Почти месяц прошел с тех пор, как американцы из инфосек компании FireEye сообщили о вскрытии кибероперации Sunburst, в ходе которой неустановленная хакерская группа скомпрометировала американского разработчика ПО SolarWinds и засунула троян в его NMS Orion, который затем попал к тысячам клиентов. Эта киберкампания без сомнения претендует на звание года, а то и десятилетия (хотя тут нарисовался на днях другой кандидат, но об этом в конце поста).

С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.

И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.

Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.

Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.

Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.

А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.

Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.

Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью - они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWinds, чужих флагов. Последнее в наше время уже не является экзотикой.

Что же касается другого кандидата на взлом десятилетия, о котором мы сказали в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно мы поговорим завтра.

Румынские исследователи из инфосек вендора Bitdefender выпустили бесплатный декриптор для файлов, зашифрованных ransomware Darkside.

Darkside вышел на широкий рынок путем использования схемы Ransomware-as-a-Service в ноябре прошлого года. До этого появившийся в августе 2020-го вымогатель использовался исключительно создателями. Основная цель - крупные корпоративные сети.

Это тот самый вымогатель, владельцы которого пожертвовали осенью 2020 года по 10 тыс. долларов двум благотворительным организациям.

Румыны - молодцы.

​​Когда мы вчера писали про то, что цензура, введенная ведущими западными соцсетями и сервисами против Трампа и его сторонников, является штукой обоюдоострой и может быть использована в обе стороны, то не думали, что так быстро начнется.

Вчера провайдер Your T1 WIFI из Северного Айдахо заблокировал доступ к Facebook и Twitter из-за проводимой ими цензуры.

Понятно, что это пока лишь жалкое начало, но слово сказано. Теперь у нас будут "цензура государственная", "цензура коммерческая", "цензура за цензуру", "цензура за признание цензуры", "цензура за отрицание цензуры" и пр. и пр.

Похоже американские демократы таки выбили сливную пробку, пошло по трубам.

CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.

Американские исследователи,участвующие в расследованиии кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.

Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.

Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.

CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.

Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.

А пока что Sunburst выглядит все более впечатляющей операцией.

А вы в курсе, кстати, что ЦРУ на днях провело ребрендинг?

И пока пользователи сети во всю упражняются в остроумии, проводя параллели между новым логотипом и техно-музыкой, мы, в силу своей профдеформации, наблюдаем в нем аллюзии на сферу высоких технологий, а именно - на информационные войны.

Означает ли это, что маски окончательно сброшены и APT Longhorn расчехляют свои эксплойт-киты?

Вчера обещали написать пост про возможный взлом JetBrains и вот пишем.

6 января New York Times выпустили статью, в которой в свойственной им манере расписали, что (согласно источникам, конечно) американские спецслужбы и инфосек исследователи изучают возможность использования хакерами предварительно компрометации чешской компании JetBrains в ходе дальнейшего проникновения в сеть SolarWinds.

Мы не зря сравнили такой взлом с "атакой на цепочку поставок в квадрате" - JetBrains это разработчик инструментов для разработки программного обеспечения. В частности, Team City, которую упоминали NYT, является инструментом обеспечения непрерывной интеграции, который выпускается с 2006 года и используется тысячами разработчиков по всему миру. Особенно Team City популярен у разработчиков приложений под Android.

В случае удачной атаки на внутреннюю инфраструктуру JetBrains хакеры получают возможность компрометации большей части использующих их инструменты разработчиков, а далее - взлома уже их клиентов. Потенциальные последствия - катастрофические.

Но поскольку журналисты NYT не изменяют своим привычкам, то материал они подали крайне претенциозно и без какой-либо приличной фактуры. За что были тут же подвергнуты остракизму со стороны инфосек сообщества - им указали и на отсутствие доказательств, и на расплывчатость формулировок, и даже на "беспочвенные передергивания".

Сами же JetBrains в лице генерального директора Максима Шафирова оперативно дали несколько комментариев, в которых отрицали какие-либо обращения к ним в связи с компрометацией Team City.

Офигевание инфосек сообщества можно понять. Team City и другие инструменты JetBrains используются разработчиками повсеместно и возможная их компрометация хакерами выглядела бы как если бы белорусские партизаны развернули свою оперативную базу во дворе личного штаба рейхсфюрера СС, насадили бы картошки и периодически переманивали бы эсэсовцев (естественно, эта аллегория приведена нами безотносительно сравнений плохой-хороший).

Однако, не все так просто. Материалы про расследование со стороны ФБР возможной компрометации JetBrains дали не только журналисты NYT, но и другие авторитетные американские издания. Например, Reuters, которая, кстати, первой написала про взлом SolarWinds.

