После обзора на APT Lazarus, который был размещен на нашем канале на прошлой неделе, мы подумали и решили в очередной раз поменять формат подачи подобных материалов.
Дело в том, что попытки сделать более-менее полный обзор деятельности той или иной хакерской группы слишком раздувает объем публикуемого материала (Lazarus еле-еле влез в 6 постов, с учетом того, что последний пост мы беспощадно резали, оставляя только тезисы). Да и содержание становится неровным - обзоры интересных атак перемежаются с дежурной информацией, от которой хочется зевать.
Мы неустанно стремимся улучшить представляемые на канале материалы и количество трансформаций, которые нам предстоит претерпеть на этом тернистом пути, нас нисколько не пугает.
В связи с этим, мы посовещались и решили в будущем все-таки ограничиваться масштабом одного (в исключительных случаях - двух) постов, в которых будем рассказывать про наиболее интересные и масштабные атаки, которые совершались прогосударственными и коммерческими хакерами. Перейдем, так сказать, от рассказа про действующее лицо к описанию его конкретных деяний. Кратко рассказывая, тем не менее, про ответственных за эти атаки акторов.
И первые материалы дадим уже на этой неделе.
Дело в том, что попытки сделать более-менее полный обзор деятельности той или иной хакерской группы слишком раздувает объем публикуемого материала (Lazarus еле-еле влез в 6 постов, с учетом того, что последний пост мы беспощадно резали, оставляя только тезисы). Да и содержание становится неровным - обзоры интересных атак перемежаются с дежурной информацией, от которой хочется зевать.
Мы неустанно стремимся улучшить представляемые на канале материалы и количество трансформаций, которые нам предстоит претерпеть на этом тернистом пути, нас нисколько не пугает.
В связи с этим, мы посовещались и решили в будущем все-таки ограничиваться масштабом одного (в исключительных случаях - двух) постов, в которых будем рассказывать про наиболее интересные и масштабные атаки, которые совершались прогосударственными и коммерческими хакерами. Перейдем, так сказать, от рассказа про действующее лицо к описанию его конкретных деяний. Кратко рассказывая, тем не менее, про ответственных за эти атаки акторов.
И первые материалы дадим уже на этой неделе.
Telegram
SecAtor
I resurrect myself
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими…
Lazarus he was a man who died
Through the power of faith he came to rise
Open up your eyes and spy Lazarus
Better yet open up your heart y'all imagine this
Прошло достаточно много времени с момента нашего последнего обзора по APT. Следующими…
June 23, 2020
Спонсируемая Евросоюзом некоммерческая организация Shadowserver Foundation провела глобальное исследование , в котором ресерчеры искали по всему Интернету незакрытые IPP-порты сетевых принтеров.
IPP (Internet Printing Protocol) - это построенный на базе HTTP протокол для печати документов по сети. Поддерживает управление доступом, аутентификацию и SSL-шифрование. Несмотря на это, многие владельцы сетевых принтеров пренебрегают этими возможностями и оставляют подключенные к Интернет устройства открытыми для доступа из вне.
Shadowserver Foundation просканировали 4 миллиарда маршрутизируемых IP-адресов и обнаружили около 80 тыс. открытых принтеров, что составляет около 1/8 от их общего количества.
Как злоумышленник может воспользоваться открытым IPP-портом? Для начала, многие модели принтеров при запросе возвращают достаточный объем информации - имя принтера, его местоположение, модель, версия прошивки, название организации и даже иногда данные о WiFi-окружении. А уже потом хакер вполне может и взломать принтер, чтобы использовать его как точку проникновения во внутреннюю сеть.
Кстати, в 2019 году Microsoft обвиняла APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ, в атаках на различные IoT-устройства, в том числе на сетевые принтеры, в целях компрометации корпоративных сетей.
Лидером по количеству открытых принтеров является Южная Корея - более 37 тысяч выявленных устройств. Но и в России нашлось почти 800 незащищенных IPP-портов. Быстро признавайтесь, кто не закрыл свой сетевой принтер?
IPP (Internet Printing Protocol) - это построенный на базе HTTP протокол для печати документов по сети. Поддерживает управление доступом, аутентификацию и SSL-шифрование. Несмотря на это, многие владельцы сетевых принтеров пренебрегают этими возможностями и оставляют подключенные к Интернет устройства открытыми для доступа из вне.
Shadowserver Foundation просканировали 4 миллиарда маршрутизируемых IP-адресов и обнаружили около 80 тыс. открытых принтеров, что составляет около 1/8 от их общего количества.
Как злоумышленник может воспользоваться открытым IPP-портом? Для начала, многие модели принтеров при запросе возвращают достаточный объем информации - имя принтера, его местоположение, модель, версия прошивки, название организации и даже иногда данные о WiFi-окружении. А уже потом хакер вполне может и взломать принтер, чтобы использовать его как точку проникновения во внутреннюю сеть.
Кстати, в 2019 году Microsoft обвиняла APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ, в атаках на различные IoT-устройства, в том числе на сетевые принтеры, в целях компрометации корпоративных сетей.
Лидером по количеству открытых принтеров является Южная Корея - более 37 тысяч выявленных устройств. Но и в России нашлось почти 800 незащищенных IPP-портов. Быстро признавайтесь, кто не закрыл свой сетевой принтер?
June 23, 2020
А помните мы писали про то, как хакеры северокорейской APT Lazarus потеряли (точнее не смогли украсть) почти 900 млн. долларов из-за одной опечатки - "fandation" вместо "foundation". И тогда же мы сказали, что это была далеко не первая их опечатка.
Ну так ребята из Пхеньяна продолжают задорно наступать на те же грабли.
Вчера ресерчеры из южнокорейской IssueMakersLab обнаружили фишинговую атаку за авторством хакерской группы Kimsuky, работающей на 5-й Департамент РГБ КНДР aka Bureau 35. Атака была ориентирована на пользователей сети, говорящих на китайском языке.
А сегодня группа исследователей Blackorbird, про которую мы писали ранее и которая, судя по всему, является китайской, указала на то, что корейцы перепутали один из иероглифов в китайском написании слова "пароль" - 密"吗" вместо 密"码".
Как говорится, в слове "хрен" сделал четыре ошибки.
Ну так ребята из Пхеньяна продолжают задорно наступать на те же грабли.
Вчера ресерчеры из южнокорейской IssueMakersLab обнаружили фишинговую атаку за авторством хакерской группы Kimsuky, работающей на 5-й Департамент РГБ КНДР aka Bureau 35. Атака была ориентирована на пользователей сети, говорящих на китайском языке.
А сегодня группа исследователей Blackorbird, про которую мы писали ранее и которая, судя по всему, является китайской, указала на то, что корейцы перепутали один из иероглифов в китайском написании слова "пароль" - 密"吗" вместо 密"码".
Как говорится, в слове "хрен" сделал четыре ошибки.
June 23, 2020
Путин только что объявил о снижении налога на прибыль высокотехнологичных компаний с 20 до 3%!
