No Name Update від 10 липня 2021 р.

Докладно про головне

  • Російське кіберзлочинне угруповання REvil, пов‘язане зі спецслужбами РФ, здійснило наймасштабнішу операцію крипто здирництва

Пам‘ятаєте, я колись казав, що кібератака на Colonial Pipeline стала «моментом неПетя» для Cполучених Штатів? Так ось, я помилявся. Цим моментом стала кібератака на компанію Kaseya.

Kaseya виробляє програму VSA, призначену для віддаленого контролю за великими флотиліями комп‘ютерів у гігантських територіально розподілених ІТ-інфраструктурах. Користуються нею або великі транснаціональні корпорації, або MSP (managed service providers) – компанії, які надають послуги ІТ-адміністрування меншим за розміром організаціям.

Драма розпочалася у п’ятницю 2 липня. Успішна первинна атака на ланцюг постачання програми дозволив хакерам захопити контроль над кількома сотнями організацій – корпоративних користувачів VSA. Після цього кількість уражених комп‘ютерів збільшилася в геометричній прогресії та досягла десятків тисяч ще до закінчення довгих вихідних у США. Успішний вибір цілі та ефективна адаптація нападників під специфіку жертв на дургому та третьому етапах атаки без сумніву робить цю операцію найблискучішим актом криптоздирництва в історії.

Але це все сухі факти, давайте вже трохи поспекулюємо. Я маю дві теорії. Або (А) ця атака була санкціонована Кремлем, або (Б) REvil додумалися до цього самі, і тоді все ще гірше.

Справді, між атаками на Kaseya та пандемією notPetya багато спільного. Тактичне обрання дати початку нападу перед символічним державним святом (День незалежності США та День Конституції України). Початок операції з ураження постачальника програмного забезпечення (Kaseya та M.E.Doc), яке оновлюється автоматично. Походження та скеровування атаки з території РФ. Ці обставини змушують замислитись, і теорія змови не змушує на себе чекати. Але я схиляюся до того, що попри зв’язок REvil з російськими спецслужбами, між Кремлем та REvil не було прямого узгодження цієї кібератаки. Все набагато трагічніше.

Я думаю, що насправді крипто здирники просто досягли у своїх операційних процедурах, технологічних засобах та тактичній підготовці рівня агентів загроз державного калібру. Судячи з усього, поки супердержави були суперзайняті «великою грою» на геополітичній арені, кіберзлочинці скористалися цим дифіцитом уваги та перевершили їх за рівнем. Маю підозру, що в найближчому майбутньому тенденція збережеться. Легальні технологічні гіганти вже давно вийшли з-під контролю національних держав та стали рівноправними учасниками міжнародної політичної гри. Те саме дуже скоро зроблять майбутні кіберзлочинні мегакорпорації.

До речі, оператори крипторансомварі REvil заявили, що віддадуть універсальний ключ розшифрування всіх жертв ції кібератаки всього за 70 млн дол. Це просто неймовірна щедрість та колосальна оптова знижка, адже кумулятивне розшифрування всіх відомих наразі жертв потягнуло б на у рази більші гроші. Багато колег вважають, що так кіберзлочинці готуються вийти з бізнесу, ліквідувати бренд REvil, та почити на лаврах. Я так не думаю. Скеровуючись думками вище, я підозрюю, що так вони завершують черговий раунд інвестицій у щось більше.

Ще зо п‘ять років тому, я б цьому не повірив, але все змінюється. Загроза криптовимагачів та інших кіберзлочинців для Штатів дуже серйозна, а Росіянам на це дуже наплювати. Як наслідок, саміт є, а толку немає. Поясню чому.

Спочатку про фактаж. Саміт відбувся, лідери двох країн зустрілися та обмінялися думками. За результатами обговорення, були сформульовані наступні дії. План такий: доручити експертам з обох сторін пропрацювати проблему та дійти конструктиву.

Тепер стисло: зібралися, побалакали, розійшлися. Практичного результату ноль. Єдиний корисний наслідок це демонстрація важливості проблеми.

Беззмістовність саміту довели події, які відбулися після його завершення. Атака REvil на компанію Kaseya демонструє одне з двох: або росіянам наплювати на політичні спроби США стабілізувати ситуацію в кіберпросторі, або Кремль лише вдає, що від нього в цій ситуації щось залежить. Як я вже казав, я схиляюся до другого варіанту.

Джо Байден звісно робить все, що від нього залежить, навіть якщо це шкодить його політичній репутації. Корона не впала навіть подзвонити Путіну та прямим текстом закликати Кремль втрутитися в розгул кіберзлочинності в РФ. Проте, росіяни ж перебувають у впевненості, що все, що шкодить американцям, їм йде на користь. Тому поки обіцянки Білого дому покарати Кремль за витівки російських кіберхакерів не перетворяться на виховні заходи, діла не буде.

Коротко про важливе

  • Пішов з життя Джон Макафі

Піонер антивірусної індустрії, екстравагантний мільйонер, дворазовий кандидат в президенти США, який хайпив криптовалюти та підозрювався в низці тяжких злочинів, закінчив життя самогубством у каталонській в‘язниці після того, як іспанський суд схвалив його екстрадицію у США. Запит на екстрадицію було складено за звинуваченнями в ухиленні від податків, проте Джон вважав, що в федерального уряду на нього ширші плани.

