ИБ-специалисты продолжают проводить расследование кибератаки на внутреннюю сеть SolarWinds, в результате которой было внедрено вредоносное обновление для ее ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.

По словам экспертов из ReversingLabs, хакерам, вероятно, удалось скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы внедрить вредоносный бэкдор через процесс выпуска программного обеспечения.

«Исходный код затронутой библиотеки был напрямую изменен, чтобы включить вредоносный код бэкдора, который был скомпилирован, подписан и доставлен через существующую систему управления выпуском исправлений программного обеспечения», — пояснили эксперты.

Более того, вредоносные строки были скрыты путем комбинации сжатия и кодирования с помощью base64 в надежде, что это помешает правилам YARA выявлять аномалии в коде, а также проскользнуть незамеченными во время проверки разработчика программного обеспечения.

Практически по всем профильным СМИ прошла новость о взломе программного обеспечения SolarWinds в рамках глобальной кампании кибершпионажа. Здесь нужно понимать масштаб атаки: этот софт для мониторинга IT-инфраструктуры (CPU, RAM, сеть) используют тысячи частных компаний и государственных учреждений, включая АНБ, Пентагон, Госдеп и проч. В общей сложности 300 000 клиентов по всему миру (данная страница уже удалена с официального сайта SolarWinds, по ссылке — копия из веб-архива).

Самое интересное в этой атаке: 1) внедрение бэкдора внутрь обновлений SolarWinds и 2) оригинальный механизм сокрытия данных в служебном HTTP-трафике программы SolarWinds. В двух словах расскажем о методе стеганографии (covert signaling), который здесь применялся....

Бэкдор обнаружен в библиотеке SolarWinds.Orion.Core.BusinessLayer.dll, которая подписана действительной цифровой подписью компании SolarWinds Worldwide, LLC (скриншот выше).

В частности, инфицирован ряд обновлений программы SolarWinds Orion за март-май 2020 года, которые распространялись с действительной цифровой подписью.

Это был стандартный файл Windows Installer Patch со всеми обычными ресурсами, включая заражённую библиотеку SolarWinds.Orion.Core.BusinessLayer.dll. После установки библиотека нормально загружалась в память штатным экзешником SolarWinds.BusinessLayerHost.exe.

Специалисты Microsoft пояснили, что злоумышленники «использовали локальный взлом [on-premises compromise], чтобы получить доступ к доверенному сертификату подписи SAML-токенов организации [SolarWinds]. Это позволило им подделать токены SAML для всех существующих пользователей и аккаунтов организации, включая высокопривилегированные». Судя по всему, речь о физическом проникновении в офис компании (on-premises compromise).

Весь трафик маскировался под сетевой трафик по служебному протоколу Orion Improvement Program (OIP) через SolarWinds API. Таким образом, антивирусы и файрволы не могли отличить активность бэкдора от настоящей активности программы SolarWinds.

В случае таких продвинутых атак невозможно установить разработчиков программы. Исследователи делают предположения на основании совпадения кода с ранее обнаруженными хакерскими инструментами, а также исходя из того, кто именно стал жертвой шпионажа.

Например, в 2010 году были повреждены иранские установки для обогащения урана. Очень продвинутый зловред Stuxnet слегка менял скорость вращения установок — и в конце концов вывел их из строя. Соответственно, логично предположить, что заказчиками и разработчиками зловредров были спецслужбы США и Израиля, поскольку эти страны планомерно пытаются помешать изготовлению ядерного оружия в Иране, действуя не всегда дипломатическими методами.

Что касается бэкдора SUNBURST, то его приписывают скорее российским хакерам из группировки APT29 (Cozy Bear), исходя из хитроумности применяемых техник, выбора целей и физического проникновения в офис жертвы. Хотя достоверно заказчик и исполнитель не известны.

21 января 2021 года разработчик и основатель компании по кибербезопасности «Vee Security Россия» Александр Литреев рассказал в Twitter, что он смог авторизироваться на веб-портале законодательства России под учетными данными admin/admin. Сейчас это исправлено.

В сети появилась информация о том, что мошенники поставили Министерство финансов России нерабочим программным обеспечением. Причём часть денег, в рамках госконтракта, злоумышленники уже успели получить.

