SecAtor

2021-03-01 17:13:23 Команда исследователей Insikt Group из инфосек компании RecordedFuture выпустила отчет о выявленной киберкампании, проводимой китайской APT RedEcho и направленной на индийский энергетический сектор.

Между Китаем и Индией после пограничного конфликта в мае 2020 года произошло обострение и в киберпространстве, в результате которого APT, работающие на ту или иную сторону, периодически атакуют своих визави. Из последнего - атаки APT Bitter, предположительно работающей на Индию, на китайские информационные ресурсы с эксплуатацией 0-day уязвимости в ядре Windows 10.

RedEcho - это внутреннее название, которое RecordedFuture дали причастной к атаке хакерской группе. Некоторые TTPs этого актора совпадают с другими известными APT - Winnti и Tonto. Первая группа и так всем хорошо известна, а Tonto - это те самые ребята, которые были причастны в 2017 году к атаке на южнокорейский зенитный ракетный комплекс THAAD.

Цели атаки - десять объектов из энергетической отрасли, в том числе электростанция в Нью-Дели, и два морских порта. А среди энергообъектов - четыре из пяти региональных центра распределения электронагрузки, нарушение работы которых повлекло бы за собой коллапс системы электроснабжения Индии. В ходе атаки использовался, в частности, бэкдор ShadowPad, автором которого считается APT Winnti и который используется по меньшей мере пятью китайскими хакерскими группами.

Также в отчете упомянут блэкаут, который случился в индийском городе Мумбаи 13 октября прошлого года. Отключение электричества длилось от 2 до 12 часов в зависимости от районов города, отделения интенсивной терапии городских больниц были вынуждены перейти на питание от генераторов.

Первоначально местные киберполицейские сообщили, что блэкаут произошел в результате атаки как раз на местный региональных центра распределения электронагрузки, а следы ведут в Китай. Но исследователи из RecordedFuture заключили, что эта связь является необоснованной.

Продолжение веселых кибервойнушек следует, полагаем. Ни Китай, ни Индия не испытывают недостатка как в подготовленных прогосударственных хакерских группах, так и в решимости их задействовать. Открыть/Комментировать

2021-03-01 15:54:00 ​​Нам пишут, что Евгений Валентинович Маск таки засветил внутри своей компании смартфон с Kaspersky OS и предложил желающим сотрудникам поучаствовать в тестировании. Впервые о мобильной версии своей операционки он заявил еще летом 2019 года.

Как тогда говорили сотрудники Лаборатории Касперского, ОС разрабатывалась с нуля и не имеет ни одной общей строчки кода с Linux.

Правда, как всегда, есть одно "но". Тестировать предложили не обычный смартфон, а некий терминал для промышленного применения. Понятно, что функционал такого устройства сильно урезан и TikTok на него не поставишь (пользователи TikTok вообще знают выражение "информационная безопасность"?). Зато, вроде как, в нем будет МойОфис, который ранее ЛК купили.

С точки зрения промышленного инфосек такие штуки, как защищенные мобильные терминалы безусловно нужны. Но мы, честно говоря, не отказались бы и от стандартного смартфона под управлением Kaspersky OS, пусть и с урезанным функционалом и скудным набором приложений.

Потому что, во-первых, зная конъюнктуру, не думаем, что Касперские будут сливать данные известно куда, по крайней мере на первых порах. А, во-вторых, имея оригинальную мобильную ОС, да еще от крупного инфосек вендора, можно надеется (робко, но все же) на достойный уровень безопасности. Хорошее решение для банковских приложений и мессенджеров.

Хоть и без TikTok'а.

На снимке - Евгений Валентинович демонстрирует размер безопасности, достигнутой на устройстве под управлением новой мобильной ОС. Открыть/Комментировать

2021-03-01 12:59:11 В конце прошлой недели BleepingComputer сообщили, что хакерская группа Hotarus Corp взломала Министерство финансов Эквадора и крупнейший банк страны Banco Pichincha.

Для начала хакеры вскрыли сеть Министерства, украли конфиденциальную информацию, включая электронную переписку, зашифровали данные с помощью ransomware Ronggolawe, а также выкинули на один из хакерских форумов список из более чем 6,6 тыс. логинов и хешей паролей сотрудников.

Далее злоумышленники не остановились и взломали крупнейший эквадорский банк Banco Pichincha. Банкиры отморозились и сказали, что был взломан их маркетинговый партнер, однако хакеры из Hotarus Corp связались с BleepingComputer и сообщили, что маркетинговая платформа была лишь точкой первичной компрометации банковской сети. В ходе атаки, как говорят хакеры, они похитили более чем 31 млн. записей данных о клиентах, включая информацию о банковских картах.

