No Name Update від 27 березня 2021 р.

Докладно про головне

  • Російське кіберзлочинне угрупування Evil Corp почало використовувати вірус-вимагач Hades з метою обходу санкцій

Це звучить дивно, але це правда: таким чином здирники обходять санкції Казначейства США. Ще в грудні 2019 року американці ввели санкції щодо  учасників Evel Corp за використання шкідливої програми Dridex та спричинення більш ніж стомільйонних збитків. Тому коли чергова американська організація стає жертвою Dridex, вона опиняється у вдвічі складнішому становищі: з одного боку, вона не може продовжувати роботу через те, що всі системи пошифровані, а з другого боку – заплатити відкуп кіберзлочинцям означає порушити санкції уряду.

Для того, щоб уникнути загроз монетизації свого кримінального бізнесу, кіберзлочинці були змушені відмовитися від власної програмної розробки та розпочати використовувати інший продукт. Адже повної зупинки бізнесу та гніву свого уряду їхні жертви бояться в рівній мірі.

Причому Іран спрямовував зусилля на послаблення підтримки Дональда Трампа, а Росія всіляко дискредитувала Джо Байдена. Про це йдеться у звіті директора національної розвідки США. Основні засоби маніпулювання виборчим процесом в обох гравців були схожі: дезінформація та пропаганда. Про застосування кібератак цього разу не йшлося.

За висновками американської розвідки, інформаційні операції з боку Росії цілком можливо були офіційно санкціоновані Кремлем. Що звучить дуже сильно й досить незвично, зважаючи на культуру та традиції російської пропаганди, де завжди дуже важко знайти крайнього.

Цікавий факт: Китайський уряд також розглядав перспективу здійснення схожих інформаційних операцій, але після уважного аналізу вирішив відмовитися від цієї ідеї. Цілком логічно, адже політика колишнього Президента Штатів не була для КНР надто сприятливою, тому основним прагненням Китаю була якщо не стабілізація відносин двох країн, то хоча б уникнення їх погіршення.

Про це голова Агенції Національної Безпеки та американського кіберкомандування повідомив американським парламентарям. Основна причина: спецслужби ворожих країн використовують американські приватні компанії як основну ланку для здійснення таких атак. А в американської розвідки немає дозволу на спостереження за діями американських резидентів. Натомість всі їхні зусилля спрямовані на операції за межами Штатів.

Й справді, в обох випадках з SolarWinds та Microsoft, ці компанії були використані як основні носії інфраструктури кібератак. Попередити ці атаки з допомогою держави було практично неможливо. Кібербезпекові проблеми американського приватного сектору лежать в юрисдикції ФБР та поліції, та вони займаються розслідуванням злочинів, а не захистом бізнесу від ворожих спецслужб.

Коротко про важливе

Раніше корпорація Майкрософт опублікувала низку оновлень безпеки для всіх версій Microsoft Exchange, а також докладні покрокові вказівки щодо уникнення атак на це програмне забезпечення.

Взагалі то в це повірити важко, бо якщо це правда, то ми маємо справу з рекордно швидкими показниками ліквідації наслідків масштабного стихійного лиха в галузі кібербезпеки. З іншого боку, не довіряти цифрам від Microsoft підстав в мене немає.

Розробник Kevin Roebert звернувся до Google із запитом про причини блокування розширення. У відповіді Google стверджує, що опис розширення “занадто детальний” та порушує правила магазину розширень Chrome. Звісно, такі пояснення комічні, оскільки ClearURLs завдає явної шкоди бізнес-моделі Google.

Багатьох із нас муляють додаткові параметри URL, які Google, Facebook та інші рекламні фірми додають в кінець посилання для більш ефективного слідкування за нашими діями. Особисто я давно шукаю аналогічне розширення для Safari.

Наразі все виглядає так, що розширення ClearURLs реінстальовано в Chrome Web Store, а ми зробили йому непогану рекламу серед наших слухачів.

  • Дослідник безпеки запустив фандрейзингову кампанію для оплати послуг юристів, яких йому довелося найняти у відповідь на погрози

Історія стара як світ: хлопець знаходить вразливість у програмі, хлопець доповідає про вразливість власнику програми, компанія-власник кличе юристів та погрожує хлопцеві судовим позовом. На жаль, йдеться не про виробника програмного забезпечення, а про британську систему охорони здоров’я. Тому про зрілу й адекватну реакцію на Responsible Disclosure годі було й чекати.

