Докладно про головне
- Казначейство США наклало санкції на ряд російських компаній, у тому числі на Positive Technologies.
15 квітня Міністерство Фінансів США ввело санкції на ряд російських компаній у відповідь на зловмисні дії російського уряду в інформаційному просторі. У заяві міністерство звинувачує ФСБ, ГРУ, Службу Зовнішньої Розвідки РФ, та низку російських технологічних компаній в організації та виконанні кібератак на державні установи й об’єкти критичної інфраструктури України й Франції, атаки SolarWinds, NotPetya, Olympic Destroyer, використання нервово-паралітичних агентів для отруєння політичних опонентів режиму, розповсюдження зброї масового знищення, та чимало інших хобі, котрими полюбляє займатися Російська Федерація.
Серед компаній що потрапили до списку: ЕРА Технополіс, Pasit, Neobit, Positive Technologies, та інші
Санкції реалізуються шляхом блокування всього підконтрольного Сполученим Штатам майна та активів перелічених компаній, а також усіх активів що прямо або опосередковано належать переліченим компаніям на 50% або більше відсотків.
- ФБР прибирає веб-шели з уражених нещодавньою атакою серверів Microsoft Exchange без дозволу власників мереж.
Ми вже багато говорили про 0-day вразливості в Microsoft Exchange експлуатовані Китаєм, та про те, як зловмисники, передбачаючи виправлення вразливостей, масово встановили незахищені веб-шели на уражених серверах ще до виходу патчів. Таким чином системи залишаються скомпрометованими навіть після оновлення, до тих пір поки власники мереж не знайдуть та не видалять ці бекдори. Як певно відомо багатьом з вас, на практиці це може зайняти нескінченність.
Тому ФБР вирішило взяти справу в свої руки та самостійно видалити встановлені веб-шели з уражених серверів. У таких благих намірів є лише один нюанс: формально це все одно був би несанкціонований доступ до систем, що не належать ФБР. І якби щось подібне вчинила приватна особа, ФБР гарантовано завітало б до неї, і не з метою подякувати. Для себе ж вони вирішили цю проблему шляхом отримання через суд ордеру на обшук уражених компаній. Це дозволило ФБР легально проникнути на уражені системи, і попередньо скопіювавши код веб-шелу як речовий доказ, видалити його, тим самим виправивши вразливість.
Тобто по суті, з юридичної точки зору – це було просто вилучення речового доказу. Подібне використання ордеру на обшук є унікальним в правовій історії і ймовірно в майбутньому цей прецедент призведе ще до багатьох неординарних випадків. У цікаві часи живемо.
- Ізраїль підтвердив відповідальність за кібератаку на Іранський завод зі збагачення урану.
Минулого тижня Іран повідомив про збій електропостачання на ядерному об’єкті зі збагачення урану у Натанзі, після розслідування якого іранці почали підозрювати, що збій не випадковий, а спеціально націлений на пошкодження інфраструктури ядерного об’єкта. Незабаром Ізраїль підтвердив свою участь в організації саботажу з метою сповільнення ядерних потужностей Ірану та попередження їх використання для створення ядерної зброї.
Нагадаємо, що цей об’єкт знаходиться в центрі шпигунських подій уже багато років: минулого липня на ньому виникла пожежа, яку також вважають саботажем, а ще до того у далекому 2010-му році спільною операцією ЦРУ та Моссаду, понад 1000 центрифуг для збагачення урану були виведені з ладу з використанням спеціалізованого комп’ютерного вірусу, ширше відомого як Stuxnet.
Коротко про важливе
- Дослідник безпеки створив список судових позовів від компаній за розкриття вразливостей
Автор має на меті показати хакерам погані практики “співпраці” з компаніями та заохочувати компанії до конструктивного діалогу, коли їх продукт буде зламано.
- В результаті спецоперації Департаменту кіберполіції та Національної поліції викрито мережу виготовлення та збуту амфетаміну
За попередніми підрахунками, місячний оборот учасників злочинної групи становив 250-300 кілограмів, а це – мільйон 200 тисяч доз і 100-120 мільйонів гривень прибутку.
- Збройні Сили Ізраїлю можуть заборонити своїм солдатам та офіцерам приїжджати на бази на “розумних” автомобілях
Експерти ЗС Ізраїлю стверджують, що це ідеальний вектор для шпигунства на базах, адже такі автомобілі обладнані системами глобального позиціювання та камерами.
- Австралійська компанія Azimuth Security надала владі США інструментарій для розблокування iPhone, що використовувався під час терористичного акту у місті Сан Бернадіно у 2015 році
Репортери стверджують, що інструмент під назвою Condor, був наданий ФБР під час скандального судового розгляду над компанією Apple, коли компанія відмовилася співпрацювати з державою.
- Чоловік з Детройту подав в суд на поліцію за несправедливий арешт через помилкове спрацювання алгоритму розпізнавання облич
У судовому позові Поліцію Детройта звинувачують у прийнятті рішення про арешт покладаючись на неточну систему розпізнання облич, використовуючи неякісні зображення та недосконалі алгоритми, особливо у розпізнавання облич певних рас.
- Великий витік маршрутизації BGP, порушив зв’язок для тисяч мереж та веб-сайтів по всьому світу.
Cisco BGPMon виявили розбіжності в системі маршрутизації Internet, що може свідчити про намагання перехоплення маршрутів BGP. Це сталося через систему, що помилково анонсувала підтримку понад 30000 префіксів або маршрутів BGP. Зазначена автономна система (AS55410) належить Vodafone India Limited.
