И вчера же американское Министерство юстиции предъявило обвинение двум российским гражданам Даниле "Cronuswar" Потехину и Дмитрию Карасавиди в создании фишинговых сайтов криптовалютных бирж и краже учетных данных пользователей для последующего вывода принадлежащих им BTC и Etherium.

Согласно обвинению, жители Москвы и Воронежа наворовали критовалюты на 16 млн. 876 тыс. долларов. Часть средств была заблокирована и конфискована Секретной Службой США.

Кроме этого, россиян обвиняют в манипуляции курсами критовалют, что уж совсем какой-то бред.

В данный момент Потехин и Карасавиди находятся на свободе, возможно на территории России.

​​Исследователи из команды RedDrip Team ведущего китайского инфосек вендора QiAnXin Technology сообщают о новой фишинговой атаке пресловутых киберхонгильдонов из Lazarus на Южную Корею.

В качестве приманки выступает документ, касающийся криптовалюты. Внутри сидит Powershell-бэкдор POWERSTATS aka Valyria.

Похоже у Кима опять кончаются деньги.

ZDNet выпустили весьма познавательный материал о пяти новых функциях безопасности и приватности в iOS 14 и iPadOS 14.

И мы, как представители сообщества сетевых параноиков, можем только сказать Apple спасибо за такую заботу.

Что же нового? Во-первых, над индикатором уровня сигнала сети теперь периодически появляется точка двух цветов. Зеленый означает, что в данный момент приложение использует камеру устройства, оранжевый - использование микрофона (попробовали - реально работает).

Кроме того, в Control Center теперь должно показываться последнее приложение, использовавшее камеру или микрофон.

Во-вторых, когда приложение использует буфер обмена на экране появляется всплывающее сообщение. С помощью этой фичи ранее, когда появилась бета iOS 14, уже было выявлено странное поведение некоторых приложений, например TikTok.

В-третьих, можно ранжировать данные о своем местоположении, которое получает приложение - общее или точное. Настраивается в Конфиденциальности. То есть приложению Такси, очевидно, требуется точная геолокация, а вот для Погоды хватит и общей.

В-четвертых, некоторые приложения, как оказывается, запрашивают доступ к устройствам в подключенной локальной сети. Этот доступ, естественно, необходимо запрещать. Например, такой доступ запрашивают мессенджеры или Яндекс.Навигатор. Зачем Яндексу подключаться к устройствам в сети - непонятно, шпионят, не иначе.

И, наконец, в-пятых, новые яблочные операционки имеют функцию автоматической смены MAC-адреса устройства при подключении к Wi-Fi сети.

Наш параноидальный хомяк обожрался приватности и довольный уснул. Призываем всех быстрее обновлять свои iPhone и iPad.

Известный инфосек журналист Каталин Чимпану (знатный русофоб, кстати) пишет, что один из иранских хакеров, которому Минюстом США было предъявлено обвинение в атаках на американские организации, является предполагаемым членом APT 34 aka OilRig.

OilRig (она же Twisted Kitten и Cobalt Gypsy) - одна из хорошо организованных и активных хакерских групп, работающих на Иран. Известны своими атаками на объекты на Ближнем Востоке, в частности на саудитов.

OilRig вероятно является автором вредоноса Shamoon, который стирал MBR и записывал туда изображение горящего флага США. Впервые Shamoon был использован иранцами в 2012 году в атаках на объекты саудовской Saudi Aramco и катарской Rasgas.

Таким образом американцы разом расчехлили членов сразу двух APT - китайской Winnti и иранской OilRig.

​​Американские инфосек эксперты переживают, с каким хаосом пришлось бы столкнуться, если бы Stuxnet атаковал тяжелую шаурмичную промышленность.

​​Нам совсем не нравится, когда наши пессимистические вангования начинают сбываться. Потому что мы их пишем не ради хайпа, а для того, чтобы обратить внимание принимающих решение людей (мы очень надеемся, что они их читают) на существующие проблемы в отрасли информационной безопасности, которые требуют немедленной смены самого подхода к построению инфосека.

Поэтому когда мы 10 дней назад писали про возможную гибель людей в результате кибератак мы даже не предполагали, что это случится так скоро.

Вчера немецкие власти сообщили, что 10 сентября сеть Университетской больницы в Дюссельдорфе (UKD) подверглась атаке со стороны неназванного ransomware, в результате чего ИТ-системы больницы вышли из строя и оказание плановой и неотложной медицинской помощи стало невозможным.

