Solarflare News

• Дослідники безпеки з Trustwave знайшли низку нових вразливостей в платформі SolarWinds
• Китайські хакери можливо отримали доступ до даних тисяч державних працівників в США через вразливість в SolarWinds
• Атаки на ланцюги постачання можуть виявитися більшою загрозою, ніж ми думали

Докладно про головне

• Здійснено кібератаку на систему водопостачання у місті Олдсмар, штат Флорида

Невідомі отримали доступ до комп’ютерних систем водоочисної споруди та змінили рівень хімічних речовин до небезпечних параметрів.

Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).

Користуючись отриманим доступом, нападники більш ніж в сто разів збільшили рівень гідроксиду натрію в налаштуваннях системи. Якби їхні дії не були виявлені й ці налаштування були б застосовані в системі водоочищення, це могло б призвести до згубних наслідків для здоров’я великої кількості людей.

Наскільки великої? Цікавий факт: місто Олдсмар знаходиться поблизу місця проведення Super Bowl LV минулої неділі. Тому, хоч про атрибуцію цієї кібератаки говорити ще зарано, я готовий поставити на росіян. Небагато грошей, але з великим рівнем впевненості. Російські хакери вже неодноразово цілилися у спортивні події з метою дестабілізації політичних настроїв на чужій території. Тут я бачу якщо не шаблон, то натяк на нього. Але звісно, я можу помилятися.

Чиновники від кібербезпеки часто-густо забувають про те, що модель загроз об’єктів критичної інфраструктури ширша, ніж просто вихід усього із ладу. Критична інфраструктура критична не тому, що без неї холодно, нема чого їсти та пити, і неможливо полетіти у відпустку. А тому, що використавши її як зброю, можна заморозити та отруїти купу людей, або ж скинути на неї пару літаків.

• CD Projekt Red зазнав атаки вірусу-вимагача, викрадені дані вже продають на аукціоні

Польського розробника легендарних відеоігор серії Відьмака та Cyberpunk 2077 зламали, вкрали вихідні коди кількох ігор, все зашифрували криптолокером, та вимагали відкуп у криптовалюті. Поляки криптоздирникам платити відмовились та почали відновлення з бекапів. Після чого злочинці виконали свої погрози та оголосили аукціон з продажу поцупленої інтелектуальної власності.

Знаючи трохи про стан безпеки в ІТ-компаніях, до CDPR в мене тут питань немає ніц. Вони не кращі та не гірші від решти конкурентів. Тотальне забивання на кібербезпеку чомусь все ще статус кво на цьому ринку. Та в мене є питання до здирників та потенційних покупців вкрадених сорсів. Ви типу серйозно вважаєте, що з цього можна отримати якийсь прибуток?

Як на мене, то ця лавочка закрилася тоді, коли CDPR відмовився платити. Купити вихідні коди відеоігор може лише якийсь дуже екстравагантний покупець або багатій несповна розуму. Бо конкуренту це геть не треба – як ви це уявляєте, хтось купить код і зробить на ньому продукт? Це дуже легко виявити, тому проблем з законом не уникнути, і нікому вони не потрібні.

• Китай намагається отримати доступ до бази даних ДНК системи охорони здоров’я США

Китайська комуністична партія продовжує втілювати в життя стратегію збирання даних про всіх громадян країн, що становлять загрозу для світового домінування Китаю. І через те, що всі інші дані у Китайців вже є, черга дійшла до баз даних ДНК.

Чому вони це роблять? Все дуже просто: тому що можуть. А навіщо це робити вони розбираються вже згодом, коли дані отримано та систематизовано. Китай інвестує не лише в кібершпіонаж, в цій країні дуже розвинуті галузі знань аналізу даних та машинного навчання. Саме ці дві галузі є фронтом сучасної холодної війни та гонки озброєнь. І в обох цих галузях виграє той, хто отримає контроль над якомога більшими об’ємами перевірених даних, решту завдань виконає математика.

Тому не питайте себе, чому влада Китаю збирає дані про громадян своїх суперників. Питайте себе, чому цього не робить влада України.

