No Name Update від 25 липня 2021 р.

Докладно про головне

Сполучені Штати Америки, Європейський Союз та країни НАТО виступили зі спільною заявою, в якій звинуватили Китайську Народну Республіку в масштабній кібератаці на вразливі сервери Microsoft Exchange раніше цього року. Така масштабна та одностайна заява відбувається вперше, і зважаючи на те, що для повного розслідування операції та встановлення атрибуції в бік Китаю пройшли не роки, як зазвичай, а місяці, це робить цю подію історичною. Атрибуція не неможлива, вона просто дуже важка, складна та дорога. Але якщо дуже захотіти, то можна її виконати. BlippingComputer

Звісно, що на таку солідну та офіційну заяву Китай відреагував не менш солідно та офіційно. Звинувативши США у здійсненні кібератак проти Китаю та інших країн та у поширенні дезінформації про Китай з метою його дискредитації на міжнародній арені. На думку Китайської сторони, США є найбільшим джерелом кібератак та власником найбільшої інфраструктури з віддаленого управління зараженими шкідниками системами та мережами. TheRecord

Іронія ситуації в тому, що обидві сторони – і колективний Захід, і Китай – абсолютно праві у своїх звинуваченнях. Все це підкріплені фактами події, нічого нового, можна було б гортати далі. Проте, важливо і цікаво в цьому обміну люб‘язностями те, що учасники найважливіших кіберконфліктів нарешті починають визнавати це та робити правду доступною широкій аудиторії.

Невідомі хакери зламали ізраїльську компанію NSO Group, розробника спайварі для смартфонів Pegasus, викрали базу даних про понад 50000 цілей, за якими шпигували користувачі Пегаса, та злили цю базу Citizen Lab та Amnesty International. Звісно ж, що серед клієнтів компанії знайшлися не лише країни НАТО та інші союзники Ізраїлю, як запевняла нас NSO. А цілями виявилися не лише злочинці та шпигуни ворожих держав, а й дисиденти, опозиційні журналісти, політичні активісти та інші незручні владі особи. Серед числа неетичних користувачів Пегаса уряди Азербайджану, Бахрейну, Казахстану, Мексики, Марокко, Руанди, Саудівської Аравії, Угорщини, Індії та Об‘єднаних Арабських Еміратів. Найбільше цілей переслідувала Мексика – понад 15000 смартфонів, не відставали Емірати та Марокко – понад 10000 цілей. Чому в списку немає Китаю, Росії, Північної Кореї та інших тоталітарних держав? Всі вони під різного роду санкціями й торгівля з ними далеко поза правилами. Проте, всі вони мають власні потужності для шпигування. BruceSchneier TheGuardian УкраїнськаПравда

Apple виправила вразливість, через яку встановлювався Пегас для iOS, в останньому оновленні. 9to5mac

Публічно доступна утиліта для виявлення зараження вашого смартфона. GitHub

Citizen Lab виявила ще одну ізраїльську компанію, яка надає змогу шпигувати за користувачами iPhone, Android, Mac, PC та хмарних акаунтів. Компанія Candiru значно менша за NSO Group, але вже заражає свої цілі через понад 750 скомпрометованих вебсайтів, багато з яких висвітлюють гостросоціальні теми. BruceSchneierCitizenLab

1 вересня у Китаї набирають чинності нові правила, згідно з якими дослідники безпеки, що знайшли критичну вразливість, повинні доповісти про це протягом двох днів від повідомлення вендору в китайську державну установу під назвою Адміністрація Кіберпростору. Також правила забороняють продавати зіродеї закордонним компаніям окрім виробників вразливих систем, та зобов‘язують дослідників супроводжувати публічні розкриття вразливостей рекомендаціями з їх усунення. TheHackerNews

З приводу цього нововведення вже почалася чергова паніка у західній кібербезпековій тусовці. Наприклад, компанії ставлять під питання доцільність дозволу участі китайських хакерів у їхніх програмах Bug Bounty.

