Разработчики Mozilla, как мы помним, уделяют достаточно много внимания вопросам приватности пользователей. И этим они нам нравятся.
Как оказалось, сейчас Mozilla работает над новой фичей Private Relay, которая генерирует разовые адреса электронной почты для регистрации на разных онлайн сервисах.
Private Relay функционирует как add-on Firefox, позволяющий одним кликом создать уникальный почтовый ящик, который можно указать при заполнении регистрационной формы. При этом Mozilla перешлет все приходящие на него письма, такие как подтверждения регистрации, на электронную почту пользователя.
Действительно, удобная штука. Вопрос лишь в необходимости привязки какого-либо из реальных почтовых ящиков к Mozilla, что потенциально может создать проблемы безопасности.
Как оказалось, сейчас Mozilla работает над новой фичей Private Relay, которая генерирует разовые адреса электронной почты для регистрации на разных онлайн сервисах.
Private Relay функционирует как add-on Firefox, позволяющий одним кликом создать уникальный почтовый ящик, который можно указать при заполнении регистрационной формы. При этом Mozilla перешлет все приходящие на него письма, такие как подтверждения регистрации, на электронную почту пользователя.
Действительно, удобная штука. Вопрос лишь в необходимости привязки какого-либо из реальных почтовых ящиков к Mozilla, что потенциально может создать проблемы безопасности.
ZDNET
New Firefox service will generate unique email aliases to enter in online forms
Firefox Private Relay add-on to help users safeguard their email addresses from spammers.
Операторы ransomware Maze скомпрометировали сеть государственного банка Коста-Рики (Banco BCR), в результате чего, в числе прочего, украли данные 11 миллионов банковских карт.
На своем сайте хакеры утверждают, что в первый раз получили доступ к сети банка еще в августе 2019 года, однако не стали шифровать данные, поскольку "возможный ущерб был бы слишком велик".
В силу того, что костариканцы не уделяют должного внимания вопросам информационной безопасности, в феврале операторы Maze снова подломали сеть Banco BCR. В этот раз они не стали шифровать информацию по причине "пандемии коронавируса", но украли данные 11 миллионов банковских карт, которые теперь продают в дарквебе.
В качестве подтверждения кражи Maze опубликовали номера 240 кредитных карт без последних 4 цифр, а также их сроки действия и коды CVC.
Напомним, что недавно американский ИТ гигант Cognizant, компания из NASDAQ-100 подтвердил, что попал под шифровальщик Maze. С учетом 30 млрд. $ капитализации компании сумма выкупа за данные должна составлять не один миллион , а то и не один десяток миллионов долларов.
На своем сайте хакеры утверждают, что в первый раз получили доступ к сети банка еще в августе 2019 года, однако не стали шифровать данные, поскольку "возможный ущерб был бы слишком велик".
В силу того, что костариканцы не уделяют должного внимания вопросам информационной безопасности, в феврале операторы Maze снова подломали сеть Banco BCR. В этот раз они не стали шифровать информацию по причине "пандемии коронавируса", но украли данные 11 миллионов банковских карт, которые теперь продают в дарквебе.
В качестве подтверждения кражи Maze опубликовали номера 240 кредитных карт без последних 4 цифр, а также их сроки действия и коды CVC.
Напомним, что недавно американский ИТ гигант Cognizant, компания из NASDAQ-100 подтвердил, что попал под шифровальщик Maze. С учетом 30 млрд. $ капитализации компании сумма выкупа за данные должна составлять не один миллион , а то и не один десяток миллионов долларов.
BleepingComputer
Hackers say they stole millions of credit cards from Banco BCR
Hackers claim to have gained access to the network of Banco BCR, the state-owned Bank of Costa Rica, and stolen 11 million credit card credentials along with other data.
"Сингапурская инфосек кампания" (привет, Сачков) Group IB выпустила отчет о расследовании серии фишинговых атак под условным обозначением PerSwaysion.
В качестве приманки выступает PDF файл, а в дальнейшем используются службы обмена файлов Microsoft, включая Sway, - отсюда и название фишинговой кампании. Цель хакеров - высокопоставленные сотрудники в отраслях финансов, юриспруденции и торговли недвижимости. Географические предпочтения - США, Канада, Сингапур, Германия, Великобритания, Нидерланды, Гонконг.
У PerSwaysion есть интересная черта. По мнению исследователей, за серией атак стоит сразу несколько хакерских групп, использующих одну и ту же инфраструктуру. При этом, судя по всему, автором ПО является вьетнамская группа, а один из акторов связан с кибермошенниками из Нигерии.
Но мы обратили внимание на отчет ГрИБов не по этим причинам. А потому, что в нем достаточно детально и последовательно расписан процесс изучения особенностей атаки, позволяющих сделать те или иные выводы в отношении хакерских групп, стоящих за ней.
И, хотя конкретных наименований стоящих за PerSwaysion групп на данном этапе не получено, все равно так намного лучше, чем фантазии некоторых вендоров.
Ну в самом деле, не всем же всерьез говорить о китайском происхождении APT на основании того, что в момент китайского Нового Года активность хакеров спала. Или называть Energetic Bear причастной к атаке на аэропорты только потому, что в атаке использовалась уязвимость SMB, чем ранее пользовалась и эта APT.
Даешь больше TTPs, хороших и разных.
https://www.group-ib.com/blog/perswaysion
В качестве приманки выступает PDF файл, а в дальнейшем используются службы обмена файлов Microsoft, включая Sway, - отсюда и название фишинговой кампании. Цель хакеров - высокопоставленные сотрудники в отраслях финансов, юриспруденции и торговли недвижимости. Географические предпочтения - США, Канада, Сингапур, Германия, Великобритания, Нидерланды, Гонконг.
У PerSwaysion есть интересная черта. По мнению исследователей, за серией атак стоит сразу несколько хакерских групп, использующих одну и ту же инфраструктуру. При этом, судя по всему, автором ПО является вьетнамская группа, а один из акторов связан с кибермошенниками из Нигерии.
Но мы обратили внимание на отчет ГрИБов не по этим причинам. А потому, что в нем достаточно детально и последовательно расписан процесс изучения особенностей атаки, позволяющих сделать те или иные выводы в отношении хакерских групп, стоящих за ней.