Источник ТАСС рассказал, что исполнитель уже в момент заключения контракта знал, что не сможет создать требуемое ПО. Но он всё равно решил ввести заказчика в заблуждение с целью получить основную долю оплаты. При этом точная сумма нанесённого ущерба остаётся неизвестной.

Специалисты Avast поделились результатами очередного исследования. В его рамках выяснилось, что хакеры для майнинга криптовалюты начали пользоваться вирусами в GTA 5, The Sims 4, Far Cry 5 и прочих играх.

Согласно опубликованным данным, после того на компьютер попал вирус Crackonosh, он начинает эксплуатировать мощность компьютера. При этом у самого пользователи нет возможности его обнаружить. Заподозрить зараженность компьютера в данном случае можно по спаду производительности, а также росту трат на электричество.

Таким образом начиная с 2018 года хакеры смогли заработать порядка 2 млн долларов на майнинге криптовалюты Monero.

Мошенники клонировали голос директора банка в ОАЭ и использовали его для ограбления финучреждения. Они смогли похитить $35 млн.

В начале 2020 года управляющему банком позвонил человек, которого он принял за директора компании. Он заявил, что собирается провести некую сделку, и банк должен выполнить перевод на сумму $35 млн.

Для координации процедуры был нанят юрист по имени Мартин Зелнер, и управляющему банка начали приходить на почту письма от его имени, а также от имени директора. Они содержали подтверждения того, что деньги нужны банку для переезда. Управляющий перевел указанные средства.

Как выяснилось впоследствии, мошенники использовали дипфейк-технологию для клонирования речи директора банка. Власти ОАЭ обратились за помощью к американским следователям для отслеживания пути $400 тысяч, которые были переведены на счета в США, принадлежащие Centennial Bank. Правоохранители полагают, что это была тщательно продуманная схема с участием не менее 17 человек, которые отправили украденные деньги на банковские счета по всему миру.

Почти 40 000 учёток сотрудников МВД утекли в лапы жуликов. Катастрофа начала набирать на столько громадный масштаб, что по всем каналам до личного состава пытают донести важную информацию:

Уважаемые коллеги!

Зафиксирована фишинговая атака (рассылка, целью которой является получение доступа к конфиденциальным данным пользователей — логинам и паролям).
Сообщения от злоумышленников могут приходить сотрудникам МВД России в мессенджерах WhatsApp, Telegram, Viber и др.
Убедительная просьба не отвечать на подобные сообщения и не высылать свои учетные данные.

Пример текста от злоумышленника:

«Уважаемый, Иван Иванович!
Сотрудниками ИСОД проводится тестирование АРМ сотрудников МВД на вирусное ПО. В целях выявления вредоносных программ просим Вас сообщить ваш пароль для входа в компьютер. После завершения тестирования Вы можете сменить его.
Тестирование будет проводиться до 10.01.21

С уважением, ИСОД МВД России»

В случае, если вы передали свои данные злоумышленникам, необходимо незамедлительно обратиться к Администратору Доступа для сброса пароля от учётной записи и проинформировать УЗИ ДИТСиЗИ МВД России.

овым способом взлома компьютерной техники стали SATA-кабели, которые могут быть превращены в радиоантенны для беспроводной кражи данных. Уязвимость обнаружена исследователями израильского университета Бен-Гуриона в Негеве.

Методу атаки дали название SATAn ("Сатана") — технология способна превратить любой штатный кабель SATA в радиоантенну для беспроводной кражи данных. Правда, как отмечают исследователи, уязвимость не будет работать, пока на компьютер не попадет специальная программа, которая может быть загружена и без физического вмешательства в компьютер.

На пораженном компьютере SATAn используется стандартный протокол обмена данными по кабелю SATA для кодирования чувствительной информации в служебные сигналы обычной активности накопителей. Генерируется электромагнитный "шум", который кабель SATA как антенна транслирует на частоте 6 ГГц — дальность передачи ограничена одним метром.

Что такое надёжный пароль? По мере развития технологий за последние десятилетия несколько раз менялись политика, что считать таковым. Мощности для брутфорса становятся всё доступнее, в том числе в облаках, поэтому и требования к энтропии паролей повышаются — в 2022 году рекомендуется использовать спецсимволы, цифры, буквы в разных регистрах, с общей длиной минимум 11 символов.