По данным Федерального управления информационной безопасности Германии (BSI), злоумышленники проникли в сеть через непропатченный сервер Citrix с использованием уязвимости CVE-2019-19781, патч для которой был выпущен производителем еще в январе (!) 2020 года.

Из-за отказа от оказания неотложной помощи женщину, которой в прошедшую пятницу потребовалась срочная госпитализация, пришлось вести в другую больницу, находящуюся в 32 километрах, в результате чего пациентка умерла.

После того, как полиция связалась по оставленному контакту с оператором ransomware и сообщила, что вымогатели зашифровали сеть, принадлежащую университетской больнице, а не самому Университету, хакеры передали ключ для расшифровки данных и ушли из эфира. В настоящее время техподдержка восстанавливает сеть UKD.

Немецкая прокуратура рассматривает возможность возбуждения уголовного дела по факту непредумышленного убийства по неосторожности. Естественно в отношении хакеров.

А мы, возвращаясь к теме своего поста, на который мы сослались в начале, спросим - а понесет ли какое-нибудь взыскание человек, ответственный за обновление Citrix? И его руководитель? И "успешный" топ-менеджмент, который не смог организовать грамотный бизнес-процесс аудита ИБ, помогающий выявлять как раз такие косяки?

Возможно кто-то скажет, что мы охренели и требуем линчивать невинных специалистов. Но руководствоваться тут надо не привычной точкой зрения, которая позволяет спустя рукава относиться к подобному раздолбайству, а имеющимися последствиями. А они таковы, что из-за необновленного в течении 9 месяцев сервера умер человек (ответственности с оператора ransomware, разумеется, никто не снимает).

А вот после применения соответствующих наказаний специалисты начнут более ответственно относиться к вопросам информационной безопасности, не соглашаться на копеечные зарплаты под давлением этой самой ответственности и вынуждать руководителей прислушиваться к своему мнению под угрозой ухода, что в итоге приведет к нормализации обстановки в инфосеке. Хотя и ценой гораздо больших затрат со стороны бизнеса.

Вероятно, большинство назовет наши мысли утопичными, но это единственный разумный путь развития. Иначе люди продолжат умирать.

​​Все-таки мы не зря призывали всех быстрее апдейтить свои Apple устройства. Кроме новых функций безопасности, про которые мы писали вчера, появилась дополнительная аргументация немедленно поставить iOS 14 и iPadOS 14.

Первая причина, которая собственно и подразумевалась изначально, - устранение имеющихся в программных продуктах Apple уязвимостей.

Давно уже минули времена, когда яблочное ПО считалось безопасным. В новом релизе своих ОС Apple исправили 11 ошибок в различных компонентах широкого спектра критичности вплоть до RCE.

К примеру, CVE-2020-9992, получившая 7,3 по шкале критичности, позволяла удаленно выполнить код, если жертва открывала специальным образом сформированный файл на сопряженном устройстве. Технических подробностей этой уязвимости нет, но по предположению исследователей из IBM X-Force ошибка может быть связана с набором инструментов Xcode, который также присутствует в macOS 10.15.4 - 10.15.6 (актуальный релиз). Таким образом, уязвимость вполне может затрагивать и яблобуки.

Другая ошибка CVE-2020-9959 в приложении Siri позволяла просматривать содержимое уведомлений с заблокированного устройства. И так далее - отказ в обслуживании, межсайтовый скриптинг и другие неприятные уязвимости.

Вторая причина - теперь iOS 14 позволяет проверить сохраненные на устройстве учетные данные по списку известных утечек. При этом, по заявлению Apple, "используются надежные криптографические методы", видимо считает хеши. При нахождении скомпрометированных учеток владелец будет незамедлительно поставлен в известность.

​​Американских правоохранителей разобрало.

Вчера они продолжили серию обвинений, выдвинутых в адрес членов прогосударственных хакерских групп.

Минюст США предъявил обвинения в хакерской деятельности трем гражданам Ирана - Саиду Пуркариму Араби, Мохаммаду Реза Эспаргаму и Мохаммаду Баяти.

Американцы заявляют, что с 2015 года иранцы проводили масштабную фишинговую кампанию, направленную на работников спутниковой и аэрокосмической отраслей США, Великобритании, Австралии, Израиля и Сингапура в целях кражи конфиденциальной информации.

По мнению американского Минюста, возглавлявший группу Араби является действующим военнослужащим КСИР (Корпус стражей исламской революции). Эспаргам был известен как этичные хакер, являвшийся членом OWASP Foundation, открытого проекта по обеспечению безопасности web-приложений. Однако, по мнению властей США, это было не более чем прикрытием его хакерской деятельности в качестве лидера группы Dark Coders Team.

