Жаба и гадюка

Facebook организовывает кампанию против Apple

Это связано с тем, что по заявлению Facebook изменения политики сбора данных в новой iOS 14 вредны для малого бизнеса.

Заметки из этой кампании Facebook планирует разместить в крупных американских газетных журналах, включая New York Times и Wall Street Journal.

Известно, что они будут опубликованы под заголовком «Мы выступаем против Apple и за малый бизнес во всем мире».

Сама же Apple, в ответ на это, отложила введение новых правил.

​​И опять новости про взлом хакерами американского IT-поставщика SolarWinds.

Оказывается, на странице технической поддержки SolarWinds (ныне почищенной) был совет пользователям отключить антивирусное сканирование файлов и папок NMS Orion (которая как раз и была заражена трояном).

Единственное выражение, которым мы можем охарактеризовать происходящее с учетом уже известных проблем в инфосеке SolwarWinds - "х...й, пи...да и Джигурда".

Мы, как обычно, активно интересуемся вопросом безопасности промышленных систем управления (ICS) и не просто так. Специфика использования различных устройств OT (operation technology) и IoT в ICS предполагает весьма трудоемкие процессы их обновления и замены, зачастую связанные с остановкой технологического процесса, в котором они задействованы.

В результате бреши в информационной безопасности ICS не закрываются годами.

Летом прошлого года инфосек компания Armis обпуликовала данные в отношении набора из 11 уязвимостей в операционной системе VxWorks, на которой работают более 2 млрд. устройств в промышленных, медицинских и корпоративных информационных системах. Среди затронутых - SCADA-системы, лифтовое оборудование, программируемые логические контроллеры (PLC), медицинские аппараты МРТ и многое другое оборудование. Исследователи назвали этот набор уязвимостей Urgent/11.

Ресерчеры Armis сравнивали Urgent/11, позволяющий хакеру взять устройства OT под полный контроль, по масштабу критичности с известным эксплойтом EternalBlue, приведшем к эпидемии WannaCry в 2017 году. Шесть уязвимостей из набора приводили к RCE.

Еще одним набором из пяти критических уязвимостей, опубликованных и исправленных в феврале этого года, является CDPwn. Ошибки содержались в протоколе CDP оборудования Cisco и затрагивали все IoT устройства производства этой компании - коммутаторы, маршрутизации, IP-камеры и пр.

Теперь же Armis опубликовали свежий отчет, в котором сообщили, что, согласно их анализу, 97% OT-устройств, подверженных Urgent/11, и 80% IoT-устройств, подверженных CDPwn, за прошедшее время не были обновлены до безопасного состояния.

И это, господа, без всякого преувеличения - жопа. Особенно учитывая то, что, по заявлению исследователей, совместное использование хакерами Urgent/11 и CDPwn способно привести к реализации атаки подобной Stuxnet.

Собственно, это все, что надо знать об информационной безопасности промышленных объектов. Похоже, без нового Бхопала все-таки не обойдется.

—Партнерский пост—

В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.

Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.

Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция дает только проверенную информацию!

Это канал, на который должен быть подписан каждый безопасник: https://yangx.top/dataleak

​​Именно так должен встречать Новый Год любой специалист по информационной безопасности!

​​Последние скандальные "журналистские расследования", независимо от их содержания, в очередной раз высветили проблему торговли в России конфиденциальными данным, в том числе составляющими тайну связи.

Сразу скажем, что искоренить продажу одиночных биллингов не получится, наверное, никогда. Суть проблемы в том, что первичным звеном в этом процессе являются сотрудники многочисленных call-центров сотовых операторов. Эта работа является не сильно квалифицированной и малооплачиваемой, основной рабочий состав - студенты, текучка кадров просто бешенная. И когда к очередному оператору через соцсети подкатывает аноним с предложением пробить телефонный номер за штукарь, то работник, имеющий месячную зарплату в 15 тысяч, зачастую соглашается. Ну а там недалеко и до биллингов.

Конечно, этих операторов call-центров периодически крепят и дают им пару лет условно - коллеги из Утечек информации регулярно про это пишут. Но, к сожалению, организаторы схемы практически всегда остаются безнаказанными, это же не инженеры электросвязи, их искать надо.

Вместе с тем, очевидно, что, например, в последнем расследовании про недотравление Навального авторы материала (мы по прежнему полагаем, что это никакие не журналисты, а, скорее всего, товарищи из британского Центра правительственной связи (GCHQ) не только покупали единичные биллинги, но и проводили анализ массивов данных, таких как базы перелетов.

