисты узнали новость, в итоге выплатила многомиллионный выкуп.
Аналогичная тактика была замечена исследователями компании Arete IR у одного из операторов ransomware Sodinokibi (REvil). Правда, есть предположение, что в обоих случаях выступала одна и та же хакерская группа, которая работает с владельцами сразу нескольких ransomware. Тем не менее, наверняка новый подход к уламыванию несговорчивых жертв будет широко распространен в ближайшее время. Ведь, в отличие от неповоротливого руководства крупных компаний, неспособного оперативно реагировать на постоянно изменяющийся ландшафт киберугроз, хакерские группы моментально меняют свое поведение если речь идет о возможности заработать больше денег.
Тем временем инфосек компании Advanced Intelligence и HYAS выпустили отчет по результатам исследования деятельности владельцев ransomware Ryuk, в котором проанализировали движения по используемым ими кошелькам. Поскольку Ryuk требуют выкуп в BTC, то это оказалось возможно. В отличие, кстати, от криптовалюты Monero, которую любят, к примеру, владельцы Sodinokibi.
По результатам анализа движений средств 61 криптокошелька, принадлежащих Ryuk, исследователи установили, что большая часть полученных битков обналичиваются через азиатские биржи Huobi и Binance. Кроме того, вымогатели использовали закрытые криминальные обменники.
Общую сумму выкупа Ryuk за 2020 год ресерчеры оценивают в 150 млн. долларов. Причем это консервативная оценка и конечная сумма наверняка существенно выше. Правда тут надо учитывать, что, поскольку Ryuk работает по схеме RaaS, то эти деньги разделяются между владельцем и оператором ransomware.
И напоследок, свежие новости от ransomware Conti. Вымогатели взломали американскую дочку всемирно известного производителя кофемашин и прочей кухонной техники DeLonghi. Но не договорились о выкупе и сегодня выкинули на своем DLS около 40 Гб украденной информации. Не знаем как американская компания, а итальянская голова DeLonghi имеет годовой доход более 2 млрд. долларов. В котором, видимо, не нашлось денег на усиление мер информационной безопасности.
ZDNet
Some ransomware gangs are going after top execs to pressure companies into paying
Ransomware gangs are prioritizing stealing data from workstations used by executives in the hopes of finding and using valuable information to use in the extortion process.
January 11, 2021
Почти месяц прошел с тех пор, как американцы из инфосек компании FireEye сообщили о вскрытии кибероперации Sunburst, в ходе которой неустановленная хакерская группа скомпрометировала американского разработчика ПО SolarWinds и засунула троян в его NMS Orion, который затем попал к тысячам клиентов. Эта киберкампания без сомнения претендует на звание года, а то и десятилетия (хотя тут нарисовался на днях другой кандидат, но об этом в конце поста).
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью - они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWinds, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором мы сказали в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно мы поговорим завтра.
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью - они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWinds, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором мы сказали в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно мы поговорим завтра.
Securelist
Sunburst backdoor – code overlaps with Kazuar
While looking at the Sunburst backdoor, we discovered several features that overlap with a previously identified .NET backdoor known as Kazuar.
January 11, 2021
Румынские исследователи из инфосек вендора Bitdefender выпустили бесплатный декриптор для файлов, зашифрованных ransomware Darkside.
Darkside вышел на широкий рынок путем использования схемы Ransomware-as-a-Service в ноябре прошлого года. До этого появившийся в августе 2020-го вымогатель использовался исключительно создателями. Основная цель - крупные корпоративные сети.
Это тот самый вымогатель, владельцы которого пожертвовали осенью 2020 года по 10 тыс. долларов двум благотворительным организациям.
Румыны - молодцы.
Darkside вышел на широкий рынок путем использования схемы Ransomware-as-a-Service в ноябре прошлого года. До этого появившийся в августе 2020-го вымогатель использовался исключительно создателями. Основная цель - крупные корпоративные сети.