И, хотя конкретных наименований стоящих за PerSwaysion групп на данном этапе не получено, все равно так намного лучше, чем фантазии некоторых вендоров.
Ну в самом деле, не всем же всерьез говорить о китайском происхождении APT на основании того, что в момент китайского Нового Года активность хакеров спала. Или называть Energetic Bear причастной к атаке на аэропорты только потому, что в атаке использовалась уязвимость SMB, чем ранее пользовалась и эта APT.
Даешь больше TTPs, хороших и разных.
https://www.group-ib.com/blog/perswaysion
Group-IB
PerSwaysion Campaign
Group-IB DFIR and Threat Intelligence teams revealed an uptrending phishing technique which is essentially achieved by abusing Microsoft file sharing services.
Тем временем, на фоне эпидемии коронавируса, США разворачивают протекционистские меры во всю.
Вчера Трамп объявил о том, что предприятиям американского электрического сектора запрещается покупать и устанавливать электрическое оборудование, произведенное за пределами США.
Причиной этому Трамп назвал то, что "иностранные противники все чаще эксплуатируют уязвимости в системе электроснабжения США, что может представлять значительные риски для американской экономики, здоровья и безопасности граждан США".
Одновременно с этим, Министерство энергетики США начинает аудит в целях определить используемое в отрасли в настоящее время оборудование, которое произведено за пределами США, и разработать стратегию по его постепенному отключению и замене американскими аналогами.
Хороший пример заботы не только о своих производителях, но и об информационной безопасности критической инфраструктуры национальных отраслей экономики. К сожалению, наши государственные органы едва ли уделяют подобным вопросам хоть какое-то внимание.
Нас же немного напрягает еще один момент. Не сомневаясь, что американские think tanks помнят высказывание Сунь-Цзы "Неуязвимость - в обороне, но возможность достичь победы - только в нападении", предполагаем, что, параллельно с активизацией мер "информационной обороны", США не менее активно разрабатывают меры "информационного нападения".
К которым мы совершенно не готовы.
Вчера Трамп объявил о том, что предприятиям американского электрического сектора запрещается покупать и устанавливать электрическое оборудование, произведенное за пределами США.
Причиной этому Трамп назвал то, что "иностранные противники все чаще эксплуатируют уязвимости в системе электроснабжения США, что может представлять значительные риски для американской экономики, здоровья и безопасности граждан США".
Одновременно с этим, Министерство энергетики США начинает аудит в целях определить используемое в отрасли в настоящее время оборудование, которое произведено за пределами США, и разработать стратегию по его постепенному отключению и замене американскими аналогами.
Хороший пример заботы не только о своих производителях, но и об информационной безопасности критической инфраструктуры национальных отраслей экономики. К сожалению, наши государственные органы едва ли уделяют подобным вопросам хоть какое-то внимание.
Нас же немного напрягает еще один момент. Не сомневаясь, что американские think tanks помнят высказывание Сунь-Цзы "Неуязвимость - в обороне, но возможность достичь победы - только в нападении", предполагаем, что, параллельно с активизацией мер "информационной обороны", США не менее активно разрабатывают меры "информационного нападения".
К которым мы совершенно не готовы.
ZDNet
Trump bans acquisition of foreign power grid equipment, citing hacking threats | ZDNet
White House says foreign-made equipment "augments the ability of foreign adversaries to create and exploit vulnerabilities" in the US power grid.
А у нас, тем временем, нарисовался очередной показательный скандальчик с нарушением приватности пользовательских данных.
В четверг Forbes опубликовали материал, в котором со ссылкой на ресерчеров Габи Кирлинга и Эндрю Тирни сообщили, что смартфоны производства Xiaomi и их мобильные браузеры Mi Browser Pro и Mint Browser собирают пользовательские данные и отправляют их на удаленные сервера, принадлежащие китайцам.
В числе собираемой информации – история серфинга и поиска, сведения о просмотре новостной ленты, открытые на смартфоне папки и пр. Причем эта информация собиралась даже в режиме браузера инкогнито.
Кроме того, исследователи обнаружили, что передающиеся данные закодированы base64. Таким образом, в случае получения доступа к передаваемой информации третьими лицами, она может быть легко раскрыта.
Вчера последовал ответ Xiaomi, в котором китайцы отморозились и сказали, что все данные они собирают в рамках общепринятых практик, строго в соответствии с пользовательским соглашением и полностью их анонимизируют.
Впрочем, мало кто им поверил. К обсуждению подключились другие инфосек эксперты и внезапно обнаружилось, что Xiaomi, кроме всего прочего, помечает Индию, Россию и остальной мир, собирая данные на отдельные эндпойнты. А некоторые даже получили прямое подтверждение, зафиксировав как их данные в режиме инкогнито передаются на сервера Xiaomi.
Резюмируя, скажем, что основное различие между тем, как данные собирает, например, Chrome и как собирает их Xiaomi – для Google необходимо согласие пользователя для такого сбора, в отличие от китайцев. И Google не собирает данные в режиме инкогнито. В отличие от.
В четверг Forbes опубликовали материал, в котором со ссылкой на ресерчеров Габи Кирлинга и Эндрю Тирни сообщили, что смартфоны производства Xiaomi и их мобильные браузеры Mi Browser Pro и Mint Browser собирают пользовательские данные и отправляют их на удаленные сервера, принадлежащие китайцам.
В числе собираемой информации – история серфинга и поиска, сведения о просмотре новостной ленты, открытые на смартфоне папки и пр. Причем эта информация собиралась даже в режиме браузера инкогнито.
Кроме того, исследователи обнаружили, что передающиеся данные закодированы base64. Таким образом, в случае получения доступа к передаваемой информации третьими лицами, она может быть легко раскрыта.
Вчера последовал ответ Xiaomi, в котором китайцы отморозились и сказали, что все данные они собирают в рамках общепринятых практик, строго в соответствии с пользовательским соглашением и полностью их анонимизируют.