И это, с нашей точки зрения, одна из основных проблем информационной безопасности России - когда оператор БД или другое ответственное лицо может не только осуществить единичный поисковый запрос, но и выкачать базу целиком или по частям.

И потенциальным решением проблемы может стать применение полного гомоморфного шифрования (FHE). Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом.

Полное гомоморфное шифрование может использоваться для обеспечения конфиденциальности данных при их обработке в непроверенных средах. Трудности же были в том, что быстродействие FHE было очень низким.

Летом мы писали, что IBM объявили о создании инструментария для полного гомоморфного шифрования, который способен эффективно работать на своевременных вычислительных мощностях.

Вчера IBM сообщили, что запустили сервис тестирования FHE для предприятий. Конечно, скорость еще далека от идеальной, секунды на бит, но это уже может быть применимо для реализации некоторых сценариев. IBM обещают, что со временем она будет только повышаться. Плюс к этому, IBM пытаются прикрутить к FHE "криптографию на решетках", чтобы противостоять возможности взлома квантовыми компьютерами.

Технология очень перспективная и важная. Мы не призываем ответственные госорганы использовать решения компании IBM, в конце концов это не нативная реклама. Но присмотреться к полному гомоморфному шифрованию они просто обязаны. А вот компаниям из коммерческого сектора ничто не мешает распробовать FHE от IBM самим.

И опять про взлом SolarWinds.

Хотим сразу сказать подписчикам, что новостей, связанных с этой атакой сейчас очень много, такое ощущение, что половина инфосек сообщества только это и обсуждает. И про все мы написать, к сожалению, не сможем, потому что тогда в ленте будет один SUNBURST.

Но иногда всплывают и интересные подробности. Наш подписчик подсказывает, что часть ПО SolarWinds пишется на аутсорсе в Белоруссии. И действительно, оказывается в бизнес-центре "Велком" по адресу г. Минск, ул. Интенациональная 36, базируется белорусский офис SolarWinds , в котором трудятся около 100 разработчиков.

Не знаем, пишут ли в Минске конкретно NMS Orion, которая была взломана, но налицо явные проблемы с DevSecOps у компании, которая является поставщиком IT-решений для множества американских правительственных организаций.

А пока все обсуждают компрометацию SolarWinds, появились данные о другой атаке на цепочку поставок, в ходе которой был взломан ни много ни мало сайт правительства Вьетнама.

Во Вьетнаме широко распространены цифровые подписи. Одним из удостоверяющих центров является Вьетнамский государственный центр сертификации (VGCA), который подчиняется местному Минсвязи. VGCA, помимо прочего, разрабатывает и распространяет инструментарий для цифровой подписи, используемый как государственными организациями, так и частным сектором.

По информации словацкого инфосек вендора ESET, в период, по меньшей мере, с 23 июля по 16 августа этого года сайт ca .gov .vn был скомпрометирован и на нем были размещены два зараженных бэкдором Smanager установщика.

Smanager, согласно данным инфосек компании NTT Security, является разновидностью RAT Tmanager, используемого китайской APT TA428.

Информацию в отношении этой атаки на цепочку поставок ESET получили в начале декабря, после чего уведомили о ней VGCA и вьетнамский CERT. Вьетнамцы подтвердили, что уже в курсе взлома и все затронутые пользователи были уведомлены.

#APT #TA428

​​Американский исследователь Chuong Dong сделал хороший и большой разбор ransomware Conti v2, в частности описал процесс многопоточного шифрования, за счет которого вымогатель достигает большой скорости работы.

Если интересуетесь ransomware - ознакомьтесь.

P.S. Интересная фича в изучаемом образце Conti - если запустить вымогатель в отдельной папке с ключом "-p название папки", то он зашифрует только ее содержимое. Похоже, хакеры сделали ее для тестирования ransomware и забыли убрать из релиза.

Евгений Валентинович Маск, основываясь на теории чисел, вангует нам счастливый 2021 год.

Теперь, если что, вы знаете с кого спросить...

​​​Журналисты таблоидов New York Fakes и Washington Toast фанатично добивают свой авторитет, навешивая solarwindsгейт на ГРУ (несмотря на всеобщий WTF от профессионального киберсек-сообщества). Тем временем мимо их внимания набухла другая интересная история, которая, по понятным причинам политического заказа, вряд ли найдёт отражение на страницах этих изданий. Просто потому, что история касается израильской компании NSO Group, а к ней русских хакеров не пришьёшь.

