Докладно про головне
Стислий аналіз кібератаки проти України 13 січня. Цей пост є перекладом допису the Grugq «Ukraine my heart, cyber just for show?» На мою думку, цей текст є найкращим коментарем щодо кібератаки на українські державні установи. Читайте повністю на моєму блозі: styran.com.
Угорщина заблокувала вступ України в кіберцентр при НАТО (epravda.com.ua), а Китай заявив про необмежене партнерство з Росією та підтримав її так звані «вимоги безпеки» до НАТО (reuters.com). По першому пункту поступили запитання і так я дізнався, що CCDCOE це «кібер-НАТО» 🙂. По другому я вирішив висловитись самостійно. Я спробував проаналізувати ці події в окремому пості за посиланням: styran.com.
Президент України увів в дію План реалізації Стратегії кібербезпеки України. План полягає в створенні та налагодженні
- плану реагування на кібератаки
- вимог з кібербезпеки
- процесів обміну даними
- проведення кібернавчань
- організації наукових досліджень
- налагодження зв‘язків з громадськістю
- публічну звітність
- співпрацю з ЄС та НАТО
- взаємодію з приватним сектором
- залучення міжнародних партнерів.
Коротше кажучи, перефразовуючи одного харківського політика, «давайте все спочатку». president.gov.ua
Коротко про важливе
Викрадені у 2016 р. в криптовалютної біржі Bitfinex біткоїни “виплили” на радарах. Частину коштів, майже 2,5 млрд дол. США, було переведено на криптовалютний гаманець невідомих хакерів, де накопичилось 94,6 тис. біткоїнів. cointelegraph.com
“Дослідник” шкідливого ПЗ проаналізував офіційний застосунок Зимових Олімпійських ігор та заявив про його багатий шпигунський потенціал. Проте, його висновки не знайшли підтвердження та були розкритиковані експертною спільнотою. erratasec.com
Німецька компанія – дистрибутор палива Oiltanking GmbH паралізована через хакерську атаку. Минулого тижня, німецька спецслужба BfV розповсюдила попередження для місцевих компаній, стосовно кібератак китайського угрупованням АРТ27. bleepingcomputer.com
Кіберполіціянти викрили студента на збуті баз даних понад 20 мільйонів громадян. За допомогою бота у месенджері спритний молодик продавав конфіденційну, комерційну та іншу інформацію з обмеженим доступом, у тому числі персональні дані українців. Кіберполіція України
Тесла відкликає близько 54 тис. автомобілів через помилки у ПЗ для автономного керування рухом машини. Автопілот вважав, що при проїзді на знак «Стоп» можна не зупинятися повністю, а лише пригальмувати. Прямо як деякі мої знайомі водії. apnews.com
На eBay та інших маркетплейсах почали з’являтись пристрої AirTag з деактивованими динаміками. Не дуже добра новина для людей, що опікуються захистом свого приватного життя. Адже такі девайси можна підкидати жертві для відстежування її пересування. Як з цим боротися? Звертати пильну увагу на повідомлення вашого айфона про ейртеги, які всюди за вами слідують. appleinsider.com
Хакерські штуки
Криптовалютний міст Wormhole зламано невідомим кіберзлочинцем. За попередніми оцінками було викрадено понад 300 млн дол. США. Менеджмент компанії запропонував хакеру 10 млн у якості баг-баунті. Ну точніше благає його повернути викрадене за винагороду. Удачі вам хлопці. bleepingcomputer.com
Докладний розбір атаки та вразливості у мості між Ethereum та Solana можна знайти за посиланням: Twitter. Розбір на пальцях: reddit.com. Але якщо дуже коротко: щоб створити еквівалентну суму Ефіра на своєму блокчейні, Солана перевіряє електронний підпис відповідної транзакції. А точніше, чи наклав на транзакцію коректний ЕЦП уповноважений на те «хранитель». Вразливість цієї функціональності полягала в тому, щоб замість перевірки одночасної а) коректності підпису та б) коректності авторизації хранителя, код перевіряв, чи результати цих перевірок співпадають. Іншими словами, якщо не-хранитель накладе коректний підпис, транзакція скасується. Якщо коректний хранитель накладе неправильний підпис, теж скасується. Але якщо не-хранитель накладе неправильний підпис, транзакція пройде успішно. Тобто, функціональність перевірок працювала добре. Але їхні результати надходили не в операцію логічного множення, а в операцію порівняння. ¯\_(ツ)_/¯
Десятки тисяч вебсайтів вразливі до віддаленого виконання довільного коду через баг безпеки у плагіні Elementor Essential Addons для WordPress. darkreading.com
Антивірус ESET виправив вразливості у своїх продуктах під Windows. Час оперативно оновитися! securityweek.com
Китайське угруповання Antlion використовує проти своїх жертв нове шкідливе ПЗ – кастомний бекдор xPack. Цей .NET лоадер дозволив хакерам залишатися непомітними у мережі однієї з жертв майже 250 днів. bleepingcomputer.com
Що таке BlackCat? Аналіз нового криптоздирницького ПЗ від експертів tripwire.com
Аналітика та рекомендації
Відео “Як я «хакнув» криптогаманець та відновив 2 млн дол. США.” від Джо Гранда. Joe Grand
Чи «відріже» РФ Україну від інтернету в разі нового нападу? Аналітичні роздуми експертів Atlantic Council про безпеку підводних кабелів зв‘язку. Atlanticcouncil.org
Аналітики Chainalysis спостерігають зростання об‘ємів відмивання грошей через криптовалюти на 30% у 2021 р. в порівнянні з 2020 р. bbc.com
Відеолекції курсу “Security Engineering” від Росса Андерсона та Сема Айнсворта викладено в публічний доступ. lightbluetouchpaper.org
Колекція Discord-серверів на тему кібербезпеки, OSINT та інших цікавинок.
«Аферист з Тіндер» – цікава стрічка від Netflix про шахраїв цифрової ери. Netflix
Анонси
Віртуальна конференція ZAPCON2022 від проєкту OWASP ZAP відбудеться 8 березня 2022 року. zapcon.io
Смі#$%oчки
GitHub цього тижня розсилав повідомлення, щодо критичної вразливості віддаленого виконання коду в пакеті loguru. В бага є CVE та рейтинг 9.8 з 10 згідно з CVSS. Але є один цікавий момент – ця вразливість не вразливість. Код експлойту, яким багхантер її демонструє, виконує цілком легітимні інструкції. А для того, щоб здійснити виконання шкідливого коду, хакеру доведеться змусити розробника вбудувати шкідливий код в додаток. tomforb.es