Докладно про головне

  • Російська хакерська група APT29 здійснила чергову кібератаку під тегом SolarWinds

Кіберпідрозділ Служби зовнішньої розвідки РФ, відомий під назвами Nobelium та APT29, у відповідь на погрози США та чергову низку санкцій проти Росії, продовжив серію кібератак з використанням здобутків компрометації SolarWinds. Цього разу хакери поцілили в USAID – грантовий фонд, з якого фінансується співпраця США та України в галузі кібербезпеки.

Про це повідомляє Microsoft у своєму короткому звіті про інцидент. Компанія зазначає, що отримавши доступ до облікового запису USAID в маркетинговому інструменті Constant Contact, хакери розіслали близько 3,000 фішингових електронних листів адресатам з більш ніж 150 організацій у 24 країнах. Визнаю, це дуже ефективна тактика: ми маємо схильність швидко реагувати на листи від людей, що дають нам гроші. Жертви розсилки, які клацнули на посилання в імейлі, мали шанси заразитися шкідливим програмним забезпеченням NativeZone. Для здійснення атаки, хакери використали вразливість нульового дня в iOS. Агентство CISA видало попередження з технічними деталями та індикаторами компрометації для цієї атаки.

Поза цікавими висновками, що робить Micrsoft (раджу ознайомитись за посиланням), від себе можу додати наступне. Обрання цілей для державних кібератак – це досить творча задача, яка у російських реаліях рідко надходить “згори”. Натомість нагорі можуть або схвалювати, або ігнорувати, або ж явно забороняти певні дії. Таким чином російська верхівка створює екосистему для енергійної конкуренції агентів загроз та спрямовує їхні дії в стилі поведінкових психологів минулого століття. А ще створює умови, в яких в разі чого завжди можна відхреститися від хакерів. Мовляв, ми наказ не давали, це особиста ініціатива патріотично налаштованої молоді, всі вони були у відпустці, і взагалі іхтамнєт.

Замість того, щоб явно давати команду “взяти”, Кремль створює хакерам – як державним, так і в кримінальному андерграунді – найменше перешкод для руху в потрібному Москві напрямку. І, як заповідав Б.Ф. Скінер, це працює – як з собаками, так і з хакерами. Саме тому Кремль хоч і міг не віддавати явного наказу про атаку на Colonial Pipeline, але явно винен у тому, що вона сталася. Бо плекає російський кіберкримінал в себе на задньому дворі й створює усі умови для його розвитку та успішної роботи “запорєбрік”. І маючи в голові ці культурні особливості роботи російського кібервійськового індустріального комплексу, я вважаю, що атака на USAID цікава. Навіть виключно цікава, адже здійснена вона скоріше не як військова операція, а як акт декларації дипломатичного нігілізму російської верхівки. Ви нам санкції за злам SolarWinds – а нам по цимбалах, ми й надалі продовжуватимемо використовувати цей канал.

Більше про кіберконфлікти, їхню природу та динаміку ви зможете дізнатися в наступному повнометражному епізоді нашого подкасту. Щоправда, наші Патрони вже можуть зробити це на Patreon, куди ми залили повну нецензуровану версію. Решті слухачів доведеться трохи почекати.

  • ФБР заявляє, що атаку на постачальника п’ятої частини усього м’яса на планеті компанію JBS здійснила російська кібербанда REvil

Здається, після атаки на Colonial Pipeline, здійснити щось ще більш аморальне росіяни просто не могли. Але список американських цінностей довгий, і десь поряд з нафтою в ньому розташовані стейки та барбекю. Атака на постачальника м’яса – це черговий серйозний удар по американському стилю життя. Але вбік лірику, давайте прослідкуємо за динамікою останніх масових кібератак, адже в них очевидна певна логіка та система.

Представники групи REvil не приховують, що спочатку цілять в страхові компанії, для того, щоб дізнатися в кого з їхніх клієнтів найжирніша страховка, що покриває кіберінциденти. Після цього, група зламує застраховані компанії, а далі ви знаєте – страхова виплачує викуп попри санкції та згубність цих дій для бізнесу в цілому. Адже кожен виплачений викуп – це додаткові інвестиції в розширення злочинного бізнесу криптоздирників та мотивація для створення нових злочинних угруповань.

Щоправда, деякі страхові, як то AXA, приймають нелегкі рішення взагалі відмовитися від страхування таких інцидентів. Після чого стають жертвами криптоздирників. Ви думаєте це збіг чи акт відплати з боку злочинців? А я думаю, що це просто криптоздирники, які вже сиділи по пояс в інфраструктурі AXA, демонструють бунтівній страховій компанії, хто насправді в цій хаті господар.