Впрочем, мало кто им поверил. К обсуждению подключились другие инфосек эксперты и внезапно обнаружилось, что Xiaomi, кроме всего прочего, помечает Индию, Россию и остальной мир, собирая данные на отдельные эндпойнты. А некоторые даже получили прямое подтверждение, зафиксировав как их данные в режиме инкогнито передаются на сервера Xiaomi.
Резюмируя, скажем, что основное различие между тем, как данные собирает, например, Chrome и как собирает их Xiaomi – для Google необходимо согласие пользователя для такого сбора, в отличие от китайцев. И Google не собирает данные в режиме инкогнито. В отличие от.
30 апреля компания F-Secure опубликовала данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. Ошибки позволяли обойти механизм аутентификации и получить рутовые права в системе.
Изначально уязвимости были выявлены F-Secure в середине марта этого года, после чего исследователи обратились к производителю ПО компании SaltStack. В результате взаимодействия 29 апреля был выпущена Salt v.3000.2, в которой уязвимости были устранены.
Как мы уже говорили, на следующий день F-Secure опубликовала данные на своем ресурсе, где сделала приписку - "любой компетентный хакер сможет создать 100%-й эксплойт для этих уязвимостей менее чем за 24 часа. Поэтому мы оставим эксплуатацию в качестве упражнения для читателей".
С чем "благодарные читатели" и не стали тянуть.
Спустя сутки после публикации на серверы с развернутой Salt начались атаки. Сперва хакеры накрыли сервера мобильной операционной системы LineageOS. Разработчики заявили, что злоумышленники использовали уязвимости в Salt.
Сегодня ночью роль жертвы на себя примерила крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей, среди которых Mozilla и NASA. Для взлома хакеры использовали все те же дырки в Salt.
По данным ZDNet, в настоящее время в сети открыто более 6000 серверов с Salt, существенная часть которых, очевидно, не была обновлена. Перечисленные взломы не единственные, в некоторых случаях злоумышленники сажали на взломанные сервера бэкдоры, а в других - сажали майнеры.
Благими намерениями, как известно, вымощена дорога в ад. F-Secure, формально выдержав все этические норм, но не выждав срок, который мог бы потребоваться на обновление дырявых серверов, открыли ящик Пандоры.
Изначально уязвимости были выявлены F-Secure в середине марта этого года, после чего исследователи обратились к производителю ПО компании SaltStack. В результате взаимодействия 29 апреля был выпущена Salt v.3000.2, в которой уязвимости были устранены.
Как мы уже говорили, на следующий день F-Secure опубликовала данные на своем ресурсе, где сделала приписку - "любой компетентный хакер сможет создать 100%-й эксплойт для этих уязвимостей менее чем за 24 часа. Поэтому мы оставим эксплуатацию в качестве упражнения для читателей".
С чем "благодарные читатели" и не стали тянуть.
Спустя сутки после публикации на серверы с развернутой Salt начались атаки. Сперва хакеры накрыли сервера мобильной операционной системы LineageOS. Разработчики заявили, что злоумышленники использовали уязвимости в Salt.
Сегодня ночью роль жертвы на себя примерила крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей, среди которых Mozilla и NASA. Для взлома хакеры использовали все те же дырки в Salt.
По данным ZDNet, в настоящее время в сети открыто более 6000 серверов с Salt, существенная часть которых, очевидно, не была обновлена. Перечисленные взломы не единственные, в некоторых случаях злоумышленники сажали на взломанные сервера бэкдоры, а в других - сажали майнеры.
Благими намерениями, как известно, вымощена дорога в ад. F-Secure, формально выдержав все этические норм, но не выждав срок, который мог бы потребоваться на обновление дырявых серверов, открыли ящик Пандоры.
После развернувшейся в отраслевых СМИ и инфосек сообществе бучи по поводу того, что смартфоны и браузеры Xiaomi сливают пользовательские данные на свои сервера, китайцы включили обратный ход.
Сегодня Томас Брюстер, журналист Forbes, который и поднял шум, сообщил, что Xiaomi сделают опцию, позволяющую пользователю отключить сбор данных в режиме инкогнито.
Лучшее лекарство от покушений на приватность - это их опубличивание. Так победим!
Сегодня Томас Брюстер, журналист Forbes, который и поднял шум, сообщил, что Xiaomi сделают опцию, позволяющую пользователю отключить сбор данных в режиме инкогнито.
Лучшее лекарство от покушений на приватность - это их опубличивание. Так победим!
Twitter
Thomas Brewster
Update! Xiaomi is going to let users turn off aggregated data collection (which includes visited URLs) in incognito mode. And thanks researchers for their work. A step in the right direction for privacy-focused folks. https://t.co/FVzjj66rfA
Когда мы пишем посты про хакерские группы и их киберкампании мы постоянно обращаем внимание на самую важную вещь в расследовании - TTPs. Что расшифровывается как Tactics, Techniques and Procedures.
Именно TTPs позволяют с большей или меньшей степенью вероятности идентифицировать реализовавшую атаку APT и, как следствие, стоящее за ней государство.
Поэтому когда команда RedDrip компании QiAnXin выкладывает сэмплы, подтверждающие причастность DarkHotel к атакам на китайские VPN, или FireEye разбирает использовавшееся в атаке на CCleaner ПО, имеющее пересечение с APT 41, - это правильно.
А когда та же FireEye в качестве основного аргумента того, что к атаке на Citrix ADC и Gateway причастна та же APT 41, указывает спад активности атаки в период Китайского Нового Года - это неправильно.
Но есть еще один уровень экспертизы, который называется "дно". И его нам демонстрирует The Guardian.
Вчера британцы выпустили статью, в которой сообщили, что согласно Национальному центру кибербезопасности (NCSC), доля целевых кибератак на британские университеты и научные учреждения, специализирующиеся на исследованиях COVID-19, возросла.
А виноваты в этом, как на рассказывает The Guardian, Россия и Иран. Потому что "It is understood". Никаких ссылок на NCSC, никаких ссылок на конкретных экспертов. Какие там TTPs, вы о чем.
Приговор вынесен, обжалованию не подлежит. Так и живем.
Именно TTPs позволяют с большей или меньшей степенью вероятности идентифицировать реализовавшую атаку APT и, как следствие, стоящее за ней государство.