Наразі Teams – єдина програма у списку дозволених цілей і компанія не зазначила, коли додасть інші програми Microsoft 365, такі як OneDrive, Outlook, PowerPoint та інші.

Схоже на те, що зловмисники отримали доступ до поштових облікових записів семи членів Бундестагу ​​та 31 члена регіональних парламентів Німеччини.

Discord було оцінено в 7 млрд, але він не планує продаватися дешевше ніж за 10 після того, як кілька потенційних покупців виявили зацікавленість. Сума виглядає цілком реалістично, з огляду на суму угоди між Slack та Salesforce – понад 27 млрд дол.

Опція оплати Біткойнами стане доступною для інших країн пізніше цього року.

Якщо з якихось причин ви зволікали їх вимкнути, це ваш шанс.

Атаки та інциденти

Жертва атаки – PDI Group, компанія зі штату Огайо, яка виробляє широкий спектр наземного обладнання для військових потреб, таких як візки та платформи для транспортування зброї, двигунів та деталей літаків.

Зловмисники розмістили вірус-вимагач в мережі компанії 21 березня та зашифрували понад 15,000 пристроїв. Не уникнули цієї долі й комп’ютери працівників, що працюють віддалено та під’єднуються до мережі компанії по VPN.

Група під назвою Black Kingdom була вперше помічена торік, коли злочинці використовували вразливості в продуктах Pulse Secure VPN для проникнення у корпоративні мережі та встановлення криптолокерів.

Особисті дані мільйонів ізраїльських виборців потрапили в Інтернет за два дні до того, як у країні відбулися вибори до Кнесету. Нагадуємо, що це не перший подібний інцидент, а населення Ізраїлю не перевищує 10 млн осіб.

SCO – це агентство, відповідальне за управління державними активами на понад 100 мільярдів доларів щороку. Зловмисники мали доступ до мережі організації понад добу, та викрали номери соціального страхування й конфіденційні файли тисяч державних службовців. Після чого надіслали фішингові повідомлення щонайменше 9000 інших працівників та їхнім контактам.

Під час атаки компанії довелося зупинити виробництво на кількох своїх заводах по всьому світі. На цей час Sierra Wireless вважає, що вірус зачепив лише корпоративну мережу виробника, а користувачі пристроїв компанії не постраждали.

Згідно зі зразками даних, інформація включає деталі ідентифікації авто, їхніх власників, та будинків власників.

Вразливості та патчі

Ця локальна ескалація привілеїв дозволяє користувацькому процесу підняти права до рівня LOCAL SYSTEM. Вразливість актуальна якщо PsExec виконується в цільовій системі локально або віддалено. Вразливість підтверджено на версіях Windows від XP до 10.

Перша думка: вразливість в Cisco що?… Ось як я дізнався про існування реалізації Джабберу від Циски: через публікацію CVE.

Вразливість дозволяє виконання віддаленого коду та має рівень ризику 9.9/10. На щастя, щоб скористатися цією багою, зловмисники мають пройти автентифікацію на сервері XMPP.

Не переглянутий та погано відтестований порт WireGuard для FreeBSD мав шанси потрапити у 13-ту версію операційної системи. З цього приводу розгорілася чергова open source драма, яку докладно описала ArsTechnica.

Статті та аналітика

Не дуже точний та зовсім непрактичний метод, що в ідеальних умовах дозволяє віднайти форму ключа, прослухавши звук, з яким він відкриває замок. Але ж яка чудова ідея!

Рекомендації

  • Password Lists – це збірка популярних паролів, впорядкована за різними ознаками, такими як країни, організації, та домени, де вони використовувалися
  • OWASP Zhytomyr опублікував запис своєї останньої зустрічі на тему, як забезпечити безпеку програмного продукту, починаючи розробку з нуля
  • OWASP Kyiv оголосив збір заявок доповідачів на свою весняну зустріч, що відбудеться 24 квітня

Смі#$%oчки

Leave a Reply

Your email address will not be published. Required fields are marked *