Менеджер паролей LastPass объявил об еще одной серьезной ошибке в своей системе безопасности. Согласно пресс-релизу августовская утечка данных позволила хакеру взломать домашний компьютер одного из самых привилегированных сотрудников LastPass - старшего инженера DevOps, имевшего доступ к ключам дешифровки.

А теперь стало известно, что утечка данных в августе позволила хакеры взломать личный компьютер старшего DevOps-инженера LastPass. Впоследствии хакер установил на компьютер инженера кейлоггер, который позволил ему украсть мастер-пароль LastPass. Далее киберпреступник смог проникнуть в хранилище паролей инженера и, получив необходимые ключи дешифровки, проник в общую облачную среду LastPass, откуда похитил целый ворох важных данных.....

Нас целая команда экспертов по проникновению в информационные сети.

Предположим, мы хотим понять, можно ли украсть данные с крупного промышленного комплекса. Обычно мы стараемся подключиться ко внутренней сети предприятия (однажды даже удалось подключить своё маленькое устройство к свободно висящему патч-корду, пока ходили на собеседование). Иногда мы делаем рассылку по всей компании, с просьбой что-то проверить в зарплатном файле, и приземляем людей на фишинговый сайт, изображающий их Джиру или корпоративный портал. Иногда просто просим срочно прислать, потому что у нас контракт на 100 миллионов горит и «ЕСЛИ СЕЙЧАС НЕ БУДЕТ, ТО УВОЛЮ К ЧЕРТЯМ!!»

Практически в любом случае нам нужно как можно больше данных о компании. Нужно знать, какие стоят средства защиты на рабочих станциях пользователей: для этого можно забросить исполняемый файл, позвонить человеку, попросить его открыть, а потом прочитать логи прямо с экрана. Нам очень важно знать, как зовут ИТ-директора, главного безопасника или руководителя направления, потому что письмам от них поверят. Часто бывают нужны коды двухфакторной авторизации из SMS или почты.

Или, например, в отношении тестируемой компании мы сначала смотрим на геометки доставки. Затем, сопоставляя данные различных утечек, можно найти практически всех сотрудников, их имена, почты и телефоны. Плюс данные из социальных сетей и сайта — и вот у нас уже есть телефонный справочник компании, понимание, кто когда онлайн, кто где находится (спасибо фото из отпуска), хобби, имена детей, собак и всё нужное, чтобы составить сценарий разговора.

Мы проводим социотехнические пентесты предприятий, госкомпаний, крупных финансовых компаний, ретейла и так далее. Понятно, везде разный уровень паранойи и грамотности, но обычно цели у таких проектов обозначаются достаточно похоже:

Понять, насколько сотрудники бдительны и осведомлены про ИБ.

Понять, насколько глубоко можно пройти через неосведомлённых сотрудников.

Понять, можно ли получить закрытые данные.

На вопрос, насколько сотрудники бдительны и осведомлены про ИБ, сразу можно дать ответ. Не осведомлены. У средних и крупных компаний хватает 0,01% неосведомлённости, чтобы мы просочились.

Обычно мы разведываем инфраструктуру, находим контакты руководителей, потом придумываем отличный сценарий массовой рассылки или массового обзвона, который будет казаться всем достоверным, а потом находится герой, который сливает свою учётку.

В общем, мало кто, по нашему проектному опыту, не попадается на уловки социнженерии. И наша масштабная разведка приносит массу полезной информации о сотрудниках из социальных сетей, опубликованные утечки данных, сведения для анализа публичных ресурсов компании (включая её организационную структуру) и прочее.

Например, однажды удалось узнать, что в компании несколько лет подряд на Новый год HR-служба устраивала конкурс с премиями за особые достижения. Нужно было заходить на их лендинг, отмечать свои достижения и ждать шанса выиграть в лотерее. Мы собрали точно такой же сайт (точнее, только форму логина), отправили письмо от руководителя HR-службы (с опечаткой в одну букву в домене) в корпоративном шаблоне, рассказали похожую историю с премиями и попросили всех сотрудников отметить свои успехи. Что характерно, в этом тесте стояла особая задача: не включать в рассылку директора подразделения, чтобы его случайно не скомпрометировать. Так вот, он взял ссылку у своего подчинённого, прошёл по ней, ввёл свой логин-пароль, не смог авторизоваться (странно, почему), взял ссылку у другой сотрудницы, повторил попытку, а затем проделал то же самое с третьим человеком. А после неудач начал вводить другие пароли от своих сторонних аккаунтов.