Поэтому вполне возможен вариант, что это был целенаправленный слив информации со стороны американских следователей в случае, когда официального заявления сделать они не могут по тем или иным причинам. И если компрометация JetBrains действительно была осуществлена хакерами, то это спокойно может потянуть на ту самую плашку "взлом десятилетия".

​​Microsoft выпустили январское обновление безопасности для своих продуктов. Исправлены 83 уязвимости, десять из которых являются критическими.

Самое важное - это устранение 0-day уязвимости в антивирусном продукте Microsoft Defender, эксплуатация которой приводила к удаленному выполнению кода (RCE). По имеющимся данным, она активно использовалась в дикой природе.

Ошибка, получившая название CVE-2021-1647, сидела в движке Malware Protection. Microsoft, как обычно, технических подробностей не дает, поэтому точных данных о тонкостях эксплуатации уязвимости нет. И в то время пока одни говорят, что для эксплуатации ошибки пользователь должен открыть специальным образом созданный вредоносный документ, другие эксперты сообщают, что эксплойт на самом деле является 0-click и не требует никакой активности со стороны пользователя, достаточно просто доставить документ в систему.

Так что если вы используете Microsoft Defender - срочно обновитесь. А лучше используйте более качественные антивирусные продукты.

Команда Google Project Zero начала публиковать материалы серии "В дикой природе", в которой рассказывает про свою новую программу выявления эксплуатации 0-day уязвимостей, как логично предположить, в дикой природе.

В рамках цикла из шести статей исследователи рассказывают про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Напомним, что этот вид атаки означает компрометацию сторонних ресурсов для последующего заражения посещающих их конечных пользователей.

Исследователи сообщают про два обнаруженных сервера, с которых распространялись цепочки эксплойтов направленные на пользователей Windows и Android соответственно.

Среди использовавшихся первым сервером эксплойтов было четыре 0-day - одна эксплуатируемая уязвимость была в движке JavaScript Chrome и три в Windows (все были исправлены весной 2020 года). При этом, отследив хронологию заражений с 2015 года, исследователи сделали вывод, что как минимум эксплойты еще двух уязвимостей использовались в тот момент, когда они были 0-day.

Среди эксплуатировавшихся уязвимостей под Android не было ни одной новой и неизвестной. Вместе с тем, Google Project Zero полагают, что это связано не с недостаточным техническим оснащением хакерской группы, а с тем, что найденный сервер был предназначен именно для случаев, когда старых уязвимостей хватало. Потому что качество используемых другим сервером эксплойтов под Windows и общий уровень организации процесса заражения свидетельствовал о крайне высокой степени подготовки актора. Поэтому ресерчеры предположили, что есть как минимум еще один сервер с 0-day эксплойтами под Android, который они просто не смогли найти.

Более того, хакеры настроили сложную систему таргетинга, когда для разных жертв использовались различные комбинации эксплойтов, причем принципы этого ранжирования жертв исследователи определить не смогли.

Project Zero резюмирует, что обнаруженные сервера являются частью хорошо спроектированной системы с множеством новых методов эксплуатации, продуманным логированием, сложными методами постэксплуатации, а также с большим объемом проверок, направленных на избежание обнаружения вредоносной деятельности.

Переводя на русский - Google нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но, судя по отсутствию каких-либо упоминаний в отношении возможной атрибуции этой активности, исследователи получили лишь небольшую часть информации, не позволившей сделать им хоть какие-то выводы относительно источника и целей вскрытой киберкампании.

Сериал "Взлом SolarWinds и все-все-все" продолжается.

В сети появился сайт solarleaks .net, на котором якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. Сайт имеет зеркало в Даркнет.

На сайте объявляется о продаже:
- части исходных кодов Windows и различных репозиториев Microsoft за 600 тыс. долларов (ранее Microsoft признали утечку части своего кода);
- исходников продуктов Cisco за 500 тыс. долларов;
- исходников продуктов SolarWinds и дампа их клиентского портала за 250 тыс. долларов;
- redteam инструментария, исходных кодов и документации FireEye всего за полсотни тысяч долларов (ранее FireEye также признали факт утечки).

Все вместе стоит 1 млн. долларов. На следующей неделе обещают продолжить выкладывать украденную информацию.

Пока окончательно непонятно, мошенники ли это или настоящая хакерская группа, стоящая за взломом SolarWinds. Хотя указанный для связи адрес электронной почты недоступен, некоторые инфосек эксперты полагают, что характер продаваемой информации, а именно отсутствие каких-либо данных государственных органов, может указывать на подлинность сайта.

Журналисты ZDNet на фоне скандала с изменением политики конфиденциальности WhatsApp и последовавшим за этим массовым исходом пользователей в сторону Signal и Telegram, решили сравнить какую информацию собирают эти мессенджеры, а также Facebook. Благо новые правила Apple для разработчиков приложений позволяют получить такие данные.

С полной информацией можно ознакомиться по ссылке, но кратко можно сказать так. Facebook тащит вообще все до чего можно дотянуться, WhatsApp скромнее, но объем собираемых сведений все равно велик, Telegram собирает только имя, телефонный номер, контакты и идентификатор пользователя, а Signal интересуется исключительно телефонным номером.

По нашему мнению, в этих условиях выбор очевиден, хоть и вариативен.

Сейчас мы выступим, пожалуй, в несвойственной нам роли, но тем не менее рискнем.

Говорим мы про следующую новость - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и полностью поддерживает уголовное преследование в отношении причастных к этому лиц.

При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено.

И вот тут мы выступим в роли адвоката дьявола.

Если в ходе утечки данных были засвечены личные сведения, например, добровольцев, участвовавших в клинических испытаниях вакцин, - это однозначно плохо и должно быть наказано. А вот если этого не было и утекла исключительно информация в отношении тех или иных аспектов разработки, производства или проверки вакцин и лекарств от COVID-19, то, как говорят в Одессе, "это две большие разницы".

Потому что получается, что закон и принятые в инфосек отрасли нормы морали в данном случае по сути защищают интересы владельцев фармы, и так купающихся в деньгах, за счет здоровья и жизни других представителей человеческого рода, населяющих земной шар. Пусть и не столь привилегированных.

Можно ли преследовать хакера, если он украл и обнародовал тщательно скрываемые данные о вакцине, способные помочь в ее производстве третьими странами и спасти в результате миллионы жизней? Или dura Lex, sed Lex? И чем мы тогда отличаемся от обезьян из байки про "Потому что тут так заведено"?

Как говорят в сети, согласно теории струн должно существовать 10 в 50 степени вселенных.

Интересно, среди них есть хоть одна, в которой в России надлежащим образом занимаются вопросами информационной безопасности?

Касаемо вчерашней истории с абсолютно незащищенной сетью РЖД можем сказать только одно - пока причастные топ-менеджеры не начнут нести за такое раздолбайство персональную ответственность, ничего не изменится.

В данном случае, КНК, директор по ИТ и директор по ИБ РЖД должны быть отправлены с голой жопой на мороз, а их куратор из числа руководителей компании получить неполное служебное. И это тот минимум, который необходим.

Популярность Signal выросла на 4200% после изменения политики WhatsApp

С 6 по 10 января мессенджер Signal скачали почти 7,5 млн раз. Это на 4200% больше, чем на предыдущей неделе.

Причиной этому стало изменение политики конфиденциальности WhatsApp.

Самым крупным источником загрузок для Signal стала индия — в этой стране приложение скачали более 2,3 млн раз.

На втором месте для роста Signal стали США, от части благодаря твиту Илону Маска.

К слову, Telegram тоже начинает набирать популярность в этих странах.

А тут очередная дикая уязвимость в Windows 10 нарисовалась.

Мы, честно говоря, ее пропустили, поскольку информация появилась еще на новогодних каникулах, но BleepingComputer напомнили.

Исследователь Джонас Л., который уже не в первый раз портит настроение Microsoft сообщил, что обнаружил уязвимость в драйвере NTFS, благодаря которой всего одной строкой можно повредить жесткий диск и отправить машину в ребут.

Джонас Л. говорит, что ошибка появилась еще в апреле 2018 года и до сих пор не исправлена. Для ее эксплуатации не требуется повышения локальных привилегий. Не до конца понятно, всегда ли поврежденный жесткий диск будет восстановлен. Судя по всему, в некоторых случаях возможно повреждение MFT (NTFS Master File Table).

Уязвимость заключается в некорректной обработке одного из атрибутов NTFS, попытка доступа к которому мгновенно повреждает винчестер (PoC приведен в статье BleepingComputer, мы не стали его давать, если хотите попробовать на свой страх и риск - ищите там).

Самое интересное, что вредоносная команда может быть спрятана в ярлык Windows, который даже нет необходимости открывать. Ошибка срабатывает при простом открытии папки, содержащей этот ярлык.

Способов эксплуатации множество, в том числе удаленные. К примеру, можно спрятать ярлык среди других файлов в ZIP-архив, который пройдет все антивирусные проверки и будет повреждать жесткий диск при каждой распаковке.

Ждем апдейта от Microsoft.

Журналисты ZDNet выпустили очередной список лучших сервисов VPN.

Всего рассмотрено 13 VPN-сервисов, в числе кратких характеристик имеются "Наличие функции Kill Switch" (а кто-то пользуется VPN без нее?) и "Логирование".

Как обычно не хватает рассмотрения возможности оплаты сервиса с помощью криптовалют, в наше время это весьма важно.

В общем, учитывайте при планировании мер по поддержке своей конфиденциальности.

Между тем кто-то запилил сайт solarleak .net, который с точностью копирует появившийся вчера сайт solarleaks .net. За исключением другого Monero ID.

