Докладно про головне

Оператори ransomware LockBit оголосили винагороду для інсайдерів, які допоможуть запустити вірус у мережі своїх роботодавців. Чому це цікаво і як з цим бути?

Дуже цікава та контрінтуїтивна тенденція відбувається у світі ransomware. Кіберзлочинні банди все частіше скуповують початковий доступ до мережі жертви у легітимних інсайдерів. Один такий випадок став відомий минулого року, коли натуралізований росіянин намагався підкупити працівника Tesla й розмістити шкідливе програмне забезпечення у мережі компанії. А тепер банда криптоздирників LockBit пропонує винагороду працівникам та консультантам за розміщення вірусів у мережах їхніх наймачів.

Це щось новеньке. Раніше як було: в компанію-жертву відбувалося початкове проникнення. Скажімо, через вразливість у системі, або через фішинг логіна та пароля віддаленого доступу. Цей початковий доступ виставлявся на продаж на форумі в Даркнеті та купувався кимось, хто цікавився ураженою компанією. Мета була очевидна: монетизація доступу або його використання для подальших атак. Зокрема, ходили чутки, що первинний доступ до сервера оновлення M.E.Doc отримали не росіяни, а хтось із їхніх союзників. Але атаки то справа темна, давайте краще про монетизацію.

Як це працює? Перетворити доступ на гроші можна у кілька способів. Можна, наприклад, просто викрасти їх, захопивши контроль над фінансовими системами та здійснивши перекази на зовнішні рахунки. Це досить ризиковано та не дуже продуктивно, адже в мережі жертви залишиться забагато слідів, а кіберполіція може зупинити перекази на транзитних рахунках та повернути власнику. Існує ціла неформальна співдружність CISO та кіберкопів, яка досить ефективно відпрацьовує цю схему навіть на вихідних. Як то кажуть, це вони вам конкуренти, а нам вони – колеги. Ще можна пошукати у мережі жертви компрометувальну інформацію, скопіювати її та вимагати викуп за мовчання. Ну і нарешті, можна спробувати зробити все це, а потім ще й зашифрувати якомога більше систем в організації та вимагати гроші в криптовалюті за надання ключа розблокування.

Кіберкримінальний андеграунд це не купка підлітків у підвалі, і навіть не низка кіберкартелів, це складна та розгалужена постіндустріальна економіка. Глобалізований ринок, на якому є чіткий розподіл обов’язків та вузька спеціалізація. Злам мережі, викрадення грошей й блокування даних та систем майже ніколи не виконує якась одна банда. Це дуже ускладнює роботу правоохоронцям та перетворює первинний доступ на актив, яким просто торгують.

Покупці первинного доступу здійснюють операції з його монетизації, в тому числі за допомогою ransomware. Криптоздирники, такі як REvil, DarkSide, або LockBit це по суті вендори: виробники та постачальники Software as a Service, чи радше Ransomware as a Service. Вони ніби над ситуацією і не здійснюють операції напряму, тому залучення інсайдерів до співпраці – це цілком логічний хід; як вони раніше до такого не додумалися?

Як це змінює задачі захисту? Захиститися від добре підготовленого та спеціалізованого нападника – нелегка задача, але донедавна вона була структурно простою. Головний офіцер з інформаційної безпеки (CISO) мусив ідентифікувати можливі шляхи проникнення в корпоративну мережу компанії та захиститися від усіх виявлених векторів атак. Це звучить як багато роботи, так воно і є. Проте, принципово завдання досить просте: збір та обробка інформації. Пошукали загрози, пошукали вразливості, попрацювали над зниженням ризику, зайшли на наступне коло. Але тепер картинка змінюється.

У гру вступає інсайдер: зловмисник, в якого вже є легітимний доступ до інфраструктури, і який не проти впустити троянця у корпоративну мережу та отримати винагороду від кіберзлочинців. В будь-якій компанії (ну може за кількома виключеннями) завжди знайдеться працівник, який чимось незадоволений. І якщо в нормальних умовах це незадоволення може виражатися у токсичній поведінці або скаргах на колег, то включення до рівняння кількох мільйонів доларів все докорінно змінює. Злочинцям все одно, як їхній шкідливий програмний код потрапить у мережу жертви, тому вони зовсім не проти поділитися з інсайдером частиною викупу.

Що з цим робити CISO? Є ціла купа відповідей, але більшість із них не безплатні. З одного боку, невдоволений або зловмисний інсайдер має мізерні шанси нашкодити та залишитися непомітним в інфраструктурі з якісно налаштованими контролями безпеки. З іншого боку, якщо структурно та концептуально інфраструктура все ще перебуває у минулому столітті, то втрати для компанії все одно будуть відчутними.

