Докладно про головне

Банда стверджує, що завантажила загалом понад 250 ГБ даних із серверів Департаменту. Група висунула поліції ультиматум: три дні, щоб відповісти на їхню вимогу про викуп. У випадку невиплати, група погрожує зв’язатися з місцевими кримінальними босами та викрити мережу інформаторів.

На думку колективу нашого подкасту, це найбезглуздіший вчинок, який хтось з кіберзлочинців колись вчиняв протягом історії інтернету та комп’ютерної техніки в цілому. Нагадуємо, що Округ Колумбія це там, де місто Вашингтон, столиця Сполучених штатів. Тобто, де постійно перебувають найвпливовіші політики, найжирніші лобісти та найдорожчі юристи на планеті Земля.

Або… це непогано продумана спецоперація – час покаже.

Кожен раз, коли я чую чергове “навіщо мене зламувати, в мене нема чого красти”, мені хочеться провести лекцію з таргетингу державних кібероперацій, але я стримуюся. Тепер я буду направляти таких кібер-невігласів за цим посиланням у нотатках до цього випуску.

Foreign Policy опублікував блискуче журналістське розслідування про один з найяскравіших прикладів поєднання розвідувальних заходів у інтернеті та в “реальному житті”. Ми дуже рекомендуємо вам ознайомитися з повним текстом.

Схожу історію я розповідаю на початку кожного свого тренінгу для не-професіоналів з кібербезпеки: чи то розробники програмного забезпечення, чи то топ-менеджери технологічних компаній. Внаслідок кількох операцій кібершпіонажу, китайській розвідці вдалося отримати дані з державних кадрових агенцій (так званий OPM Hack), операторів даних медичного страхування (Anthem Hack), та даних про переміщення осіб (злам мережі готелів Marriott). За допомогою порівняльного аналізу трьох наборів даних можна доволі точно визначити перелік персоналу ЦРУ: це держслужбовці, які є у базі Anthem (бо це найбільший державний контрактор медстрахування), та яких немає в базі OPM (бо кадровим діловодством секретних агентів займаються трохи інші установи). А у базах даних дочірніх мереж Marriott можна знайти, як розвідники подорожують, після чого озброївшись їхньою кредитною історією вкраденою в Equifax можна йти під американське посольство та чатувати на них з пропозицією продати трохи батьківщини за прискорення виплати іпотеки.

Та звісно, що підкуп це не єдиний інструмент контррозвідки. Деколи викритих агентів закордонної розвідки просто вбивають.

Мало про кого з представників нашої професії є сторінка у Вікіпедії. Про Дена вона є і на ній можна ознайомитися з блискучою кар’єрою цього всесвітньо відомого експерта.

Ден увійшов в історію як дослідник мережевої безпеки, відомий своїми відкриттями фундаментальних вад протоколу DNS та організацією кількох рухів зі зміни архітектури інтернету на щось більш захищене та надійне. Для багатьох із нас він був прикладом професійної наснаги, завзятості та почуття гумору. Спочивай з миром, хакер.

Коротко про важливе

Emotet є одним з найнебезпечніших ботнетів в новітній історії. Видалення ботнету є результатом злагоджених дій міжнародних правоохоронних органів, які дозволили слідчим взяти під контроль сервери управління Emotet і порушити роботу шкідливого програмного забезпечення.

Ця функція називається App Tracking Transparency, та при встановленні нових програм пропонує дозволити або заборонити їм відстежувати вас в інших програмах. Ми радимо скористатися відповідним налаштуванням iOS та повністю заборонити програмам надсилати вам такі запити. В такому разі слідкування буде заборонене за замовчуванням.

Група спочатку вимагала від Quanta (компанії підрядника Apple) 50 мільйонів доларів за збереження викрадених файлів в секреті. Однак, згідно із заявою, розміщеною на сайті хакерської групи, Quanta відмовилися сплатити викуп, що змусило злочинців піти за грошима до Apple. Як ми й передбачали, нічого в них з цього не вийшло.

Після того як команда Signal знайшла низку вразливостей у пристрої Cellebrite та продемонструвала його компрометацію через додавання зловмисних файлів у смартфон, що аналізується, вендор випустив оновлення, що ніби виправляє ці вразливості. Але насправді частина функціональності просто перестала працювати.

Постачальник корпоративного програмного забезпечення зізнався у порушенні чинних санкцій та ембарго, введених США проти Ірану. За даними Міністерства юстиції США, SAP протягом шести років тисячі разів порушував накладені на Іран санкції надаючи організаціям в цій країні доступ до своїх сервісів та програм.

Поява представників технічного гіганта перед Верховним судом Великобританії стала наслідком багаторічних суперечок Google з Річардом Ллойдом, колишнім директором споживчої групи Which? Ллойд подав позов від імені понад 4 мільйонів людей в Англії та Уельсі, яких, як стверджується, Google профілював за расою, соціальним становищем, політичними поглядами та сексуальною орієнтацією.

Атаки та інциденти 

В електронному листі зазначається, що дані витоку включають платіжне ім’я клієнта, адресу виставлення рахунку, термін дії платіжної картки, останні чотири цифри картки та назву банку. “Цей витік стосується невеликого відсотка наших клієнтів”,- заявили у компанії, а особисто мені такий “лист щастя” не приходив.

Первинний аналіз не виявив жодного спільного коду з будь-якими відомими раніше зразками шкідливого програмного забезпечення. Але Касперський нещодавно повторно проаналізував файли та виявив, що “зразки містять перетини шаблонів кодування, стилю та методів, які спостерігались у різних сімейств вірусів групи Ламбертс”. А Ламбертс – це внутрішня кодова назва, яку Касперський використовує для відстеження операцій ЦРУ.

Бекдор, який отримав назву RotaJakiro, на момент підготовки цього випуску залишається невідомим антивірусам на VirusTotal, хоча зразок був вперше завантажений туди ще у 2018 році.

Вразливості та патчі 

Уразливість дозволяє зловмисникам обійти Gatekeeper, вбудований механізм захисту Apple для підписання та перевірки коду. Зловмисник міг створити DMG файл, що не перевірявся б Gatekeeper, та відкривався б без жодних попереджень від macOS.

Цього тижня організація заявила, що вразливості впливають на ISC Berkeley Internet Name Domain (BIND) 9, який широко використовується як сервер DNS і підтримується як проєкт з відкритим кодом. Зловмисники можуть віддалено виконувати атаку переповнення буфера, що потенційно може призвести до віддаленого виконання коду. Фух, ця новина звучить так, ніби вона з дев’яностих.

Вразливість була виявлена дослідниками Cisco Talos ​​у функціональності ядра для 32-розрядних ARM-пристроїв. Ще одна новина з минулого…

О, нарешті щось модернове! 25 вразливостей були знайдені дослідниками у стандартних функціях розподілу пам’яті, широко використовуваних у кількох операційних системах реального часу (RTOS), реалізаціях стандартної бібліотеки C (libc) та вбудованих інструментаріях SDK.

Рекомендації

Смі#$%oчки

В результаті масового закриття неактивних відділень по всьому світі, було зачинено Московський чаптер OWASP.