SecAtor

2021-04-21 17:48:21 Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских организаций.

Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.

По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.

Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.

Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021. Открыть/Комментировать

2021-04-21 16:30:53 ​​СВР открыла передовую онлайн-приемную в формате SecureDrop, позволяющую ей принимать сообщения пользователей об угрозах национальной безопасности через сеть Tor.

Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.

При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.

Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.

Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP. Открыть/Комментировать

2021-04-21 15:17:32 Apple представила новый iPad Pro, AirTag, iMac и клавиатуру с Touch ID

Так, iPad Pro получил экран с подсветкой mini-LED, а так же 2 ТБ встроенной памяти и поддержку 5G.

Модели iPhone 12 и iPhone 12 mini теперь станут доступны в фиолетовом цвете.

Кроме этого, компания представила AirTag — брелок, который позволит искать потерянные вещи с помощью смартфона.

Что касается iMac, он получил обновлённый дизайн и более тонкую конструкцию, а так же клавиатуру Magic Keyboard с Touch ID, новую Magic Mouse и трекпад.

Полный список новых устройств и обновлений доступен на сайте компании. Открыть/Комментировать

2021-04-20 16:55:09 Сегодня ГрИБы раскрыли сведения о начавшейся скам-атаке на пользователей Facebook в 84 странах мира, которую злоумышленники реализуют через мошенническую схему, рассчитанную на инсталляцию владельцами аккаунтов фейкового обновления Facebook Messenger.

Для этого злоумышленники распространяли рекламные публикации со ссылками на доступные обновления, которые по факту представляли фишинговый сайт с фиктивной формой для авторизации. В итоге жертва могла потерять доступ к своему аккаунту и “слить” другие свои персональные данные. При этом мошенники не только умело играют на человеческих чувствах — любопытство, страх, жажда наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.

Устремления хакеров понятны, ведь Facebook является крупнейшей социально сетью и насчитывает более 2,7 млрд. пользователей. К настоящему времени ГрИБами обнаружено 5700 фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, а количество поддельных профилей социальной сети, которые использовались в данной схеме, — почти 1000. При этом сама схема экспертами Group-IB Digital Risk Protection разрабатывается с лета 2020 года.

Похоже, что спойлер кому-то серьезно подпортил планы, а заодно - как выяснилось и годы подготовки. Кина не будет. Открыть/Комментировать

2021-04-19 17:52:24 Второй месяц продолжаются нападки голландских журналистов на китайскую корпорацию Huawei. Ссылаясь на секретные отчеты, старейшее издание Нидерландов De Volkskrant обвиняет китайскую технологическую компанию в шпионаже.

В 2009 году голландский оператор связи KPN обратился к Huawei и реализовал решения китайской компании в своих сетях связи. Проект вели шесть сотрудников центрального офиса Huawei в Гааге, деятельность которых на тот момент попала в поле зрения Службы внутренней безопасности AIVD в связи с подозрениями в использовании иностранцами позиции компании в интересах разведки.

После обращений силовиков поставщик услуг связи привлек Capgemini для оценки потенциальных рисков, связанных с Huawei, прежде всего, специалистов попросили изучить возможность шпионажа со стороны китайцев. Выводы специалистов оказались крайне неутешительными, а результаты отчета были засекречены. KPN Mobile оказался на грани отзыва лицензий и без связи могли остаться более 6,5 миллионов абонентов.

Capgemini пришли к выводу, что Huawei имели бесконтрольный и неограниченный доступ к прослушиванию любого абонента KPN, в том числе тогдашнего премьер-министра Яна Петера Балкененде, различных министров и китайских диссидентов, однако зафиксировать конкретные инциденты им не удалось. Кроме того, Huawei также знала, какие номера прослушивались полицией и спецслужбами. Ранее De Volkskrant выяснили, что китайская компания также имела доступ к данным клиентов Telfort, дочерней компании KPN.

Несмотря на все обоюдные отрицания участников скандала, по результатам работы Capgemini оператор отказался от сотрудничества с китайским гигантом в пользу западных поставщиков и начала масштабную модернизацию всей сети связи.

Похоже, что в борьбе спецслужб за телекоммуникационный рынок Нидерландов китайцам в виду общегосударственного скандала придется экономически отступить, но переключить всю страну на новое оборудование в раз точно не удастся, о чем говорят в самой KPN.