• Хтось продає в Даркнеті базу даних українців і каже, що це усі клієнти ПриватБанку

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, 3400 дол. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця бази нас обдурити. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути просто ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних. По-третє, за всієї поваги до маркетологів Привату, 40 млн клієнтів це понад 90% населення України, тому це число додає сумнівів. По-четверте, приклади даних, викладені на форумі, виглядають сумнівно, адже містять знак питання замість букви “і” та введені у верхньому регістрі. Це більше скидається на якийсь до-юнікодний державний реєстр, чи банківську базу з дев’яностих. Ну і по-п’яте, в базі даних клієнтів ПриватБанку я б очікував побачити хоча б натяк на фінансові дані, такі як номери рахунків та платіжних карток. Яких там немає.

Підсумовуючи, я не стверджую що ця база даних фейкова, але звертаю вашу увагу на фактори, які на це натякають. Сподіваюся, ця історія матиме продовження і ми дізнаємось більше.

Коротко про важливе

• В М’янмі під час військового перевороту зник доступ до мережі Інтернет

М’янма це країна з трагічною історією, в якій після приходу нарешті до влади демократичних сил відбувся черговий військовий переворот. Військові захопили важливі об’єкти інфраструктури та першим ділом вирубали в країні інтернет. Логічно, адже в М’янмі дуже популярний Facebook, а його досить зручно використовувати для координації акцій громадянської непокори.

• Google виплатив дослідникам безпеки $6.7 мільйонів винагород у 2020 році

Гуглу часто дістається від нас у цих випусках і взагалі. Але коли компанія чинить правильно, це варто підкреслити. Гугл продовжує бути взірцем організації, яка піклується про власну кібербезпеку, і їхня програма Bug Bounty не виключення.

• Оператор вірусу-вимагача Lockbit в інтерв’ю Cisco Talos зазначив, що Росія – найліпша країна для кіберзлочинців

Він пояснив свій спосіб роботи, бажані цілі, використання інструментів і чому в Росії важко стати та залишатися законослухняним спеціалістом з кібербезпеки.

• VMWare ESXi під ударом вірусів-вимагачів

Принаймні одна велика група зловмисників експлуатує вразливості в VMWare ESXi, щоб отримати контроль над віртуальними машинами, розгорнутими в корпоративних середовищах, і зашифрувати віртуальні жорсткі диски.

• Автори вірусу-вимагача FonixCrypter заявили про припинення своєї діяльності та опублікували майстер-ключ дешифрування

Дослідник безпеки з Threat Intelligence компанії Recorded Future випробував дешифратор і підтвердив, що інструкції та ключ працюють. Але, з очевидних причин, жертвам цього криптоздирника рекомендується почекати на вихід більш легітимної програми розшифрування даних.

Вразливості тижня

• Нещодавня вразливість в sudo також стосується MacOS та низки продуктів Cisco

А не лише Linux та UNIX систем, як вважалося раніше.

• Google закрив 0-day вразливість у Chrome, що активно експлуатувалася зловмисниками

Вразливість нульового дня CVE-2021-21148, була описана як heap-overflow помилка у механізмі JavaScript V8.

• CD Projekt Red виправили вразливість віддаленого виконання коду в Cyberpunk 2077, яку зловмисники експлуатували створюючи шкідливі моди до гри

Раніше розробники з CDPR попередили, що користувачі Cyberpunk 2077 повинні уникати використання модів, через вразливість у механізмі використання файлів DLL.

Статті та аналітика

• Аналіз транзакцій Блокчейну підтверджує складну взаємодію між різними угрупуваннями криптоздирників та розробниками шкідливих програм

Звіт, опублікований компанією Chainalysis підтверджує, що кіберзлочинні групи, які беруть участь в атаках вірусів-вимагачів, не працюють автономно та ізольовано, а часто змінюють постачальників шкідливих програм з метою збільшення прибутку. Аналітики називають цю бізнес-модель Ransomware-as-a-Service, і так, нам варто очікувати подальшої індустріалізації цього ринку та збільшення втрат легітимних компаній внаслідок атак криптоздирників.

Рекомендації

• Підбірка з сімдесяти подкастів про кібербезпеку

Tools & Writeups

• Advanced Axiom Usage – автор фреймворку пошуку вразливостей pry0cc розказує про просунуті кейси використання інструменту
• Звіт з аналізом Sunburst від Агентства Кібербезпеки США

Смі#$%oчки

• Юрист зі штату Техас не розібрався з котячим Zoom-фільтром, випадково ввімкнув його під час онлайн-засідання, та не зміг вимкнути.

А отже, був змушений голосом проінформував суддю та всіх присутніх, що він не кіт, і я сподіваюся, що це зізнання потрапило до протоколу засідання.