С тех пор как безопасность приложений стала лишь видимостью, она начала очень хорошо продаваться за счёт отсутствия своего содержания и, как следствие, реальных затрат на своё обеспечение.

Начну пожалуй издалека. Конец 2017 года. Государство P начало блокировать мессенджер T. Упорно, длительно, забанив множество серверов со всего Интернета, оно оказалось неспособным воспрепятствовать работоспособности мессенджера T. В ходе своих безуспешных попыток, государство P чуть-ли не в поточном режиме свидетельствовало в своих же подконтрольных СМИ о том, что в мессенджере T сидят террористы, наркоторговцы, да и вообще очень плохие люди, но при всём этом, приложение T настолько безопасно, что сложно не то, чтобы его контролировать, но и заблокировать. В итоге, спустя 3 года безуспешных страданий, государство P приняло нелёгкое решение: оставить в покое мессенджер T и дальше жить с тем фактом, что распространяемая информация СМИ позволила лишь увеличить количество пользователей в T.

В настоящее время это выглядит даже комично и кажется, что в это поверить мог только человек далёкий от информационных технологий, беря ещё в расчёт успешность последующей блокировки сети Tor в конце 2021 года, к которой теперь можно подключиться лишь используя мосты. Но нет, на 2017-2019 года большинство людей действительно верили, что государство не может заблокировать мессенджер. Лишь сейчас, со временем, люди начали более скептически относится к безопасности Telegram, используя его не в целях безопасности, а лишь как удобный мессенджер. Тем не менее, "застой" здравого сознания в период этих двух лет мог уже привести к тем или иным манипуляциям и пропаганде, направленных на человека (как минимум к установке Telegram).

Ну так в итоге то что? Топ менеджеры Telegram'а технически могли выдать (депонировать) правительству свои ключи шифрования со своих серверов? Да, могли. Стали ли они это делать? Точно неизвестно. Но учитывая тот факт, что государство P полностью отвязалось от мессенджера T, скорее заставляет думать, что ключи были успешно транспортированы. Т.к. Россия - это второе государство по масштабу загрузок приложения Телеграм и первое по суммарной аудитории каналов, то потеря такого рынка может быть значительной для мессенджера с экономической точки зрения.

Приведу пожалуй следующий список обнаруженных уязвимостей в Telegram с наибольшим деструктивным потенциалом в хронологическом порядке и с тем, решены ли они:
.............

Плюс к этому, в Telegram'е существуют сомнительные архитектурные решения со стороны безопасности. Например, протокол MTProto не единожды критиковался (более подробно можно почитать тут и тут) за счёт того, что все действия которые он совершает, можно было выполнить уже готовыми средствами. Криптография - наука консервативная, когда существует что-то старое и рабочее, проверенное временем и большим количеством криптографов, то оно будет выбрано в приоритете.

Телеграм также пытался выстроить видимость своей защищённости, нанимая специалистов криптографов, но давая крайне малые сроки и лишь ограниченный спектр атак, как например взлом только по шифротексту

В результате, таковые выступления становятся похожи более на спекталь, чем на действительные меры по обеспечению и укреплению безопасности итогового продукта.

Как человек, пристально изучающий сетевую анонимность, её историю, факторы возникновения, развитие, комбинации и прочее, могу сказать сразу, что в Телеграме нет и намёка на анонимность, скорее присутствует только её противоположность - отсутствие анонимности.

На этом пожалуй всё. Самое печальное во всей этой истории - тот факт, что сама эта публикация является лишь постфактумом происходящего. Если государственный аппарат успешно скооперировался с Телеграмом, то все свои цели правительство уже успешно выполнило (привет, пакет Яровой). В свою очередь, Телеграм на хорошей пропаганде СМИ смог завладеть рынком и закрепиться в умах людей как безопасный (а иногда даже как анонимный!) мессенджер с той лишь единственной целью, чтобы собирать и продавать как можно больше конфиденциальной информации, ведь это экономически оправдано.