Инициированная против КНР операция влияния в борьбе за телекоммуникационный рынок не приведет в сиюминутным результатам, но точно поможет европейским чиновникам «освоить» новые бюджеты или получить политические дивиденды, ну а тем временем офис Huawei продолжает свою работу. Открыть/Комментировать

2021-04-16 16:18:43 Если до сих пор не обновили версию мессенджера WhatsApp до 2.21.4.18, то поспешите это сделать.

Сегодня исследователи из Census Labs раскрыли уязвимости безопасности в приложении для Android (до 9-ки включительно), которые могут быть использованы в ходе атаки MitM для удаленного выполнения вредоносного кода на устройстве и кражи конфиденциальной информации, в том числе ключей шифрования.

Все, что нужно сделать злоумышленнику - это заставить жертву открыть вложение HTML-документа. Уязвимости реализуются через ошибки в модуле Chrome для поставщиков контента в Android (CVE-2021-24027) и обходе политики ограничения доменов в браузере (CVE-2020-6516). При этом исполняемый вредоносный код может обеспечить злоумышленнику доступ к файлам в незащищенной внешней области хранения, в том числе ключам сеанса TLS.

Затем вооружившись ключами, злоумышленник может затем организовать атаку, вызвав преднамеренно ошибку нехватки памяти на устройстве жертвы, а следом за ней запуск механизма отладки. Он, в свою очередь, загружает закодированные пары ключей вместе с журналами приложений, системной информацией и другим содержимым памяти на выделенный сервер хранения журналов сбоев («crashlogs.whatsapp.net»). Идея эксплойта MitM состоит в том, чтобы программно вызвать исключение, которое инициирует сбор данных и загрузку, для последующего перехвата соединения и отправляемой конфиденциальной информации.

Несмотря на то, что Census Labs не располагают сведениями об использовании атаки в «дикой природе», но мы то прекрасно помним как ранее вскрытые уязвимости WhatsApp использовались для внедрения шпионского ПО на устройства журналистов и правозащитников. Открыть/Комментировать

2021-04-15 19:00:43 Малварь IcedID, или же Bokbot, уверенно входит в переводовой арсенал киберподполья, позиционируясь эффективной заменой ликвидированного в январе этого года ботнета Emotet.

IcedID впервые был обнаружен в 2017 году как классический банковский троян. Первоначально малварь применялся в ходе спамрассылок на электронную почту с вредоносным вложением под документы Office, полезная нагрузка позволяла красть данные учетных записей онлайн-банкинга и выводить средства со счетов клиентов.

Позже рентабельнее стало запилить малварь по модели «вредоносное ПО как услуга» (MaaS), IcedID был конфигурирован в «загрузчик», предоставляя возмездный доступ к зараженным компьютерам другим преступным группировкам.

К этому времени лидирующее положение на рынке MaaS занимал Emotet благодаря большому набору функций, быстрому циклу разработки и высокому уровню заражения, однако правоохранители решили иначе и в январе 2021 свернули его активность.

В поисках альтернативы для обеспечения доступа к зараженным компьютерам и корпоративным сетям кибергруппы оперативно переориентировались на аналоги Dridex, Trickbot и Qakbot. Но оказывается, судя по последним отчетам инфосек-компаний, реальным преемником Emotet становится именно IcedID, о чем уже заявили Binary Defense, Check Point, Cyjax и даже в Microsoft.

За последнее время малварь резко набрал и диверсифицировал методы доставки для распространения своей полезной нагрузки, с легкостью достигнув уровня сложности своих MaaS-конкурентов. Среди них: компрометация форм обратной связи, использование электронных таблиц Excel (XLS), содержащих вредоносные макрос-скрипты Excel 4.0 XLM, защищенные паролем файлов ZIP, скрывающие вредоносные файлы Word и Excel, поддельные установщики программного обеспечения, маскирующие вредоносные электронные таблицы XLS и Word Файлы GZIP и др.

«Широкий ассортимент» IcedID указывает на его активное задействование сразу несколькими группами в качестве дроппера.

Эффективная полезная нагрузка позволяет злоумышленникам использовать его в качестве плацдарма для атаки на другие сегменты корпоративных сетей и расширения доступа. Поэтому не удивительно, почему Maze/Egregor так плодотворно юзали IcedID, получая доступ к корпоративным сетям для кражи данных и шифрования файлов, пока их не прикрыли.