Данные о 37 тысячах банковских карт Hotarus Corp уже продали кардерам, а информацию Министерства финансов обещают выставить на аукцион с ценой безусловной продажи в 250 тыс. долларов.

О Hotarus Corp мы раньше не слышали, видимо какие-то местные мучачос хулиганят. Открыть/Комментировать

2021-02-26 17:42:08 ​​Дурдом на марше. В прямом смысле этого слова.

Как мы рассказывали, в начале февраля Infosecurity Magazine разразились статьей о том, как повысить уровень кибербезопасности путем наращивания диверсити и инклюзивности в инфосек подразделении.

Сегодня эстафету подхватывают ZDNet, которые выложили интервью с CISO Bank of America Крейгом Фройлихом о том, как важно привлекать к работе над информационной безопасностью нейроразнообразных людей.

Мы сначала было подумали, что речь идет об известном факте, что интроверты преобладают среди инфосек исследователей. Пока не наткнулись на термин "нейродивергентные люди".

Если вы не знакомы с этим выражением, то подскажем, что нейродивергентность - это, к примеру, аутизм, синдром Туррета, нарушение обработки сенсорной информации, дислексия и пр.

Для этого, говорит нам Фройлих, необходимо делать специальные офисы со специальным освещением, предоставлять нейродивергентным людям наушники с шумоподавлением, а то у них может начаться истерика, и пр. Зачем? Потому что это "чрезвычайно выгодно для бизнеса".

И знаете что? Судя по состоянию инфосека во множестве российских организаций, мы давно оторвались от западных демократий по уровню нейродивергентных сотрудников в информационной безопасности.

Дисклеймер. Редакция канала не выражает абсолютно никакого негатива к людям с перечисленными выше особенностями и заболеваниями. Они есть и им надо помогать. Но не делать из этого кадровый стандарт де-факто. Открыть/Комментировать

2021-02-26 12:47:40 МТС сегодня решил провести открытую пресс-конференцию о новых принципах экосистемной культуры.

Логотип-хэштег, выбранный для конференции, отлично описывает текущее отношение к продуктам. Артемию Лебедеву до такого еще долго работать.

И да, похоже это единственное применение стрим-платформе, которое они смогли найти. Открыть/Комментировать

2021-02-25 17:13:13 Лаборатория Касперского выпустила интересный отчет в отношении активности северокорейской APT Lazarus в 2020 году.

Как говорят исследователи, в середине прошлого года они наблюдали сразу несколько компаний со стороны Lazarus, направленных на предприятия оборонного сектора, в том числе, как можно понять из подробностей расследования, российские. При этом хакеры из КНДР использовали семейство вредоносов ThreatNeedle - дальнейшее развитие их авторского инструментария Manuscrypt.

Ранее об использовании северокорейцами ThreatNeedle в ходе кампании по компрометации инфосек экспертов сообщали Google TAG и S2W LAB.

Одной из целей Lazarus была некая российская компания, которую хакеры атаковали с помощью целевого фишинга, на ходу модифицируя приманки и устраняя ошибки в русскоязычных текстах ("Мы стараемся любезно служить всем, но иногда эти проблемы возникают"). Приманками служили письма о COVID-19, направленные, якобы, от лица одного из реальных руководителей медицинского центра, работающего с организацией-целью.

В конце концов один из сотрудников попался на фишинг и это послужило отправной точкой компрометации сети компании.

Из интересного также можно отметить, что Lazarus сумели проникнуть глубоко в сеть одной из жертв и, воспользовавшись недостатками в ее конфигурации, обойти сегментирование на офисную и изолированную (не имевшую прямого доступа в Интернет) части. С этой целью хакеры взломали один из маршрутизаторов, который подключался к обоим сегментам сети, и использовали его в качестве прокси для дальнейшей эксфильтрации данных из закрытого сегмента.

Вспоминая, что еще весной северокорейская же APT Kimsuky атаковала одно из предприятий Ростеха (тоже оборонное?), то можно смело говорить о ярко выраженном интересе хакеров из КНДР к российскому производственному сектору. Открыть/Комментировать

2021-02-25 14:42:24 Позавчера VMware пофиксили критическую уязвимость CVE-2021-21972 в VMware vCenter, которую открыли исследователи из Positive Technologies. Ошибка позволяла злоумышленнику осуществить удаленное выполнение кода (RCE) без прохождения аутентификации.

А вчера китайцы из Qihoo 360 опубликовали PoC новой уязвимости и тем самым выпустили джина из бутылки.

Bad Packets сразу же сообщили о маccовом сканировании сети на предмет выявления уязвимых VMware vCenter со стороны злоумышленников. Таковых на данный момент насчитывается более 6 тыс.

