Докладно про головне
Продовжуємо відстежувати події навколо кібератак на українські державні ресурси, що розпочалися 13 січня. За минулий тиждень розлогі матеріали на цю тему видали практично всі імениті автори та агенції. Проте розвиток подій обмежився всього двома гучними інцидентами: зламом форуму ДП Прозорро та повідомленням про злам ДП Дія. Але давайте по черзі.
Непогані дайджести подій, що відбулися, написали Кім Зеттер та Енді Грінберг. Ці тексти дозволяють глибше зануритися в контекст та пригадати передісторію поточної фази російської кіберагресії проти України.
Дослідники Microsoft у блозі описали ознаки та поведінку деструктивної програми, яку нападники запускали в уражених інфраструктурах паралельно з атакою на вебсайти Українських державних установ.
Заступник секретаря РНБО Сергій Демедюк заявив, що за кібератакою стоїть угруповування UNC1151, яке пов’язують з Білоруськими спецслужбами.
Ще однією ціллю атаки, щоправда, з суттєвим запізненням, став форум Prozorro Infobox державної системи закупівель. За офіційною інформацією, цим втрати й обмежилися, торговий майданчик продовжив роботу в штатному режимі.
17 січня СБУ офіційно повідомила про використання під час кібератаки руйнівного вайпера, що замасковано під криптоздирник.
Після цього кілька днів було чути лише про поступове відновлення цифрових державних послуг, як ось в п’ятницю 21 січня мережею потягнулися чутки про довгоочікуваний деякими опозиційними активістами “злам Дії”. На одному з форумів відповідного спрямування нещодавно створений користувач з нульовою репутацією розмістив пропозицію продати базу даних двох мільйонів громадян України викрадених наче б то з додатку Дія. Мінцифра миттєво заявила, що це фейк.
Поверхневий аналіз розміщених в оголошені семплів викликає підозру, що це контрольований злив даних, отриманих в рамках зламу KitSoft. Те, що видається за “вихідний код Дії”, виглядає як OctoberCMS. Тобто можливо це вебсайт Дії, який розробляв КітСофт. З параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту. API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.
SQL-вибірка користувачів виглядає ще підозріліше. Судячи з того, що я знаю про архітектуру Дії з перевірених джерел, робити SQL-дамп там тупо немає звідки. Також, занадто вже багато імен громадян України починаються на “ФОП”. Ну і ще кілька дрібних нестикувань.
А ось JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) мене трохи напружує. Проте, структура цих документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп вмісту Redis-а, який використовується для кешування різнорідних даних.
Мій висновок: поки що це звучить як продовження новин що тягнуться з минулого тижня, але цим дампом не можна нехтувати. Я сподіваюся, що Кіберполіція та аналітики загроз з усіх надцяти українських кіберцентрів вже займаються його розтином.
Перелік цікавинок завершує Кім Зеттер, яка спираючись на аналіз Cisco Talos, повідомляє очевидну істину: хакери проникли в уражені мережі та системи задовго до того, як розпочали кібератаку. Це збігається з загальним уявленням про роботу просунутих хакерських груп, що фінансуються державами. В цьому конкретному випадку я все ще спостерігаю занадто багато тактик, притаманних росіянам, щоб перемістити підозру на когось ще.
Коротко про важливе
Єврокомісія знайшла “чорну діру” персональних даних і не де не будь, а в Європолі. Правоохоронна агенція буде змушена знищити 4 петабайти чутливої інформації. theguardian.com
Наслідки Log4Shell: Google та IBM закликали технологічні компанії об’єднати зусилля та ідентифікувати критичні проєкти з відкритим кодом. zdnet.com
Microsoft купляє Activision Blizzard за 68,7 млрд дол. США. Цей крок повинен розпочати стратегічний наступ компанії у напрямку metaverse. nytimes.com
Уряд Великобританії розпочав чергову багатовекторну атаку на криптографію. Головна мета — мобілізація громадської думки проти рішення Facebook запровадити наскрізне шифрування в Messenger-і. Звісно, що давити будуть на захист діточок в інтернеті. rollingstone.com
СБУ ліквідувала підпільний майнінг-центр криптовалют, який викрадав у держави електроенергію на мільйони гривень. СБУ
Українські кіберполіціянти спільно з іноземними колегами знешкодили мережу VPNLab.net, що використовувалася кіберзлочинцями. Під час міжнародної операції правоохоронці отримали доступ до 15 серверів у 10 країнах, на яких розміщувався VPN-сервіс. cyberpolice.gov.ua
Хакерські штуки
Google Project Zero повідомив виробника застосунку для відеоконференцій Zoom про дві серйозні вразливості. Розробники оперативно виправили їх та випустили оновлення. Це пояснює деякі зміни в поведінці Зуму, що розпочалися після нещодавніх оновлень. Проте сумно, що такий популярний вендор до цього часу не використовував таку потужну й просту в застосуванні техніку захисту як ASLR. zdnet.com
Дослідники з університету штату Мічиган знайшли серйозну вразливість в системах захисту дронів DJI, яка дозволяє нападнику отримувати контроль над пристроєм. nationalcybersecurity.com
Провайдер крипто-послуг Crypto.com оприлюднив інформацію про злам своєї платіжної системи. Інцидент торкнувся 438 користувачів сервісу та завдав збитків на 4,836.26 ETH, 443.93 BTC та інших валют (~66 тис. дол. США). crypto.com
Користувачам Microsoft Edge почали надходити фейкові оновлення. Шкідливий застосунок містить набір вразливостей Magnitude, який встановлює криптоздирник Magniber. securitynewspaper.com
ФБР застерігає про випадки використання зловмисниками QR-кодів в публічних місцях для поширення посилань на шкідливі вебсайти. cyberscoop.com
CERT-EU розповсюдив інформацію про вразливості в GitLab. Розробники радять оперативно оновити ПЗ. CERT-EU [PDF]
Дослідники обійшли двофакторну автентифікацію сервісу Box через СМС-повідомлення. thehackernews.com
Oracle викотив січневий апдейт, який містить 483 виправлення вразливостей (у т.ч. з рейтингом CVSS 9+). securityaffairs.co
Анонси
Наступного тижня українська компанія BSG видасть свій річний звіт про бізнес-результати, вразливості, вектори атак та інші успіхи у 2021 році. Ви можете першими отримати безплатну копію звіту, якщо підпишетесь на список розсилки.
Аналітика та рекомендації
Агенція з кіберзахисту та безпеки інфраструктури США CISA опублікувала рекомендації з виявлення та протидії кіберзагрозам російських хакерських угруповань [cisa.gov] та сценарії реагування на кіберінциденти. [cisa.gov]
Практичні рекомендації з кібербезпеки для стартапів в рамках обмеженого або нульового бюджету. Alex Chapman Blog
Telegram набуває популярності серед кіберзлочинців у якості засобу розповсюдження викраденої інформації. bleepingcomputer.com
Звіт про інфраструктуру кіберзлочинців у 2021 році. recordedfuture.com
Фінансово мотивовані кіберзлодії з Earth Lusca атакують організації по всьому світу. Дослідники з Trend Micro вважають, що угруповання належить до Китайського “хакерського холдингу” Winnti. securityaffairs.co
Рекомендації з захищеного використання публічних WiFi. thehackernews.com
Смі#$%oчки
З кабінету судді Західного апеляційного господарського суду у Львові викрали 120 тис. дол. США. Суддя пояснила, що викрадені гроші їй не належать, – вона їх взяла на зберігання в подружки, яка поїхала за кордон на відпочинок. Високий Замок
