Докладно про головне

• Google викрив контртерористичну операцію одного з союзників США

Зазвичай коли Google виявляє і знешкоджує чергову вразливість або кібератаку в Інтернеті, це викликає лише схвальну реакцію від спільноти та активістів приватності. Цього разу сталося дещо інакше. Звісно, Гугл знову виявив хакерську атаку, що експлуатувала 11 потужних вразливостей нульового дня для компрометації пристроїв на iOS, Android і Windows, та опублікував свої знахідки на сайті Project Zero. Проте є нюанс: у своєму звіті Гугл не уточнив, що виявлені хакери насправді були оперативниками спецслужб західних країн у процесі проведення контртерористичної операції. Одноосібне рішення Гугла зупинити та опублікувати дані про атаку, і при цьому нічого не сказати про її природу, викликало  суперечки як всередині компанії, так і серед представників спецслужб та професійної спільноти. З одного боку, серед західних кібербезпекових компаній існує негласне правило  не публікувати інформацію про виявлені атаки дружніх спецслужб. Зрештою, частина фахівців цих приватних компаній раніше і самі працювали в розвідувальних службах. З іншого боку Гугл, цілком справедливо зауважує, що рано чи пізно ці експлойти будуть використані й іншими сторонами, не обов’язково дружніми. А тому чим раніше вразливості будуть розголошені та виправлені, тим краще для всіх. Наразі невідомо, чи Гугл попередньо координував свої наміри з представниками влади перед публікацією та нейтралізацією атаки. Проте, як мені здається, якщо Гугл впевнений у своїй позиції, їм варто було б опублікувати всі аспекти виявленої атаки і нічого не замовчувати.

• У Facebook стався масштабний витік даних – номери телефонів та персональні дані понад пів мільярда користувачів опинилися у відкритому доступі

Опубліковані дані містять наступну інформацію про користувачів: номери телефонів, ідентифікатори Facebook, повні імена, локації, дати народження, біографію, дату створення акаунту, сімейний стан та у деяких випадках – email адреси.

Наразі відомо що дані було скомпрометовано через вразливість в інфраструктурі Facebook, яку згодом було виправлено у 2019 році.  Вперше про витік стало відомо у січні, коли дослідники виявили розповсюдження на хакерських форумах бота, який по запиту, за гроші, надавав номери телефонів користувачів Facebook. Згодом повний об’єм даних був опублікований для безоплатного доступу. Це демонструє нам дві речі: по-перше, (вкотре наголошуємо) – жодна компанія не застрахована від компрометації, навіть якщо це Facebook. Звісно засоби захисту у великих технологічних компаній якісніші, проте і наслідки компрометації, якщо вона все ж стається – значно масштабніші. По-друге, Фейсбук міг би на ділі продемонструвати, що піклується про безпеку даних своїх користувачів: повідомити їх про витік, вибачитись за порушення довіри та застережити про можливі фішингові атаки з використанням скомпрометованих даних; але не зробив цього. Висновки робіть самі.

• Сполучені Штати готують детальний звіт про атаку на SolarWinds з аналізом інструментів російських хакерів

Звіт підготовлений Департаментом Внутрішньої Безпеки США сумісно з Кібер Командуванням і містить деталі про зловмисний код та методи проникнення у мережі, що використовувались російськими оперативниками для компрометації SolarWind і проникнення в 9 державних установ Сполучених Штатів та понад 100 приватних компаній. Звіт мав бути опублікований ще в середу, проте представники влади повідомили про надходження додаткових даних, внаслідок чого реліз звіту затримується. Вочевидь, злам SolarWinds досі не припиняє радувати новими подробицями не лише кібербезпекову спільноту, але навіть і самі спецслужби.

Коротко про важливе

• Через архітектурну проблему  у реалізації 5G, зловмисники можуть отримувати доступ до даних геолокації та проводити атаки відмови в обслуговуванні

Проблеми виявили в механізмі розмежування мережі (network slicing). 5G базується на так званій service-based архітектурі (SBA), яка забезпечує модульну структуру для розгортання множини взаємопов’язаних мережевих функцій. Атака експлуатує особливість архітектури SBA, яка не має перевірки того, що ідентифікатор слайсу на сигнальному рівні відповідає ідентифікатору на транспортному рівні, дозволяючи зловмиснику що має з’єднання до SBA оператора  використати шкідливі мережеві функції для отримання доступу в основну мережу та інші мережеві слайси.

• Інсайдер з Ubiquiti стверджує, що витік даних компанії “катастрофічний” та поставив під удар усіх користувачів хмарних рішень компанії

Нагадуємо, у січні Ubiquiti – так званий Apple у світі маршрутизаторів, мережевих відеореєстраторів та камер безпеки, повідомив про неавторизований доступ до систем розташованих у їх надавача хмарних послуг та запевнили що не мають підстав вважати, що користувацькі дані були скомпрометовані. Цим надавачем хмарних послуг виявився AWS, де Ubiquiti хостить свої хмарні рішення.