Коротко про важливе

Компанія Kaseya, зламана нещодавно кібербандою REvil, отримала універсальний ключ розшифрування заблокованих систем з «довіреного джерела». Цікаво, хто б це міг бути? BleepingComputer

Питання походження ключа цікаве тому, що згодом після телефонного дзвінка Байдена і Путіна вся інфраструктура REvil містично зникла, а їхній представник Unknown заліг на дно. BleepingComputer

До речі, Kaseya була в курсі вразливості, через яку її та її клієнтів атакував REvil, задовго до кібератаки. Група Нідерландських дослідників безпеки повідомила про це вендору на початку квітня, і до червня в компанії було досить часу, щоб розробити виправлення та викотити апдейти. Але щось явно пішло не так. WSJ

Twitter повідомляє про сумну статистику використання двофакторної автентифікації: лише 2.3% користувачів. BleepingComputer

Пошук Google матиме нову фічу, яка дозволить вам моментально видаляти історію пошуку за останні 15 хвилин. TheVerge

У 90-й версії Firefox додає новий просунутий блокувальник мережевих трекерів у приватний режим браузера. BleepingComputer

Уряд Сполучених Штатів оголошує винагороду до 10 млн доларів за інформацію про хакерів на службі у ворожих держав. BleepingComputer

WhatsApp нарешті дозволить вам користуватися додатками на різних пристроях без необхідності маршрутизації повідомлень через ваш смартфон. Звісно, що з обмеженнями: кількість пристроїв до п‘яти й лише один із них може бути смартфоном. Wired

Пентагон скасував контракт з Microsoft на побудову хмарної інфраструктури під назвою JEDI за 10 млрд доларів через скаргу Amazon. Тендер будуть перегравати. TheVerge

Брудними подробицями з життя нещодавно заарештованих в Україні  криптоздирників з банди Clop ділиться dev.ua

Атаки та інциденти

Китайські хакери скомпрометували 13 американських трубопроводів у 2012-2013 роках. І все було тихо і спокійно, поки не прийшли росіяни. BleepingComputer

1 ТБ конфіденційних даних Аравійської нафтовидобувної компанії Saudi Aramco виставлені на продаж в Даркнеті за 5 млн доларів, можливий торг. BleepingComputer 

Днями влігся Akamai, через який, як відомо, йде трафік на добру половину ресурсів в інтернеті. Тому були недоступні сайти Steam, PlayStation Network, AWS, Amazon, Google, SalesForce та інших компаній. BleepingComputer

У Молдові є цікава установа під назвою Обліковий суд, яка займається аудитом організацій на предмет виконання міжнародних стандартів. Суд цей було зламано, а публічну базу даних його перевірок – знищено. Мушу зізнатися, це дуже екстравагантний спосіб уникнути покарання за невідповідність вимогам. BleepingComputer 

Протягом майже пів року з січня 2020-го два державні вебпортали Казахстану заражали своїх відвідувачів шкідливою програмою Razy. TheRecord

У Даркнеті з‘явився дамп 3.8 млрд телефонних номерів, продавець стверджує що з Clubhouse. Очевидно, це не лише номери користувачів Clubhouse, а й усі їхні синхронізовані в хмару контакти. Тобто, практично усі активні телефонні номери на планеті. Twitter

Вразливості та патчі

Apple виправила у версії iOS 14.7 вразливість WiFiDemon, яка могла призвести до збою системи або виконання шкідливого коду після підключення до контрольованої нападником мережі WiFi. BleepingComputer 

Atlassian просить клієнтів оновити Jira Data Center та Jira Service Management Data Center для виправлення вразливості неавтентифікованого віддаленого виконання коду. BleepingComputer 

Fortinet виправив вразливість у FortiManager та FortiAnalyzer, яка дозволяла віддалено виконувати код з правами root. BleepingComputer 

У драйверах принтерів HP, Xerox та Samsung знайдено вразливість, яка 16 останніх років дозволяла зловмисникам отримувати адмінські права у Windows. BleepingComputer 

У більшості популярних дистрибутивів Linux знайдено локальну вразливість підвищення привілеїв під назвою Sequoia. BleepingComputer 

Вразливість SeriousSAM дозволяє користувачу Windows 10 та 11 отримати адмінські привілеї. BleepingComputer 

Вразливість у Worpress-плагіні WooCommerce, на якому працюють понад 5 млн онлайн-крамниць, дозволяла неавторизованому зловмиснику викрадати дані. BleepingComputer 

Аналітика

Чудове інтерв‘ю з експерткою з національної безпеки Juliette Kayyem про природу Російсько-Американської кібервійни з використанням приватних кіберзлочинних угруповань та криптоздирників. HarwardLawToday

