Докладно про головне

• Кіберзлочинна група Babuk Locker загрожує оприлюдненням даних викрадених в Департаменту Поліції округу Колумбія

Банда стверджує, що завантажила загалом понад 250 ГБ даних із серверів Департаменту. Група висунула поліції ультиматум: три дні, щоб відповісти на їхню вимогу про викуп. У випадку невиплати, група погрожує зв’язатися з місцевими кримінальними босами та викрити мережу інформаторів.

На думку колективу нашого подкасту, це найбезглуздіший вчинок, який хтось з кіберзлочинців колись вчиняв протягом історії інтернету та комп’ютерної техніки в цілому. Нагадуємо, що Округ Колумбія це там, де місто Вашингтон, столиця Сполучених штатів. Тобто, де постійно перебувають найвпливовіші політики, найжирніші лобісти та найдорожчі юристи на планеті Земля.

Або… це непогано продумана спецоперація – час покаже.

• Китай використав зламані бази даних для викриття оперативників ЦРУ в Африці та Європі

Кожен раз, коли я чую чергове “навіщо мене зламувати, в мене нема чого красти”, мені хочеться провести лекцію з таргетингу державних кібероперацій, але я стримуюся. Тепер я буду направляти таких кібер-невігласів за цим посиланням у нотатках до цього випуску.

Foreign Policy опублікував блискуче журналістське розслідування про один з найяскравіших прикладів поєднання розвідувальних заходів у інтернеті та в “реальному житті”. Ми дуже рекомендуємо вам ознайомитися з повним текстом.

Схожу історію я розповідаю на початку кожного свого тренінгу для не-професіоналів з кібербезпеки: чи то розробники програмного забезпечення, чи то топ-менеджери технологічних компаній. Внаслідок кількох операцій кібершпіонажу, китайській розвідці вдалося отримати дані з державних кадрових агенцій (так званий OPM Hack), операторів даних медичного страхування (Anthem Hack), та даних про переміщення осіб (злам мережі готелів Marriott). За допомогою порівняльного аналізу трьох наборів даних можна доволі точно визначити перелік персоналу ЦРУ: це держслужбовці, які є у базі Anthem (бо це найбільший державний контрактор медстрахування), та яких немає в базі OPM (бо кадровим діловодством секретних агентів займаються трохи інші установи). А у базах даних дочірніх мереж Marriott можна знайти, як розвідники подорожують, після чого озброївшись їхньою кредитною історією вкраденою в Equifax можна йти під американське посольство та чатувати на них з пропозицією продати трохи батьківщини за прискорення виплати іпотеки.

Та звісно, що підкуп це не єдиний інструмент контррозвідки. Деколи викритих агентів закордонної розвідки просто вбивають.

• Пішов з життя відомий експерт з кібербезпеки Ден Камінскі

Мало про кого з представників нашої професії є сторінка у Вікіпедії. Про Дена вона є і на ній можна ознайомитися з блискучою кар’єрою цього всесвітньо відомого експерта.

Ден увійшов в історію як дослідник мережевої безпеки, відомий своїми відкриттями фундаментальних вад протоколу DNS та організацією кількох рухів зі зміни архітектури інтернету на щось більш захищене та надійне. Для багатьох із нас він був прикладом професійної наснаги, завзятості та почуття гумору. Спочивай з миром, хакер.

Коротко про важливе

• Вірус Emotet видалив себе з комп’ютерів по всьому світу 

Emotet є одним з найнебезпечніших ботнетів в новітній історії. Видалення ботнету є результатом злагоджених дій міжнародних правоохоронних органів, які дозволили слідчим взяти під контроль сервери управління Emotet і порушити роботу шкідливого програмного забезпечення.

• Apple додав новий функціонал протидії відстеженню в оновленні 14.5 для iOS

Ця функція називається App Tracking Transparency, та при встановленні нових програм пропонує дозволити або заборонити їм відстежувати вас в інших програмах. Ми радимо скористатися відповідним налаштуванням iOS та повністю заборонити програмам надсилати вам такі запити. В такому разі слідкування буде заборонене за замовчуванням.

• Кіберзлочинна група REvil прибрала з свого вебсайту викрадені в Apple схеми лептопів та погрози оприлюднити інші матеріали

Група спочатку вимагала від Quanta (компанії підрядника Apple) 50 мільйонів доларів за збереження викрадених файлів в секреті. Однак, згідно із заявою, розміщеною на сайті хакерської групи, Quanta відмовилися сплатити викуп, що змусило злочинців піти за грошима до Apple. Як ми й передбачали, нічого в них з цього не вийшло.

