Анонси

  • Конференція NoNameCon відбудеться на початку вересня 2021 року у невідомому поки що форматі

Наразі триває збір заявок на виступи та залучення партнерів. З вимогами до програми можна ознайомитися за адресою https://cfp.nonamecon.org, а з умовами партнерства – за адресою https://nonamecon.org/partners/. Звертаємо вашу увагу, що, як і минулого разу, конференція відбуватиметься англійською мовою. З програмою NoNameCon 2020 можна ознайомитися на YouTube-каналі конференції https://www.youtube.com/c/NoNameCon

Докладно про головне

  • Атака на трубопровід Colonial Pipeline

Якщо ви не провели останні пару тижнів на райському острові без доступу до інтернету, ви напевно вже в курсі, що Сполучені Штати пережили цими днями свій notPetya moment. А саме: відбувся кіберінцидент, який цілком ймовірно стався випадково, походив з території Російської Федерації, та став причиною серйозних незручностей для суттєвої частини населення східного узбережжя США. Щобільше, він спричинив серйозну політичну реакцію в Білому Домі, адже кіберзлочинці замахнулися на найдорожче: на найвищу цінність американської нації, на квінтесенцію американської свободи, на кров, що пульсує у серці американської мрії – на нафту.

Мова йде про виявлення рансомварі DarkSide у мережі трубопроводу Colonial Pipeline. Наразі вже відомо, що операційне обладнання уражено не було, здирники змогли заблокувати роботу звичайних систем, що супроводжують тривіальні бізнес-операції компанії. Але вже через кілька годин керівництво компанії вирішило зупинити трубопровід, і причин може бути дві. Або вони побоялися, що DarkSide розповзеться на критичні системи підприємства, або, що більш ймовірно, внаслідок атаки постраждала білінгова система трубопроводу, і компанія відкачувала нафту без можливості виставляти за неї рахунки клієнтам.

Також відомо, що рішення про виплату 4,4 млн викупу було прийнято протягом годин після ураження мережі, але процедура оплати та відновлення роботи нафтопроводу вимагали трохи часу. Якого вистачило для того, щоб нарід почав потроху панікувати та ввімкнув синдром накопичення туалетного паперу під час пандемії та почав скуповувати паливо на бензоколонках, зливаючи його в бідони та відра.

Дуже символічно, що сервіс DoarkSide походить з Росії, та існує й розвивається за мовчазної згоди російського уряду та спецслужб. Росія взагалі обрала позицію країни якщо не спонсора, то покровителя організованої кіберзлочинності. Тому коли фішка дійшла до атрибуції інциденту в Colonial Pipeline, Джо Байден власною особою заявив, що прямих доказів втручання Російського уряду у операцію немає, але Кремль все одно винен. Тому очікуємо на чергову хвилю санкцій та інших виховних заходів.

На фоні усіх подій, хід яким дав цей кіберінцидент, мені навіть трішки шкода операторів DarkSide. Вони, до речі, нещодавно оголосили, що більше так не будуть. Якщо серйозно, то ця група здирників, а за нею і цілі когорти злочинних угруповань, на своїх сайтах та форумах в даркнеті заявляють, що відтепер не будуть цилити у лікарні, соціальні установи та інші суспільно важливі об‘єкти. Оператори андерграунд форумів видаляють тематичну рекламу та цілі розділи присвячені рансомварі, намагаючись уникнути розплати американських спецслужб. Які, очевидно, розпочали масштабну операцію проти кібервимагачів. Група DarkDide вже втратила частину інфраструктури та грошей, і зважаючи на політичне забарвлення ситуації, я не думаю, що відсутність екстрадиції з РФ їм чимось допоможе. В американського правосуддя довга пам‘ять, а в американської розвідки довгі руки. І взагалі, перед тим, як атакувати американські нафтові корпорації, варто почитати на Вікіпедії повчальну статтю про сумну долю Саддама Хусейна.

P.S. Чудовий розбір DarkSide Ransomware зробили експерти компанії FireEye.

  • Створення стратегії Кібербезпеки України

В Україні створять кібервійська. Про це лаконічно повідомляє Українська правда, наводячи цитату секретаря РНБО Данілова у “Свободі слова” Шустера. Гіршого місця для анонсу українських кібервійськ годі й шукати, але вже як є.

Схоже, що мова йде про вміст затвердженої на засіданні РНБО 14 травня стратегії кібербезпеки України. Проте термін “кібервійська” з уст українських чиновників може означати що завгодно. Ось, наприклад, Зеленський нещодавно з пафосом повідомив про відкриття центру кіберзахисту UA30, який насправді виявився косметичною підтяжкою CERT-UA. Тому я не вірю, що під “кібервійськами” експерти з кібербезпеки та українські бюрократи розуміють одне й те саме.

Однак, пожвавлення в розбудові української системи кібербезпеки – це загалом непогано. Нехай навіть і єдиним доступним чинній владі способом, тобто за допомогою піару. Це перший крок в правильному напрямку. Крок незграбний, і скоріш за все приречений на провал, але він важливий. Тому що, як відомо, між нулем та одиницею – нескінченність.