Канадские правдорубы из Citizen Lab выявили масштабную кибератаку против сотрудников катарских телеканалов Al Jezeera и Al Arabi TV с использованием мобильного трояна Pegasus. Всего 37 человек.

Благодаря трояну NSO Group могла передавать заказчикам (о них речь ниже) геоданные жертв, мгновенные снимки с камеры, содержание зашифрованных голосовых звонков, живые записи с микрофона и пароли для доступа к другим сервисам.

Атака проводилась на мобильные устройства Apple с помощью зеродей-уязвимости в службе мгновенных сообщений iMessage. По всей видимости, уязвимость находилась на боевом дежурстве с 2016 года и была пофиксена только в самой свежей версии iOS 14.

Атаку вычислили при помощи установки VPN-приложения на iPhone одного журналиста, который подозревал, что его устройство взломано. После этого специалисты Citizen Lab проанализировали логи и метаданные и выявили соединение с сервером, который ранее засветился как один из серверов NSO Group. Любопытно, что перед установкой Pegasus на смартфоне была обнаружена аномальная активность, связанная с обменом данными между процессом imagent (один из компонентов iMessage и Facetime) и iCloud. Рисёрчеры считают, что именно здесь использовалась зеродей-уязвимость.

А кто же заказчики? Citizen Lab указывают на спецслужбы Саудовской Аравии и ОАЭ. Кибератака вполне вписывается в раскладку ближневосточной мышиной возни между этими странами и Катаром.

​​​Болгарский рисёрчер Георгий Герганов выложил на GitHub новую версию утилиты Keytap для распознавания набранного на клавиатуре текста по акустическим колебаниям.

Характеристики первой версии имели слишком требований и допущений, из-за чего Keytap сложно было назвать прикладой даже уровня PoC. Для её тренировки нужно было точно знать, что печатает человек, чтобы различать слова по характерным кликам. Сами понимаете, что это накладывает на разведывательную работу ограничение практически заградительного плана. Но теперь рисёрчер уверяет, что ему удалось прикрутить словари и таким образом акустическая палитра сравнивается с подходящими сочетаниями. Остаётся лишь одно но - нужно точно знать, на каком языке пишет объект.

Сопроводительное видео свидетельствует, что утилита действительно работает. Что-то нам говорит, что она вполне себе будет работать и в не самых лабораторных условиях. А ещё что-то нам говорит, что спецслужбы многих стран сейчас мило улыбнулись. Согласитесь, странно если такая очевидная штука до сих пор не была разработана.

​​Рисёрчер Henri Nurmi из финской компании F-Secure продемонстрировал способ перехвата мастер-ключа шифрования сервиса Windows BitLocker через SPI шину.

Способ основан на давно известной архитектурной "фиче", связанной с отсутствием дефолтной защиты соединения между центральным процессором и Trusted Platform Module, отвечающего за хранение ключа. Таким образом атакующий может перехватить данные различными путями, например, через LPC или I²C шину. Горячие финские парни обогатили этот список ещё одним способом.

Для эксперимента Henri Nurmi раскурочил относительно свежий ноутбук Dell и продемонстрировал, что flash-микросхема, которая используется для хранения микрокода прошивки и TPM-микросхема висят на одной SPI шине. Дальше в ход пошёл логический анализатор Saleae, программа декодирования сигнала с кастомным высокоуровневым анализатором и немного мозга.

Но на этом рисёрчер не остановился. Оказалось, что от PoC до взлома BitLocker на потоке рукой подать. При помощи доступного инструментария можно получить доступ к содержимому зашифрованного диска всего за три шага: перехватываем мастер-ключ через SPI шину, подключаем диск к другому компьютеру (или перегружаемся со специальной флэшки), расшифровываем и монтируем диск.

А пока консорциум за спиной TPM не прикрутил к чипсету защиту по умолчанию, мы настоятельно рекомендуем использовать модуль с PIN-кодом или загрузочным ключом.

​​В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.

Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.

Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе,не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.

Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.

Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.

​​И в продолжение темы атаки SUNBURST.

Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.

Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.

Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.

"Внушает!" - как сказал бы Хрюн Моржов.