Это тот самый вымогатель, владельцы которого пожертвовали осенью 2020 года по 10 тыс. долларов двум благотворительным организациям.
Румыны - молодцы.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
January 12, 2021
Когда мы вчера писали про то, что цензура, введенная ведущими западными соцсетями и сервисами против Трампа и его сторонников, является штукой обоюдоострой и может быть использована в обе стороны, то не думали, что так быстро начнется.
Вчера провайдер Your T1 WIFI из Северного Айдахо заблокировал доступ к Facebook и Twitter из-за проводимой ими цензуры.
Понятно, что это пока лишь жалкое начало, но слово сказано. Теперь у нас будут "цензура государственная", "цензура коммерческая", "цензура за цензуру", "цензура за признание цензуры", "цензура за отрицание цензуры" и пр. и пр.
Похоже американские демократы таки выбили сливную пробку, пошло по трубам.
Вчера провайдер Your T1 WIFI из Северного Айдахо заблокировал доступ к Facebook и Twitter из-за проводимой ими цензуры.
Понятно, что это пока лишь жалкое начало, но слово сказано. Теперь у нас будут "цензура государственная", "цензура коммерческая", "цензура за цензуру", "цензура за признание цензуры", "цензура за отрицание цензуры" и пр. и пр.
Похоже американские демократы таки выбили сливную пробку, пошло по трубам.
January 12, 2021
CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.
Американские исследователи,участвующие в расследованиии кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
Американские исследователи,участвующие в расследованиии кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
CrowdStrike.com
SUNSPOT Malware: A Technical Analysis | CrowdStrike
In this blog, we offer a technical analysis of SUNSPOT, malware that was deployed into the build environment to inject this backdoor into the SolarWinds Orion platform.
January 12, 2021
А вы в курсе, кстати, что ЦРУ на днях провело ребрендинг?
И пока пользователи сети во всю упражняются в остроумии, проводя параллели между новым логотипом и техно-музыкой, мы, в силу своей профдеформации, наблюдаем в нем аллюзии на сферу высоких технологий, а именно - на информационные войны.
Означает ли это, что маски окончательно сброшены и APT Longhorn расчехляют свои эксплойт-киты?
И пока пользователи сети во всю упражняются в остроумии, проводя параллели между новым логотипом и техно-музыкой, мы, в силу своей профдеформации, наблюдаем в нем аллюзии на сферу высоких технологий, а именно - на информационные войны.
Означает ли это, что маски окончательно сброшены и APT Longhorn расчехляют свои эксплойт-киты?
Creative Bloq
The new CIA logo is being brutally mocked
We spy memes. Lots of memes.
January 12, 2021
Вчера обещали написать пост про возможный взлом JetBrains и вот пишем.
6 января New York Times выпустили статью, в которой в свойственной им манере расписали, что (согласно источникам, конечно) американские спецслужбы и инфосек исследователи изучают возможность использования хакерами предварительно компрометации чешской компании JetBrains в ходе дальнейшего проникновения в сеть SolarWinds.
Мы не зря сравнили такой взлом с "атакой на цепочку поставок в квадрате" - JetBrains это разработчик инструментов для разработки программного обеспечения. В частности, Team City, которую упоминали NYT, является инструментом обеспечения непрерывной интеграции, который выпускается с 2006 года и используется тысячами разработчиков по всему миру. Особенно Team City популярен у разработчиков приложений под Android.
В случае удачной атаки на внутреннюю инфраструктуру JetBrains хакеры получают возможность компрометации большей части использующих их инструменты разработчиков, а далее - взлома уже их клиентов. Потенциальные последствия - катастрофические.
Но поскольку журналисты NYT не изменяют своим привычкам, то материал они подали крайне претенциозно и без какой-либо приличной фактуры. За что были тут же подвергнуты остракизму со стороны инфосек сообщества - им указали и на отсутствие доказательств, и на расплывчатость формулировок, и даже на "беспочвенные передергивания".