Причини такої поведінки апарату Зеленського, РНБО, ДССЗЗІ та решти навколокібербезпекових відомств я бачу лише одну: українські дипломати та аналітики або відчули настрої Білого дому, або ж отримали з нього конкретні сигнали. Стратегічний курс Байдена на підсилення кібербезпеки США очевидний усім, хто хоч трохи в темі кібербезпеки. Взяти хоча б хвилю санкцій проти Росії за операцію проти SolarWinds – проведену, до речі, цілком в рамках допустимих норм міжнародного шпіонажу. Або розгром кіберзлочинного угруповування DarkSide за лічені дні після їхнього втручання в роботу стратегічно важливого для США нафтопроводу Colonial Pipeline. Ці гучні рішення викликають відлуння у владних коридорах як союзників, так і противників США, тому дії української влади цілком логічні. Бо є в Україні така народна прикмета: куди американська стратегія, туди й американські гранти.

Що насправді вийде з “кібервійськ” в очевидно непідготовленої для втілення наступальної стратегії української госухи – це інше питання, і воно поки що відкрите. Бо дідько він же в деталях, а в стратегії деталей немає – на те вона й стратегія. Критику тактичних та операційних рішень будемо формувати в міру їхньої появи. А щодо стратегії: загальна тенденція мене скоріше тішить, ніж засмучує. Тому що, як я люблю повторювати, неважливо, якого розміру кроки ти робиш, якщо ти рухаєшся в правильному напрямку.

До того ж влада в Україні регулярно змінюється, і в стратегії є всі шанси це пережити.

Коротко про важливе

Цей крок має на меті підвищити безпеку облікових записів користувачів Google, усунувши найбільшу загрозу: паролі, які важко запам’ятати та легко вкрасти через витік даних, підбір та фішинг.

За допомогою нещодавно доданої функції користувачі можуть використовувати ключі FIDO2 для запобігання випадковому витоку приватного ключа.

Заборона з’явилася після того, як у WhatsApp заявили, що месенджер буде поступово обмежувати функції облікових записів користувачів, які відмовляються ділитися своїми даними.

Компанія наголосила, що витік не стосується платіжних даних. Атака відбулася лише через місяць після того, як Glovo, який прагне стати європейським “Amazon”,  оголосив про залучення інвестицій у розмірі 530 мільйонів доларів США, збільшивши загальне фінансування до понад 1 мільярда доларів.

У SolarWinds заявили, що з виявлених близько 18000 завантажень зламаного росіянами апдейту SolarWinds Orion, багато клієнтів не встановили завантажену версію, або ж оновлення Orion було встановлено в мережах без доступу в Інтернет, де шкідливе програмне забезпечення не могло під’єднатися до своїх серверів керування.

Атаки та інциденти 

Студент шукав безплатну версію програмного засобу для візуалізації даних, ліцензія на який коштувала б інституту сотні доларів на рік. Після публікації на форумі запитання про безплатну альтернативу, студент врешті-решт вирішив знайти піратську версію.

Банда стверджує, що сума грошей, яку поліція округу Колумбія готова була заплатити, не відповідала їх вимогам щодо викупу. Babuk Locker додали, що якщо протягом дня департамент не підвищить ціну викупу, вони опублікують всі дані. Нагадуємо, що замість 40 млн доларів, які вимагають здирники, поліціянти пропонують їм суму в 100 тисяч.

Вразливості та патчі 

Критична вразливість у чіпах Qualcomm Mobile Station Modem (MSM) (включаючи найновіші версії, що підтримують 5G), може дозволити зловмисникам отримувати доступ до текстових повідомлень, історії дзвінків та прослуховування розмов.

Хакери активно використовували вразливість віддаленого виконання коду, що дозволяла виконувати команди Windows, включаючи встановлення шкідливого програмного забезпечення.

Вразливості, тепер відомі як Frag Attacks, дозволяють зловмиснику, що знаходиться в радіусі дії радіосигналу, збирати інформацію про власника пристрою та атакувати пристрій за допомогою маніпуляцій із мережевими пакетами. Вразливості знайдено на рівні протоколів передачі даних, тому класичні засоби захисту проти них не працюють.

Три виправлені вразливості нульового дня були публічно відомі, але чи використовувалися вони в дикій природі достеменно невідомо.

Аналітика

  • Компанія Chainanalysis стверджує, що кожна шоста виплата операторам вірусів-вимагачів у 2020 році надходила суб’єктам під санкціями США

Міністерство фінансів США в жовтні 2020 року попередило американські компанії, що деякі платежі по викупах можуть спричинити розслідування щодо порушення санкцій, і це може закінчитися для них великими штрафами.

  • Дослідник даркнету під псевдонімом DarkTracer навів статистику щодо даних жертв, оприлюднених операторами вірусів-вимагачів 

Згідно зі звітом, починаючи з 2019 року зловмисники опублікували викрадену інформацію 2103 компаній.

Рекомендації

Смі#$%oчки

  • Страхова компанія AXA першою заявила, що припинає виплачувати компенсації клієнтам, які використовуватимуть їх для відкупу від кібервимагачів. Після чого стала жертвою атаки кібервимагачів.
  • Новий мотожилет з подушкою безпеки припинить працювати, якщо користувач не сплатить абонентську плату

Виробник пропонує користувачу купити жилет за повну ціну, або користуватися ним за підпискою з місячними та річними виплатами. Ти диви, прямо як у нас на Патреоні.