Или кураторы Bellingcat плотно сидят внутри сетей владельцев этих баз. Не удивимся совершенно.

Мощное расследование Bellingcat о покушении на Навального. Независимо от самой темы с покушением хотел просто обратить ваше внимание на факт «информации опасносте»: то, насколько просто сторонним людям, не имеющим отношения к власти или правоохранительным органам получить доступ к информации о геолокации, к биллингу операторов, к информации о перелетах других людей. Практически все покупается без особых ограничений, и это, конечно, очень сильно удручает.

https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/

https://navalny.com/p/6446/

​​Продолжая тему взлома SolarWinds.

Во-первых, проблемы с инфосеком у компании были уже давно.

Во-вторых, они остаются и сейчас - даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько затрояненых сборок.

Поставщики NMS для правительственных американских агентств, включая CISA и USCYBERCOM, my ass.

Apple выпустили очередное обновление безопасности для линейки macOS - Big Sur, Catalina и Mojave.

Обновления исправляют 58 уязвимостей, среди которых есть и приводящие к удаленному выполнению кода (RCE), например CVE-2020-27914 или CVE-2020-27941. Большинство ошибок относится к новейшей Big Sur.

И вчера же вышли обновления 14.3 для iOS и iPadOS, среди исправленных уязвимостей также немало таких, которые приводят к RCE (да-да, iOS не железобетонный).

Пользователям яблочных устройств рекомендуем срочно обновиться.

Боже, так у нас давно не бомбило.

Оказывается еще 8 декабря этого года городской суд Благовещенска Амурской области вынес приговор по ч.3 ст. 274.1 УК РФ, первый в стране по этой части статьи - "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации....если оно повлекло причинение вреда критической информационной инфраструктуре".

Мы немного покопались и выяснили, что приговор был вынесен в отношении инженера электросвязи некоего предприятия, по всему понятно, что это Ростелеком, который в нарушение действующих инструкций переслал себе на электронную почту схемы сетей связи предприятия. Он получил 3 года условно.

Не сомневаясь в том, что нарушение действующих инструкций это плохо, мы испытали идиосинкразию по поводу того, что за подобные проступки необходимо давать 3 года лишения свободы, пусть и условно.

Поэтому мы достали из шкафа нашего штатного эксперта-параноика Калерию Петровну, знатока тайных заговоров спецслужб, которая пояснила следующее.

Диспозиция ч.3 ст. 274.1 УК подразумевает "причинение вреда критической информационной инфраструктуре" в качестве обязательного последствия преступного деяния. Собственно, без такового само деяние не является преступным. Причем очевидно, что законодатель при подготовке этой правовой нормы имел в виду нарушение работоспособности этой самой КИИ.

Не понимая, какой вред КИИ может причинить непосредственно пересылка схемы связи себе на почту, мы решили покопать дальше и обнаружили, что этот приговор по ст. 274.1 не первый, который был вынесен в Благовещенске. Удивительно, учитывая то, что статья является весьма экзотической. В июне этого года суд вынес приговор по ч.4 ст. 274.1 УК РФ в отношении гражданина "К", являвшегося руководителем группы активных продаж местного Ростелекома. И тот тоже получил 3 года условно. Интересно за что?

А вот за что. "К" переслал на свой электронный ящик Gmail файлы, содержащие служебную информацию (не секретную, подчеркнем!), в частности адреса и модели телекоммуникационного оборудования (как мы понимаем, коммутаторы и БС-ки). Все! Это оконченный состав преступления!

Как так? А вот так! Раз - пересланная информация является, по мнению следователей и суда, "охраняемой компьютерной информацией субъекта критической информационной инфраструктуры" (но НЕ СОДЕРЖИТСЯ в критической информационной инфраструктуре, как того требует диспозиция ч.3 и ч.4 ст.273.1 УК РФ).

Два - поскольку ящик Gmail находится в "памяти облачного хранилища компании "Google", зарегистрированной в США", то "причинен вред КИИ в виде угрозы нарушения целостности сети связи ПАО "Ростелеком".

По большому счету приговор был вынесен по ч.3 ст. 274, но подсудимому впаяли использование служебного положения, поэтому он и получил ч.4 статьи.

Но самое интересно, что оба уголовных дела сопровождалось УФСБ России по Амурской области. И сразу все становится ясным. Удачно рубанув палку в ходе летнего приговора, амурские чекисты решили поставить это дело на поток и поэтому следующее уголовное дело, которое завершилось несколько дней назад, не заставило себя ждать. Несмотря на явные несоответствия текущей диспозиции статьи 274.1. Полная некомпетентность оперативного состава, следователей и судейского корпуса.

А больше всего у нас бомбит от того, что на фоне этой псевдоактивности в области защиты КИИ, Bellingcat и The Insider, точнее их кураторы, спокойно получают доступ к данным биллинга, базам внутрироссийских перелетов, данным ФМС и пр. И аутистам-контрразведчикам плевать на Flame и Regin во внутренних сетях этих самых субъектов КИИ, им плевать на развитый рынок по торговле украденными базами данных.

Они сажают нарушающих служебные инструкции инженеров.

Возвращаемся к взлому хакерской группой американской IT-компании SolarWinds и последующей атаке на цепочку поставок, которые некоторые эксперты уже называют "атакой десятилетия".

Вчера SolarWinds подала в американскую Комиссию по ценным бумагам (SEC) отчет, в котором сообщила, что из 33 тыс. ее клиентов, использующих скомпрометированное ПО SolarWinds Orion, затрояненое обновление скачали менее 18 тыс. Видимо, компания считает, что таким образом ущерб не очень велик.

Но, на самом деле, это палка о двух концах. Потому что, во-первых, 18 тыс. зараженных сетей это все равно очень много. А во-вторых, это означает, что 15 тыс. клиентов не обновляли Orion, а следовательно и другое используемое ПО в течение больше полугода.

Типичная аксиома Эскобара.

​​Группа исследователей из израильского Университета Бен-Гуриона под руководством Мордехая Гури сообщила о новой интересной атаке на физически изолированные (air-gapped) сети через сигналы Wi-Fi, не требующей наличия Wi-Fi-модуля в атакованной системе. Атака получила название AIR-FI.

Как известно, основным способом атак на физически изолированные сети является использование вредоносов, распространяющихся и проводящих последующую эксфильтрацию украденных данных через USB-носитель.

В новой атаке USB-носитель используется исключительно на первичном этапе для доставки вредоноса на целевую машину. Следующим шагом хакеров является заражение находящегося поблизости от атакованного компьютера подключенного к Интернету устройства с Wi-Fi-модулем на борту, например маршрутизатора.

Далее вредонос собирает интересующую информацию, кодирует ее и использует шину DDR SDRAM для генерации электромагнитных излучений в диапазоне Wi-Fi 2,4 ГГц.

Проведя натурные эксперименты исследователи обнаружили, что таким образом на расстоянии до нескольких метров возможно организовать канал связи на скорости от 1 до 100 бит/с. Скорость небольшая, но для передачи сжатого текста хватит.

В качестве контрмер израильтяне предлагают использовать клетку Фарадея для подавления электромагнитных волн, производимых компонентами физически изолированной системы.

Вообще говоря, это не первая атака на air-gapped сети, использующая электромагнитные, оптические, акустические и тепловые составляющие, но менее актуальной она от этого не становится. Группа Мордехая Гури на протяжении многих лет занимается разработкой таких атак и на их странице можно ознакомиться с результатами этих исследований. Это очень интересно. Подумываем даже делать отдельные ретроспективные обзоры на такие способы атак.

​​На прошлой неделе мы писали про то, как Facebook раскрыла компанию CyberOne Group, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Тогда никаких технических подробностей не было сообщено.

Теперь же к утверждению Facebook присоединилась Group-IB, сообщив вкрации (да, мы и так можем!) основные моменты атрибуции, полученные с помощью своей новой системы Threat Intelligence & Attribution. Good job!

Google опять поплохело.

Как мы помним, в понедельник многие сервисы Google, включая YouTube и Gmail, испытывали проблемы с аутентификацией пользователей. Компания в течение нескольких часов восстановила работоспособность сервисов и сообщила, что проблемы были связаны со сбоями в автоматизированном хранилище системы управления квотами, вследствие чего снизилась пропускная способность системы аутентификации.

Однако, сегодня ночью Google опять стал испытывать проблемы с доступом пользователей к Gmail. Для исправления понадобилось два с половиной часа.

И вот тут мы грешным делом подумали - а не случилось ли? В смысле, не поломал ли часть гугловской сети лихой оператор ransomware? И теперь Google скачут по бэкапам, стараясь восстановить работоспособность сервисов. В конце концов, многомиллиардные компании, в том числе из IT-сектора, уже ломали, чем Google лучше/хуже?

Очередные новости про атаку на цепочку поставок через взлом американской IT-компании SolarWinds.

Американский сенатор Ричард Блументаль написал в Twitter, что его оглушил и даже испугал "сегодняшний засекреченный брифинг о кибератаке России". Некоторые комментаторы тут же побежали размахивать этим твитом как первым официальным подтверждением со стороны американских властей причастности русских хакеров к атаке на SolarWinds.

Однако, призываем углепластиков охладить трахание.

Во-первых, сенатор Блументаль тот еще умелец не мешки ворочать - в следующем же твите он обвиняет Трампа в ветировании увеличения оборонного бюджета США по причине того, что Дональд - друг Путина и не хочет противостоять русским хакерам. Вряд ли это можно считать официальным признанием американских властей близкой дружбы Путина и Трампа.

А во-вторых, он не только демократ, но и близкий кореш Хилари Клинтон. А как говаривал Швейк, "эти знатные баре в большинстве случаев педерасты".

Но заход интересный.

Группа Unit42 инфосек вендора Palo Alto Networks опубликовала отчет о новом штамме вредоносов, который получил название PyMICROPSIA.

Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.

PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.

Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.

Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.

#APT #DesertFalcons

Жаба и гадюка

Facebook организовывает кампанию против Apple

Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.

Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.

Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».

Сама же Apple, в ответ на это, отложила введение новых правил.

​​И опять новости про взлом хакерами американского IT-поставщика SolarWinds.

Оказывается, на странице технической поддержки SolarWinds (ныне почищенной) был совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion (которая как раз и была заражена трояном).

Единственное выражение, которым мы можем охарактеризовать происходящее с учетом уже известных проблем в инфосеке SolwarWinds - "х...й, пи...да и Джигурда".

Мы, как обычно, активно интересуемся вопросом безопасности промышленных систем управления (ICS) и не просто так. Специфика использования различных устройств OT (operation technology) и IoT в ICS предполагает весьма трудоемкие процессы их обновления и замены, зачастую связанные с остановкой технологического процесса, в котором они задействованы.

В результате бреши в информационной безопасности ICS не закрываются годами.

Летом прошлого года инфосек компания Armis обпуликовала данные в отношении набора из 11 уязвимостей в операционной системе VxWorks, на которой работают более 2 млрд. устройств в промышленных, медицинских и корпоративных информационных системах. Среди затронутых - SCADA-системы, лифтовое оборудование, программируемые логические контроллеры (PLC), медицинские аппараты МРТ и многое другое оборудование. Исследователи назвали этот набор уязвимостей Urgent/11.

Ресерчеры Armis сравнивали Urgent/11, позволяющий хакеру взять устройства OT под полный контроль, по масштабу критичности с известным эксплойтом EternalBlue, приведшем к эпидемии WannaCry в 2017 году. Шесть уязвимостей из набора приводили к RCE.

Еще одним набором из пяти критических уязвимостей, опубликованных и исправленных в феврале этого года, является CDPwn. Ошибки содержались в протоколе CDP оборудования Cisco и затрагивали все IoT устройства производства этой компании - коммутаторы, маршрутизации, IP-камеры и пр.

Теперь же Armis опубликовали свежий отчет, в котором сообщили, что, согласно их анализу, 97% OT-устройств, подверженных Urgent/11, и 80% IoT-устройств, подверженных CDPwn, за прошедшее время не были обновлены до безопасного состояния.

И это, господа, без всякого преувеличения - жопа. Особенно учитывая то, что, по заявлению исследователей, совместное использование хакерами Urgent/11 и CDPwn способно привести к реализации атаки подобной Stuxnet.

Собственно, это все, что надо знать об информационной безопасности промышленных объектов. Похоже, без нового Бхопала все-таки не обойдется.

—Партнерский пост—

В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.

Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.

Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!

Это канал, на который должен быть подписан каждый безопасник: https://yangx.top/dataleak

​​Именно так должен встречать Новый Год любой специалист по информационной безопасности!

​​Последние скандальные "журналистские расследования", независимо от их содержания, в очередной раз высветили проблему торговли в России конфиденциальными данным, в том числе составляющими тайну связи.

Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.

Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.

Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.

И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.

И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.

Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.

Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.

Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.

Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.

И опять про взлом SolarWinds.

Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.

Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.

Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.

А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.

Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.

По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.

Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.

Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.

#APT #TA428