• Пристрій для аналізу даних зі смартфонів від Cellebrite з останнім оновленням не підтримує видобування даних з iPhone

Після того як команда Signal знайшла низку вразливостей у пристрої Cellebrite та продемонструвала його компрометацію через додавання зловмисних файлів у смартфон, що аналізується, вендор випустив оновлення, що ніби виправляє ці вразливості. Але насправді частина функціональності просто перестала працювати.

• У SAP визнали, що виконали тисячі нелегальних угод на експорт програмного забезпечення до Ірану

Постачальник корпоративного програмного забезпечення зізнався у порушенні чинних санкцій та ембарго, введених США проти Ірану. За даними Міністерства юстиції США, SAP протягом шести років тисячі разів порушував накладені на Іран санкції надаючи організаціям в цій країні доступ до своїх сервісів та програм.

• Компанії Google загрожує штраф у 4 мільярди доларів через прихований трекінг користувачів iPhone

Поява представників технічного гіганта перед Верховним судом Великобританії стала наслідком багаторічних суперечок Google з Річардом Ллойдом, колишнім директором споживчої групи Which? Ллойд подав позов від імені понад 4 мільйонів людей в Англії та Уельсі, яких, як стверджується, Google профілював за расою, соціальним становищем, політичними поглядами та сексуальною орієнтацією.

Атаки та інциденти 

• DigitalOcean оголосив про витік білінгових даних певних користувачів

В електронному листі зазначається, що дані витоку включають платіжне ім’я клієнта, адресу виставлення рахунку, термін дії платіжної картки, останні чотири цифри картки та назву банку. “Цей витік стосується невеликого відсотка наших клієнтів”,- заявили у компанії, а особисто мені такий “лист щастя” не приходив.

• У компанії Лабораторія Касперського заявляють, що знайшли нове шкідливе програмне забезпечення ЦРУ

Первинний аналіз не виявив жодного спільного коду з будь-якими відомими раніше зразками шкідливого програмного забезпечення. Але Касперський нещодавно повторно проаналізував файли та виявив, що “зразки містять перетини шаблонів кодування, стилю та методів, які спостерігались у різних сімейств вірусів групи Ламбертс”. А Ламбертс – це внутрішня кодова назва, яку Касперський використовує для відстеження операцій ЦРУ.

• Прихований вірус під Linux роками додавав до систем бекдори

Бекдор, який отримав назву RotaJakiro, на момент підготовки цього випуску залишається невідомим антивірусам на VirusTotal, хоча зразок був вперше завантажений туди ще у 2018 році.

Вразливості та патчі 

• Apple виправили вразливість обходу Gatekeeper, що активно використовувалась кіберзлочинцями

Уразливість дозволяє зловмисникам обійти Gatekeeper, вбудований механізм захисту Apple для підписання та перевірки коду. Зловмисник міг створити DMG файл, що не перевірявся б Gatekeeper, та відкривався б без жодних попереджень від macOS.

• Консорціум Інтернет Систем (ISC) закликає оновити DNS сервери, щоб запобігти експлуатації вразливостей у DNS сервері BIND 

Цього тижня організація заявила, що вразливості впливають на ISC Berkeley Internet Name Domain (BIND) 9, який широко використовується як сервер DNS і підтримується як проєкт з відкритим кодом. Зловмисники можуть віддалено виконувати атаку переповнення буфера, що потенційно може призвести до віддаленого виконання коду. Фух, ця новина звучить так, ніби вона з дев’яностих.

• Вразливість у ядрі Linux дозволяє отримати доступ до вмісту стеку ядра

Вразливість була виявлена дослідниками Cisco Talos ​​у функціональності ядра для 32-розрядних ARM-пристроїв. Ще одна новина з минулого…

• Microsoft знайшли критичну вразливість виконання коду у пристроях OT та IoT

О, нарешті щось модернове! 25 вразливостей були знайдені дослідниками у стандартних функціях розподілу пам’яті, широко використовуваних у кількох операційних системах реального часу (RTOS), реалізаціях стандартної бібліотеки C (libc) та вбудованих інструментаріях SDK.

Рекомендації

• Nethogs – утиліта для Linux, яка показує використання мережі процесами системи. Дозволяє знаходити підозрілі процеси, які забивають канал чи створюють ненормальну мережеву активність. 
• Використання фреймворку Nuclei для експлуатації вразливості Race Condition у веб застосунках.

• Огляд від FireEye нової техніки віддаленого викрадення секретів Active Directory.
• Есей Брюса Шнайера ”Коли штучний інтелект почне займатися хакінгом?”
• Огляд трендів і практик російської зовнішньої розвідки від Агентства Кібербезпеки та Інфраструктури США
• Анатомія зламу – показовий приклад того, як можливо заразитись шкідливим рекламним програмним забезпеченням

Смі#$%oчки

В результаті масового закриття неактивних відділень по всьому світі, було зачинено Московський чаптер OWASP.