No Name Update від 18 квітня 2021 р.

Докладно про головне

15 квітня Міністерство Фінансів США ввело санкції на ряд російських компаній у відповідь на зловмисні дії російського уряду в інформаційному просторі. У заяві міністерство звинувачує ФСБ, ГРУ, Службу Зовнішньої Розвідки РФ, та низку російських технологічних компаній в організації та виконанні кібератак на державні установи й об’єкти критичної інфраструктури України й Франції, атаки SolarWinds, NotPetya, Olympic Destroyer, використання нервово-паралітичних агентів для отруєння політичних опонентів режиму, розповсюдження зброї масового знищення, та чимало інших хобі, котрими полюбляє займатися Російська Федерація.
Серед компаній що потрапили до списку: ЕРА Технополіс, Pasit, Neobit, Positive Technologies, та інші
Санкції реалізуються шляхом блокування всього підконтрольного Сполученим Штатам майна та активів перелічених компаній, а також усіх активів що прямо або опосередковано належать переліченим компаніям на 50% або більше відсотків.

Ми вже багато говорили про 0-day вразливості в Microsoft Exchange експлуатовані Китаєм, та про те, як зловмисники, передбачаючи виправлення вразливостей, масово встановили незахищені веб-шели на уражених серверах ще до виходу патчів. Таким чином системи залишаються скомпрометованими навіть після оновлення, до тих пір поки власники мереж не знайдуть та не видалять ці бекдори. Як певно відомо багатьом з вас, на практиці це може зайняти нескінченність.
Тому ФБР вирішило взяти справу в свої руки та самостійно видалити встановлені веб-шели з уражених серверів. У таких благих намірів є лише один нюанс: формально це все одно був би несанкціонований доступ до систем, що не належать ФБР. І якби щось подібне вчинила приватна особа, ФБР гарантовано завітало б до неї, і не з метою подякувати. Для себе ж вони вирішили цю проблему шляхом отримання через суд ордеру на обшук уражених компаній. Це дозволило ФБР легально проникнути на уражені системи, і попередньо скопіювавши код веб-шелу як речовий доказ, видалити його, тим самим виправивши вразливість.
Тобто по суті, з юридичної точки зору – це було просто вилучення речового доказу. Подібне використання ордеру на обшук є унікальним в правовій історії і ймовірно в майбутньому цей прецедент призведе ще до багатьох неординарних випадків. У цікаві часи живемо.

Минулого тижня Іран повідомив про збій електропостачання на ядерному об’єкті зі збагачення урану у Натанзі, після розслідування якого іранці почали підозрювати, що збій не випадковий, а спеціально націлений на пошкодження інфраструктури ядерного об’єкта. Незабаром Ізраїль підтвердив свою участь в організації саботажу з метою сповільнення ядерних потужностей Ірану та попередження їх використання для створення ядерної зброї.
Нагадаємо, що цей об’єкт знаходиться в центрі шпигунських подій уже багато років: минулого липня на ньому виникла пожежа, яку також вважають саботажем, а ще до того у далекому 2010-му році спільною операцією ЦРУ та Моссаду, понад 1000 центрифуг для збагачення урану були виведені з ладу з використанням спеціалізованого комп’ютерного вірусу, ширше відомого як Stuxnet.

Коротко про важливе

Автор має на меті показати хакерам погані практики “співпраці” з компаніями та заохочувати компанії до конструктивного діалогу, коли їх продукт буде зламано.

За попередніми підрахунками, місячний оборот учасників злочинної групи становив 250-300 кілограмів, а це – мільйон 200 тисяч доз і 100-120 мільйонів гривень прибутку.

  • Збройні Сили Ізраїлю можуть заборонити своїм солдатам та офіцерам приїжджати на бази на “розумних” автомобілях

Експерти ЗС Ізраїлю стверджують, що це ідеальний вектор для шпигунства на базах, адже такі автомобілі обладнані системами глобального позиціювання та камерами.

  • Австралійська компанія Azimuth Security надала владі США інструментарій для розблокування iPhone, що використовувався під час терористичного акту у місті Сан Бернадіно у 2015 році

Репортери стверджують, що інструмент під назвою Condor, був наданий ФБР під час скандального судового розгляду над компанією Apple, коли компанія відмовилася співпрацювати з державою.

  • Чоловік з Детройту подав в суд на поліцію за несправедливий арешт через помилкове спрацювання алгоритму розпізнавання облич

У судовому позові Поліцію Детройта звинувачують у прийнятті рішення про арешт покладаючись на неточну систему розпізнання облич, використовуючи неякісні зображення та недосконалі алгоритми, особливо у розпізнавання облич певних рас.

  • Великий витік маршрутизації BGP, порушив зв’язок для тисяч мереж та веб-сайтів по всьому світу.

Cisco BGPMon виявили розбіжності в системі маршрутизації Internet, що може свідчити про намагання перехоплення маршрутів BGP. Це сталося через систему, що помилково анонсувала підтримку понад 30000 префіксів або маршрутів BGP. Зазначена автономна система (AS55410) належить Vodafone India Limited.