Это, без лишних слов, очень круто.
Мы вчера предлагали выцыганить у мировых технологических гигантов строительство исследовательских центров в России с использованием передовых британских практик по их принуждению под предлогом возможного запрета на использование продукции на территории страны. Мы, конечно, шутили.
Но власти, как оказалось, придумали более гуманный способ. Такая адекватность радует. Главное, чтобы не забыли инфосек компании включить в список. Глядишь, и Group-IB из сингапурской обратно в российскую переименуется.
P.S. Как высокотехнологичные пролетарии, увеличение НДФЛ с 13 до 15 процентов для топ-менеджеров, зарабатывающих более 5 млн. рублей в год, также горячо поддерживаем. Так их, буржуинов.
Это, без лишних слов, очень круто.
Мы вчера предлагали выцыганить у мировых технологических гигантов строительство исследовательских центров в России с использованием передовых британских практик по их принуждению под предлогом возможного запрета на использование продукции на территории страны. Мы, конечно, шутили.
Но власти, как оказалось, придумали более гуманный способ. Такая адекватность радует. Главное, чтобы не забыли инфосек компании включить в список. Глядишь, и Group-IB из сингапурской обратно в российскую переименуется.
P.S. Как высокотехнологичные пролетарии, увеличение НДФЛ с 13 до 15 процентов для топ-менеджеров, зарабатывающих более 5 млн. рублей в год, также горячо поддерживаем. Так их, буржуинов.
Telegram
SecAtor
Становится понятным сколько стоило компании Huawei разрешение британских властей продолжать, пусть и ограниченно, свое участие в строительстве 5G сетей в Великобритании.
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим…
Напомним, что после долгих душевных терзаний между необходимостью стоить 5G и союзническим…
June 23, 2020
Как мы рассказывали 10 дней назад, по данным издания Motherboard, Facebook заплатила шестизначную сумму в долларах некой фирме, занимающейся вопросами кибербезопасности, за разработку эксплойта для взлома пользователя сети под псевдонимом Брайан Кил, который в течение нескольких лет преследовал в сети молодых девушек, вымогал деньги за обнаженные фотографии и угрожал убийством и изнасилованием.
ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Сегодня Motherboard сообщили подробности этого кейса и все стало еще интереснее.
Оказывается, взлом Tails, а точнее встроенного в ОС видеопроигрывателя GNOME Videos, произошел еще в 2017 году. Но до сих пор разработчики не знают, какая 0-day уязвимость была использована нанятой Facebook компанией для взлома. Более того, о существовании некой дыры, которая позволила взломать пользователя, они узнали из статьи Motherboard.
Facebook в настоящее время заявляет, что сообщать какие-либо подробности об уязвимости нет смысла, поскольку разработчики Tails и GNOME "случайно" исправили ее во время одного из обновлений.
ФБР на вопрос журналистов об использовании переданного ему Facebook эксплойта в других расследованиях отказалось от комментариев.
Само собой, что часть инфосек сообщества склоняется к версии, что на самом деле выявленная по заказу Facebook 0-day уязвимость в Tails и GNOME не устранена, а ее эксплойт работоспособен и используется ФБР и по сей день.
Цукерберг пробивает очередное дно.
И эти люди запрещают ковыряться мне в носу (с)
ФБР долгое время не удавалось найти Кила, тогда Facebook заплатила за 0-day эксплойт для приватной ОС Tails, чтобы получить его IP-адрес. Это, в конечном счете, привело к задержанию преступника, которым оказался некто Бастер Эрнандес из Калифорнии.
Сегодня Motherboard сообщили подробности этого кейса и все стало еще интереснее.
Оказывается, взлом Tails, а точнее встроенного в ОС видеопроигрывателя GNOME Videos, произошел еще в 2017 году. Но до сих пор разработчики не знают, какая 0-day уязвимость была использована нанятой Facebook компанией для взлома. Более того, о существовании некой дыры, которая позволила взломать пользователя, они узнали из статьи Motherboard.
Facebook в настоящее время заявляет, что сообщать какие-либо подробности об уязвимости нет смысла, поскольку разработчики Tails и GNOME "случайно" исправили ее во время одного из обновлений.
ФБР на вопрос журналистов об использовании переданного ему Facebook эксплойта в других расследованиях отказалось от комментариев.
Само собой, что часть инфосек сообщества склоняется к версии, что на самом деле выявленная по заказу Facebook 0-day уязвимость в Tails и GNOME не устранена, а ее эксплойт работоспособен и используется ФБР и по сей день.
Цукерберг пробивает очередное дно.
И эти люди запрещают ковыряться мне в носу (с)
Vice
Privacy-Focused OS Wants to Know How Facebook and the FBI Hacked it
The developers of Tails and a video player targeted by Facebook and the FBI in an operation to catch a child predator are still in the dark about how the feds hacked the software.
June 23, 2020
На фоне того, что Telegram начал передавать информацию российским правоохранительным органам, а базы данных его пользователей утекают в сеть (о наличии которых в привате, кстати, мы говорили давно), приходят очередные неутешительные новости.
Сенаторы США Линдси Грэм, Том Коттон и Марша Блэкберн внесли законопроект, который обязывает всех производителей устройств и сервис-провайдеров обеспечить доступ правоохранительным органам к
зашифрованным данным пользователей, а также "создать призовой конкурс для разработчиков законных решений по организации доступа к криптосреде".
Естественно, для доступа к шифрованным данным требуется ордер американского суда, но будем честными - когда какую-либо спецслужбу отсутствие такого ордера останавливало, при условии, что имелась техническая возможность по доступу к ним.
Опять же, все мы помни принятый после 9/11 USA PATRIOT Act, который действовал в течение 14 лет и который разрешал американским спецслужбам, в частности, прослушивать телефонные переговоры по всему миру без каких-либо судебных решений. Гарантий, что после организации технического доступа к шифрованному трафику не примут какой-нибудь National Defense Act, который позволит вытаскивать данные без судебного ордера, никто, естественно, не дает.
Очевидно, почему это беспокоит нас - большинство мировых Интернет-сервисов работают в американской юрисдикции. А те, кто не работают, будут быстро принуждены к исполнению положений нового закона путем угрозы блокировки работы на американском рынке и американских биржах, а также замораживания счетов в американских банках. И вот уже Big Brother зрит за всеми нами.
И еще одно, неожиданное, последствие из возможного принятия нового американского закона. Как известно, американские спецслужбы с радостью передают своим партнерам данные различных Интернет-сервисов, особенно молодым неокрепшим демократическим режимам. А в правоохранительных органах этих юных демократий (не будем показывать пальцем), в свою очередь, работают не совсем финансово обеспеченные люди. Которые не откажутся от того, чтобы заработать пару-тройку тысяч долларов за предоставление лицам из криминальной среды (в том числе из сети) данных, которые можно будет запросить у американцев.
Радует одно - обязать на законодательном уровне встраивать бэкдоры в ПО американцы пока не додумались. Но лиха беда начало, думаем, что скоро увидим и такие инициативы.
Сенаторы США Линдси Грэм, Том Коттон и Марша Блэкберн внесли законопроект, который обязывает всех производителей устройств и сервис-провайдеров обеспечить доступ правоохранительным органам к
зашифрованным данным пользователей, а также "создать призовой конкурс для разработчиков законных решений по организации доступа к криптосреде".
Естественно, для доступа к шифрованным данным требуется ордер американского суда, но будем честными - когда какую-либо спецслужбу отсутствие такого ордера останавливало, при условии, что имелась техническая возможность по доступу к ним.
Опять же, все мы помни принятый после 9/11 USA PATRIOT Act, который действовал в течение 14 лет и который разрешал американским спецслужбам, в частности, прослушивать телефонные переговоры по всему миру без каких-либо судебных решений. Гарантий, что после организации технического доступа к шифрованному трафику не примут какой-нибудь National Defense Act, который позволит вытаскивать данные без судебного ордера, никто, естественно, не дает.
Очевидно, почему это беспокоит нас - большинство мировых Интернет-сервисов работают в американской юрисдикции. А те, кто не работают, будут быстро принуждены к исполнению положений нового закона путем угрозы блокировки работы на американском рынке и американских биржах, а также замораживания счетов в американских банках. И вот уже Big Brother зрит за всеми нами.
И еще одно, неожиданное, последствие из возможного принятия нового американского закона. Как известно, американские спецслужбы с радостью передают своим партнерам данные различных Интернет-сервисов, особенно молодым неокрепшим демократическим режимам. А в правоохранительных органах этих юных демократий (не будем показывать пальцем), в свою очередь, работают не совсем финансово обеспеченные люди. Которые не откажутся от того, чтобы заработать пару-тройку тысяч долларов за предоставление лицам из криминальной среды (в том числе из сети) данных, которые можно будет запросить у американцев.
Радует одно - обязать на законодательном уровне встраивать бэкдоры в ПО американцы пока не додумались. Но лиха беда начало, думаем, что скоро увидим и такие инициативы.
www.judiciary.senate.gov
Graham, Cotton, Blackburn Introduce Balanced Solution to Bolster National Security, End Use of Warrant-Proof Encryption that Shields…
WASHINGTON – Senate Judiciary Committee Chairman Lindsey Graham (R-South Carolina) and U.S. Senators...
June 24, 2020
Twitter продолжает жечь.
Вчера CRO финской компании F-Secure, достаточно известного игрока на инфосек рынке, Микко Хиппонен сообщил, что Twitter пометил его аккаунт как "политический контент", что накладывает определенные ограничения. Обжалование не помогло, техподдержка подтвердила свое решение, заявив, что Хиппонен нарушил некие требования политики по политическому контенту.
При этом многочисленные аккаунты пользователей (преимущественно женщин из американского инфосек) с BLM в каждом втором твите и сжатым черным кулаком на аватаре Twitter политическими не считает. Мы уж молчим про критику Трампа как кандидата на предстоящих в США выборах.
Видимо, Хиппонен слишком много писал про хакеров и malware, а надо было все больше про diversity.
Вчера CRO финской компании F-Secure, достаточно известного игрока на инфосек рынке, Микко Хиппонен сообщил, что Twitter пометил его аккаунт как "политический контент", что накладывает определенные ограничения. Обжалование не помогло, техподдержка подтвердила свое решение, заявив, что Хиппонен нарушил некие требования политики по политическому контенту.
При этом многочисленные аккаунты пользователей (преимущественно женщин из американского инфосек) с BLM в каждом втором твите и сжатым черным кулаком на аватаре Twitter политическими не считает. Мы уж молчим про критику Трампа как кандидата на предстоящих в США выборах.
Видимо, Хиппонен слишком много писал про хакеров и malware, а надо было все больше про diversity.
Twitter
@mikko
Bad news. Three weeks ago, Twitter categorized my account as 'Political Content' and restricted it accordingly. I appealed the decision and got today a confirmation that I violate their policy. They don't tell me how and where I violate it though. PS. My…
June 25, 2020
Вчера Nvidia выпустила июньский апдейт безопасности своих продуктов, в котором исправила ряд серьезных уязвимостей в драйверах и Virtual GPU Manager.
Некоторые из ошибок имеют высокую степень критичности и могут привести к отказу в обслуживании, повышению привилегий, выполнению кода, а также к раскрытию информации.
Утешает то, что эти уязвимости должны эксплуатироваться локальным пользователем, то есть либо злоумышленник должен иметь физический доступ к атакуемой машине, либо заранее ее скомпрометировать.
В любом случае, как всегда - все срочно обновляемся.
Некоторые из ошибок имеют высокую степень критичности и могут привести к отказу в обслуживании, повышению привилегий, выполнению кода, а также к раскрытию информации.
Утешает то, что эти уязвимости должны эксплуатироваться локальным пользователем, то есть либо злоумышленник должен иметь физический доступ к атакуемой машине, либо заранее ее скомпрометировать.
В любом случае, как всегда - все срочно обновляемся.
June 25, 2020
Исследователи инфосек компании Cyble, которые отслеживают деятельность операторов ransomware, сообщают, что оператор вымогателя Maze разместил на своем ресурсе подтверждение взлома сети компании LG Electronics.
LG является одним из мировых лидеров среди производителей электроники, имеющим оборот почти в 50 млрд. долларов.
Maze предоставили три скриншота, судя по которым украдены данные прошивок устройств LG, а также исходные коды программного обеспечения компании.
Будем смотреть за развитием событий. Если другой информации из LG не появится, значит корейцы заплатили оператору Maze выкуп, который может составить несколько десятков миллионов долларов.
LG является одним из мировых лидеров среди производителей электроники, имеющим оборот почти в 50 млрд. долларов.
Maze предоставили три скриншота, судя по которым украдены данные прошивок устройств LG, а также исходные коды программного обеспечения компании.
Будем смотреть за развитием событий. Если другой информации из LG не появится, значит корейцы заплатили оператору Maze выкуп, который может составить несколько десятков миллионов долларов.
June 25, 2020
TAdviser рассказывает, что Mercedes-Benz и Nvidia подписали соглашение о сотрудничестве в области разработки автопилота для автомобилей немецкого производителя.
Одной из возможностей нового ПО будет "приобретение и добавление возможностей, программных приложений и сервисов по подписке через беспроводные соединения в течение всей жизни автомобиля". И это настораживает.
Поскольку только сегодня мы писали о выявленных и закрытых Nvidia уязвимостях в программных продуктах компании.
Мы настаиваем на том, что критические системы, такие автопилот автомобиля, должны быть физически изолированы от сети, а все обновления должны проходить исключительно в авторизованном сервисе с соблюдением соответствующих мер информационной безопасности.
Потому что желание подгрузить в автопилот пробки, цены на заправках или рейтинги близлежащих заведений, неизбежно приведут к тому, что в один прекрасный день хакеры получат доступ к системе управления автомобилем. И будет уже не смешно.