Поэтому когда команда RedDrip компании QiAnXin выкладывает сэмплы, подтверждающие причастность DarkHotel к атакам на китайские VPN, или FireEye разбирает использовавшееся в атаке на CCleaner ПО, имеющее пересечение с APT 41, - это правильно.
А когда та же FireEye в качестве основного аргумента того, что к атаке на Citrix ADC и Gateway причастна та же APT 41, указывает спад активности атаки в период Китайского Нового Года - это неправильно.
Но есть еще один уровень экспертизы, который называется "дно". И его нам демонстрирует The Guardian.
Вчера британцы выпустили статью, в которой сообщили, что согласно Национальному центру кибербезопасности (NCSC), доля целевых кибератак на британские университеты и научные учреждения, специализирующиеся на исследованиях COVID-19, возросла.
А виноваты в этом, как на рассказывает The Guardian, Россия и Иран. Потому что "It is understood". Никаких ссылок на NCSC, никаких ссылок на конкретных экспертов. Какие там TTPs, вы о чем.
Приговор вынесен, обжалованию не подлежит. Так и живем.
the Guardian
Hostile states trying to steal coronavirus research, says UK agency
Experts say Russia, Iran and China likely to be behind cyber-attacks on universities
На днях сразу две команды объявили о выявлении нового ботнета, ориентированного на Linux-сервера и IoT (Интернет вещей).
Израильская инфосек компания Intezer и whitehat группа MalwareMustDie практически одновременно описали ботнет, который последние назвали Kaiji (Кайдзи), по имени героя японской манга.
Ботнет примечателен тем, что написан на языке Go, в отличие от большинства malware, которые написаны на С или С++. Соответственно, похоже, что ботнет написан "с нуля", как комплексный проект.
Kaiji не использует какие-либо уязвимости в действующем ПО, а брутфорсит целевое устройство по SSH, причем только рутовые учетки. Согласно достаточно подробному отчету Intenzer, ботнет предназначается для проведения DDoS-атак.
Технический анализ, проведенный Intenzer, позволил выявить в коде китайский транслит, что однозначно свидетельствует о происхождении ботнета из Поднебесной.
Kaiji еще находится в стадии тестирования, руткит часто сбоит и теряет свои управляющие сервера. Но это не значит, что в будущем ботнет не будет представлять угрозы.
Израильская инфосек компания Intezer и whitehat группа MalwareMustDie практически одновременно описали ботнет, который последние назвали Kaiji (Кайдзи), по имени героя японской манга.
Ботнет примечателен тем, что написан на языке Go, в отличие от большинства malware, которые написаны на С или С++. Соответственно, похоже, что ботнет написан "с нуля", как комплексный проект.
Kaiji не использует какие-либо уязвимости в действующем ПО, а брутфорсит целевое устройство по SSH, причем только рутовые учетки. Согласно достаточно подробному отчету Intenzer, ботнет предназначается для проведения DDoS-атак.
Технический анализ, проведенный Intenzer, позволил выявить в коде китайский транслит, что однозначно свидетельствует о происхождении ботнета из Поднебесной.
Kaiji еще находится в стадии тестирования, руткит часто сбоит и теряет свои управляющие сервера. Но это не значит, что в будущем ботнет не будет представлять угрозы.
Немецкая газета Sueddeutsche Zeitung, сообщает, что немецкая прокуратура выписала сегодня ордер на арест российского гражданина Дмитрия Бадина, которого считают причастным к взлому сети Бундестага в 2015 году.
Газета, со ссылкой на неназванные источники, сообщает, что немецкие власти в рамках расследования связали использовавшиеся в ходе атаки TTPs лично с Бадиным, который, якобы, являлся членом APT28, она же пресловутая Fancy Bear. Кроме того, власти Германии полагают, что APT28 связана с в\ч 26165, принадлежащей ГРУ.
В период с апреля по 20 мая 2015 года сеть Бундестага была вскрыта в результате целевого фишинга, использовавшего документ о конфликте России и Украины в качестве приманки.
В настоящее время ордер не опубликован официально, немецкая прокуратура свои комментарии журналистам не дает.
Бадин уже объявлен в розыск ФБР в 2018 году в числе других россиян по обвинению во взломе серверов американской Демократической партии, а также WADA.
Не имея данных в отношении собранных немцами доказательств, мы, тем не менее, испытываем сильные сомнения по поводу того, как можно конкретный вредонос или другие TTPs привязать к конкретному человеку, находящемуся в другой стране.
Хотим подробностей. Но их, скорее всего, не будет.
Похоже, начинаются очередные "хакерские войны".
https://www.zdnet.com/article/german-authorities-charge-russian-hacker-for-2015-bundestag-hack/
Газета, со ссылкой на неназванные источники, сообщает, что немецкие власти в рамках расследования связали использовавшиеся в ходе атаки TTPs лично с Бадиным, который, якобы, являлся членом APT28, она же пресловутая Fancy Bear. Кроме того, власти Германии полагают, что APT28 связана с в\ч 26165, принадлежащей ГРУ.
В период с апреля по 20 мая 2015 года сеть Бундестага была вскрыта в результате целевого фишинга, использовавшего документ о конфликте России и Украины в качестве приманки.
В настоящее время ордер не опубликован официально, немецкая прокуратура свои комментарии журналистам не дает.
Бадин уже объявлен в розыск ФБР в 2018 году в числе других россиян по обвинению во взломе серверов американской Демократической партии, а также WADA.
Не имея данных в отношении собранных немцами доказательств, мы, тем не менее, испытываем сильные сомнения по поводу того, как можно конкретный вредонос или другие TTPs привязать к конкретному человеку, находящемуся в другой стране.
Хотим подробностей. Но их, скорее всего, не будет.
Похоже, начинаются очередные "хакерские войны".
https://www.zdnet.com/article/german-authorities-charge-russian-hacker-for-2015-bundestag-hack/
ZDNet
German authorities charge Russian hacker for 2015 Bundestag hack
The same hacker was previously charged in the US in 2018 for hacking the DNC and WADA.