Атаки та інциденти

Зазначений продукт називається Bash Uploader і дозволяє клієнтам Codecov завантажувати звіти про покриття коду на платформу компанії для аналізу. Зловмисник отримав доступ до коду Bash Uploader 31 січня через помилку в побудові Docker образів та додав шкідливий код, який перехоплював завантаження та збирав конфіденційну інформацію, наприклад облікові дані, токени або ключі.

До списку вразливих систем належать Fortinet Fortigate, Synacor Zimbra, Pulse Connect, Citrix Application Delivery Controller та Gateway, а також VMware Workspace ONE Access.

Joker передплачує преміум-послуги мобільного зв’язку. Дослідники виявили в AppGallery десять нібито нешкідливих програм, які містили код для підключення до зловмисного сервера команд і керування для отримання конфігурацій та додаткових компонентів шкідливого програмного забезпечення.

Це не було витоком даних, і жодні дані приватних облікових записів LinkedIn не були включені в опубліковані дані, заявили у LinkedIn.

Вразливості та патчі

  • Дослідники безпеки знайшли ряд нових вразливостей, що ставлять під  загрозу мільйони серверів, розумні девайси та індустріальне обладнання

Вразливості під назвою NAME:WRECK виявила компанія Forescout в рамках своєї внутрішньої програми дослідження безпеки під назвою Project Memoria, яку компанія описує як «ініціативу, що спрямована на надання спільноті кібербезпеки найповнішого дослідження з питань безпеки стеку TCP/IP “.

Загалом компанія усунула десять вразливостей, що зачіпають чотири продукти. Сім із вразливостей оцінено як критично важливі, оскільки вони дозволяють довільне виконання коду або довільний запис файлів.

  • Positive Security представили приклад коду що в один клік експлуатуєвразливість виконання коду в Telegram, Wireshark, LibreOffice, гаманці Bitcoin/Dogecoin та інших програмах.

Вразливість полягає в неправильному розпізнаванні операційною системою схеми (scheme) URL, що відкривається програмою. Браузери відключають адреси зі схемою file://, як одну з найнебезпечніших схем URL, або принаймні показують вікно що спливає перед переходом до інших зовнішніх URL-адрес. Попри додаткові перевірки схеми впроваджені у браузерах, у багатьох інших програмах вони відсутні.

Вважається, що ця вразливість є тією ж, яку використовували дослідники Dataflow Security на Pwn2Own 2021

Найсерйозніша з них має оцінку критичності 9,8 із 10 і може бути використана без попередньої автентифікації на сервері. Всі вразливості призводять до віддаленого виконання коду та були виправленні в оновленні від Microsoft, що виправляє загалом 108 вразливостей.

У своїй статті вони показали, як дві вразливості WhatsApp дали змогу зловмисникам віддалено збирати криптографічний матеріал TLS для сеансів TLS 1.2 та TLS 1.3. Маючи під рукою секрети TLS, вони продемонстрували, як атака «людина посередині» (MitM) може призвести до компрометації комунікацій WhatsApp, віддаленого виконання коду на пристрої жертви, та вилучення ключів протоколу Noise, що використовуються для наскрізного шифрування в комунікаціях користувачів.

Аналітика

  • Історія інсайдера з Facebook Софії Чжан, що заявила про системні намаганнясвітових держав використати соціальну мережу у своїх цілях, часто проти своїх же громадян

Чжан знала, що це не та історія, яку Facebook хотів би почути, а тому  запустила вебсайт з копією маніфесту та надала посилання та пароль працівникам Facebook. Facebook тимчасово видалив публікацію всередині компанії, зв’язався з хостинговою службою Чжан і реєстратором доменів та видалив вебсайт.

  • Згідно зі статистикою наведеною компанією FireEye, в цей момент у світі активні більш ніж 1900 окремих хакерських груп

Статистика включає суб’єктів загроз, що фінансуються державою (відомих як APT), фінансово мотивовані групи та групи, про які все ще бракує інформації, щоб віднести їх до будь-якої з перших двох категорій. Ці групи також відповідають за розробку понад 500 нових сімейств шкідливого програмного забезпечення протягом минулого року.

Зараз кіберзлочинці з групи намагаються набрати клієнтів зламаних компаній, щоб допомогти їм заохотити їхніх роботодавців оплатити викуп. Це останній поворот у спробах хакерської групи вимагати гроші у жертв, і це одна з причин того, що Cl0p став однією з найцікавіших хакерських груп на початку 2021 року.

Рекомендації

  • Огляд дезінформації як явища та способів протидії від Wired

Інструменти

  • DevideAndScan – зв’язка сканерів портів Masscan/RustScan та Nmap для пришвидшення сканування мереж
  • PoisonApple – інструмент для виконання різних технік закріплення в системі MacOS для дослідників загроз та спеціалістів червоної команди

Смі#$%oчки

  • “Мало сиру”, – нестача сиру в супермаркетах Нідерландів через кібератаку на сервіс логістики

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *