В конце июня оператор ransomware Maze сломал LG и разместил в сети доказательства взлома, среди которых были данные прошивок устройств LG, а также исходные коды программного обеспечения компании.

Вчера Maze выкинули в сеть 50 Гб данных, принадлежащих LG. Это означает только одно - корейцы отказались платить выкуп. Такая позиция вызывает уважение, хотя и на фоне вопросов к инфосеку компании.

Правда, по утверждению журналистов ZDNet, представители хакеров сообщили им в письме, что как такового шифрования данных не было, поскольку "у LG социально значимый бизнес" - они просто украли информацию. Возможно, что смелость корейского производителя связана именно с этим.

Ну а в довесок к LG оператор вымогателя опубликовал массив данных компании Xerox размером в 25 с лишним Гб. Тоже не последняя компания в мировом списке производителей электроники.

Исследователи из Bad Packets полагают, что оба взлома были осуществлены через непропатченные Citrix ADC, уязвимые к CVE-2019-19781, которая была устранена производителем еще в январе этого года.

"Когда полгода не апдейтил Citrix ADC и потерял десятки гигабайт конфиденциальных данных". Картинку к подписи подберите сами.

Исследователи британской инфосек компании Sophos обнаружили в вымогателе WastedLocker, оператор которого недавно взломал Garmin, функцию, благодаря которой ransomware скрывается от обнаружения антивирусным ПО.

Антивирусы используют отслеживание последовательных операций по открытию файла-чтению-записи-закрытию, для чего используют т.н. minifilter drivers. WastedLocker считывает содержимое файла в кэш, после чего закрывает файл, нарушая поведенческую модель ransomware, а затем шифрует его содержимое прямо в кэше. Когда определенное количество зашифрованных файлов накапливается в кэше они скопом сбрасываются на диск, да еще и от имени Windows Cash Manager.

Интересно, что в процессе анализа WastedLocker британцы нашли свидетельство того, что он является эволюцией другого ransomware - BitPaymer, он же FriedEx. Это лишний раз подтверждает, что WastedLocker является продуктом хакерской группы Evil Corp.

Это все к тому, что Врублевский научился в Телеграм.

https://twitter.com/alukatsky/status/1290658259221741568

С "Windows Cash Manager" мы вчера опечатались, конечно, смешно. И сначала решили исправить.

А потом поняли, что в случае с ransomware это выражение имеет полное право на существование.

Сколько раз мы уже писали про непропатченные Pulse Secure VPN сервера, а история все никак не кончается.

Как говорят ZDNet, инфосек компания KELA передала журналистам список из более чем 900 корпоративных серверов Pulse Secure VPN, содержащий полные данные о них, включая логины и пароли.

Список был распространен на русскоязычном хакерском форуме, активно использующемся операторами ransomware и составлен злоумышленником в период между 24 июня и 8 июля 2020 года. Судя по всему, хакер использовал CVE-2019-11510, чтобы получить данные с уязвимых VPN-серверов.

Между тем исследователи Bad Packets, к которым обратились журналисты ZDNet за комментариями, сообщили, что 677 серверов из этого списка были обнаружены ими еще в прошлом году, когда появился первый эксплойт уязвимости. То есть до 24 июня 2020 года они с тех пор не обновлялись.

Хорошо быть тупым (с)

Bad Packets продолжают радовать интересными и полезными новостями.

Вчера они обнаружили массовое сканирование сети с французского IP-адреса на предмет уязвимых для CVE-2020-6287 серверов с SAP NetWeaver. Опять таки кто-то будет ломать.

Напомним, что эта уязвимость, названная исследователями RECON, находится в компоненте SAP NetWeaver AS и позволяет неавторизованным злоумышленникам создать учетную запись с максимальными привилегиями и получить полный контроль над атакованной системой SAP.