Польские и швейцарские правоохранительные органы при поддержке Европола задержали пять польских хакеров, входящих в группу Infinity Black.
Товарищи известны, основным образом, тем, что ранее держали портал Infinity.Black, на котором продавали доступ к слитым базам пользовательских данных. Группа создала и активно использовала механизмы проверки и тестирования таких баз данных. Кроме того, члены группы сами получали информацию путем использования ранее скомпрометированных учетных данных на других сервисах.
В последнее время Infinity Black специализировались на продаже данных различных программ лояльности. Швейцарцы оценивают потенциальные потери клиентов этих программ в 600 тыс. евро.
Кроме пяти хакеров полиция закрыла две платформы с базами данных, содержащих более 170 млн. записей.
Также есть мнение, что Infinity Black стояли за всплывшими в январе 2019 года крупнейшими сборными базами данных Collection #1, #2 и т.д., содержавшими в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Товарищи известны, основным образом, тем, что ранее держали портал Infinity.Black, на котором продавали доступ к слитым базам пользовательских данных. Группа создала и активно использовала механизмы проверки и тестирования таких баз данных. Кроме того, члены группы сами получали информацию путем использования ранее скомпрометированных учетных данных на других сервисах.
В последнее время Infinity Black специализировались на продаже данных различных программ лояльности. Швейцарцы оценивают потенциальные потери клиентов этих программ в 600 тыс. евро.
Кроме пяти хакеров полиция закрыла две платформы с базами данных, содержащих более 170 млн. записей.
Также есть мнение, что Infinity Black стояли за всплывшими в январе 2019 года крупнейшими сборными базами данных Collection #1, #2 и т.д., содержавшими в общей сложности более 3,5 млрд. адресов электронной почты, паролей, номеров телефонов.
Europol
Hacker group selling databases with millions of user credentials busted in Poland and Switzerland | Europol
Polish and Swiss law enforcement authorities, supported by Europol and Eurojust, dismantled InfinityBlack, a hacking group involved in distributing stolen user credentials, creating and distributing malware and hacking tools, and fraud. On 29 April 2020,…
Компания Wordfence, специализирующаяся на защите CMS WordPress, вчера сообщила о резком всплеске с 28 апреля атак на сайты с WordPress, осуществляемых одним актором.
Под ударом оказались более 900 тыс. сайтов с этой CMS, количество подобных атак за последние несколько дней превысило 20 млн. Злоумышленники используют межсайтовый скриптинг (XSS) в целях внедрения вредоносного JavaScript-кода для перенаправления входящего трафика на подконтрольные сайты.
В атаках используется набор уже известных уязвимостей, таких как ошибка в плагине Easy2Map, выявленная в августе 2019, или уязвимость в Blog Designer, также прикрытая в 2019 году.
WordFence рекомендует своевременно обновлять плагины WordPress, а также отключать плагины, удаленные из репозитория.
Исследователи предполагают, что список используемых в указанной кибероперации уязвимостей может расширяться, поскольку кампания весьма масштабная и стоящая за ней хакерская группа наверняка продолжит совершенствование своих подходов.
Под ударом оказались более 900 тыс. сайтов с этой CMS, количество подобных атак за последние несколько дней превысило 20 млн. Злоумышленники используют межсайтовый скриптинг (XSS) в целях внедрения вредоносного JavaScript-кода для перенаправления входящего трафика на подконтрольные сайты.
В атаках используется набор уже известных уязвимостей, таких как ошибка в плагине Easy2Map, выявленная в августе 2019, или уязвимость в Blog Designer, также прикрытая в 2019 году.
WordFence рекомендует своевременно обновлять плагины WordPress, а также отключать плагины, удаленные из репозитория.
Исследователи предполагают, что список используемых в указанной кибероперации уязвимостей может расширяться, поскольку кампания весьма масштабная и стоящая за ней хакерская группа наверняка продолжит совершенствование своих подходов.
Wordfence
Nearly a Million WP Sites Targeted in Large-Scale Attacks
Our Threat Intelligence Team has been tracking a sudden uptick in attacks targeting Cross-Site Scripting(XSS) vulnerabilities that began on April 28, 2020 and increased over the next few days to approximately 30 times the normal volume we see in our attack…
Иногда истории из инфосек индустрии бывают интереснее любого детективного романа. Что и не удивительно, поскольку они касаются реальной активности хакерских групп, связанных со спецслужбами разных стран, и их тайных войн в киберпространстве.
Вчера Check Point выпустили интересный отчет, в котором раскрываются новые подробности громкого слива секретной информации АНБ США, организованного таинственной группой Shadow Brockers в 2016-2017 годах, а точнее его последней и самой разрушительной части под названием Lost in Translation.
Напомним, что Shadow Brockers осуществили грандиозную утечку внутренних данных АНБ в 5 частях, связанных с деятельностью и инструментарием засекреченной хакерской группы агентства под названием Equation (мы обязательно посвятим этой группе отдельный пост). Одним из последствий Lost in Translation явился слив эксплойта Eternal Blue, использующего уязвимость в протоколе SMB Windows, что привело в дальнейшем к известной всем атаке WannaCry и ряду других.
В последней части слива Shadow Brockers, в числе прочего, был интересный инструмент под названием TeDi или Territorial Dispute, который применялся Equation при проникновении в целевую систему для поиска в ней следов присутствия других хакерских групп. В некоторых случаях это давало гарантию того, что АНБ не будет вмешиваться в операцию дружественных хакеров, в остальных – то, что инструменты и методы Equation не будут обнаружены противниками.
Кстати, в 2019 году Symantec выяснили, что китайская APT UPS (aka APT3 и Gothic Panda) использовала некоторые из инструментов Equation еще до их слива Shadow Brockers. Тогда исследователи пришли к выводу, что китайцы перехватили некоторые из методик АНБ в ходе атаки, которую на них организовали американцы. Так что меры профилактики, применяемые Equation вполне оправданы.
TeDi содержал 45 сигнатур, каждая из которых соответствовала отдельному инструментарию. В 2018 году CrySys Labs провела большое исследование, в результате которого идентифицировала большую часть сигнатур. В частности в TeDi были найдены инструменты, принадлежащие таким APT как Turla, Uroboros, Dark Hotel и другие.