Одной из возможностей нового ПО будет "приобретение и добавление возможностей, программных приложений и сервисов по подписке через беспроводные соединения в течение всей жизни автомобиля". И это настораживает.
Поскольку только сегодня мы писали о выявленных и закрытых Nvidia уязвимостях в программных продуктах компании.
Мы настаиваем на том, что критические системы, такие автопилот автомобиля, должны быть физически изолированы от сети, а все обновления должны проходить исключительно в авторизованном сервисе с соблюдением соответствующих мер информационной безопасности.
Потому что желание подгрузить в автопилот пробки, цены на заправках или рейтинги близлежащих заведений, неизбежно приведут к тому, что в один прекрасный день хакеры получат доступ к системе управления автомобилем. И будет уже не смешно.
TAdviser.ru
Автомобили Mercedes-Benz получат автопилот Nvidia
Mercedes-Benz (Nvidia Drive AI-платформа для самоуправляемых автомобилей)
June 25, 2020
Представьте себе – приехали вы в командировку, заселились в прекрасный дорогой пятизвездочный отель, продуктивно поработали и вечером вернулись в свой номер. Что, казалось бы, может вам угрожать? Вы же приличный человек, клофелинщиц к себе не водите, стулья из окон в пьяном дебоше не выкидываете. Подключились к Интернету, позвонили по Скайпу второй половине, посмотрели сериал и на бочок. Стоп, вы уже под внимательным присмотром хитрых ребят из DarkHotel, фанатеющих от K-Pop.
APT DarkHotel aka APT-C-06, Fallout Team, Shadow Crane и др. – это весьма скиллованная хакерская группа, активная с 2007 года (хотя некоторые исследователи склоняются к 2004). Впервые была упомянута Лабораторией Касперского в 2014 году. Считается, что группа работает на спецслужбы Южной Кореи. Несмотря на высокую квалификацию DarkHotel, данных по ее активности намного меньше, чем, например, соседей из северокорейской Lazarus. Возможно, по причине соблюдения серьезной конспирации при проведении своих киберкампаний.
Кстати говоря, нет ничего удивительного, что именно Касперские зачастую первыми выявляют и описывают APT, которые работают на спецслужбы США и их союзников. И дело даже не в том, что западные инфосек компании обязаны принимать определенные правила игры, навязываемые со стороны государственных органов (хотя доля этого, безусловно, присутствует). Причина проста – эти инфосек вендоры, как правило, не защищают объекты, на которые нападают такие хакерские группы, а следовательно им неоткуда взять первичку для дальнейшего расследования. Поэтому первыми "условно западные" APT, как правило, открывают либо российские, либо китайские исследователи (хотя DarkHotel скорее должны были зацепить ресерчеры из TrendMicro, поскольку Япония представляет для хакеров особый интерес, но не срослось).
В период с 2007 DarkHotel проводила несколько масштабных киберкампаний. В их число входили и целевой фишинг, и массовое распространение malware через торренты. Само собой, хакеры применяли ряд 0-day уязвимостей, например, в Adobe Flash. Использовались многочисленные вредоносные инструменты (в частности, продвинутый кейлогер, функционирующий на уровне ядра операционной системы). Присутствовали среди них и предназначенные для разведки физически изолированных сетей, что является признаком работы спецслужб.
Но мы рассмотрим кибероперацию, которая, собственно, и дала группе название DarkHotel. И это очень красивая операция, которая являла собой фактически атаку на водопой, только в масштабе Эйфелевой башни (если обычные атаки на водопой сравнивать с собачей будкой).
На первом этапе DarkHotel компрометировали внутренние сети наиболее дорогих гостиниц в различных странах. Таким образом они, во-первых, получали данные о постояльцах, периоде их пребывания и номерах заселения. А во-вторых, оставляли в сети гостиницы бэкдоры и вредоносы – к примеру, ломали гостиничные web-браузеры и порталы регистрации.
На этой стадии, после получения сведений о въезжающих гостях, DarkHotel, видимо, определяли представляет ли интерес тот или иной постоялец. Потому что дальнейшая их работа была весьма избирательной.
При подключении к Wi-Fi отеля новый интересный постоялец получал уведомление о необходимости сделать апдейт какого-либо ПО, например, Adobe Flash. И этот ход очень правильно рассчитан с точки зрения психологии въезжающего в отель человека, который не знает точно как функционирует портал регистрации пользователя в сети гостиницы и допускает, что ему не хватает какого либо обновления для корректной работы. А вместе с инсталлятором легальных программ объекты разведки получали бэкдор от DarkHotel.
В дальнейшем хакеры осуществляли полный сбор информации о скомпрометированной системе, устанавливали кейлогер, проводили разведку имеющихся конфиденциальных документов. Среди других компонентов присутствовал и модуль, обеспечивающий самоуничтожение и зачистку всех данных о присутствии DarkHotel на зараженном устройстве.
APT DarkHotel aka APT-C-06, Fallout Team, Shadow Crane и др. – это весьма скиллованная хакерская группа, активная с 2007 года (хотя некоторые исследователи склоняются к 2004). Впервые была упомянута Лабораторией Касперского в 2014 году. Считается, что группа работает на спецслужбы Южной Кореи. Несмотря на высокую квалификацию DarkHotel, данных по ее активности намного меньше, чем, например, соседей из северокорейской Lazarus. Возможно, по причине соблюдения серьезной конспирации при проведении своих киберкампаний.
Кстати говоря, нет ничего удивительного, что именно Касперские зачастую первыми выявляют и описывают APT, которые работают на спецслужбы США и их союзников. И дело даже не в том, что западные инфосек компании обязаны принимать определенные правила игры, навязываемые со стороны государственных органов (хотя доля этого, безусловно, присутствует). Причина проста – эти инфосек вендоры, как правило, не защищают объекты, на которые нападают такие хакерские группы, а следовательно им неоткуда взять первичку для дальнейшего расследования. Поэтому первыми "условно западные" APT, как правило, открывают либо российские, либо китайские исследователи (хотя DarkHotel скорее должны были зацепить ресерчеры из TrendMicro, поскольку Япония представляет для хакеров особый интерес, но не срослось).
В период с 2007 DarkHotel проводила несколько масштабных киберкампаний. В их число входили и целевой фишинг, и массовое распространение malware через торренты. Само собой, хакеры применяли ряд 0-day уязвимостей, например, в Adobe Flash. Использовались многочисленные вредоносные инструменты (в частности, продвинутый кейлогер, функционирующий на уровне ядра операционной системы). Присутствовали среди них и предназначенные для разведки физически изолированных сетей, что является признаком работы спецслужб.
Но мы рассмотрим кибероперацию, которая, собственно, и дала группе название DarkHotel. И это очень красивая операция, которая являла собой фактически атаку на водопой, только в масштабе Эйфелевой башни (если обычные атаки на водопой сравнивать с собачей будкой).
На первом этапе DarkHotel компрометировали внутренние сети наиболее дорогих гостиниц в различных странах. Таким образом они, во-первых, получали данные о постояльцах, периоде их пребывания и номерах заселения. А во-вторых, оставляли в сети гостиницы бэкдоры и вредоносы – к примеру, ломали гостиничные web-браузеры и порталы регистрации.
На этой стадии, после получения сведений о въезжающих гостях, DarkHotel, видимо, определяли представляет ли интерес тот или иной постоялец. Потому что дальнейшая их работа была весьма избирательной.
При подключении к Wi-Fi отеля новый интересный постоялец получал уведомление о необходимости сделать апдейт какого-либо ПО, например, Adobe Flash. И этот ход очень правильно рассчитан с точки зрения психологии въезжающего в отель человека, который не знает точно как функционирует портал регистрации пользователя в сети гостиницы и допускает, что ему не хватает какого либо обновления для корректной работы. А вместе с инсталлятором легальных программ объекты разведки получали бэкдор от DarkHotel.
В дальнейшем хакеры осуществляли полный сбор информации о скомпрометированной системе, устанавливали кейлогер, проводили разведку имеющихся конфиденциальных документов. Среди других компонентов присутствовал и модуль, обеспечивающий самоуничтожение и зачистку всех данных о присутствии DarkHotel на зараженном устройстве.
June 26, 2020
В ходе расследования ресерчеры обнаружили в коде используемых хакерами вредоносов вставки на корейском языке, что дало основание полагать, что DarkHotel являются корейской группой. Но какой из Корей – Северной или Южной? Китайские исследователи без сомнений утверждают, что хакеры родом из Сеула. И этому есть определенные подтверждения - например, принцип выбор целей в ходе скоординированных кампаний.
Кстати, в ходе своих операций DarkHotel продемонстрировали возможность взлома 512-битных RSA-ключей (они использовали их для подписей поддельных сертификатов). Для этого требовались на тот момент весьма мощные системы. Еще один плюс в столбик того, что DarkHotel – это южнокорейские спецслужбы.
#APT #DarkHotel
Кстати, в ходе своих операций DarkHotel продемонстрировали возможность взлома 512-битных RSA-ключей (они использовали их для подписей поддельных сертификатов). Для этого требовались на тот момент весьма мощные системы. Еще один плюс в столбик того, что DarkHotel – это южнокорейские спецслужбы.
#APT #DarkHotel
June 26, 2020
Атаки на промышленные системы управления (ICS или АСУ ТП) нечасто светятся в сводках новостей, особенно если эти новости не касаются отрасли информационной безопасности. Безусловно, самая громкая и самая разрушительная из таких атак – Stuxnet – широко известна публике, поскольку вызвала международный скандал.
Напомним, что в 2010 году израильские и американские спецслужбы развернули кибероперацию с использованием вредоноса Stuxnet, чтобы поломать иранские центрифуги по обогащению урана, которые были задействованы в ядерной программе. Тогда содействие своим израильским коллегам оказали хакеры из группы Equation, работающей в структуре американской АНБ.
Но это не единственная атака на ICS, хотя и самая известная.
Сегодня мы хотим сделать небольшой обзор другой кампании по компрометации промышленных систем управления, которая получила название Triton или Trisis.
В конце 2017 года американские инфосек компании FireEye и Dragos сообщили о выявленной кампании по развертыванию неизвестной хакерской группой вредоносного ПО, которое американцы назвали Triton. Malware было предназначено для атак на контроллер Triconex Safety Instrumented System (SIS), работающий под Microsoft Windows.
Triconex – это бренд компании Schneider Electric, под которым выпускаются системы контроля турбинной машинерии. Всего в мире на данный момент работает более 11 тыс. промышленных устройств под управлением Triconex. Сам SIS представляет собой автономную систему управления и контроля безопасности производственного процесса.
В ноябре 2017 года неизвестные хакеры получили доступ к рабочей станции SIS одного из нефтехимических предприятий Саудовской Аравии и развернули вредоносное ПО Triton для перепрограммирования контроллеров SIS. В этот момент часть контроллеров упала в безопасный режим из-за несоответствия подлинности некоторых из кодов приложений, что автоматически остановило производственный процесс и побудило службу безопасности начать расследование инцидента.
Вряд ли злоумышленники планировали прерывать производство в момент внедрения Triton, целью скорее всего являлось создание спящего бэкдора, который позволит в необходимый момент получить контроль над SIS.
Расследование показало, что Triton готовился именно под атаку Triconex SIS – в частности, malware использовало проприетарный протокол TriStation, публичная документация которого отсутствовала. Вероятно, хакеры при написании вредоноса использовали имеющийся в распоряжение контроллер SIS. Атака была не масштабируема, в силу чего, скорее всего, была разработана под конкретное предприятие/группу похожих предприятий.
Анализ возможностей Triton показал, что он был предназначен не только для нанесения ущерба промышленной системе управления через Triconex SIS, но и для сбора закрытой информации, циркулирующей внутри нее. Также вредонос пытался поддерживать штатный режим работы SIS (что в итоге ему не удалось), чтобы не вызывать к себе преждевременный интерес и обладал механизмом самоудаления и очистки следов своего пребывания в системе.
Кто стоит за атакой так точно и не было выяснено. Исследователи однозначно указывали на принадлежность атакующих прогосударственной хакерской группе, но конкретную страну так и не назвали.
Атака Triton стала пятой известной атакой на промышленные системы управления после Stuxnet, Havex, BlackEnergy2 и CRASHOVERRIDE.
#Triton
Напомним, что в 2010 году израильские и американские спецслужбы развернули кибероперацию с использованием вредоноса Stuxnet, чтобы поломать иранские центрифуги по обогащению урана, которые были задействованы в ядерной программе. Тогда содействие своим израильским коллегам оказали хакеры из группы Equation, работающей в структуре американской АНБ.
Но это не единственная атака на ICS, хотя и самая известная.
Сегодня мы хотим сделать небольшой обзор другой кампании по компрометации промышленных систем управления, которая получила название Triton или Trisis.
В конце 2017 года американские инфосек компании FireEye и Dragos сообщили о выявленной кампании по развертыванию неизвестной хакерской группой вредоносного ПО, которое американцы назвали Triton. Malware было предназначено для атак на контроллер Triconex Safety Instrumented System (SIS), работающий под Microsoft Windows.
Triconex – это бренд компании Schneider Electric, под которым выпускаются системы контроля турбинной машинерии. Всего в мире на данный момент работает более 11 тыс. промышленных устройств под управлением Triconex. Сам SIS представляет собой автономную систему управления и контроля безопасности производственного процесса.
В ноябре 2017 года неизвестные хакеры получили доступ к рабочей станции SIS одного из нефтехимических предприятий Саудовской Аравии и развернули вредоносное ПО Triton для перепрограммирования контроллеров SIS. В этот момент часть контроллеров упала в безопасный режим из-за несоответствия подлинности некоторых из кодов приложений, что автоматически остановило производственный процесс и побудило службу безопасности начать расследование инцидента.