Отже, що ми маємо? Росіяни культивують сотні або навіть тисячі кіберзлочинців, які спрямовують зусилля на найважливіші галузі економіки суперників РФ на геополітичній арені. Формально Кремлю пред’явити нічого, ну окрім не сприяння боротьбі з кіберзлочинністю. Але якщо ця тенденція збережеться, я думаю в якийсь момент у США допетрають, що в рамках джентльменських угод між розвідвідомствами вони цю проблему не врегулюють. І настане година розплати. Думаю, це буде дуже цікаво.

  • Страхові компанії як майбутні регулятори глобального ринку кібербезпеки

До речі про страхові. Financial Times розмістив цікавенний матеріал для тих, хто розуміється на кібербезпеці як бізнесі. Я давно кажу, точніше повторюю за експертами з цих питань, що в недалекому майбутньому регулювати ринок продуктів та послуг з кібербезпеки будуть страхові компанії. Щоправда, допоки кіберінциденти ставалися порівняно нечасто та призводили для незначних втрат, це було неочевидно. Тепер, здається, в це увірували фінансові аналітики та андеррайтери страхових компаній, і я думаю, що скоро все зміниться. Страхові внески за полісами кіберстрахування невпинно лізуть вгору – лише за останній рік ціни виросли на майже 18 відсотків. До того ж збільшення кількості інцидентів криптоздирництва змусило багато страхових вийти з цього бізнесу, а скорочення пропозиції на ринку невблаганно збільшує ціни.

Для великих корпорацій це чималі витрати, і зменшити їх можна лише одним способом: продемонструвавши експертам страхових компаній впроваджені та дієві заходи кібербезпеки, перевірені незалежними аудиторами та пентестерами. В якийсь момент баланс між витратами (не потенційними – в наслідок кібератаки, а реальними – у вигляді страхових внесків) та інвестиціями в кібербезпеку стане таким, що спонукатиме компанії нарешті розпочати витрачати на безпеку розумно та оптимально.

Коротко про важливе

215,000 додатків були заблоковані через порушення політики приватності, 150,000 – тому що вони розсилали спам або обдурювали користувачів, 48,000 – тому що в них виявили приховану або незадокументовану функціональність. 95,000 додатків були вилучені через те, що їхні розробники суттєво змінювали функціональність після схвалення публікації додатків в AppStore.

Федеральний Верховний суд Швейцарії підтримав рішення суду нижчої інстанції щодо захисту приватності користувачів Threema. Суд постановив, що Threema не є одним з провайдерів телекомунікаційних послуг, на яких поширюється вимога збору даних про користування сервісами та надання цих даних за рішенням суду. Месенджер є провайдером додаткових послуг (на кшталт публікації медіаконтенту, цифрових розваг та інших мелорінгів), а отже ці вимоги на нього не поширюються.

Загальні витрати на кібербезпеку в бюджеті США 2022 року сягають майже 10 мільярдів доларів, що на 14% більше за бюджет поточного року. Ці цифри не включають потреби Міністерства оборони, у якого окремі запити на понад 10 мільярдів доларів. І це лише на незасекречені витрати.

Анонсовані зміни та оновлення стосуються здебільшого дизайну інтерфейсу та інших візуальних атрибутів. Жодних змін в моделі безпеки ОС не передбачається, або ж про це буде повідомлено згодом.

  • Американське Агентство національної безпеки шпигувало за європейськими політиками з дозволу Данських спецслужб

Опубліковане нещодавно спільне журналістське розслідування звинувачує АНБ та їхніх Данських колег у здійсненні так званої операції Dunhammer у 2012-2014 роках. Згідно з таємною угодою між спецслужбами, американці розмістили у великому комунікаційному хабі у Данії систему перехоплення даних під назвою XKeyscore та моніторили інтернет, мобільний зв’язок, СМС, месенджери та імейли, що надсилалися на телефонні номери та імейл-адреси європейських політиків. Операцію різко згорнули у 2014 році, коли данський уряд дізнався про співпрацю спецслужб з витоків Едварда Сноудена. Зокрема тому, що серед об’єктів моніторингу було виявлено членів уряду Данії.

Засуджений не здійснював прямої кіберкримінальної діяльності, проте його сервіс відкрито надавав кіберзлочинцям можливість створювати онлайн-крамниці з продажу викрадених даних всього за 12 доларів на місяць. Такий собі Shopify для блекхетів. Загалом на майданчику хостилося понад 3,000 крамниць з загальним оборотом понад 17 млн доларів.