SAP закрыла данную ошибку в июльском патче. Но, как всегда, наверняка найдутся "талантливые" люди, которые до сих пор не обновились. А потом будут крики "караул, у меня корпорацию украли".

Судебные онлайн-слушания в отношении 17-летнего хакера Грэма Кларка из Флориды, обвиняемого в организации взлома Twitter в прошлом месяце, были прерваны в результате zoombombing'а.

Слушания проводились посредством Zoom, но сама видеоконференция не была правильным образом настроена, из-за чего несколько мамкиных хакеров смогли подключиться к ней под видом журналистов и в разгар дискуссии включили "ass eating" порно (что бы это не значило).

Судья Кристофер Нэш был вынужден слушания приостановить и заявил, что в следующий раз ему потребуется пароль (а также сабля и парабеллум).

Хулигани (с) Красная Жара

​​Появилась ссылка на список из более чем 900 уязвимых корпоративных серверов Pulse Secure VPN, про которые мы писали сегодня.

Можно проверить, нет ли среди них вашего.

Оператор ransomware Maze переехал Canon.

30 июля сайт image .canon ушел на техническое обслуживание, которое продлилось до 4 августа. При этом в качестве причины шатдауна была указана некая "проблема, связанная долгосрочным хранилищем, размещенном на ресурсе", в результате чего часть изображений была потеряна.

Но журналисты BleepingComputer решили провести собственное расследование, в процессе которого выяснили, что в Canon засбоило множество сервисов, а также получили частичный скриншот сообщения от вымогателей из Maze.

Журналисты обратились за комментарием к Maze и те сообщили, что действительно вчера утром успешно взломали Canon и похитили более 10 Тб информации, включая базы данных, переписки и пр. Сумму выкупа хакеры не озвучили.

А самое интересное - сбой image .canon не был связан со взломом Maze. Простое совпадение, в результате которого мы узнали про атаку ransomware на Canon.

​​ESET выступит на Black Hat 2020 (виртуально). И этот факт не удостоился бы отдельного поста, если бы не фамилия спикера компании. У нас уже двое язык вывихнули.

​​Месяц назад мы написали следующее - "это (нарушение формальных правил) приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов".

И вчера США объявили очередную инициативу, подводящую нас еще ближе к "дивному новому миру", который мы описали выше.

Эта инициатива - конечно, же программа Чистая Сеть, анонсированная госсекретарем Помпео. Программа включает в себя следующие компоненты:

- Clean Carrier, "ненадежные" китайские операторы не должны взаимодействовать с американской телекоммуникационной сетью;
- Clean Store, удаление "ненадежных" китайских приложений из магазинов мобильного ПО;
- Clean Apps, взаимообратное удаление американскими (или, как мы думаем, подпадающими под американскую юрисдикцию) компаниями своих приложений из App Store "ненадежных" китайских производителей, e.g. Huawei;
- Clean Cloud, фактический запрет американским резидентам и компаниям использовать облачные сервисы, принадлежащие "иностранным противникам США";
- Clean Cable, инициатива по защите подводных кабелей передачи данных от злых китайцев.

И вчера же Дуров отреагировал на угрозы американского правительства фактически запретить TikTok на территории США (а, возможно, и надавить на своих союзников) если китайцы не продадут американскую часть бизнеса местным инвесторам, - "Soon, every big country is likely to use “national security” as a pretext to fracture international tech companies. And ironically, it’s the US companies like Facebook or Google that are likely to lose the most from the fallout."

Так что пользуйтесь любимыми сетевыми сервисами пока можете. Скоро у нас будет свой Интернет с бочоночным лото и скрепами. Правда, не по нашей инициативе.

Новости с Black Hat USA 2020.

Исследователи из Технологического института Джорджии предcтавили доклад, в котором описали сценарий использования IoT-бот-сетей для манипуляций на энергетическом и фондовом рынках.

Злоумышленники могут захватить IoT-устройства с высоким потреблением энергии, такие как обогреватели, кондиционеры, посудомоечные машины и пр., и одновременно включая/выключая их добиться процентного увеличения или уменьшения энергопотребления. это повлияет на цены на энергетическом рынке и, соответственно, может повлиять на ситуацию на рынке фондовом.

Подобную бот-сеть ресерчеры назвали IoT Skimmer. Они считают, что трехмесячная кампания с ее использованием может принести хакерам более 20 млн. долларов в год (нам ни разу не понятно как трехмесячная кампания может принести прибыль в год, но джорджийцам виднее), а энергетический сектор США может понести до 350 млн. долларов убытков.

Остается только найти владельца посудомоечной машины, который в течение трех месяцев будет невозмутимо наблюдать как его агрегат сам по себе что-то там моет.

Интересное исследование, хотя и бестолковое.

Очередные интересные материалы с Black Hat USA 2020.

Исследователи инфосек компании CyCraft Technology представили отчет, в которой описали выявленную ими кибероперацию Химера, проводимую в 2018-2019 годах неустановленной китайской APT.

Киберкампания была направлена на производителей полупроводников, расположенных в технологическом парке Синьчжу на Тайване, - по крайней мере семь компаний и их дочерние фирмы были атакованы. Целями хакеров являлись описания микросхем, их конструкции и исходного кода, а также SDK.

Точкой проникновения в атакуемые сети злоумышленникам служили украденные учетные данные от корпоративных VPN.

В процессе атак APT использовала уникальный вредонос SkeletonKeyinjector, содержащий вставки кода из Dumpert и Mimikatz, а также Cobalt Strike, замаскированный под Google Update, в качестве основного RAT. Для эксфильтрации же украденной информации хакеры применяли подломанный архиватор RAR, названный исследователями ChimeRAR, который архивировал данные и передавал их на управляющий центр.

Однозначно операция китайских спецслужб. Потому что американские получают всю документацию от TSMC и других производителей без всяких взломов 😎

​​Пару месяцев назад мы писали про соглашение Mercedes-Benz и Nvidia о сотрудничестве в области разработки автопилота для автомобилей немецкого производителя, которое предусматривало "приобретение и добавление возможностей, программных приложений и сервисов по подписке через беспроводные соединения в течение всей жизни автомобиля". Нам тогда (как и сейчас) кажется излишним давать такой критически важной системе, как автопилот, прямой доступ в сеть.

Вчера на Black Hat USA 2020 исследователь Джиахао Ли из 360 Group рассказал о 19 выявленных уязвимостях в Mercedes-Benz E-Klasse, которые впоследствии были исправлены производителем. До момента исправления потенциально им были подвержены более 2 млн. автомобилей. Впервые об этих ошибках было сообщено в августе прошлого года и вот теперь ресерчеры раскрыли технические подробности.

Полное описание есть в сделанном докладе, мы же постараемся кратко передать его суть.

Итак, в E-Klasse есть головное мультимедийное устройство (IVI) производства Mitsubishi Electronics (которых, кстати, китайцы уже не раз ломали). "Голова" связывается с мобильным приложением Mercedes Me посредством блока управления телематикой (TCU) HERMES, который имеет в своем составе 3G/4G модем, Wi-Fi и Bluetooth модули.

Исследователи физически расковыряли HERMES и получили доступ к прошивке, где нашли инженерный режим для отладки TCU, в котором был доступ к CAN-шине автомобиля. Также они нашли в TCU пароли и сертификаты для внутреннего сервера автомобиля. В дальнейшем ресерчеры начали копать в направлении IVI и внутреннего сервера автомобиля.

В результате обнаружено:
- одна уязвимость в головной мультимедиа;
- шесть уязвимостей в HERMES;
- десять уязвимостей в серверной части;
- две уязвимости в операционной системе автомобиля.