Из описания хакерской деятельности иранцев становится понятно, что ФБР ходит в аккаунты Gmail (в том числе в переписку) и PayPal как к себе домой. Это мы на случай, если еще остались люди, которые верят в "приватность" этих сервисов.

Но и это еще не все.

Продолжение торжественной порки (с)

Минфин США с подачи ФБР ввел санкции против иранской компании Rana Intelligence Computing Company (Rana) и 45 ее сотрудников, которые, по данным американцев, являлись прикрытием для иранской хакерской группы APT 39, действующей под кураторством Министерства информации, центральной разведывательной и контрразведывательной спецслужбы Ирана.

APT 39 aka Chafer aka Remix Kitten - иранская прогосударственная хакерская группа, активная с 2014 года, специализирующаяся на кибершпионаже. Часть вредоносного кода Chafer пересекается с кодом, используемым иранской APT OilRig, предполагаемому члену которой американцы предъявили обвинение в среду.

На нашей памяти ранее столь масштабных обвинений в отношении различных прогосударственных хакерских групп не встречалось. Что-то затевается. Либо США будут вводить новые санкции в отношении Ирана и Китая, либо попробуют перекроить действующие в сети порядки. Будем наблюдать.

Израильская Check Point, сообщает, что выявила кибершпионскую кампанию иранской APT Rampant Kitten с использованием авторских инфостилеров для Windows и бэкдора для Android.

По еврейским данным, четыре варианта инфостилеров под Windows предназначались для кражи конфиденциальных данных жертвы, а также для доступа к учетным записям Telegram Desktop и KeePass.

Бэкдор для Android позволял собирать информацию с скомпрометированного устройства (контакты, SMS-переписку и пр.), записывать 30-секундные сэмплы с микрофона, а также пересыласть на контролируемый злоумышленниками телефонный номер все SMS, в которых содержатся коды двухфакторной аутентификации Google. Таким образом, хакеры могли получать доступ к аккаунтам Google.

Check Point утверждает, что вскрытая атака является частью крупной киберкампании, которая длилась шесть лет. Основными целями были члены различных антиправительственных организаций, оппонирующих официальным властям Ирана.

По сети поползла информация про то, что американцы отозвали SSL-сертификаты у 35 российских сайтов, включая fsb. ru и kremlin .ru. Таким образом, трафик этих сайтов сейчас не зашифрован.

С одной стороны, fsb. ru сегодня по HTTPS действительно не открывается.

С другой стороны, у сайта Кремля, насколько мы помним, SSL-сертификата вообще не было, а первоисточник информации, судя по всему, - украинский сайт gordon. ua, точнее интервью "американского бизнесмена российского происхождения Майкла Талана". Вдобавок к сказанному он заявил в интервью, что скоро США отзовут SSL-сертификаты у Mail. ru и Яндекса.

Талан, будучи сторонником оппозиции, в 2012 году уехал из России. Сейчас он работает на Amazon и, возможно, решил немного торгануть хайпом.

Так что ни подтвердить ни опровергнуть данную новость мы пока не можем.

Внимание, при кибератаке эта версия браузера особенно опасна, необходимо срочно обновиться!

В пятницу вечером исследователь ESET Лукас Стефанко опубликовал в своем Twitter видеозапись, в которой продемонстрировал применение PoC эксплойта новой уязвимости, позволяющей фактически захватить все находящиеся в одной Wi-Fi сети браузеры Firefox для Android.

Первоначально ошибка была найдена австралийцем Крисом Моберли, работающим на GitLab. Уязвимость заключается в движке SSDP (Simple Service Discovery Protocol), с помощью которого Firefox находит устройства в той же сети Wi-Fi для обмена контентом. При обнаружении другого устройства Firefox запрашивает ссылку на XML-файл, в котором хранится конфигурация этого устройства. В движке SSDP некорректно работала проверка получаемой ссылки, в результате чего вместо пути к XML-файлу хакер мог прописать т. н. Android Intent («намерение») – механизм, с помощью которого передается намерение приложения выполнить какое-либо действие.

Таким образом, хакер мог заставить Firefox открыть вредоносную ссылку в на всех Android-устройствах, подключенных в данный момент к той же Wi-Fi сети, например в торговом центре или аэропорте. При этом Firefox изначально может быть даже не запущен на смартфоне.

Другой сценарий эксплуатации выявленной ошибки — захват уязвимого Wi-Fi роутера (а таких более чем достаточно), чтобы потом разослать подключенным к нему пользователям фишинговую ссылку на электронную почту или другой сервис.