Сами же JetBrains в лице генерального директора Максима Шафирова оперативно дали несколько комментариев, в которых отрицали какие-либо обращения к ним в связи с компрометацией Team City.
Офигевание инфосек сообщества можно понять. Team City и другие инструменты JetBrains используются разработчиками повсеместно и возможная их компрометация хакерами выглядела бы как если бы белорусские партизаны развернули свою оперативную базу во дворе личного штаба рейхсфюрера СС, насадили бы картошки и периодически переманивали бы эсэсовцев (естественно, эта аллегория приведена нами безотносительно сравнений плохой-хороший).
Однако, не все так просто. Материалы про расследование со стороны ФБР возможной компрометации JetBrains дали не только журналисты NYT, но и другие авторитетные американские издания. Например, Reuters, которая, кстати, первой написала про взлом SolarWinds.
Поэтому вполне возможен вариант, что это был целенаправленный слив информации со стороны американских следователей в случае, когда официального заявления сделать они не могут по тем или иным причинам. И если компрометация JetBrains действительно была осуществлена хакерами, то это спокойно может потянуть на ту самую плашку "взлом десятилетия".
6 января New York Times выпустили статью, в которой в свойственной им манере расписали, что (согласно источникам, конечно) американские спецслужбы и инфосек исследователи изучают возможность использования хакерами предварительно компрометации чешской компании JetBrains в ходе дальнейшего проникновения в сеть SolarWinds.
Мы не зря сравнили такой взлом с "атакой на цепочку поставок в квадрате" - JetBrains это разработчик инструментов для разработки программного обеспечения. В частности, Team City, которую упоминали NYT, является инструментом обеспечения непрерывной интеграции, который выпускается с 2006 года и используется тысячами разработчиков по всему миру. Особенно Team City популярен у разработчиков приложений под Android.
В случае удачной атаки на внутреннюю инфраструктуру JetBrains хакеры получают возможность компрометации большей части использующих их инструменты разработчиков, а далее - взлома уже их клиентов. Потенциальные последствия - катастрофические.
Но поскольку журналисты NYT не изменяют своим привычкам, то материал они подали крайне претенциозно и без какой-либо приличной фактуры. За что были тут же подвергнуты остракизму со стороны инфосек сообщества - им указали и на отсутствие доказательств, и на расплывчатость формулировок, и даже на "беспочвенные передергивания".
Сами же JetBrains в лице генерального директора Максима Шафирова оперативно дали несколько комментариев, в которых отрицали какие-либо обращения к ним в связи с компрометацией Team City.
Офигевание инфосек сообщества можно понять. Team City и другие инструменты JetBrains используются разработчиками повсеместно и возможная их компрометация хакерами выглядела бы как если бы белорусские партизаны развернули свою оперативную базу во дворе личного штаба рейхсфюрера СС, насадили бы картошки и периодически переманивали бы эсэсовцев (естественно, эта аллегория приведена нами безотносительно сравнений плохой-хороший).
Однако, не все так просто. Материалы про расследование со стороны ФБР возможной компрометации JetBrains дали не только журналисты NYT, но и другие авторитетные американские издания. Например, Reuters, которая, кстати, первой написала про взлом SolarWinds.
Поэтому вполне возможен вариант, что это был целенаправленный слив информации со стороны американских следователей в случае, когда официального заявления сделать они не могут по тем или иным причинам. И если компрометация JetBrains действительно была осуществлена хакерами, то это спокойно может потянуть на ту самую плашку "взлом десятилетия".
NY Times
Widely Used Software Company May Be Entry Point for Huge U.S. Hacking
Russian hackers may have piggybacked on a tool developed by JetBrains, which is based in the Czech Republic, to gain access to federal government and private sector systems in the United States.
January 12, 2021
Microsoft выпустили январское обновление безопасности для своих продуктов. Исправлены 83 уязвимости, десять из которых являются критическими.
Самое важное - это устранение 0-day уязвимости в антивирусном продукте Microsoft Defender, эксплуатация которой приводила к удаленному выполнению кода (RCE). По имеющимся данным, она активно использовалась в дикой природе.