С учетом того, что VMware vCenter стоят преимущественно в крупных корпоративных сетях, то в результате происходящего многие компании могут стать жертвами операторов ransomware. Одного дня, прошедшего с выпуска обновления до появления в сети PoC уязвимости, безусловно мало для того, чтобы бОльшая часть VMware vCenter была пропатчена.

Остается вопрос - чем руководствовались китайские ресерчеры, когда публиковали свой proof of concept. Открыть/Комментировать

2021-02-25 12:27:10 ​​Слушания в Сенате США по поводу атаки на компанию SolarWinds. Открыть/Комментировать

2021-02-24 16:48:56 Amnesty International рассказывает про активность APT 32, направленную в период с февраля 2018 года по ноябрь 2020 на вьетнамских правозащитников.

APT 32 aka Ocean Lotus - это скилованная вьетнамская прогосударственная хакерская группа, обзор на которую мы давали здесь. Да и после обзора не раз писали про ее атаки.

Исследователи выявили атаки на НПО VOICE, а также двух демократических правозащитных вьетнамских блогеров (находящихся за рубежом Вьетнама, разумеется), в ходе которых их компьютеры был и заражены посредством фишинговой атаки. В дальнейшем Ocean Lotus
использовали импланты Cobalt Strike для доступа к скомпрометированным системам. Для macOS же хакеры применяли авторский бэкдор, про который мы писали здесь.

С одной стороны хочется посочувствовать демократическим вьетнамским правозащитникам и осудить деятельность APT 32. Но в то же время мы продолжаем пребывать после 23 февраля в антиимпериалистическом угаре , поэтому нам как бы хочется сказать от лица простого вьетнамского народа - "Вы нам, гады, еще и за Agent Orange ответите!" Открыть/Комментировать

2021-02-24 15:48:45 ​​Мы много раз писали про утечку Lost in Translation, организованную весной 2017 года таинственными хактивистами Shadow Brokers, в ходе которой была слита куча данных хакерской группы Equation, работающей на Управление по компьютерным сетевым операциям АНБ США, в то время бывшее Tailored Access Operations (если хотите ознакомиться поподробнее - просто поищите на нашем канале публикации со словом Equation).

В числе прочего Lost in Translation содержала данные боевых эксплойтов американских правительственных хакеров - к примеру, EternalBlue и бэкдор DoublePulsar, использованные в последующем в ransomware WannaCry. В создании которого американское Министерство юстиции теперь публично обвиняет северокорейцев из группы Lazarus, стыдливо умалчивая о первоисточнике эксплуатированных в этом вредоносе уязвимостей.

В мае прошлого года произошло одно интересное событие - исследователи из словацкой ESET копаясь в своей старой телеметрии обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой китайской APT Winnti, с аналогичным кодом из утечки Lost in Translation.

Собственно тогда и возник вопрос - кто у кого что украл? Китайцы ли из Winnti использовали утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И как вообще в таких условиях проводить атрибуцию атак (теперь-то мы знаем как - просто многозначительно показываешь пальцем на назначенного виновника)?

И вот, пока мы со свистом и цыганами праздновали День советской армии и флота, появились новые данные о заимствовании китайскими хакерами принадлежащих АНБ хакерских инструментов. В этот раз нас неожиданно порадовали исследователи из израильской Check Point.

Израильтяне утверждают, что эксплойт Jian, использовавшийся китайской APT 31 aka Zirconium (мы писали про нее, например, здесь), является ни чем иным как клоном принадлежащего АНБ эксплойта EpMe, который утек в составе Lost in Translation. Более того, EpMe активно использовался (понятно кем) в период с 2014 по 2017 годы, задолго до китайцев.

Но и это еще не все. Оба эксплойта используют уязвимость CVE-2017-0005, позволяющую повышать привилегии в Windows, которая (внезапно!) была исправлена Microsoft вскоре после утечки Lost in Translation после как минимум трех лет беспрепятственной эксплуатации. При этом в качестве первоисточника данных о CVE выступил американский оборонный подрядчик Lockheed Martin (не спрашивайте как, они, оказывается, тоже в инфосеке).

Самое удивительное, что кроме эксплойта EpMe в Lost in Translation был еще и эксплойт EpMo, который также использовал уязвимость в Windows, приводящую к повышению привилегий. Так вот этой уязвимости не было даже присвоено CVE, а Microsoft втихаря устранили ее вскоре после утечки.

Таким образом мы в очередной раз получаем подтверждение версии о том, что АНБ, пользуясь административными рычагами, внедряет бэкдоры в выпускаемое аффилированными с США компаниями программное обеспечение. Так было с Juniper, так, очевидно, обстоят дела и с Microsoft. Открыть/Комментировать