Использование совокупности этих уязвимостей позволило удаленно:
- отпирать и запирать двери;
- открывать и закрывать крышу;
- включать/выключать свет и сигнал;
- заводить и глушить мотор.

Исследователи почему-то не считают эти возможности "доступом к критически важным для безопасности функциям автомобиля" (тут, очевидно, постаралась PR-служба Mercedes).

Но уверяем вас, если ночью на скоростном шоссе в вашем Mercedes-Benz одновременно погаснут фары, откроется крыша и включится беспрерывный сигнал, то вероятность улететь в кювет будет сильно выше нуля. А если на ж/д переезде внезапно заглохнет двигатель и заблокируются двери, то встречи с тепловозом можно и не избежать.

Ну а теперь представьте, что к этому всему прикрутили еще и автопилот...

​​Сегодня мы написали про атаки китайской APT на тайваньских производителей полупроводниковых микросхем, в частности компанию TSMC. Но для чего надо тратить серьезные ресурсы и в течение двух лет пытаться проникнуть в защищенные сети тайваньских технологических фирм? А вот для чего.

По данным BleepingComputer, исследователи Check Point обнаружили шесть уязвимостей в цифровом сигнальном процессоре (DSP) мобильной платформы Qualcomm Snapdragon. Таким образом, небезопасными являются около 40% всех смартфонов в мире (продукции Apple ошибки не касаются).

Технические подробности уязвимостей, которые уже исправлены Qualcomm, должны быть представлены Check Point в время презентации на DEF CON 2020.

А пока инфосек компания сообщает, что эксплуатация этих уязвимостей позволяет взять смартфон под полный контроль, в результате чего хакеры могут извлекать всю информацию с устройства, получать доступ к камере и микрофону, осуществлять атаку на отказ в обслуживании, внедрять неудаляемые вредоносы.

Усугубляет проблему то, что, хотя Qualcomm уязвимости исправила, каждый конкретный смартфон должен получить обновление от своего производителя. И эта операция может растянуться на долгие месяцы, в течение которых устройства останутся уязвимыми.

А при чем тут тайваньская TSMC, про которую мы написали в начале поста? Да просто на ее фабриках и производятся эти самые Qualcomm Snapdragon. И если хакерам удастся получить полную документацию по производимым чипам, то они будут в состоянии провести необходимое исследование и обнаружить потенциальные уязвимости в железе, которые традиционно намного более опасны, чем дырки в ПО.

И это хороший приз для любой стоящей за APT национальной спецслужбой.

​​В сети появились изображения интерфейса аппаратно-программного комплекса GrayKey производства американской компании Grayshift, с помощью которого американские спецслужбы ломают "невзламываемые" iPhone.

​​Мы когда вангуем про "дивный новый мир", в котором у каждого геополитического центра силы будет свой Интернет со своими онлайн-казино и dosug .cz, - мы не одиноки в своем мнении.

Уважаемые инфосек эксперты имеют аналогичное понимание ситуации.

Как сообщает наш подписчик, владельцы банковского трояна Cerberus случайно (или специально) раскрыли его исходники на хакерском форуме xss .is совместно с модератором.

В треде, посвященном трояну, модератор по просьбе топикстартера спрятал в хайд исходный код, не учтя, что все владельцы премиум аккаунтов форума могут просматривать скрытое содержимое.

Теперь исходники Cerberus оказались в паблике и нас ждет, вероятно, нашествие клонов.

Специалисты Check Point провели исследование, в процессе которого смогли проникнуть в целевую IP-сеть через "умную" лампочку Philips Hue.

По приведенной ссылке содержится очень подробный отчет, описывающий технические подробности исследования, мы же, как обычно, постараемся сберечь время подписчиков и дадим краткий обзор.

Два года назад израильские ресерчеры смогли взломать сеть "умных" лампочек Philips Hue, построенную по технологии ZigBee, специально предназначенной для подобных маломощных низкоскоростных сетей. Тогда исследователям удалось удаленно "украсть" лампочку c использованием дрона с расстояния в 350 метров, заслать на нее обновление с вредоносом и, самое неприятное, запустить с скомпрометированной лампочки IoT-червя, который был способен перемещаться на соседние "умные" лампочки, даже если они находились в другой сети ZigBee.

Philips устранили уязвимость, позволявшую червю распространяться, но остальные ошибки остались актуальными.

В этот раз израильтяне решили пойти дальше и захватить сетевой мост Philips Hue Bridge, с помощью которого управляется сеть "умных" лампочек и который подключается к Интернет. Они смогли найти новую уязвимость в мосте, связанную с переполнением буфера, а также нашли ключ, с помощью которого лампочки и мост шифруют свои сообщения.

Специалисты Check Point выяснили, что для эксплуатации выявленных ошибок им необходимо ввести в сеть новую лампочку, но это можно сделать только если пользователь целенаправленно укажет мосту Philips Hue искать новую лампочку через управляющее приложение.

В результате они разработали следующий сценарий атаки:
- одна из "умных" лампочек "крадется" ранее разработанным способом;
- цвет украденной лампочки меняется на максимально раздражающий, что побуждает пользователя думать что она засбоила, но, в целом, еще может работать;
- хакер меняет прошивку украденной лампочки и она отображается в приложении как недоступная;
- пользователь удаляет ее из сети и пытается найти еще раз, в этот момент начинается сама атака;
- поскольку украденная лампочка уже включена хакером в другую сеть ZigBee, мост не может ее найти, а вместо нее злоумышленник под видом новой лампочки подключается к мосту и заливает на него бэкдор;
- внедренный в Philips Hue Bridge вредонос подключается к управляющему центру через Интернет. Бинго, целевая сеть скомпрометирована.

Красивая и необычная атака. Опасайтесь умных домов, как на духу говорим.

Интересные материалы с DEFCON.

Исследователь Ямила Левалль из Dreamlab Technologies рассказала как она смогла обойти аутентификацию различных сканеров отпечатков пальцев.

Существуют несколько типов атак на биометрические системы. Можно проводить физическую атаку на сенсоры, а можно спуфить, подставляя сканеру поддельные отпечатки. Левалль рассмотрела как раз тонкости спуфинга.

Как оказалось, сканеру отпечатков пальцев не обязательно отслеживать весь набор индивидуальных особенностей конкретного человека в процессе функционирования - ему достаточно основных папиллярных узоров.

Левалль использовала относительно недорогой фотополимерный 3D-принтер Anycubic Photon (в России стоит около 30 тыс. рублей), который позволяет печатать с толщиной слоя в 25 микрон, в то время как гребни отпечатков пальца имеют высоту от 20 до 60 микрон.

Сначала ресечерка (да, мы в феминистическом тренде) скрытно сделала цифровой снимок отпечатка пальца с помощью режима макросъемки и улучшила его цифровым способом. Затем на основании снимка была создана трехмерная модель в TinkerCAD.

На последнем этапе на 3D принтере были распечатаны несколько отпечатков пальца. Основной проблемой являлся подбор правильной длины и ширины, поскольку делать точные измерения на натуре на было возможности. С десятой попытки удалось создать достаточно точную копию, чтобы можно было обмануть сканеры отпечатков.

Так что в ближайшей перспективе фокусы супершпионов из голливудских боевиков с подделкой отпечатков пальцев можно будет проворачивать в домашних условиях. Ну, или через сеть за небольшую плату в BTC.

Разработчики Threema объявили о запуске сервиса видеозвонков в своем мессенджере. При этом обещают полноценное сквозное шифрование и еще что-то ненужное.

С учетом того, что предлагающие подобную функцию мессенджеры "не до конца" приватны, а, например, в том же Signal видеозвонки отсутствуют, это очень неплохая новость.

(хотя, если честно, Threema мы тоже полностью не доверяем)