За всей этой движухой с SolarWinds операторы ransomware отошли на второй план медийной сцены. Но это не значит, что они прекратили свои гадости.

Американский транспортный гигант Forward Air, имевший в 2019 году более 1,4 млрд. долларов дохода, неделю назад был успешно атакован оператором ransomware Hades.

В результате атаки часть сервисов компании, в том числе сайт, стали недоступны. Но самое неприятное в том, что зашифрованы оказались документы, необходимые для получения грузов с таможни, в результате чего существенная часть бизнеса Forward Air встала.

ВleepingComputer связались с представителями Hades, но последние сообщили, что никаких деталей взлома, в том числе сумму требуемого выкупа, сообщать не будут. Зато передали журналистам название учетки в Twitter, которую они предполагают использовать для слива украденных данных.

​​Использовать анализ массивов данных для вычисления сотрудников спецслужб противостоящей стороны могут не только лишь все. Но, как оказалось, кроме "журналистов-расследователей", а также их старших товарищей из трех- и четырехбуквенных контор по обе стороны Атлантики, в воровство информационных баз и Big Data также могут и китайские киберхунвейбины.

Месяц назад мы писали про то, как Иран и Китай раскусили систему онлайн-связи ЦРУ в начале 2010-х годов. Правда, в тот раз мы накосячили со сроками - первичная статья оказалась не совсем свежей, но суть произошедшего от этого не изменилась.

И вот теперь уважаемое издание Foreign Policy размещает большую статью про то, как китайцы путем анализа собранных баз данных начиная с 2013 года фактически вскрыли всю сеть американских разведчиков, работавших в Европе и Африке.

Чем для китайцев была так интересна американская разведывательная активность на черном континенте? А тем, что в условиях невозможности поддерживать контакты со своими агентами на самой территории КНР, ЦРУшники стали использовать встречи в Африке, куда тысячи китайцев направлялись в командировки в рамках программ китайских инвестиций.

С 2013 года, как сообщают источники Foreign Policy, китайцы стали влет расщелкивать прибывающих в Европу и Африку американских разведчиков. Иногда это делалось показательно демонстративно, чтобы американцы могли понять, что они находятся под наблюдением.

Источники из числа отставных разведчиков ЦРУ говорят, что с начала 2010-х годов Китай, осознав масштаб киберразведывательной компании, проводимой против него со стороны США, определил для себя, что необходимо максимально широко разворачивать ответные действия. С этого момента чуть ли не главной целью китайских APT стал кибершпионаж, направленный на сбор американских массивов данных.

По данным Foreign Policy, на сегодняшний день Китай является самым крупным держателем информационных баз в мире, большая часть из которых была получен путем взлома. И он успешно применяет их в своей аналитической деятельности, направленной на вычисление агентуры США.

В качестве примера подобных масштабных взломом FP приводит компрометацию китайскими хакерами в первой половине 2010-х годов американского Управления кадровой службы США (OPM), владеющего информацией о 21,5 млн. действующих и бывших американских государственных служащих, их семьях, местах жительства, медицинских данных и пр. Естественно, что все это было украдено.

К сожалению, две следующие части расследования Foreign Policy закрыты под платную подписку. Но, полагаем, и имеющихся материалов достаточно, чтобы понять насколько важной становится в современном мире возможность добыть (не важно какими путями) и проанализировать информационные массивы. А это поднимает вопрос информационной безопасности этих самых массивов на новый уровень. И пока что Россия ему не соответствует ни в какой части.

Совсем недавно мы рассказывали об описанном компанией Forescout наборе уязвимостей AMNESIA: 33, который включает 33 ошибки в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net. Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. Эти стеки используются в продукции 158 вендоров и могут затрагивать более миллиарда различных устройств, преимущественно IoT.

А в конце прошлой недели американское Агентство кибербезопасности (CISA) предупредило о четырех новых уязвимостях в реализации стека TCP/IP от компании Treck Inc., который также используется преимущественно в OT и IoT-устройствах. Две из них являются критическими и могут привести к RCE и отказу в обслуживании.

Среди затронутых устройств - элементы промышленных систем управления, медицинское оборудование, транспортные системы и пр. Общее количество идет на миллионы.

Как всегда никто отвечать за это не собирается. А следовательно и меры по обеспечению информационной безопасности OT и IoT-устройств также никто кардинально пересматривать не будет. Поэтому рано или поздно бахнет. Мы в этом уверены.