Американські правоохоронці не відстають від своїх українських колег. Які, як ми нещодавно повідомляли, вже приєдналися до цієї чудової ініціативи.

  • Майже тиждень недоступні українські сервери ProtonVPN

Як з’ясувалося, недоступність викликана переїздом серверів на більш потужного провайдера. Про це нам повідомила у Твіттері технічна підтримка VPN-сервісу.

  • Шок-сенсація: у Росії заарештовано хакера

Це може звучати незвично і навіть абсурдно, але це правда. 20 травня російські правоохоронці провели обшук в Павла Сітнікова, ширше відомого під псевдонімом Freedom F0x. Нашим слухачам він може бути відомий зокрема за публікаціями у своєму Telegram-каналі даних, викрадених з компанії SoftServe. Суть звинувачень: поширення вихідного коду банківського трояна Anubis, але справжні мотиви такого незвичного загострення боротьби з кіберзлочинністю в російських ПОО неочевидна. Зокрема, лунає думка, що це може бути відплатою за нещодавню публікацію ним витоку персональних даних про більш ніж 300,000 російських пацієнтів.

Атаки та інциденти

Здається, власникам сховищ цього виробника варто задуматись про перегляд смаків.

Компанія стала жертвою криптоздирників у березні, а нещодавно повідомила про витік даних працівників, який відбувся під час інциденту.

Офіси низки японських державних агенцій постраждали в наслідок компрометації сервісу обміну інформацією ProjectWEB компанії Fujitsu. Нападники отримали доступ до цієї японської Джири та продовжили атаку на її користувачів. Проникнення відбулося через експлуатацію вразливості або через компрометацію ланцюга постачання – триває розслідування.

Вразливості та патчі 

Склейки з кількох вразливостей середнього рівня ризику можна використати для захоплення контролю над програмою.

  • Компанія Cisco виправила шестимісячний зіродей у VPN-клієнті AnyConnect

Що стало причиною такої серйозної затримки попри те, що для вразливості існує публічний експлойт, залишається загадкою.

Вразливість з кодом CVE-2021-31166 в обробнику протоколу HTTP у вебсервері Microsoft IIS, про яку ми повідомляли в минулому випуску, може бути використана для створення мережевого хробака. А тепер вже точно буде для цього використана. 

Вразливість прихованої передачі даних дозволяє вже встановленим додаткам обмінюватися даними у спосіб, який неможливо виявити без застосування спеціального обладнання. Це не становить прямої загрози безпеки додаткам та користувачам, але може дозволити встановленим шкідливим програмам спілкуватися між собою у прихований спосіб. Проте баг цікавий, адже є прямим обходом архітектури безпеки операційної системи та демонструє, що навіть системи створені з безпекою в голові можуть бути вразливі.

Аналітика

Енді Грінберг описав усі подробиці шпигунської операції Китаю проти флагманської кібербезпекової компанії, в результаті якої було скомпрометовано хардверні токени SecurID. 10 років потому стали відомі всі деталі цієї справді історичної події в історії кібербезпеки та й інтернету в цілому.

На думку автора провайдери хмарних послуг не мають достатньо ініціативи конкурувати за рівнем безпеки. Адже попри масовість споживання хмарних послуг, ці послуги зараз зосереджені під контролем невеличкої кількості найбільших компаній у світі. Це призвело до створення олігополії, яка за законами ринку інформаційних продуктів геть не вмотивована піклуватися про безпеку своїх користувачів.

Рекомендації

Смі#%&очки

  • Користувач вилученого правоохоронцями типу безпечного месенджера для злочинців Enchrochat був ідентифікований та заарештований через те, що поділився в месенджері фоткою улюбленого сиру, шматок якого він тримав у лівій руці. На фото засвітилися відбитки пальців користувача, і ним виявився наркодилер з Ліверпуля.

Терміново в номер

Не встигли ми завершити запис чергового апдейту, як почалося. Події, про які ми з надією говоримо на початку випуску, здається, починають розгортатися. Спочатку чутки з Білого дому донесли до нас намір уряду США прирівняти кіберзлочинні угруповування з країн-суперниць до комбатантів у кібервійні. А згодом на Reuters був опублікований ексклюзивний матеріал про те, які в Байдена конкретно плани з цього приводу. Ми рекомендуємо вам ознайомитися з публікаціями за посиланнями у нотатках. Але якщо коротко, дії криптоздирників відтепер будуть розслідуватися з застосуванням спецслужб та процесів, які досі застосовувалися до терористичних мереж. І це дуже погані новини для всіх, кого це стосується.