63.7 з 73 біткоїнів, сплачених в якості викупу криптоздирникам з банди Darkside, були повернуті федералами. У ФБР стверджують, що вони відслідкували платежі та коли гроші аккумулювалися на одному гаманці, їм вдалося отримати контроль над його приватним ключем. Як їм це вдалося, і чи зробили вони це без сторонньої допомоги, слідчі звісно не повідомляють.

Портал FOSS Post, який висвітлює події в світі програмного забезпечення з відкритим кодом, попереджає читачів про те, що популярна програма скоро стане або вже стала слідкувати за своїми користувачами. Мова йде про зміну в політиці приватності компанії програми, текст якої змінився після придбання продукту фірмою Muse Group. Тепер в політиці є розділи, які дозволяють розробнику та власнику софта збирати з комп‘ютерів користувачів технічну телеметрію, а також дані, потрібні для формування відповідей на запити правоохоронних органів. 

До речі, ми припинили користуватися Audacity ще кілька місяців тому, тому що від компанії Muse Group за кілометр тхне російськими грошима.

Горе-хакери через знайдену вразливість викрали в банківської установи базу даних з інформацією про близько 100,000 клієнтів та вимагали викуп за нерозповсюдження отриманих даних. Сто тисяч гривень за сто тисяч клієнтів. Ну, все логічно: по гривні за штуку.

Цікаво, що звинувачують юнаків не у здирництві чи зламі комп‘ютерних систем, а у шахрайстві.

Атаки та інциденти 

Атаку приписують АРТ29, хакерському підрозділу СВР РФ. Метою зламу могла бути спроба отримання розвідданих про розслідування знищення росіянами малазійського боїнгу MH17 над територією України.

Про це повідомляє портал Мілітарний. Наразі сайт недоступний, але судячи по скріншотах, це схоже на банальний діфейс з підміною даних. Порції вебсайту залишилися без змін, а динамічні елементи змінені на фотку Джокера та глузливий текст російською.

Акція співпала з спільними морськими навчаннями України та США, висновки робіть самі 🙂

Схоже на те, що іранський залізничний транспорт зазнав низки затримок та скасувань маршрутів через втручання хакерів. Більше того, на інформаційних табло та інших ресурсах залізниці контактний телефон було змінено на номер офісу верховного лідера Ірану. Все це спричинило неаби який хаос, але звісно, зараз і зілізниця, і влада Ірану усе заперечують.

Вразливості та патчі 

  • PrintNightmare

Звісно, що найгучнішою вразливістю останнім часом є нещодавно виправлений зіродей в підсистемі друку MS Windows. Не заглиблюючись в подробиці, ось посилання на опис та хронологію подій, а ось рекомендації з швидкого реагування для майбутніх інцидентів такого роду.

Попри масову міграцію в хмару, Active Directory все ще з нами. А попри зміни в процесах розробки компанії Майкрософт, їхні небезпечні дизайнерські рішення, як то можливість підключити принтер до доменного контролера, ще довго кошмаритимуть великий ентерпрайз.

Ця новина потрапила у випуск лише тому, що це дуже олдскульно – хакати системи через вразливості у сніферах мережевого трафіку. Сніфери часто написані на низькокорівневих мовах програмування, та виконуються в системі з підвищеними привілеями. Як наслідок, переповнення буфера в ring0 там все ще актуальні.

Аналітика

В продовження теми REvil та інших криптоздирників, передові експерти з економіки кібербезпеки стверджують, що кіберзлочинці дуже відрізняються від звичайних злочинців. У правовому та моральному сенсі, вони просто порушують закон та соціальні норми. Але в економічному сенсі вони здійснюють підприємницьку діяльність. Щоправда, без доступу до легальних фінансових інструментів, таких як інвестиції та кредитування.

Інститут дослідження зовнішньої політики опублікував огляд російських дій в кіберпросторі за останні 10 років та узагальнив очевидні стратегічні традиції, що вимальовуються в поведінці Кремля. Серед іншого, росіяни поступово зміщують фокус з яскравих видовищ в бік прихованих операцій, що відображається на характері обраних цілей та тактичних рішеннях.

Надзвичайно цікаві пригоди, які розпочинаються з пропозиції на сайті ФСБ скачати VPN-клієнт, який тригерить щонайменше 20 антивірусів.

Рекомендації

Чудовий пост, який описує процеси та технічні подробиці спостереження за діями кіберзлочинців. Розслідування в інтернеті захопливі самі по собі, а розслідування дій найуспішніших кіберзлочинців – тим більше.

Чудова колекція оптимізованих пейлоудів для XSS-атак.

Mitre та NSA опублікували матрицю заходів безпеки, яка мапиться на матрицю ATT&CK.

Доповідач на минулорічному NoNameCon Joe Gray видав книжку, яку ви можете попередньо замовити на Амазоні.

Смі#$%oчки

  • ФСБ Росії на повному серйозі видворила з країни Олексія Семеняку – представника інтернет-реєстратора RIPE NCC у Східній Європі. Олексію інкримінують співпрацю з СБУ на основі… його спілкування з представниками Служби Безпеки в соцмережах.

Leave a Reply

Your email address will not be published. Required fields are marked *