Уязвимы версии Firefox для Android до 79-й. И хотя она была выпущена еще 28 июля, а на данный момент уже выпущена и 80-я версия браузера, как показывает практика — многие пользователи не спешат обновлять приложения на своих смартфонах, особенно если они редко используются.

Так что если у вас стоит Firefox на устройстве под управлением Android и версия браузера меньше 79-й — срочно обновитесь. Тем более, что эксплойт уже в паблике.

В середине сентября немецкий приватный сервис электронной почты Tutanota подвергся серии DDoS-атак, в результате чего он периодически был недоступен.

Сначала в прошлое воскресенье масштабная DDoS-атака вывела Tutanota из строя на несколько часов. После этого сервис улучшил свою защиту от DDoS и, вероятно, следующие атаки не привели к ожидаемому результату. Поэтому в среду злоумышленники атаковали уже DNS-провайдера, из-за чего Tutanota был недоступен в ночь со среды на четверг.

Представители Tutanota заявили, что это прямая атака на неприкосновенность частной жизни. И мы с этим полностью согласны, поскольку Tutanota — один из основных серверов электронной почты со встроенным шифрованием, который юзают в настоящее время более 2 млн. пользователей по всему миру. Видимо, некоторым настолько не нравится возможность людей вести приватную переписку, что они готовы ддосить предоставляющие подобные услуги сервисы.

Ну или вносить их в список запрещенных ресурсов.

​​В начале июня появилась новость о том, что группировка, стоящая за ransomware Maze, объединилась с оператором другого вымогателя Ragnar Locker. Хакеры пообещали, что не только будут совместно использовать некоторые ресурсы, но и делиться опытом в непростом деле рансома.

Если Maze известен как, пожалуй, самый активный вымогатель, то ransomware Ragnar Locker памятно нам тем, что в апреле под его атаку попала компания Energias de Portugal (EDP), одна из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, с которой хакеры потребовали (и похоже, что получили) выкуп в 10,9 млн долларов.

И вот появилось наглядное свидетельство коллаборации вымогателей.

Дело в том, что еще в конце мая авторы Ragnar Locker стали применять интересный способ обхода механизмов антивирусных программ по выявлению вредоносной деятельности ransomware. Сначала хакеры устанавливают в скомпрометированной системе VirtualBox с MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker. Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox, которое считается "белым ПО".

Теперь ту же технологию, как сообщает британский разработчик антивирусов Sophos, стал использовать оператор Maze. Правда если Ragnar Locker загружал MicroXP v0.82, занимающую не сильно много места, то Maze не поскупились на трафик и закачали полезную нагрузку в виде установщика сразу двух версий Windows 7 (32-битной и 64-битной) размером в 733 МБ. Зато это дало им некоторый новый функционал. На подготовку атаки у хакеров ушло шесть дней.

Название компании-жертвы не раскрывается, но, судя по требуемому выкупу в 15 млн. долларов, это компания очень крупная. Так как Sophos говорят, что пострадавшая сторона приняла решение не выплачивать деньги, то очень вероятно, что скоро мы узнаем кто это, когда Maze начнут сливать в паблик украденные данные.

"Вымогатели всех стран, соединяйтесь!" в действии.

Появились подготовленные Правительством РФ предложения по внесению поправок в Федеральный закон "Об информации, информационных технологиях и о защите информации".

Предложения, прямо скажем, нас не вдохновили.

Пункт 2 статьи 10 дополнить абзацами следующего содержания:
"Запрещается использование на территории Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор)
‎Интернет-страницы или сайта в сети "Интернет", за исключением случаев, установленных законодательством Российской Федерации.

Насколько мы понимаем, эти поправки вносятся, поскольку сейчас у сайтов есть возможность спрятаться от показа на оборудовании домена врубив DNS чере https и выписав себе сертификат, где имя домена прописано не будет. Таким образом, можно спрятать любой сайт за клаудфларью и узнать кто такой сайт пошел будет невозможно.

Но, как всегда бывает, это может затронуть и другие сервисы. Например, если выходная нода Tor будет находиться на территории РФ, то такой случай формально подпадает под действие нового запрета.

В США осудили гражданина Великобритании 39-летнего Натана Яатта, члена хакерской группы The Dark Overlord.

Британец получил 5 лет за участие в 2016-2017 годах во взломах пяти коммерческих компаний в целях кражи конфиденциальной информации и дальнейшего вымогательства денег у жертвы. Кроме того он должен компенсировать пострадавшим почти 1,5 млн. долларов.

В 2017 году Яатт был арестован бринатскими правоохранителями, а в 2019 его экстрадировали в США.