Вряд ли злоумышленники планировали прерывать производство в момент внедрения Triton, целью скорее всего являлось создание спящего бэкдора, который позволит в необходимый момент получить контроль над SIS.
Расследование показало, что Triton готовился именно под атаку Triconex SIS – в частности, malware использовало проприетарный протокол TriStation, публичная документация которого отсутствовала. Вероятно, хакеры при написании вредоноса использовали имеющийся в распоряжение контроллер SIS. Атака была не масштабируема, в силу чего, скорее всего, была разработана под конкретное предприятие/группу похожих предприятий.
Анализ возможностей Triton показал, что он был предназначен не только для нанесения ущерба промышленной системе управления через Triconex SIS, но и для сбора закрытой информации, циркулирующей внутри нее. Также вредонос пытался поддерживать штатный режим работы SIS (что в итоге ему не удалось), чтобы не вызывать к себе преждевременный интерес и обладал механизмом самоудаления и очистки следов своего пребывания в системе.
Кто стоит за атакой так точно и не было выяснено. Исследователи однозначно указывали на принадлежность атакующих прогосударственной хакерской группе, но конкретную страну так и не назвали.
Атака Triton стала пятой известной атакой на промышленные системы управления после Stuxnet, Havex, BlackEnergy2 и CRASHOVERRIDE.
#Triton
June 26, 2020
Спустя год FireEye выпустили новый отчет, в котором связали Triton с московским Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ) и даже заявили, что получили данные в отношении конкретного специалиста по информационной безопасности, работающего в институте и являющегося одним из авторов Triton. Мы не имеем в своем распоряжении подробной информации, поэтому опровергать или подтверждать правоту FireEye не будем, хотя на первый взгляд TTPs выглядят правдоподобно.
В апреле 2019 года FireEye сообщили, что выявили атаку оператора Triton еще на один промышленный объект. Целью атакующих, по их заявлению, было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
#Triton
В апреле 2019 года FireEye сообщили, что выявили атаку оператора Triton еще на один промышленный объект. Целью атакующих, по их заявлению, было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
#Triton
June 26, 2020
Apple следуют за разработчиками других браузеров в части принятия мер по ограничению возможностей различных Интернет-сервисов собирать fingerprint'ы пользователей чтобы повысить таким образом их приватность.
Компания отказалась от внедрения в Safari 16 новых Web API, которые позволяли сайтам собирать дополнительную информацию об используемом аппаратном и программном обеспечении. Новые Web API давали, среди прочего, возможность сканировать и подключаться к устройствам Bluetooth LE, получать доступ к MIDI, считывать данные о магнитном поле и уровне освещенности в месте работы системы, получать информацию о памяти устройства, состоянии его батареи и сетевых соединениях, а также многое другое.
Более того, Apple утверждает, что пересматривает уже имеющиеся Web API с точки зрения их возможности использования при составлении fingerprint'a и по мере необходимости их модифицирует.
Такая инициатива товарищей из Купертино, безусловно, похвальна, но возникает резонный вопрос - а кому вообще понадобилось создавать Web API для Safari, который, например, измеряет магнитное поле в месте расположения пользователя? Или фиксирует уровень освещенности? Все это подозрительно...
Компания отказалась от внедрения в Safari 16 новых Web API, которые позволяли сайтам собирать дополнительную информацию об используемом аппаратном и программном обеспечении. Новые Web API давали, среди прочего, возможность сканировать и подключаться к устройствам Bluetooth LE, получать доступ к MIDI, считывать данные о магнитном поле и уровне освещенности в месте работы системы, получать информацию о памяти устройства, состоянии его батареи и сетевых соединениях, а также многое другое.
Более того, Apple утверждает, что пересматривает уже имеющиеся Web API с точки зрения их возможности использования при составлении fingerprint'a и по мере необходимости их модифицирует.
Такая инициатива товарищей из Купертино, безусловно, похвальна, но возникает резонный вопрос - а кому вообще понадобилось создавать Web API для Safari, который, например, измеряет магнитное поле в месте расположения пользователя? Или фиксирует уровень освещенности? Все это подозрительно...
ZDNet
Apple declined to implement 16 Web APIs in Safari due to privacy concerns
Apple said these 16 new Web APIs add new user fingerprinting opportunities for online advertisers.
June 29, 2020
Malwarebytes выявили интересный образец вредоноса, крадущего данные банковских карт.
По данным исследователей, хакеры взломали один из Интернет-магазинов, по всей видимости, посредством компрометации WordPress-плагина WooCommerce. Далее они модифицировали легальный JS скрипт, в результате чего он стал подгружать изображение со стороннего сайта (естественно, контролируемого злоумышленниками), однако, на первый взгляд, этим и ограничивался.
На самом деле, в EXIF метаданных подгружаемого изображения, а именно в поле "Copyright", оказался скрыт код скиммера, предназначенного для кражи вводимых пользователем данных банковской карты. Украденные сведения кодировались и пересылались на управляющий центр также под видом изображения.
TTPs, раскрытые в ходе расследования Malwarebytes, указывают что автором этой атаки является Magecart Group 9, которая впервые была описана в ноябре 2018 года ресерчерами из RiskIQ.
По данным исследователей, хакеры взломали один из Интернет-магазинов, по всей видимости, посредством компрометации WordPress-плагина WooCommerce. Далее они модифицировали легальный JS скрипт, в результате чего он стал подгружать изображение со стороннего сайта (естественно, контролируемого злоумышленниками), однако, на первый взгляд, этим и ограничивался.
На самом деле, в EXIF метаданных подгружаемого изображения, а именно в поле "Copyright", оказался скрыт код скиммера, предназначенного для кражи вводимых пользователем данных банковской карты. Украденные сведения кодировались и пересылались на управляющий центр также под видом изображения.
TTPs, раскрытые в ходе расследования Malwarebytes, указывают что автором этой атаки является Magecart Group 9, которая впервые была описана в ноябре 2018 года ресерчерами из RiskIQ.
June 29, 2020
Калифорнийский Университет в Сан-Франциско (UCSF) заплатил 1,14 млн. долларов оператору ransomware Netwalker.
Ранее, 1 июня, оператор Netwalker взломал внутреннюю сеть Медицинской школы UCSF, похитив и зашифровав информацию, включавшую личные данные студентов и сотрудников, данные медицинских исследований и сведения о финансовых операциях.
Netwalker - это вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS), поэтому за атакой может стоять кто угодно. В конце мая под Netwalker попала сеть Мичиганского государственного университета.
Ранее, 1 июня, оператор Netwalker взломал внутреннюю сеть Медицинской школы UCSF, похитив и зашифровав информацию, включавшую личные данные студентов и сотрудников, данные медицинских исследований и сведения о финансовых операциях.
Netwalker - это вымогатель, который появился осенью 2019 года и работает по схему Ransomware as a Service (RaaS), поэтому за атакой может стоять кто угодно. В конце мая под Netwalker попала сеть Мичиганского государственного университета.