Напомним, что на solarleaks .net якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. По мнению некоторых инфосек экспертов вполне возможно, что этот сайт принадлежит настоящим взломщикам SolarWinds.

Вор у вора дубинку украл!

Прелестная история от Infosecurity Magazine.

В 2016 году американский суд приговорил косовского хакера Ардита Феризи, известного как Th3Dir3ctorY, к 20 годам тюремного заключения за то, что последний взломал некое американское правительственное учреждение и передал ИГИЛовцам персональные данные более чем 1000 сотрудников. Если подумать - преступление более чем серьезное.

Но поскольку по политическим соображениям косовские хакеры менее токсичны чем, например, русские или иранские, то в декабре 2020 года Феризи сказал американскому судье Леони Бринкему "Мамой клянусь, жирный был и астмой страдал! Отпустите меня, дяденька, домой!", а последний ему поверил и скромно сократил срок тюремного заключения с 20 лет до 4. Правда, обязал отмечаться у косовских участковых целых десять лет по прибытию.

Довольный Феризи уже ожидал депортации в родные перди, когда ФБР сообщило, что в период пребывании в федеральной тюрьме в штате Индиана в 2017-2018 гг. албанец не только от страдал ожирения и астмы, но и продолжил мошеннические действия с личными данными с помощью своего родственника из Косово. Возможно, решил перенять передовой российский опыт и открыть филиал Службы Безопасности Bank of America и JPMorgan Chase прямо по месту отбывания наказания.

Теперь ему грозит новые 22 года заключения и штраф в 250 тыс. долларов. Но, судя по либеральности американской фемиды, может отделаться 15 сутками и тремя "Извините!".

Исследователи словацкого инфосек вендора ESET выпустили отчет о выявленной в 2020 году кибероперации Spalax, направленной исключительно на колумбийские правительственные и коммерческие организации.

Первичным вектором атаки является фишинговая компания, в к ходе которой пользователь должен вручную перейти по ссылке, скачать архив с вредоносом, распаковать и запустить его. Естественно, вредонос замаскирован под легальное приложение.

В результате пользователь собственноручно устанавливает себе на машину дроппер, который затем подтаскивает один из RAT (троян удаленного доступа) - Remcos, njRAT и AsyncRAT.

В качестве приманок выступают, как правило, какие-либо уведомления - о нарушении ПДД, о явке на судебное заседание и пр.

Используемая в ходе кибероперации Spalax инфраструктура весьма обширна. Одних только IP-адресов, которые являются или управляющими центрами или взломанными сайтами, использующимися как прокси, словенцы насчитали 24 штуки. Предполагается, что ранее хакеры использовали еще минимум 40 IP-адресов. Почти все они находятся в Колумбии, а поэтому вероятнее всего это все-таки прокси.

Используемые в ходе Spalax трояны можно найти в паблике и атрибуции они не помогают. А вот один из дропперов является авторским и приписывается инфосек компанией Lab52 хакерской группе APT-C-36, она же Blind Eagle. Эта APT отслеживается китайским инфосек вендором Qihoo 360 c 2018 года и атрибутируется как прогосударственная, цели - колумбийские организации.

Исследователи ESET отметили наряду с невысокой технической подготовкой хакеров прекрасное знание испанского языка, а так же то, что наряду с кибершпионажем Spalax, похоже, преследует и коммерческие цели.

И у нас есть более чем обоснованное предположение, кто бы мог стоять за Blind Eagle. Рядом с Колумбией расположилась бедная, но гордая испаноязычная страна Венесуэла, которая находится в остром геополитическом конфликте с колумбийцами. Вплоть до того, что родина наркобаронов забрасывает на территорию Венесуэлы диверсионные группы, при поддержке США, разумеется.

А еще у последователей Уго Чавеса в последние годы непрекращающийся экономический кризис, обоснованный, в первую очередь, эмбарго со стороны США и его сателлитов. Поэтому гордые венесуэльцы вполне могут по примеру товарищей из КНДР наряду с кражей информации промышлять и пополнением своего госбюджета за счет наркоманских капиталистов из Колумбии.

При всем при этом им хватает умений в OpSec, чтобы не оставлять следов, с помощью которых можно однозначно атрибутировать принадлежность APT.

P.S. Орейро - клевая!

Перуанский исследователь CryptoInsane разметил сегодня в Twitter два сообщения, в которых сообщил об утечках данных.

Первое - об утечке информации о вакцине от COVID-19 производства компании Pfizer. Ссылки на конкретный ресурс он не дал, однако в комментариях упоминается сайт утечек ransomware Conti.

Во втором - скрин, на котором якобы изображены архивы redteam инструментария инфосек компании FireEye, похищенные в декабре во время атаки Sunburst. Возможный источник - сайт solarleaks. net, но точной информации нет.

Будем наблюдать.