Тогда CrySys Labs идентифицировала сигнатуру №37 как принадлежащую китайской группе Iron Tiger (aka APT 27 и LuckyMouse).
Теперь, спустя два года, исследователь Хуан Андрес Герреро-Сааде и Check Point показали, что сигнатура №37 принадлежит новой, ранее неизвестной кибероперации, которую они назвали Nazar. По данным CheckPoint, Nazar принадлежит иранской хакерской группе и была активна, предположительно, с 2008 по 2013 годы.
Самым интересным является тот факт, что ранее этот инструмент не попадал на радары инфосек вендоров, в то время как АНБ он был прекрасно известен. Непонятно, какая именно иранская APT стоит за Nazar, прекратила ли она свое существование или работает дальше.
В любом случае эта история ярко свидетельствует как много темных пятен в хакерских войнах и не все из них становятся ясны даже инфосек сообществу.
Вчера Check Point выпустили интересный отчет, в котором раскрываются новые подробности громкого слива секретной информации АНБ США, организованного таинственной группой Shadow Brockers в 2016-2017 годах, а точнее его последней и самой разрушительной части под названием Lost in Translation.
Напомним, что Shadow Brockers осуществили грандиозную утечку внутренних данных АНБ в 5 частях, связанных с деятельностью и инструментарием засекреченной хакерской группы агентства под названием Equation (мы обязательно посвятим этой группе отдельный пост). Одним из последствий Lost in Translation явился слив эксплойта Eternal Blue, использующего уязвимость в протоколе SMB Windows, что привело в дальнейшем к известной всем атаке WannaCry и ряду других.
В последней части слива Shadow Brockers, в числе прочего, был интересный инструмент под названием TeDi или Territorial Dispute, который применялся Equation при проникновении в целевую систему для поиска в ней следов присутствия других хакерских групп. В некоторых случаях это давало гарантию того, что АНБ не будет вмешиваться в операцию дружественных хакеров, в остальных – то, что инструменты и методы Equation не будут обнаружены противниками.
Кстати, в 2019 году Symantec выяснили, что китайская APT UPS (aka APT3 и Gothic Panda) использовала некоторые из инструментов Equation еще до их слива Shadow Brockers. Тогда исследователи пришли к выводу, что китайцы перехватили некоторые из методик АНБ в ходе атаки, которую на них организовали американцы. Так что меры профилактики, применяемые Equation вполне оправданы.
TeDi содержал 45 сигнатур, каждая из которых соответствовала отдельному инструментарию. В 2018 году CrySys Labs провела большое исследование, в результате которого идентифицировала большую часть сигнатур. В частности в TeDi были найдены инструменты, принадлежащие таким APT как Turla, Uroboros, Dark Hotel и другие.
Тогда CrySys Labs идентифицировала сигнатуру №37 как принадлежащую китайской группе Iron Tiger (aka APT 27 и LuckyMouse).
Теперь, спустя два года, исследователь Хуан Андрес Герреро-Сааде и Check Point показали, что сигнатура №37 принадлежит новой, ранее неизвестной кибероперации, которую они назвали Nazar. По данным CheckPoint, Nazar принадлежит иранской хакерской группе и была активна, предположительно, с 2008 по 2013 годы.
Самым интересным является тот факт, что ранее этот инструмент не попадал на радары инфосек вендоров, в то время как АНБ он был прекрасно известен. Непонятно, какая именно иранская APT стоит за Nazar, прекратила ли она свое существование или работает дальше.
В любом случае эта история ярко свидетельствует как много темных пятен в хакерских войнах и не все из них становятся ясны даже инфосек сообществу.
Check Point Research
Nazar: Spirits of the Past - Check Point Research
In mid-2017, The Shadow Brokers exposed NSA files in a leak known as "Lost In Translation".Recently, researcher uncovered "Nazar", a previously-unknown APT that was mentioned in the leak.We decided to dive into each and every one of the components and share…
А у нас продолжение веселой истории, которую устроила инфосек компания F-Secure.
Как мы уже писали, исследователи опубликовали 30 апреля данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. При этом описание уязвимостей было весьма подробное, а исправляющий их патч вышел только накануне.
Соответственно, злодеи пожелали исследователям долгих лет жизни, написали соответствующий эксплойт и с 2 мая начали атаки на различные серверы под управлением Salt
Первой пострадала мобильная операционная система LineageOS. Затем крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей. Потом последовали Digicert, Xen Orchestra и ряд небольших компаний. В выходные под атаку попала поисковая служба Algolia, работающая с крупными сервисами типа Twich и Stripe.
Изначально атаки совершались оператором бот-сети Kinsing, но затем стали подключаться другие акторы. Тем более, что эксплойт, использующий выявленные F-Secure уязвимости в Salt, был опубликован на GitHub сразу несколькими пользователями.
"Хоронили тещу, порвали два баяна", инфосек-ремикс.
Как мы уже писали, исследователи опубликовали 30 апреля данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. При этом описание уязвимостей было весьма подробное, а исправляющий их патч вышел только накануне.
Соответственно, злодеи пожелали исследователям долгих лет жизни, написали соответствующий эксплойт и с 2 мая начали атаки на различные серверы под управлением Salt
Первой пострадала мобильная операционная система LineageOS. Затем крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей. Потом последовали Digicert, Xen Orchestra и ряд небольших компаний. В выходные под атаку попала поисковая служба Algolia, работающая с крупными сервисами типа Twich и Stripe.
Изначально атаки совершались оператором бот-сети Kinsing, но затем стали подключаться другие акторы. Тем более, что эксплойт, использующий выявленные F-Secure уязвимости в Salt, был опубликован на GitHub сразу несколькими пользователями.
"Хоронили тещу, порвали два баяна", инфосек-ремикс.
ZDNET
Search provider Algolia discloses security incident due to Salt vulnerability
Algolia now joins the ranks of LineageOS, Ghost, Digicert, and Xen Orchestra.
А между тем на днях исполнилось ровно 20 лет с появления ILOVEYOU, одного из первых масштабных вредоносов, который потряс молодой тогда еще Интернет.