BleepingComputer
UC San Francisco pays $1.14 million for ransomware decryptor
The University of California San Francisco (UCSF) says that it paid $1.14 million to the Netwalker ransomware operators who successfully breached the UCSF School of Medicine's IT network, stealing data and encrypting systems.
June 30, 2020
Вчера американская Palo Alto Networks опубликовала данные о выявленной критической уязвимости CVE-2020-2021 в механизме аутентификации операционной системы PAN-OS, на которой работают все nextgen файрволы Palo Alto.
Уязвимость позволяет злоумышленнику обходить аутентификацию PAN-OS и получать доступ к системе в случае отключения опции "Validate Identity Provider Certificate". Отключение этой опции рекомендуют в своих мануалах ряд поставщиков ПО - например, это указывает Microsoft в руководстве по интеграции Azure AD c продуктами Palo Alto Networks.
Уязвимость получила оценку критичности 10 из 10. Ее эксплойт не требует от хакера высокой технической подготовки, а в случае успешной атаки злоумышленник может изменить настройки PAN-OS вплоть до отключения файрвола.
Исследователи бостонской Rapid7 обнаружили в сети почти 70 тыс. устройств на основе PAN-OS, 40% из которых защищают сети в США.
Видимо, в связи с большим количеством критических сетей, на которых стоят файрволы Palo Alto, у Киберкомандования США (USCYBERCOM) пригорело настолько, что они сразу обратились через Twitter с призывом немедленно обновить уязвимое ПО и исправить его настройки.
При этом в качестве основной угрозы американское Киберкомандование указывает иностранные прогосударственные APT, которые "вероятно, вскоре попытаются использовать данную уязвимость".
Инфосек сообщество с серьезностью угрозы полностью согласно.
Если вы используете файрволы от Palo Alto Networks - реагируйте сейчас. Потом может быть поздно.
Уязвимость позволяет злоумышленнику обходить аутентификацию PAN-OS и получать доступ к системе в случае отключения опции "Validate Identity Provider Certificate". Отключение этой опции рекомендуют в своих мануалах ряд поставщиков ПО - например, это указывает Microsoft в руководстве по интеграции Azure AD c продуктами Palo Alto Networks.
Уязвимость получила оценку критичности 10 из 10. Ее эксплойт не требует от хакера высокой технической подготовки, а в случае успешной атаки злоумышленник может изменить настройки PAN-OS вплоть до отключения файрвола.
Исследователи бостонской Rapid7 обнаружили в сети почти 70 тыс. устройств на основе PAN-OS, 40% из которых защищают сети в США.
Видимо, в связи с большим количеством критических сетей, на которых стоят файрволы Palo Alto, у Киберкомандования США (USCYBERCOM) пригорело настолько, что они сразу обратились через Twitter с призывом немедленно обновить уязвимое ПО и исправить его настройки.
При этом в качестве основной угрозы американское Киберкомандование указывает иностранные прогосударственные APT, которые "вероятно, вскоре попытаются использовать данную уязвимость".
Инфосек сообщество с серьезностью угрозы полностью согласно.
Если вы используете файрволы от Palo Alto Networks - реагируйте сейчас. Потом может быть поздно.
Twitter
Joe Slowik 🧲
#CVE20202021 #PatchYoShit https://t.co/PeVwxugQuk
June 30, 2020
В прошедшие выходные ZDNet сообщили о том, что федеральная полиция Бразилии расследует деятельность хакерской группы, которая ответственна за кражу личных данных Президента Бразилии Жаира Болсонару, членов его семьи, а также 200 тыс. других госслужащих.
В начале июня группировка Anonymous Brazil опубликовала часть украденных данных, в том числе информацию об активах семьи Болсонару.
На прошлой неделе по подозрению в хищении информации были арестованы трое подростков, предположительно являющихся членами Anonymous Brazil. По информации следствия, для получения такого большого массива данных хакерам пришлось взломать сотни правительственных и муниципальных учреждений.
А как дело с безопасностью государственных информационных массивов обстоит у нас? Мы давно обещали высказать мнение по поводу Единого Федерального Информационного Регистра и вот руки дошли.
Не будем касаться потенциальной пользы от его создания, нас, как инфосек канал, интересуют, в первую очередь, вопросы информационной безопасности. Поэтому мы решили посмотреть, что же там у ФНС, оператора Единого Регистра.
На сайте ФНС мы нашли свежее описание задач Управления информационной безопасности. Судя по майской дате публикации и должности руководителя с приставкой ИО - это управление создано недавно. И, изучив содержание этого документа, мы несколько озадачились.
Общие посылы в виде "обеспечения информационной безопасности ФНС" и "организации системы защиты информации" - это, конечно, хорошо. Но почему организация и функционирование Ситуационного центра (это, видимо, аналог Security Operations Center) уместилась в 6 (!) слов, не считая союза "и", а описание организации материального учета занимает целый большой абзац?
Что такое "организация и координация процессов управления информационной безопасностью"? Аналог "отдела по борьбе с расследованием терроризма"?
Есть отдельный пункт по созданию резервного ЦОД, но ни слова про защиту основных ЦОД. И нет ничего про резервное копирование и безопасность архивов, что не равно созданию резервного ЦОД.
Нет ничего ни про аудит информационной безопасности, ни про проактивное выявление утечек чувствительной информации (коей сейчас полно в дарквебе и не только) и проведение соответствующих расследований, ни про обеспечение безопасности сервисов для налогоплательщиков, и так далее, и тому подобное...
Зато в отдельные пункты разнесены организация шифрованной связи и обеспечение телефонами спецсвязи ФСО - это теперь главное в инфосек!
Видно, что основные задачи УИБ ФНС готовились чиновниками, далекими от реального обеспечения информационной безопасности. И ведь можно сказать, что "все внутри содержится", настолько общие формулировки присутствуют. Но тогда надо было просто написать "Основная задача - обеспечение информационной безопасности" и этим ограничиться.
Похоже, что скоро баз данных в дарквебе станет больше.
В начале июня группировка Anonymous Brazil опубликовала часть украденных данных, в том числе информацию об активах семьи Болсонару.
На прошлой неделе по подозрению в хищении информации были арестованы трое подростков, предположительно являющихся членами Anonymous Brazil. По информации следствия, для получения такого большого массива данных хакерам пришлось взломать сотни правительственных и муниципальных учреждений.
А как дело с безопасностью государственных информационных массивов обстоит у нас? Мы давно обещали высказать мнение по поводу Единого Федерального Информационного Регистра и вот руки дошли.
Не будем касаться потенциальной пользы от его создания, нас, как инфосек канал, интересуют, в первую очередь, вопросы информационной безопасности. Поэтому мы решили посмотреть, что же там у ФНС, оператора Единого Регистра.
На сайте ФНС мы нашли свежее описание задач Управления информационной безопасности. Судя по майской дате публикации и должности руководителя с приставкой ИО - это управление создано недавно. И, изучив содержание этого документа, мы несколько озадачились.
Общие посылы в виде "обеспечения информационной безопасности ФНС" и "организации системы защиты информации" - это, конечно, хорошо. Но почему организация и функционирование Ситуационного центра (это, видимо, аналог Security Operations Center) уместилась в 6 (!) слов, не считая союза "и", а описание организации материального учета занимает целый большой абзац?
Что такое "организация и координация процессов управления информационной безопасностью"? Аналог "отдела по борьбе с расследованием терроризма"?
Есть отдельный пункт по созданию резервного ЦОД, но ни слова про защиту основных ЦОД. И нет ничего про резервное копирование и безопасность архивов, что не равно созданию резервного ЦОД.
Нет ничего ни про аудит информационной безопасности, ни про проактивное выявление утечек чувствительной информации (коей сейчас полно в дарквебе и не только) и проведение соответствующих расследований, ни про обеспечение безопасности сервисов для налогоплательщиков, и так далее, и тому подобное...
Зато в отдельные пункты разнесены организация шифрованной связи и обеспечение телефонами спецсвязи ФСО - это теперь главное в инфосек!
Видно, что основные задачи УИБ ФНС готовились чиновниками, далекими от реального обеспечения информационной безопасности. И ведь можно сказать, что "все внутри содержится", настолько общие формулировки присутствуют. Но тогда надо было просто написать "Основная задача - обеспечение информационной безопасности" и этим ограничиться.
Похоже, что скоро баз данных в дарквебе станет больше.
ZDNet
Brazilian federal police investigates presidential data leak
Private information relating to Jair Bolsonaro and several ministers had been exposed and details of over 200,000 public servants obtained.
June 30, 2020
И еще пара мыслей про Единый Регистр.
Есть мнение, что вместо того, чтобы делать единую большую базу данных, имеет смысл создать систему, которая динамически собирает необходимые данные из разрозненных баз.
При этом унести все сведения разом не получится, так как максимум, где может содержаться полная информация о человеке, - это оперативная память. Хотя от продажи данных по отдельным личностям на 100% это, безусловно, не защитит.
И еще одно. Месяц назад мы писали про полные гомоморфные криптосистемы, о прорыве в работе с которыми сообщали IBM. Подобные криптосистемы позволяют производить обработку информации в недоверенной среде без угрозы утечки исходных данных - они просто не присутствуют в расшифрованном виде от слова "совсем".
Нам кажется, что в случае теоретической возможности организации функционирования Единого Регистра на основе этой технологии, многие проблемы были бы решены. Но, полагаем, слово "теоретическая" здесь, к сожалению, ключевое.
Есть мнение, что вместо того, чтобы делать единую большую базу данных, имеет смысл создать систему, которая динамически собирает необходимые данные из разрозненных баз.
При этом унести все сведения разом не получится, так как максимум, где может содержаться полная информация о человеке, - это оперативная память. Хотя от продажи данных по отдельным личностям на 100% это, безусловно, не защитит.
И еще одно. Месяц назад мы писали про полные гомоморфные криптосистемы, о прорыве в работе с которыми сообщали IBM. Подобные криптосистемы позволяют производить обработку информации в недоверенной среде без угрозы утечки исходных данных - они просто не присутствуют в расшифрованном виде от слова "совсем".
Нам кажется, что в случае теоретической возможности организации функционирования Единого Регистра на основе этой технологии, многие проблемы были бы решены. Но, полагаем, слово "теоретическая" здесь, к сожалению, ключевое.
Telegram
SecAtor
На прошлой неделе компания IBM сообщила о создании инструментария для полного гомоморфного шифрования под MacOS и iOS. Версии для Android и Linux обещают через несколько недель.
Гомоморфное шифрование (FHE) позволяет производить математические действия с…
Гомоморфное шифрование (FHE) позволяет производить математические действия с…
June 30, 2020
Исследователи BitDefender выявили новую атаку APT StrongPity, она же PROMETHIUM, ориентированную на ресурсы в Сирии и Турции.
Киберкомпания представляет собой классическую атаку на водопой - взлом ресурсов, которые посещают интересующие хакеров жертвы и заражение последних вредоносным ПО. Предварительно посещающие скомпрометированный ресурс пользователи проверяются по списку целей и если их IP-адрес совпадает с одним из списка - они заражаются трояном.
После заражения вредонос сканирует компьютер жертвы, ищет файлы с определенными расширениями и, в случае нахождения, помещает их во временной архив. Далее собранная информация разбивается на несколько зашифрованных файлов и отправляется на управляющий центр.
Хакеры использовали трехуровневую инфраструктуру управляющих центров, чтобы запутать свои следы.
Анализ целей показывает, что они, возможно, связаны с интересами турецкого правительства - жертвы на территории Турции причастны к курдской оппозиции. А первые образцы используемых в кибероперации вредоносов помечены 1 октября 2019 года, когда началось военная операция турецких военных на Северо-Востоке Сирии под кодовым названием Мирная весна.
APT PROMETHIUM - прогосударственная хакерская группа, активная ориентировочно с 2012 года. Ранее выявлялись атаки группы, ориентированные на пользователей из Италии, Бельгии, Сирии и Турции. Также, согласно ресерчерам Cisco Talos, в числе целей - Колумбия, Индия, Канада и Вьетнам.
Почему мы обращаем особое внимание на векторы атаки APT PROMETHIUM? Да потому что, как считается, за этой хакерской группой стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка.
Киберкомпания представляет собой классическую атаку на водопой - взлом ресурсов, которые посещают интересующие хакеров жертвы и заражение последних вредоносным ПО. Предварительно посещающие скомпрометированный ресурс пользователи проверяются по списку целей и если их IP-адрес совпадает с одним из списка - они заражаются трояном.
После заражения вредонос сканирует компьютер жертвы, ищет файлы с определенными расширениями и, в случае нахождения, помещает их во временной архив. Далее собранная информация разбивается на несколько зашифрованных файлов и отправляется на управляющий центр.
Хакеры использовали трехуровневую инфраструктуру управляющих центров, чтобы запутать свои следы.
Анализ целей показывает, что они, возможно, связаны с интересами турецкого правительства - жертвы на территории Турции причастны к курдской оппозиции. А первые образцы используемых в кибероперации вредоносов помечены 1 октября 2019 года, когда началось военная операция турецких военных на Северо-Востоке Сирии под кодовым названием Мирная весна.
APT PROMETHIUM - прогосударственная хакерская группа, активная ориентировочно с 2012 года. Ранее выявлялись атаки группы, ориентированные на пользователей из Италии, Бельгии, Сирии и Турции. Также, согласно ресерчерам Cisco Talos, в числе целей - Колумбия, Индия, Канада и Вьетнам.
Почему мы обращаем особое внимание на векторы атаки APT PROMETHIUM? Да потому что, как считается, за этой хакерской группой стоит MIT (Milli İstihbarat Teşkilatı), турецкая разведка.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
June 30, 2020