Ошибка, получившая название CVE-2021-1647, сидела в движке Malware Protection. Microsoft, как обычно, технических подробностей не дает, поэтому точных данных о тонкостях эксплуатации уязвимости нет. И в то время пока одни говорят, что для эксплуатации ошибки пользователь должен открыть специальным образом созданный вредоносный документ, другие эксперты сообщают, что эксплойт на самом деле является 0-click и не требует никакой активности со стороны пользователя, достаточно просто доставить документ в систему.
Так что если вы используете Microsoft Defender - срочно обновитесь. А лучше используйте более качественные антивирусные продукты.
Самое важное - это устранение 0-day уязвимости в антивирусном продукте Microsoft Defender, эксплуатация которой приводила к удаленному выполнению кода (RCE). По имеющимся данным, она активно использовалась в дикой природе.
Ошибка, получившая название CVE-2021-1647, сидела в движке Malware Protection. Microsoft, как обычно, технических подробностей не дает, поэтому точных данных о тонкостях эксплуатации уязвимости нет. И в то время пока одни говорят, что для эксплуатации ошибки пользователь должен открыть специальным образом созданный вредоносный документ, другие эксперты сообщают, что эксплойт на самом деле является 0-click и не требует никакой активности со стороны пользователя, достаточно просто доставить документ в систему.
Так что если вы используете Microsoft Defender - срочно обновитесь. А лучше используйте более качественные антивирусные продукты.
January 13, 2021
Команда Google Project Zero начала публиковать материалы серии "В дикой природе", в которой рассказывает про свою новую программу выявления эксплуатации 0-day уязвимостей, как логично предположить, в дикой природе.
В рамках цикла из шести статей исследователи рассказывают про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Напомним, что этот вид атаки означает компрометацию сторонних ресурсов для последующего заражения посещающих их конечных пользователей.
Исследователи сообщают про два обнаруженных сервера, с которых распространялись цепочки эксплойтов направленные на пользователей Windows и Android соответственно.
Среди использовавшихся первым сервером эксплойтов было четыре 0-day - одна эксплуатируемая уязвимость была в движке JavaScript Chrome и три в Windows (все были исправлены весной 2020 года). При этом, отследив хронологию заражений с 2015 года, исследователи сделали вывод, что как минимум эксплойты еще двух уязвимостей использовались в тот момент, когда они были 0-day.
Среди эксплуатировавшихся уязвимостей под Android не было ни одной новой и неизвестной. Вместе с тем, Google Project Zero полагают, что это связано не с недостаточным техническим оснащением хакерской группы, а с тем, что найденный сервер был предназначен именно для случаев, когда старых уязвимостей хватало. Потому что качество используемых другим сервером эксплойтов под Windows и общий уровень организации процесса заражения свидетельствовал о крайне высокой степени подготовки актора. Поэтому ресерчеры предположили, что есть как минимум еще один сервер с 0-day эксплойтами под Android, который они просто не смогли найти.
Более того, хакеры настроили сложную систему таргетинга, когда для разных жертв использовались различные комбинации эксплойтов, причем принципы этого ранжирования жертв исследователи определить не смогли.
Project Zero резюмирует, что обнаруженные сервера являются частью хорошо спроектированной системы с множеством новых методов эксплуатации, продуманным логированием, сложными методами постэксплуатации, а также с большим объемом проверок, направленных на избежание обнаружения вредоносной деятельности.
Переводя на русский - Google нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но, судя по отсутствию каких-либо упоминаний в отношении возможной атрибуции этой активности, исследователи получили лишь небольшую часть информации, не позволившей сделать им хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
В рамках цикла из шести статей исследователи рассказывают про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Напомним, что этот вид атаки означает компрометацию сторонних ресурсов для последующего заражения посещающих их конечных пользователей.
Исследователи сообщают про два обнаруженных сервера, с которых распространялись цепочки эксплойтов направленные на пользователей Windows и Android соответственно.
Среди использовавшихся первым сервером эксплойтов было четыре 0-day - одна эксплуатируемая уязвимость была в движке JavaScript Chrome и три в Windows (все были исправлены весной 2020 года). При этом, отследив хронологию заражений с 2015 года, исследователи сделали вывод, что как минимум эксплойты еще двух уязвимостей использовались в тот момент, когда они были 0-day.
Среди эксплуатировавшихся уязвимостей под Android не было ни одной новой и неизвестной. Вместе с тем, Google Project Zero полагают, что это связано не с недостаточным техническим оснащением хакерской группы, а с тем, что найденный сервер был предназначен именно для случаев, когда старых уязвимостей хватало. Потому что качество используемых другим сервером эксплойтов под Windows и общий уровень организации процесса заражения свидетельствовал о крайне высокой степени подготовки актора. Поэтому ресерчеры предположили, что есть как минимум еще один сервер с 0-day эксплойтами под Android, который они просто не смогли найти.
Более того, хакеры настроили сложную систему таргетинга, когда для разных жертв использовались различные комбинации эксплойтов, причем принципы этого ранжирования жертв исследователи определить не смогли.
Project Zero резюмирует, что обнаруженные сервера являются частью хорошо спроектированной системы с множеством новых методов эксплуатации, продуманным логированием, сложными методами постэксплуатации, а также с большим объемом проверок, направленных на избежание обнаружения вредоносной деятельности.
Переводя на русский - Google нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но, судя по отсутствию каких-либо упоминаний в отношении возможной атрибуции этой активности, исследователи получили лишь небольшую часть информации, не позволившей сделать им хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Blogspot
Introducing the In-the-Wild Series
This is part 1 of a 6-part series detailing a set of vulnerabilities found by Project Zero being exploited in the wild. To read the other p...
January 13, 2021
Сериал "Взлом SolarWinds и все-все-все" продолжается.
В сети появился сайт solarleaks .net, на котором якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. Сайт имеет зеркало в Даркнет.
На сайте объявляется о продаже:
- части исходных кодов Windows и различных репозиториев Microsoft за 600 тыс. долларов (ранее Microsoft признали утечку части своего кода);
- исходников продуктов Cisco за 500 тыс. долларов;
- исходников продуктов SolarWinds и дампа их клиентского портала за 250 тыс. долларов;
- redteam инструментария, исходных кодов и документации FireEye всего за полсотни тысяч долларов (ранее FireEye также признали факт утечки).
Все вместе стоит 1 млн. долларов. На следующей неделе обещают продолжить выкладывать украденную информацию.
Пока окончательно непонятно, мошенники ли это или настоящая хакерская группа, стоящая за взломом SolarWinds. Хотя указанный для связи адрес электронной почты недоступен, некоторые инфосек эксперты полагают, что характер продаваемой информации, а именно отсутствие каких-либо данных государственных органов, может указывать на подлинность сайта.
В сети появился сайт solarleaks .net, на котором якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. Сайт имеет зеркало в Даркнет.
На сайте объявляется о продаже:
- части исходных кодов Windows и различных репозиториев Microsoft за 600 тыс. долларов (ранее Microsoft признали утечку части своего кода);
- исходников продуктов Cisco за 500 тыс. долларов;
- исходников продуктов SolarWinds и дампа их клиентского портала за 250 тыс. долларов;
- redteam инструментария, исходных кодов и документации FireEye всего за полсотни тысяч долларов (ранее FireEye также признали факт утечки).
Все вместе стоит 1 млн. долларов. На следующей неделе обещают продолжить выкладывать украденную информацию.
Пока окончательно непонятно, мошенники ли это или настоящая хакерская группа, стоящая за взломом SolarWinds. Хотя указанный для связи адрес электронной почты недоступен, некоторые инфосек эксперты полагают, что характер продаваемой информации, а именно отсутствие каких-либо данных государственных органов, может указывать на подлинность сайта.
January 13, 2021