Огляд нових функцій Windows 11. BleepingComputer 

Аналіз криптостійкості Телеграм, в якому йдеться про вразливості шифрування месенджера. Як прості та тривіальні в експлуатації, так складніші й суто теоретичні. GitHub

Огляд двох наукових статей на цьогорічному Воркшопі з економіки кібербезпеки від Kelly Shortridge. Авторка узагальнює те, як витоки даних клієнтів та втрата інтелектуальної власності в наслідок кібератак впливає на котирування акцій компаній жертв. (Спойлер: ніяк). Swagitda

Анонси

Grammarly запустив CTF на майданчику HackerOne в рамках своєї Bug Bounty програми. Перший хакер, який знайде критичну вразливість, отримає 100 тис. доларів. Щоправда, в мене сумніви щодо того, чи все гаразд з цим анонсом. CTF за означенням має містити спеціально закладену у програму вразливість. Зробити таке на місці Grammarly було б вкрай нерозумно. Скоріш за все, це просто бонус в рамках чинної Баг Баунті. Короче, хочете знайти багу, яку не знайшов Мітньов? Тоді вперед. AIN

До речі про баунті. Постійну програму оголосила платформа ProZorro, і в її залі слави приємно бачити одного з наших Патронів. Prozorro

Віртуальна конференція OWASP, присвячена двадцятирічному ювілею організації, пройде 24 вересня, реєстрацію відкрито. OWASP

Завершується підготовка конференції NoNameCon 2021. Програму буде оголошено найближчим часом. В планах організаторів суттєва зміна: замість анонсованого одного дня, конференція триватиме традиційні два дні. NoNameCon 

Рекомендації

Brian Krebs рекомендує усім, хто не хоче платити викуп криптоздирникам, тестувати свої бекапи. KrebsOnSecurity

Чудовий розбір методу атаки, який може призвести до перехоплення імейла з покликанням на відновлення пароля через зараження кешу DNS сервера вебдодатка. Справжній хакінг в стилі Дена Камінскі. SecConsult

MITRE оновила свій список 25-ти найнебезпечніших програмних вразливостей. BleepingComputer

TorrentFreak порівняв низку VPN-сервісів за основними критеріями безпеки та приватності. В топі опинилися NordVPN, ExpressVPN, Private Internet Access, TorGuard та ProtonVPN. TorrentFreak

Інтерв‘ю з відомим хакером Dave Kennedy, співведучім Social Engineering Podcast, засновником компанії TrustSec та конференції DerbyCon. Cybereason

Інтерв‘ю з Tristan Harris, активістом за приватність та гуманні технології, якого ви пам‘ятаєте з документалки Соціальна дилема. До речі, інтерв‘ю бере ще один співведучий Social Engineering Podcast – Jordan Harbinger. JordanHarbinger

Новий Телеграм канал КВАДРАТ про технології, бізнес та медіа в Україні. КВАДРАТ

Смі#$%oчки

Хтось перехопив контроль над доменом vid.me, відео з якого вбудовують у свій контент The Washington Post, New York Magazine, та HuffPost, та транслював в статті на цих сайтах порноролики. BleepingComputer 

Майнінгова ферма під Вінницею, яку так героїчно закрили українські правоохоронці за звинуваченнями у нелегальному споживанні електроенергії, виявилася не такою ж вже й нелегальною фермою ігрових ботів у FIFA Ultimate Team. EuroGamer

Застосунок прогнозу погоди фірми Apple не показуватиме в 15-му iOS 69 градусів за Фаренгейтом, але не через те, що ви подумали. Скоріш за все, iOS вже давно перейшов на градуси Цельсія. Тому 20 за Цельсієм він переводить у 68 Фаренгейта, а 21 Цельсія – у 69.8 Фаренгейта, які заокруглює до 70 градусів. TheVerge

Тут далі смішно все, тому давайте по черзі. Виявляється, в Касперського є парольний менеджер. Вже непогано. Далі, в цьому парольному менеджері є генератор паролів, який використовує нестійкий генератор псевдовипадкових чисел. Як наслідок, усі згенеровані в ньому паролі можна забрутфорсити за кілька секунд. Дізнайтесь як за посиланням. Ledger

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *