Докладно про головне
Росія продовжує ескалацію агресії проти України у військовій та інформаційній площинах. Минулого тижня українські банки, оборонні відомства та цифрові державні послуги стали ціллю для рекордної для України DDoS-атаки потужністю до 150 Гбіт/сек. Американська та британська розвідки стверджують, що джерелом атаки є російські спецслужби. Reuters.com
За офіційними даними на онлайн-ресурси спрямовувалися до 600 тис. пакетів на секунду, що не є трагедією для підготовлених систем, та у нашому випадку стало причиною збою. Про саму DDoS-атаку та причини її успішності не написав лише ледачий, написав і я. Докладний розбір ви можете почитати за посиланням в нотатках [https://styran.com/ddos-privat-oschad-diia/]. Тут я хочу підкреслити кілька деталей, які, на мій погляд, є важливими у подіях, що слідували.
По-перше, українські кіберчиновники, здається, усвідомили безглуздість спроб захиститися від глобальних загроз локальними методами. Кілька держаних установ оперативно сховалися за Cloudflare, а на Фейсбук-сторінці Національного координаційного центру кібербезпеки з’явилося запрошення усім атакованим установам звернутися по допомогу з налаштуванням захисту від DDoS на базі сервісів Cloudflare та Akamai.
По-друге, американська розвідка стверджує, що DDoS-атака була лише диверсією, що відвернула нашу увагу від іншої активності росіян, спрямованої на захоплення контролю над критичними системами. Цей доступ може бути використаний ними для виведення з ладу системи життєдіяльності країни під час військового наступу. Washingtonpost.com
По-третє, ще під час атаки CEO Монобанку написав у Фейсбуку (бо напевно кращого для цього місця немає) про те, що боти які валили Моно розташовані в Нідерландах. Але цікава не недолугість цієї заяви, а реакція Нідерландів. Тема моментально ескалювала до обговорення у парламенті, а провідні кіберексперти локалізували сервер та допомогли правоохоронним органам нейтралізувати його. Nltimes.nl
В інших новинах: Ліга опублікувала дайджест п’яти основних наративів російських операцій інформаційного впливу. Liga.net
Коротко про важливе
Microsoft Defender незабаром розширить функціональність та зробить складнішими крадіжки паролів з оперативної пам’яті ПК під управлінням ОС Windows. Нова функція по замовчуванню під назвою Credential Guard помістить процес LSASS у захищений контейнер і унеможливить доступ до його області пам’яті. Це зробить Mimikatz менш ефективним, проте подивимось, чи надовго. Гонка озброєнь триває 🙂 Bleepingcomputer.com
Розробник джейлбреків для iOS та за сумісництвом етичний хакер Джей Фріман виявив вразливість, що дозволяла зловмиснику створити скільки заманеться Ефіру (ETH) через ваду в коді проєкту Optimism. Винагорода за багу потягнула на два мільйони доларів США. Cointelegraph.com
ФБР попереджає про загострення загрози типу Business Email Compromise (BEC). Ці атаки зазвичай спрямовані на працівників компаній, а зловмисники викрадають доступ до імейлів вищого керівництва, з яких потім надають підлеглим інструкції зі здійснення “екстрених платежів”. Останнім часом ці атаки еволюціонували та почали використовувати віртуальні зустрічі, на які фальшиві боси запрошують працівників. На дзвінку нападники використовують фото скомпрометованих персонажів, і навіть аудіо та відео діп-фейки, підроблені голоси та відео, щоб переконати інших учасників дзвінка в аутентичності своїх вказівок. Bleepingcomputer.com
Google запроваджує Privacy Sandbox для Android з метою обмеження розповсюдження приватних даних користувачів. Виглядає як щось ненатуральне, адже торгівля даними користувачів складає фундамент бізнес-моделі Google. Мабуть, що тут йдеться не про приватність, а про ексклюзивність її порушення. Thehackernews.com
Хакерські штуки
В продуктах Adobe Commerce та Magento Platforms виявлено вразливості віддаленого виконання коду. Thehackernews.com
Новий ботнет Kraken, створений за допомогою Golang, було виявлено спеціалістами ZeroFox Intelligence. Попри те саме ім’я, це не старий Кракен, якого ми знаємо з минулої декади. Проєкт знаходиться на стадії розробки, проте вже містить багато цікавої функціональності. Securityaffairs.co
Хакер-початківець декілька років тероризує підприємства авіаційної, транспортної та інших галузей. Спостерігачі вважають, що він використовує загальнодоступні інструменти та знаходиться на території Нігерії. Дарма що атаки примітивні, злочинець вже п’ять років переховується від правоохоронних органів. Bleepingcomputer.com
Хакери мали доступ до мережевої інфраструктури Червоного Хреста протягом 70 днів. Жертвами витоку даних стали 515 000 осіб. Злочинці використали критичну вразливість Zoho’s ManageEngine ADSelfService Plus. Securityweek.com
Викладено у вільний доступ декриптори для криптоздирників Maze, Egregor та Sekhmet. Невідомий «благодійник» розмістив ключі розшифровки на форумі Bleeping Computer. Zdnet.com
Вразливість системи безпеки чіпу Apple Т2 може призвести до злому паролю користувача. Не використовуйте короткі паролі, додавайте спеціальні символи, й тоді, можливо, все буде добре. 9to5mac.com
Аналітика та рекомендації
CERT-UA доповів про результати своєї роботи на початку 2022 року. Цікава статистика та незвична прозорість. Cert.gov.ua
Опублікований оновлений стандарт ISO/IEC 27002:2022, що містить цілі та описи контролів кібербезпеки та приватності. Iso.org
Компанія Veracode опублікувала щорічний звіт про стан безпеки програмного забезпечення. Veracode
Щорічний звіт про майбутні кіберзагрози від Crowdstrike. Crowdstike.com
Рекомендації та інструменти від Bellingcat для тих, хто розпочинає займатися розвідкою з відкритих джерел (Open Source Intelligence, OSINT). Bellingcat.com
Розвінчання десяти міфів про кібербезпеку. Зокрема: більше інструментів безпеки це не більше безпеки, кіберстраховка не знижує кіберризики, логування не дає безпеки без аналізу логів, дані в хмарі не є автоматично у безпеці, кібербезпека це завдання не лише для айтівців тощо. Makeuseof.com
Як використовувати Cloudflare Tunnel для доступу до ваших серверів по SSH без необхідності відкривати tcp-порти SSH. Ben Butterworth
Десять важливих порад хакерам-початківцям від відомого стрімера. CTS
Цікава інтерактивна розповідь про елітних хакерів з угруповання Snake, також відомого як Turla, яке не безпідставно пов’язують з ФСБ. Bayericher Rundfunk
PortSwigger опублікував результати опитування експертів про 10 найвидатніших технік атаки вебдодатків у 2021 році. Portswigger.net
Анонси та події
Запис вебінару BSG про те, що вчити пентестерам у 2022 році. Youtube.com
Перша в цьому році зустріч OWASP Kyiv відбудеться 26 лютого. Meetup.com
А запис зимової зустрічі OWASP Zhytomyr дивіться у записі на youtube.com.