• Нідерландська служба захисту даних оштрафувала Booking.com на 475 тисяч євро за пізній звіт про витік даних

Штраф був накладений за реакцію на атаку, що сталася в грудні 2018 року, коли хакери отримали доступ до облікових даних працівників 40 готелів у Об’єднаних Арабських Еміратах. Зловмисники отримали доступ до інформації про людей, що зупинялися в готелях, та даних їх платіжних карток.

• Видавництво ігор Activision застерігає геймерів про фейковий інструмент для “шахрайства” у Call of Duty: Warzone

Згідно зі звітом компанії, зловмисники на darknet форумах обговорюють можливість завантаження геймерами дропера – програми, що буде використано для встановлення інших форм шкідливого програмного забезпечення (наприклад, для віддаленого доступу до комп’ютера жертви).

• Департамент Юстиції США засудив хакера, що отримав доступ до системи контролю водопостачання, та описав атаку як таку, що була націлена на завдання шкоди людям

У судових документах не вказано, чи була атака успішною і як підсудного  було виявлено; однак чиновники заявили, що підозрюваний працював у службі водопостачання протягом року по січень 2019 р., та згодом подав у відставку.

• За даними дослідників, Google збирає у 20 разів більше телеметрії з Android, ніж Apple збирає з iOS

Дослідники Дублінського університету, проаналізували трафік, що виходить з пристроїв iOS та Android і спрямовується до серверів Apple і Google відповідно, та виявили, що як Android, так і iOS продовжують надсилати певну телеметрію навіть після відмови користувача від цієї опції, а також надсилають деякі дані ще до того як користувач авторизувався.

• Cellebrite припиняє надавати свої послуги у РФ та Білорусі

Компанія надає послуги державним службам у сфері цифрової розвідки, та відома своїми рішеннями по зламу зашифрованих смартфонів

• Арктичне сховище GitHub може зберігати дані витоку MetData

Приватні дані витекли минулого року після того, як один з бувших працівників MetData завантажив їх на GitHub. Згодом ці дані були видалені, але нідерландські дослідники з’ясували, що вони встигли потрапити до Arctic Code Vault – проекту Гітхаб з архівації відкритого коду у сховищі в Норвегії. Це означає, що ці репозиторії тепер будуть частиною величезної колекції відкритого коду, що існуватиме 1000 років у арктичному сховищі.

Атаки та інциденти

• Група шахраїв зламала китайську систему розпізнавання облич, для видання підробних податкових накладних

Прокурори у справі заявили, що злочинна група обійшла систему перевірки особистості цієї платформи. Шахраї використовували особисту інформацію та фотографії високої чіткості, що придбали на чорному ринку для створення відео облич людей. Після реєстрації, компанія видавала клієнтам підроблені податкові накладні.

• Новий вірус під Android прикидається оновленням системи

Зразок програми, виявлений командою дослідників, був знайдений у сторонньому сховищі, а не в офіційному магазині Google Play.
Після встановлення пристрій жертви реєструється на сервері командного керування Firebase (C2), який використовується для видачі команд, тоді як окремий виділений C2 використовується для управління крадіжкою даних.

• Зловмисники намагалися додати зловмисний код в офіційний репозиторій PHP

Зловмисні коміти, які були підписані іменами розробників мови PHP, були замасковані як прості помилки при друку, які потрібно було виправити.
Однак виявилось, що за цими комітами є код, що запускає довільний код у заголовку HTTP-агента, якщо рядок починається із вмісту, пов’язаного із Zerodium, таким чином створюючи backdoor.

Вразливості та патчі

• Критична вразливість у npm бібліотеці netmask ставить під удар тисячі програм

Вразливості CVE-2021-28918 та CVE-2021-29418 виникли через неправильну обробку мережевої маски IP-адреси змішаного формату, а точніше, коли десяткова адреса IPv4 містить на початку нуль.

• SolarWinds виправили критичну вразливість віддаленого виконання коду у платформі для моніторингу мережі Orion

Помилка десеріалізації JSON, дозволяла автентифікованому користувачеві виконувати довільний код за допомогою функції test alert actions, доступної в веб-консолі Orion.

• VMWare випустили оновлення для вразливості, що дозволяла зловмисникам отримувати доступ до паролів адміністраторів vRealize Operations

vRealize Operations – це рішення для управління ІТ-операціями, що працює на основі штучного інтелекту. Вразливість CVE-2021-21975 характеризується як Server-Side Request Forgery в програмному інтерфейсі vRealize Operations Manager.

Аналітика

• За результатами опитувань, п’ята частина жертв вірусів-вимагачів не отримують дані після оплати викупу
• Всесвітня Організація Охорони Здоров’я дійшла висновку, що COVID-19 пішов з ринку тварин, а не з лабораторії
• Дослідження соціологічних наслідків епідемії COVID-19 свідчить про необхідність поліпшення практик прогнозування такого роду подій

Рекомендації

• “Модель Зрілості Автентифікації Споживача” від Деніела Місслера

Деніел створив діаграму з різними рівнями захищеності споживача в залежності від налаштованого методу автентифікації. Основною метою було створити візуалізацію, яка полегшила б роботу фахівців з безпеки у веденні просвітницької роботи.

Смі#$%oчки

• Проблеми з системою розпізнавання облич в Китаї
• The CatInTheHat Attack