Але є спосіб різко знизити ризики кібератак не залежно від їхнього походження. В цьому році концепції BeyondCorp виповнюється 7 років. Багато нових компаній, в яких є кому думати про безпеку, від самого початку будують свої системи та додатки за принципами Zero Trust. Ще більше організацій роблять це просто тому, що таким чином вигідніше та продуктивніше автоматизувати бізнес-процеси з нуля. Проте, якщо у вас все ще є периметр та велика “наземна” інфраструктура, а міграція в хмару та реалізація сучасних моделей доступу забороняється вашим локальним регулятором, на жаль, сучасність не для вас. А загроза інсайдерів якраз для вас, і вона зростає щохвилини. BlippingComputer

Корпорація Apple скануватиме зображення своїх користувачів з метою пошуку дитячої порнографії.

Про намір компанії впровадити інструменти пошуку виробників та споживачів аб’юзерського контенту стало відомо минулого тижня і ця новина вже розділила людство на два табори. З одного боку ті, хто бачать у цьому нововведені великий потенціал захисту дітей від експлуатації у виробництві нелегального порно. З іншого боку ті, хто розгледів у діях компанії посягання на приватність користувачів, аж до закидів у намірах сприяти встановленню режимів тотального державного спостереження та решти анти-орвелівського галасу. Як ви вже зрозуміли, я скоріше відношуся до першої категорії осіб, тому не буду удавати претензії на об’єктивність. Радше поясню логіку свого ставлення до ситуації.

По-перше, технологічне рішення, запропоноване Apple, виглядає оптимально в сенсі балансу безпеки та приватності. Звісно, тепер компанії буде важче удавати, що вона не в змозі сприяти розслідуванням правоохоронців. Легенда про те, що дані користувачів Apple захищені так добре, що навіть сама компанія не може отримати до них доступ, суттєво постраждає, і наступного разу коли ФБР вимагатиме розблокування айфона чергового терориста, контраргументи Apple звучатимуть вже не так голосно. Проте, так чи інакше, рано чи пізно, з допомогою виробника або без, федерали все одно отримують бажане, тому напевно час вже змиритися: якщо ви не хочете, щоб слідчі отримали до чогось доступ, не тримайте це на смартфоні.

По-друге, щось робити з чайлд аб’юзерами все одно треба, й інші мегакорпорації вже давно це роблять. Facebook хоч і вимкнув аналогічну службу сканування зображень у Європейському Союзі, але на решту планети GDPR не поширюється, тому й європейський бан цієї технології теж.

По-третє, пошук виробників дитячого порно це та мета, заради якої треба буде поступитися частиною приватності, хоча б тому, що воно того варте. Але й з побічними ефектами треба попрацювати, тому моє питання скоріше не в тому, чи слід Apple та іншим вв’язуватись в подібний моніторинг, а в тому, як вони його реалізують.

І підхід Apple мені подобається, зокрема через такі моменти. Перший, технічний: відбувається не аналіз вмісту, а його хешування та пошук хешів у базі відомого аб’юзерського контенту. Тобто, недержавна фундація NCMEC (https://www.missingkids.org/footer/about), створена з метою захисту дитинства, наповнює та систематизує базу даних перевірених цифрових артефактів, з якими відбувається порівняння. І не напряму, а через адаптивні нейрохеші, які змінюються більш-менш рівномірно зі зміною оригінальних зображень, але при цьому дозволяють не розкривати оригінали. Другий, теж технічний: завдяки методу реалізації, хибні спрацювання алгоритму пошуку можливі з мізерною ймовірністю. Третій: організаційний: всі спрацювання перевіряються вручну, і одиничні спрацювання нічого не означають. Тобто якщо вас хтось спамить аб’юзерським контентом, кількох фоток для виникнення підозри буде недостатньо. Має накопичитись певна критична маса, лише тоді справі дадуть хід далі. І останній, принциповий: при виникненні підозри, Apple не звертається до правоохоронних органів напряму, а повідомляє про виявлений контент у NCMEC. Якщо у вас немає досвіду роботи з американськими нонпрофітами, я вас запевняю: це дуже зарегульовані сутності, які інертні та бюрократичні. Тому я практично не бачу шансів, щоб система спрацювала помилково – занадто багато зірок мають зійтися в одну лінію.Тому я поки що ставлюся до цієї ініціативи скоріше схвально, ніж критично. А усі претензії колег та інших критиків розцінюю як звинувачення компанії Apple в тому, що вона не Silent Circle. Хоча вона ніколи цього не стверджувала. TechCrunch

Коротко про важливе

Користувачі Google Drive отримали нещодавно загадкове повідомлення про те, що незабаром до їхніх файлів буде застосовано оновлення безпеки. Лист від компанії Google містить більше запитань, ніж відповідей, то що ж насправді відбудеться? Раніше Google оновив спосіб, яким генеруються посилання на приховані відео в YouTube та файли у Google Drive, якими ми ділимось за допомогою згенерованих посилань. Створені до цього посилання є вразливими до вгадування та поширення третім особам. Тому з 13 вересня Google залишає доступ до них в людей, які вже його здійснювали, але новим користувачам доведеться запросити у вас доступ. Побачити, які з ваших файлів буде захищено таким способом, можна за посиланням у нотатках до випуску: https://drive.google.com/drive/update-files/

Американці започаткували в Ізраїлі стартап, в якого немає сайту, і який займається зламом WhatsApp та Signal. Судячи з LinkedIn, в компанії Paragon працює понад 50 працівників. Справи в компанії їдуть непогано, що свідчить про ефективність захисту топових месенджерів: в противному випадку злам їхньої історії не коштував би так недешево. Я впевнений, що ми ще почуємо назву Paragon у майбутніх шпигунських скандалах. Forbes

Американський Мін’юст повідомив, що в рамках операції проти споживачів компанії SolarWinds російські державні хакери зламали акаунти електронної пошти відомих федеральних прокурорів. Напевно для того, щоб залишатися в курсі майбутніх звинувачень проти учасників російських APT та їхніх співучасників з російського кіберкримінального світу. AssociatedPress

Microsoft вимкне в Edge “Just in Time”-компілятор JavaScript-двіжка V8 і називає це Super Duper безпечним режимом браузера. Логіка наступна: за підрахунками Майкрософт, майже половина вразливостей сучасних браузерів знаходяться саме у JIT V8. А зі збільшенням потужностей користувацьких пристроїв, потреба в ньому постійно зменшується. BlippingComputer

Кіберполіція знайшла шахрайку, яка соціалила чесних громадян та суппорти банків й мобільних операторів на предмет персональних даних, а потім з їхньою допомогою відкривала на жертв кредити та отримувала доступ до рахунків. В одному з випадків, шахрайка навіть відновила BankID та отримала доступ до додатку Дія жертви. Схоже, саме цей випадок ліг в основу сучасної міської легенди про “кредит через Дію.” Cyberpolice

Атаки та інциденти

Хакерська група під назвою “Білоруські кіберпартизани” здійснила, напевно, найпотужнішу кібератаку в масштабах окремої країни. Минулого місяця вони зламали сервери білоруської міліції та МВС та викрали буквально всі ідентифікаційні дані усіх громадян Білорусі. Також, вони викрали історію та розшифровки всіх дзвінків на гарячі лінії за останні 10 років, включаючи доноси прихильників Лукашенка на своїх сусідів, які носили національні прапори республіки та брали участь в інших проявах непокори. Також, вони викрали дані про усіх правоохоронців Білорусі, включаючи ІТ-персонал, що здійснює пропаганду за чинного самопроголошеного президента у соціальних медіа. І найцікавіше: вони викрали терабайти записів прослушки білоруського КДБ проти дисидентів та політичних активістів. Twitter

Версія шкідливого шифрувальника під Linux дозволяє банді криптоздирників BlackMatter шифрувати сервери VMware ESXi та виводить гру крипторансомварі на новий рівень. BleepingComputer

До речі, про рансомварь та інсайдерів. Ця проблема загрожує не лише легальному бізнесу. Роздратований учасник партнерки криптоздирника Conti оприлюднив матеріали, за допомогою яких кіберзлочинці навчають афіліатів отримувати доступ до мереж компаній-жертв та підвищувати в них привілеї з метою ефективного запуску шкідливих програм. TheRecord

Виробник материнських плат Gigabyte став жертвою криптоздирників, які загрожують оприлюднити понад сто гігабайтів конфіденційної інформації. TheRecord

Вразливості та патчі

NPM сам по собі не подарунок в плані безпеки ланцюгів постачання. Але уявляєте, в ньому є пакет з назвою що складається з символу “-”, який звантажили майже 720 тис разів з початку 2020 року. Звісно, пакет потрапляє в команду встановлення помилково, коли між символом мінуса та літерою, що означає опцію команди npm виникає зайвий пробіл. З цієї ж причини, пакет знаходиться у списках залежностей 50 інших пакетів. До того ж здається, і сам пакет було створено у результаті виконання скрипта з помилкою. Страшно подумати, що станеться, коли мейнтейнер пакету прокинеться одного ранку в поганому настрої та виявить, яка потужна зброя опинилася в його руках. BleepingComputer

Критична вразливість в пентестерському інструменті Cobalt Strike дозволяє отримати контроль над командними серверами ботнетів зловмисників. ArsTechnica

Критична вразливість у прошивці для домашніх роутерів від Arcadyan ставить їх під загрозу захоплення зловмисниками та приєднання до ботнету типу Mirai. Вразливості понад 10 років і вона присутня у роутерах 17 різних вендорів та операторів зв’язку, включаючи Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, і Telus. Наразі, вразливість активно використовується зловмисниками. BleepingComputer 

У консольному браузері lynx (в новішому, який пишеться через “y” та “x”), якщо його злінковано з SSL-бібліотеками відмінними від GNU TLS, знайдено вразливість витоку даних про логін та пароль, вказані у параметрах команди, через перевірку імені сервера у TLS-сертифікаті. По факту порівнюється увесь рядок, в який входять в тому числі логін та пароль, які очевидно треба вирізати з рядка перед порівнянням. OpenWall

У Cisco ADSM знайдено критичну вразливість віддаленого виконання коду, для якої поки що немає виправлення. ADSM це Adaptive Security Device Manager, по суті навернутий Java-аплет, графічний інтерфейс налаштування фаєрволів серії Cisco ASA. Якщо у вас немає навичок управління пристроями Cisco з командного рядка, і ви не можете вимкнути ADSM Launcher як сервіс, то краще вам поки що обмежити до нього мережевий доступ. BleepingComputer

Для вразливості PetitPotam, яка дозволяє захоплювати домени Active Directory через рілей NTLM-хешів, випущено безплатний неофіційний патч. BleepingComputer

Аналітика

Огляд спайварі Pegasus виробництва ізраїльської компанії NSO Group від Кім Зеттер. Авторка склала докладний опис функцій Пегаса, описала як він потрапляє на смартфони жертв, та які можливості надає своїм користувачам. KimZetter

Девід Евенден, колишній агент американської розвідки, який допоміг уряду ОАЕ створити Project Raven, розповів про це на цьогорічній конференції Black Hat. Project Raven займається виготовленням рішень та наданням послуг для розвідки та поліції Еміратів, які використовуються в тому числі для слідкування за журналістами та громадськими активістами. ZDNet

Огляд історії ребрендингу головних гравців на ринку рансомварі від Браяна Кребза. Звісно, що топові Ransomware as a Service провайдери не беруться ні звідки, а налякані чорними гелікоптерами федералів криптоздирники не зникають в нікуди. Ось Браян і підбив підсумки трансформації трьох поколінь успішних криптобанд. Так BlackMatter скоріш за все це фейсліфт DarkSide-а, Conti це оновлений Ryuk, а Payload.bin це нащадок Babuk-а. KrebsOnSecurity

Анонси

За давньою традицією, на цьогорічній конференції DefCon випущено чергову версію легендарного мережевого сканера NMap. NMap

WireGuardNT це нативна імплементація WireGuard VPN для Microsoft Windows. Zx2c4

Завершено формування програми цьогорічної конференції NoNameCon. Наразі ми фіналізуємо програму та опублікуємо її найближчим часом. За ходом підготовки конференції та новинами щодо реєстрації, мерча, бейджа та інших традиційних смаколиків можна слідкувати на нашому вебсайті nonamecon.org, в соцмережах [FB] [TW] та телеграмі. Підписуйтесь та не пропускайте важливе.

Рекомендації

Найкраща порада тим, хто хоче убезпечитися від шпигунських програм в смартфоні, по кроках:

  1. Вимкніть смартфон.
  2. Увімкніть смартфон.

Це може здаватися занадто простим рішенням, але це дуже ефективно. Збереження доступу до скомпрометованих систем, особливо до смартфонів, особливо до айфонів, це доволі складне завдання. Персістенс між запусками системи – ще складніший. Тому перезавантажуйтесь час від часу. Хакери цього дуже не люблять. AssociatedPress

Опубліковані відео цьогорічної конференції DefCon 29. YouTube

NSA та CISA поділилися керівництвом з підвищення безпеки Kubernetes. TheRecord

Перелік інструментів безпеки, які засвітилися на конференції BlackHat 2021. TheRecord

Смі#$%oчки

Українська телевізійна компанія ТКР звернулася до Google з проханням видалити та заблокувати ресурс на ІР-адресі 127.0.0.1, на якому вона знайшла піратський контент. Повна адреса ресурсу 127.0.0.1:6878/ace/manifest.m3u ніби натякає нам, що на локалхості запущений Ace Stream, pee-to-peer софт, яким користуються пірати для обміну цифровим контентом. TorrentFreak

Російська пропаганда, спрямована на компрометацію закордонних вакцин та просування російського “супутника”, дає цікаві побічні ефекти. Хвиля дезінформації відбилася від Заходу і повернулася у Росію, тому тепер там фальшиві сертифікати про вакцинацію це найпоширеніша форма шахрайства, та піднявся попит на протези рук, бо люди купують їх, щоб отримати щеплення без власне щеплення. TheDailyBeast