И таким образом, всё мною вышеописанное есть лишь история о том, как жаба и гадюка успешно заключили мирный договор.

Банк «Тинькофф» запустил «Фабрику человекоподобных роботов» — голосовых ботов, которые ведут разговор с телефонным мошенником, удерживая того на линии как можно дольше.

Около трех миллионов умных зубных щеток были заражены вредоносным ПО и использованы в качестве ботнета для проведения DDoS-атаки на веб-сайт швейцарской компании, что привело к значительным финансовым потерям.

Зараженные зубные щетки, работающие на Java-основанной операционной системе, были превращены в инструменты для атаки

Теперь любую хрень можно использовать для хакерства

Гонконгский сотрудник финансовой транснациональной компании попал в ловушку мошенников, отправив им 25 миллионов долларов США. Обмануть его им удалось с помощью видеоконференции с участием дипфейкового финансового директора и нескольких коллег.

Некоторое время назад гонконгская полиция сообщила о расследовании тщательно продуманной аферы, с помощью которой мошенникам удалось снять со счетов транснациональной компании 200 миллионов гонконгских долларов (что эквивалентно примерно 25 миллионам долларов США), посредством технологии deepfake выдав себя за руководство компании во время видеозвонков.

Сначала злоумышленники вышли на одного из финансовых работников корпорации, отправив ему письмо по электронной почте от имени финансового директора, базирующегося в Великобритании. Увидев, что сообщение касается "секретной транзакции" на сумму 200 миллионов гонконгских долларов, мужчина заподозрил, что это фишинговое письмо, однако эти сомнения были развеяны, когда он получил приглашение присоединиться к видеоконференции с участием финансового директора и нескольких других сотрудников, которых он знал.

Единственное, что он не знал, так это то, что эти "знакомые" лица и голоса на самом деле были обработаны специальным фильтром, благодаря которому совершенно незнакомые люди выглядели и имели голоса, похожие на сотрудников компании. Уверенный в том, что он действовал по указанию своего главного финансового директора, сотрудник перевёл на счёт мошенников 25,6 миллиона долларов США в гонконгском эквиваленте и вернулся к своим делам.

В 2012 году исследователей удивило новое вредоносное ПО. Троянец привлек к себе внимание своей так называемой бестелесностью: после заражения компьютеров жертв он не устанавливал себя на жесткий диск, а оставался в оперативной памяти. Такой подход в начале 2010-х встречался, но был крайне редким и достаточно сложным в реализации.

Бестелесный троян, который получил название Lurk, внимательно изучал содержимое зараженного устройства. Если на нем было что-то интересное, в бой шел сам вредонос. Если нет — на всякий случай воровались логины и пароли от всех аккаунтов, после чего устройство становилось частью ботнета, а троян самоликвидировался.

300 тысяч пользователей Chrome и Edge заразили вредоносными расширениями
Вредоносные дополнения к распространенным браузерам угрожают личным и финансовым данным, могут использоваться для слежки, и их очень трудно удалить. Во всяком случае, труднее, чем не попасться на уловки злоумышленников.

Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.

Исторически сложилось так, что организации требуют от пользователей часто менять пароли каждые один-три месяца, и эта практика уходит корнями в «устаревшие представления о безопасности». Однако NIST утверждает, что при использовании надежных паролей, сгенерированных случайным образом, частая смена может привести к ослаблению пароля, поскольку пользователи предпочитают более простые пароли, которые они могут запомнить. Новые рекомендации предусматривают минимальную длину пароля в 15 символов, при этом разрешается использовать символы Юникода.

Кроме того, NIST предписывает организациям не навязывать сложные правила составления паролей и не заставлять пользователей добавлять контрольные вопросы.

В PyPI и GitHub обнаружили вредонос, который нацелен на криптовалютных инвесторов. Он выдает себя за криптотрейдингового бота, а сам незаметно крадет все возможные данные, которые могли бы позволить киберзлоумышленникам обчистить криптокошельки.