Новые перспективы для IcedID открывают участившиеся атаки с его использованием для развертывания REvil (Sodinokibi), в связи с чем многие компании уже пересмотрели свое видение обновленного ландшафта угроз, а если не успели - по всей видимости, отреагируют по факту, когда в конечном итоге столкнутся с требованиями многомиллионного выкупа. Открыть/Комментировать

2021-04-15 18:33:25 Итак, 15 апреля Министерство финансов США объявило о внесении ряда российских физических и юридических лиц в чёрный список Управления по контролю над иностранными активами. В их число попали 6 технологических компаний, в том числе Positive Technologies.

Что на самом деле произошло и каковы будут последствия? Давайте напряжём память и включим режим чтения между строк.

Начнём с выяснения откуда ноги растут.

Мы неоднократно писали о весьма чувствительных исследованиях Позитивов в отношении продуктов Intel. Результаты этой работы "хайли лайкли" указывают на присутствие у Интела бэкдора АНБ. Впрочем, пока никто не решился публично показать на "наглую рыжую морду" и назвать вещи своими именами. Можете себе представить какой поднялся бы ор, если бы американская инфосек-компания нашла нечто похожее в российском продукте. Кровавые ошмётки полетели бы во все стороны и никто бы не стал разбираться был ли суслик или нет. В октябре мы предупреждали, что активность рисёрчеров в этом направлении может привести к неприятным санкционным последствиям, что, собственно, и произошло. Однако мы не склонны считать, что одно вытекло из другого. Не исключено, что исследования напомнили Минфину США об этой занозе и переполнили чашу терпения.

Мероприятие Positive Hack Days де-факто стало одним из главных глобальных инфосек-мероприятий для практикующих пентестеров. Наломали (в прямом смысле слова) там много дров и обидели многие американские компании. Однако и здесь мы не видим реальной причины для включения Позитивов в санкционный список. Подобных мероприятий множество, да и сама компания придерживалась индустриальных практик ответственного раскрытия уязвимостей. Эта причина настолько ничтожна, что вряд ли сыграла какую-то роль даже в "переполнении чаши терпения". Даже несмотря на то, что в тексте пресс-релиза указано "hosts large-scale conventions that are used as recruiting events for the FSB and GRU". Под это определение можно подвести любое инфосек-мероприятие.

Читаем дальше. "Positive Technologies...supports Russian Government clients, including the FSB". Почему в санкционном списке тогда нет Касперского или отчаянно прикидывающихся сингапурцами Group-IB и длинного перечня других разработчиков, которые "support Russian Government clients"? Неужели про них просто забыли? Нет, скорее всего эта фраза - только прелюдия, квик интродакшн новому члену чёрного списка.

Дальше становится интереснее. "Positive Technologies was also designated today pursuant to E.O. 13694, E.O. 13382, and CAATSA for providing support to the FSB". Каким образом Позитивам пришили указ 13382, который относится к мерам против распространения оружия массового поражения - это только Минфину известно. А вот указ 13694 - совсем другое дело. Он однозначно указывает на подозрения в участии компании во враждебных кибероперациях против США, но дальше никакой конкретики. К такому подходу в наказании неугодных не привыкать, но нам почему-то пришёл в голову недавний отчёт аналитического центра Atlantic Council, в котором рассматриваются коммерческие контракторы, помогающие правительствам разных стран в кибероперациях. В отчёте фигурирует израильская NSO Group, эмиратская Dark Matter и российская компания под криптонимом ENFER. Уж не здесь ли собака зарыта? Если это действительно так, то пиарщикам Позитивов надо приготовиться к мощному шторму с громом, молниями и попкорном

Что дальше?

Мы полагаем, что санкции не будут для бизнеса Positive Technologies фатальными, поскольку компания обслуживает в основном российские организации. Вероятен временный просад показателей на волне ужаса некоторых неуравновешенных клиентов. А вот с планами IPO придётся на некоторое время завязать. Пессимистичные (но не распродажные) настроения потенциальных акционеров считываются по курсу облигаций Позитивов в моменте просевших на 2%. Открыть/Комментировать

2021-04-15 16:48:53 Позитивам прилетело от Министерства финансов США.

Мы разберём этот кейс позднее, а пока давайте пожелаем коллегам спокойствия и хладнокровия. Открыть/Комментировать

2021-04-15 16:34:13 Законопроект об уголовной ответственности за массовые утечки персональных данных готов — глава Минцифры РФ Шадаев Открыть/Комментировать