Тогда, на смене веков, пользователи сети были наивны и открыты, как нецелованные институтки. И когда им приходило письмо под названием ILoveYou, то они смело открывали приложенный файл LOVE-LETTER-FOR-YOU.txt.vbs. Который, на самом деле, являлся вредоносным скриптом VisualBasic.
Спама еще не придумали. Антивирусы были не в моде, да и, честно говоря, это были те еще поделки.
При открытии вложения червь расселялся по всему жесткому диску, заменяя мультимедиа файлы и документы своими копиями, а также рассылал любовные письма дальше по всему адресному списку Outlook зараженной системы.
4 мая 2000 года ILOVEYOU начал распространяться с Филиппин по всему миру. Поскольку червь был написан на VisualBasic, то тут же нашлась куча желающих его модифицировать, изменив вредоносную нагрузку, в результате чего всего появилось 26 штаммов вируса.
По разным оценкам в течение нескольких дней было заражено от 45 до 50 млн. хостов. Некоторые источники говорят, что заражение затронуло 10% компьютеров, подключенных к сети, но мы думаем, что процентное соотношение было больше. На устранение последствий заражения было потрачено около 15 млрд. долларов.
Несколько дней спустя по подозрению в создании и распространении ILOVEYOU были арестованы двое филиппинских программистов - Онел де Гусман и Реонел Рамонес. Но уголовных статей, рассматривающих компьютерные преступления, в тот период на Филиппинах не было и Рамонес и де Гусман были освобождены.
А мир Интернет изменился.
Тогда, на смене веков, пользователи сети были наивны и открыты, как нецелованные институтки. И когда им приходило письмо под названием ILoveYou, то они смело открывали приложенный файл LOVE-LETTER-FOR-YOU.txt.vbs. Который, на самом деле, являлся вредоносным скриптом VisualBasic.
Спама еще не придумали. Антивирусы были не в моде, да и, честно говоря, это были те еще поделки.
При открытии вложения червь расселялся по всему жесткому диску, заменяя мультимедиа файлы и документы своими копиями, а также рассылал любовные письма дальше по всему адресному списку Outlook зараженной системы.
4 мая 2000 года ILOVEYOU начал распространяться с Филиппин по всему миру. Поскольку червь был написан на VisualBasic, то тут же нашлась куча желающих его модифицировать, изменив вредоносную нагрузку, в результате чего всего появилось 26 штаммов вируса.
По разным оценкам в течение нескольких дней было заражено от 45 до 50 млн. хостов. Некоторые источники говорят, что заражение затронуло 10% компьютеров, подключенных к сети, но мы думаем, что процентное соотношение было больше. На устранение последствий заражения было потрачено около 15 млрд. долларов.
Несколько дней спустя по подозрению в создании и распространении ILOVEYOU были арестованы двое филиппинских программистов - Онел де Гусман и Реонел Рамонес. Но уголовных статей, рассматривающих компьютерные преступления, в тот период на Филиппинах не было и Рамонес и де Гусман были освобождены.
А мир Интернет изменился.
Как пишет Bleeping Computer, вчера хакерская группа Shiny Hunters сообщила редакции, что взломала учетную запись Microsoft на GitHub и получила полный доступ к приватному репозиторию софтверной компании.
Shiny Hunter скачали 500Gb закрытых проектов, которые изначально хотели продать, но теперь решили разместить в сети для свободного скачивания. Сам взлом, судя по всему, произошел 28 марта.
В качестве тизера хакеры выложили на закрытом форуме 1Gb украденных данных, но не все пользователи форума посчитали размещенную информацию реальной.
Сотрудники Microsoft также говорят, что утечка является фальшивой, однако официально компания комментариев не дает.
Посмотрим, кто же окажется прав.
Shiny Hunter скачали 500Gb закрытых проектов, которые изначально хотели продать, но теперь решили разместить в сети для свободного скачивания. Сам взлом, судя по всему, произошел 28 марта.
В качестве тизера хакеры выложили на закрытом форуме 1Gb украденных данных, но не все пользователи форума посчитали размещенную информацию реальной.
Сотрудники Microsoft также говорят, что утечка является фальшивой, однако официально компания комментариев не дает.
Посмотрим, кто же окажется прав.
BleepingComputer
Microsoft's GitHub account hacked, private repositories stolen
A hacker has claimed to have hacked into Microsoft's GitHub account and downloaded over 500GB of 'Private' repositories, BleepingComputer has learned.
Samsung на этой неделе выпустили апдейт, устраняющий уязвимость, затрагивающую все смартфоны компании, произведенные с 2014 года, и заключающуюся в способе обработки графической Android-библиотекой Skia изображений формата Qmage.
Используя другую ошибку в приложении Samsung Messages, которое отвечает за обработку SMS и MMS-сообщений, команда Google Project Zero смогла обойти рандомизацию адресного пространства (ASLR) и получить сведения о расположении графической библиотеки Skia в памяти устройства. Для этого требуется от 50 до 300 MMS-сообщений.
Далее исследователи направили на атакуемое устройство MMS-сообщение со специально сформированным изображением Qmage, что привело к удаленному исполнению кода.
Обращает на себя внимание тот факт, что все это проводится в режиме 0-click, то есть не требует каких-либо действий от владельца смартфона.
Уязвимость была выявлена в феврале, но информация о ней сообщена только сейчас, после выпуска соответствующего обновления.
И хотя мы, как всегда, рекомендуем провести апдейт своих смартфонов Samsung, сама актуальность подобной атаки кажется нам весьма надуманной. Поскольку при попытке отправить на один номер несколько сотен MMS в короткий промежуток времени, пусть даже от разных источников, у оператора сотовой связи неизбежно сработают антифродовые системы. После чего незадачлевый хакер поедет на рынок за новой партией sim-карт.
Используя другую ошибку в приложении Samsung Messages, которое отвечает за обработку SMS и MMS-сообщений, команда Google Project Zero смогла обойти рандомизацию адресного пространства (ASLR) и получить сведения о расположении графической библиотеки Skia в памяти устройства. Для этого требуется от 50 до 300 MMS-сообщений.