Атаки та інциденти
- Постачальник рішень для тестування коду Codecov заявив про атаку на свій ланцюг постачання
Зазначений продукт називається Bash Uploader і дозволяє клієнтам Codecov завантажувати звіти про покриття коду на платформу компанії для аналізу. Зловмисник отримав доступ до коду Bash Uploader 31 січня через помилку в побудові Docker образів та додав шкідливий код, який перехоплював завантаження та збирав конфіденційну інформацію, наприклад облікові дані, токени або ключі.
- Агентство національної безпеки США повідомляє, що російські хакери експлуатують вразливості у VPN серверах
До списку вразливих систем належать Fortinet Fortigate, Synacor Zimbra, Pulse Connect, Citrix Application Delivery Controller та Gateway, а також VMware Workspace ONE Access.
- Шкідливе програмне забезпечення Joker інфікувало більш ніж 500000 телефонів Huawei на базі Android
Joker передплачує преміум-послуги мобільного зв’язку. Дослідники виявили в AppGallery десять нібито нешкідливих програм, які містили код для підключення до зловмисного сервера команд і керування для отримання конфігурацій та додаткових компонентів шкідливого програмного забезпечення.
- LinkedIn спростовує витік даних 500 мільйонів користувачів
Це не було витоком даних, і жодні дані приватних облікових записів LinkedIn не були включені в опубліковані дані, заявили у LinkedIn.
Вразливості та патчі
- Дослідники безпеки знайшли ряд нових вразливостей, що ставлять під загрозу мільйони серверів, розумні девайси та індустріальне обладнання
Вразливості під назвою NAME:WRECK виявила компанія Forescout в рамках своєї внутрішньої програми дослідження безпеки під назвою Project Memoria, яку компанія описує як «ініціативу, що спрямована на надання спільноті кібербезпеки найповнішого дослідження з питань безпеки стеку TCP/IP “.
- Adobe виправили критичні вразливості у Photoshop та Digital Editions
Загалом компанія усунула десять вразливостей, що зачіпають чотири продукти. Сім із вразливостей оцінено як критично важливі, оскільки вони дозволяють довільне виконання коду або довільний запис файлів.
- Positive Security представили приклад коду що в один клік експлуатуєвразливість виконання коду в Telegram, Wireshark, LibreOffice, гаманці Bitcoin/Dogecoin та інших програмах.
Вразливість полягає в неправильному розпізнаванні операційною системою схеми (scheme) URL, що відкривається програмою. Браузери відключають адреси зі схемою file://, як одну з найнебезпечніших схем URL, або принаймні показують вікно що спливає перед переходом до інших зовнішніх URL-адрес. Попри додаткові перевірки схеми впроваджені у браузерах, у багатьох інших програмах вони відсутні.
- Дослідник безпеки виклав вразливості нульового дня для Google Chrome та Microsoft Edge у Twitter
Вважається, що ця вразливість є тією ж, яку використовували дослідники Dataflow Security на Pwn2Own 2021
- Агентство національної безпеки США повідомляють про критичні вразливості у Microsoft Exchange
Найсерйозніша з них має оцінку критичності 9,8 із 10 і може бути використана без попередньої автентифікації на сервері. Всі вразливості призводять до віддаленого виконання коду та були виправленні в оновленні від Microsoft, що виправляє загалом 108 вразливостей.
- Census Labs представили віддалену експлуатацію вразливості man-in-the-disk у WhatsApp
У своїй статті вони показали, як дві вразливості WhatsApp дали змогу зловмисникам віддалено збирати криптографічний матеріал TLS для сеансів TLS 1.2 та TLS 1.3. Маючи під рукою секрети TLS, вони продемонстрували, як атака «людина посередині» (MitM) може призвести до компрометації комунікацій WhatsApp, віддаленого виконання коду на пристрої жертви, та вилучення ключів протоколу Noise, що використовуються для наскрізного шифрування в комунікаціях користувачів.
Аналітика
- Історія інсайдера з Facebook Софії Чжан, що заявила про системні намаганнясвітових держав використати соціальну мережу у своїх цілях, часто проти своїх же громадян
Чжан знала, що це не та історія, яку Facebook хотів би почути, а тому запустила вебсайт з копією маніфесту та надала посилання та пароль працівникам Facebook. Facebook тимчасово видалив публікацію всередині компанії, зв’язався з хостинговою службою Чжан і реєстратором доменів та видалив вебсайт.
- Згідно зі статистикою наведеною компанією FireEye, в цей момент у світі активні більш ніж 1900 окремих хакерських груп
Статистика включає суб’єктів загроз, що фінансуються державою (відомих як APT), фінансово мотивовані групи та групи, про які все ще бракує інформації, щоб віднести їх до будь-якої з перших двох категорій. Ці групи також відповідають за розробку понад 500 нових сімейств шкідливого програмного забезпечення протягом минулого року.
- Огляд роботи кіберзлочинного угрупування CI0p від Motherboard
Зараз кіберзлочинці з групи намагаються набрати клієнтів зламаних компаній, щоб допомогти їм заохотити їхніх роботодавців оплатити викуп. Це останній поворот у спробах хакерської групи вимагати гроші у жертв, і це одна з причин того, що Cl0p став однією з найцікавіших хакерських груп на початку 2021 року.
Рекомендації
- Огляд дезінформації як явища та способів протидії від Wired
Інструменти
- DevideAndScan – зв’язка сканерів портів Masscan/RustScan та Nmap для пришвидшення сканування мереж
- PoisonApple – інструмент для виконання різних технік закріплення в системі MacOS для дослідників загроз та спеціалістів червоної команди
Смі#$%oчки
- “Мало сиру”, – нестача сиру в супермаркетах Нідерландів через кібератаку на сервіс логістики