Судя по судебным документам, британец отвечал непосредственно за установление контакта с жертвой в целях вымогательства. Преступник из него был так себе, поскольку некоторые из используемых для общения с представителями пострадавших компаний телефонов он зарегистрировал на свое имя.

По сообщению BleepingComputer, итальянская компания Luxottica, которая является крупнейшим в мире производителем очков, подверглась кибератаке, которая привела к остановке операционной деятельности в Италии и Китае.

Luxottica владеет такими брендами очков как Ray-Ban, Oakley, Oliver Peoples, Ferrari, Michael Kors, Bulgari, Armani, Prada и Chanel. Выручка компании в 2019 году составила 9,4 млрд долларов.

В пятницу сайты брендов Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision вышли из строя. Кроме того, оказались недоступны порталы one. luxotrica. com и university. luxottica. com. А вчера итальянские СМИ сообщили, что сотрудники ряда итальянских офисов Luxottica были отправлены домой в связи со "сбоем ИТ-систем".

Что это все напоминает? Совершенно, верно, атаку ransomware. Тем более, что эксперты инфосек компании Bad Packets сообщили журналистам BleepingComputer, что у Luxottica стоял непропатченый Citrix ADX, уязвимый перед CVE-2019-19781.

Это та самая уязвимость, из-за которой была взломана сеть Университетской больницы в Дюссельдорфе, по причине чего умер пациент, не получивший во время неотложную помощь.

Между тем, CVE-2019-19781 была исправлена производителем еще в январе 2020 года. "Эффективная информационная безопасность" во всей красе.

​​Хорошо перед сном выпить бокал выдержанного хакера

Вчера немецкая газета Aachener Zeitung опубликовала статью, в которой со ссылкой на Министерство юстиции Германии сообщила, что за атакой на сеть Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент, стоял вымогатель DoppelPaymer.

И это плохо для России. Сейчас объясним почему.

Дело в том, что считается, что автором ransomware DoppelPaymer является одна из частей пресловутой российской хакерской группы Evil Corp. Эксперты расходятся во мнении какая именно - одни говорят, что это Indrik Spider, другие - что Doppel Spider. Но в любом случае виноватой назначат Россию.

Поскольку последствия атаки в виде гибели человека без сомнения являются тяжкими, то вполне допускаем что вся эта история приведет к новым санкциям со стороны Германии и ЕС. Особенно на фоне обсуждаемых в Евросоюзе по предложению Берлина санкций за атаку на Бундестаг, исполнителем которой немецкие власти считают группу Fancy Bear, предположительно работающую на ГРУ.

Подытоживая - деньги вымогают они, расплачиваться будут все остальные.

​​В американской инфосек индустрии шутят над программой Чистая Сеть, анонсированной в начале августа администрацией Трампа.

И действительно, сходство с "Великой пограничной стеной", за которую заплатит Мексика , весьма велико.

Мы уже не раз говорили, что русскоязычные операторы ransomware (которые составляют большинство) соблюдают негласный запрет на атаки на сети российских организаций.

Но, во-первых, не все владельцы вымогателей говорят на русском языке, а во-вторых, даже среди русскоязычных хакерских групп есть "белые вороны", играющие по своим собственным правилам.

Сегодня Group-IB выпустила отчет о хакерской группе OldGremlin, которая зашифровала сеть крупной медицинской организации (судя по описанию - что-то уровня Гемотест, Инвитро, CMD and so on) с использованием авторского ransomware TinyCryptor и потребовала от жертвы выкуп в 50 тыс. долларов. Причем в ходе предварительной атаки хакеры предусмотрительно удалили резервные копии данных.

Как говорят ГрИБы, фишинговые атаки OldGremlin начались весной этого года. В качестве приманки злоумышленники использовали письма от имени Союза микрофинансовых организаций, стоматологической клиники, журналистов РБК (как в случае с взломанной медицинской компанией) и даже Минского тракторного завода.

В самих фишинговых письмах содержатся авторские бэкдоры TinyNode и TinyPosh. Всего Group-IB зафиксировали 9 фишинговых кампаний. Они говорят, что OldGremlin атакует исключительно российские организации.

Впервые информация про хакеров появилась в августе, когда исследователи Ростелеком-Солар сообщили журналистам РБК о группе, которую они назвали TinyScouts. Group-IB тогда подтвердили данные Ростелекома, заметив, что, в свою очередь, дали злоумышленникам наименование OldGremlin.

Кстати, если в русскоязычной версии отчета ГрИБы называют себя "международной компанией", то в англоязычной версии они уже - "международная компания со штаб-квартирой в Сингапуре". Как бы лол.