Далее исследователи направили на атакуемое устройство MMS-сообщение со специально сформированным изображением Qmage, что привело к удаленному исполнению кода.
Обращает на себя внимание тот факт, что все это проводится в режиме 0-click, то есть не требует каких-либо действий от владельца смартфона.
Уязвимость была выявлена в феврале, но информация о ней сообщена только сейчас, после выпуска соответствующего обновления.
И хотя мы, как всегда, рекомендуем провести апдейт своих смартфонов Samsung, сама актуальность подобной атаки кажется нам весьма надуманной. Поскольку при попытке отправить на один номер несколько сотен MMS в короткий промежуток времени, пусть даже от разных источников, у оператора сотовой связи неизбежно сработают антифродовые системы. После чего незадачлевый хакер поедет на рынок за новой партией sim-карт.
ZDNET
Samsung patches 0-click vulnerability impacting all smartphones sold since 2014
Samsung patched this month a critical bug discovered by Google security researchers.
Вчера американская инфосек компания Risk Based Security сообщила журналистам, что в апреле выявила масштабную утечку данных более чем 3,6 млн пользователей мобильного приложения для знакомств MobiFriends.
Утекшие данные не содержат изображений или переписки, но включают в себя адреса электронной почты, номера мобильных телефонов, даты рождения и другие сведения, указанные при регистрации.
Кроме того, в утечке есть MD5-хеши паролей, которые , в силу слабости MD5, практически и есть пароли.
По данным хакеров, продающих украденные сведения на закрытом форуме, взлом MobiFriends был осуществлен в январе 2019 года.
Кстати говоря, то, что в выложенных хакерами данных нет переписки и личных фото, вовсе не означает, что они не были украдены в ходе взлома.
Утекшие данные не содержат изображений или переписки, но включают в себя адреса электронной почты, номера мобильных телефонов, даты рождения и другие сведения, указанные при регистрации.
Кроме того, в утечке есть MD5-хеши паролей, которые , в силу слабости MD5, практически и есть пароли.
По данным хакеров, продающих украденные сведения на закрытом форуме, взлом MobiFriends был осуществлен в январе 2019 года.
Кстати говоря, то, что в выложенных хакерами данных нет переписки и личных фото, вовсе не означает, что они не были украдены в ходе взлома.
ZDNet
Dating app MobiFriends silent on security breach impacting 3.6 million users
The personal details of 3.68 million MobiFriends users have been posted online in April 2020.
Мы хотели, если честно, дать эту тему отдельным большим постом, но информация уже разошлась по большинству новостных инфосек ресурсов, поэтому напишем кратко, без лишнего погружения в подробности.
Вчера Check Point выпустила отчет, в котором сообщила о недавнем раскрытии длительной и крупной кибероперации, связанной с использованием нового бэкдора Aria-body и направленной на государственные органы стран Азиатско-Тихоокеанского региона, включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Компания идет как минимум с 2018 года, а скорее всего - с 2017.
В число целей кибератаки входят национальные министерства иностранных дел, министерства науки и техники, а также госкомпании. Стоящий за Aria-body актор активно использует уже скомпрометированные государственные ресурсы для дальнейшего продвижения к другим целям. Например, посольство одной из стран стало источником распространения зараженных вредоносом документов.
Основываясь на анализе функционала Aria-body, Check Point делает вывод, что главная цель кибероперации - сбор разведданных. Это включает в себя не только охоту за интересующими хакеров документами, но и извлечение данных со съемных носителей, запись скриншотов и кейлоггинг.
Интересная деталь - один из найденных исследователями управляющих центров был размещен хакерами на взломанном ресурсе Министерства науки и техники Филиппин.
Анализ кода Aria-body выявил достаточное сходство с кодом бэкдора XsFunction, что, вместе с частичным пересечением инфраструктуры управляющих центров, позволило говорить о причастности к новой кибероперации китайской APT Naikon aka APT 30 и Override Panda.
Об APT Naikon не было новостей с 2015 года. Ранее группа активно работала против стран, прилежащих к Южно-Китайскому морю. Считается, что за Naikon стоит Подразделение 78020, входящее в состав НОАК (Народно-освободительная армия Китая), и располагающееся в городе Куньмин провинции Юньнань.
#APT #APT30 #Naikon #OverridePanda
Вчера Check Point выпустила отчет, в котором сообщила о недавнем раскрытии длительной и крупной кибероперации, связанной с использованием нового бэкдора Aria-body и направленной на государственные органы стран Азиатско-Тихоокеанского региона, включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Компания идет как минимум с 2018 года, а скорее всего - с 2017.
В число целей кибератаки входят национальные министерства иностранных дел, министерства науки и техники, а также госкомпании. Стоящий за Aria-body актор активно использует уже скомпрометированные государственные ресурсы для дальнейшего продвижения к другим целям. Например, посольство одной из стран стало источником распространения зараженных вредоносом документов.
Основываясь на анализе функционала Aria-body, Check Point делает вывод, что главная цель кибероперации - сбор разведданных. Это включает в себя не только охоту за интересующими хакеров документами, но и извлечение данных со съемных носителей, запись скриншотов и кейлоггинг.
Интересная деталь - один из найденных исследователями управляющих центров был размещен хакерами на взломанном ресурсе Министерства науки и техники Филиппин.
Анализ кода Aria-body выявил достаточное сходство с кодом бэкдора XsFunction, что, вместе с частичным пересечением инфраструктуры управляющих центров, позволило говорить о причастности к новой кибероперации китайской APT Naikon aka APT 30 и Override Panda.
Об APT Naikon не было новостей с 2015 года. Ранее группа активно работала против стран, прилежащих к Южно-Китайскому морю. Считается, что за Naikon стоит Подразделение 78020, входящее в состав НОАК (Народно-освободительная армия Китая), и располагающееся в городе Куньмин провинции Юньнань.
#APT #APT30 #Naikon #OverridePanda
Check Point Research
Naikon APT: Cyber Espionage Reloaded - Check Point Research
Introduction Recently Check Point Research discovered new evidence of an ongoing cyber espionage operation against several national government entities in the Asia Pacific (APAC) region. This operation, which we were able to attribute to the Naikon APT…