ИБ-специалисты продолжают проводить расследование кибератаки на внутреннюю сеть SolarWinds, в результате которой было внедрено вредоносное обновление для ее ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.

По словам экспертов из ReversingLabs, хакерам, вероятно, удалось скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы внедрить вредоносный бэкдор через процесс выпуска программного обеспечения.

«Исходный код затронутой библиотеки был напрямую изменен, чтобы включить вредоносный код бэкдора, который был скомпилирован, подписан и доставлен через существующую систему управления выпуском исправлений программного обеспечения», — пояснили эксперты.

Более того, вредоносные строки были скрыты путем комбинации сжатия и кодирования с помощью base64 в надежде, что это помешает правилам YARA выявлять аномалии в коде, а также проскользнуть незамеченными во время проверки разработчика программного обеспечения.

Практически по всем профильным СМИ прошла новость о взломе программного обеспечения SolarWinds в рамках глобальной кампании кибершпионажа. Здесь нужно понимать масштаб атаки: этот софт для мониторинга IT-инфраструктуры (CPU, RAM, сеть) используют тысячи частных компаний и государственных учреждений, включая АНБ, Пентагон, Госдеп и проч. В общей сложности 300 000 клиентов по всему миру (данная страница уже удалена с официального сайта SolarWinds, по ссылке — копия из веб-архива).

Самое интересное в этой атаке: 1) внедрение бэкдора внутрь обновлений SolarWinds и 2) оригинальный механизм сокрытия данных в служебном HTTP-трафике программы SolarWinds. В двух словах расскажем о методе стеганографии (covert signaling), который здесь применялся....

Бэкдор обнаружен в библиотеке SolarWinds.Orion.Core.BusinessLayer.dll, которая подписана действительной цифровой подписью компании SolarWinds Worldwide, LLC (скриншот выше).

В частности, инфицирован ряд обновлений программы SolarWinds Orion за март-май 2020 года, которые распространялись с действительной цифровой подписью.

Это был стандартный файл Windows Installer Patch со всеми обычными ресурсами, включая заражённую библиотеку SolarWinds.Orion.Core.BusinessLayer.dll. После установки библиотека нормально загружалась в память штатным экзешником SolarWinds.BusinessLayerHost.exe.

Специалисты Microsoft пояснили, что злоумышленники «использовали локальный взлом [on-premises compromise], чтобы получить доступ к доверенному сертификату подписи SAML-токенов организации [SolarWinds]. Это позволило им подделать токены SAML для всех существующих пользователей и аккаунтов организации, включая высокопривилегированные». Судя по всему, речь о физическом проникновении в офис компании (on-premises compromise).

Весь трафик маскировался под сетевой трафик по служебному протоколу Orion Improvement Program (OIP) через SolarWinds API. Таким образом, антивирусы и файрволы не могли отличить активность бэкдора от настоящей активности программы SolarWinds.

В случае таких продвинутых атак невозможно установить разработчиков программы. Исследователи делают предположения на основании совпадения кода с ранее обнаруженными хакерскими инструментами, а также исходя из того, кто именно стал жертвой шпионажа.

Например, в 2010 году были повреждены иранские установки для обогащения урана. Очень продвинутый зловред Stuxnet слегка менял скорость вращения установок — и в конце концов вывел их из строя. Соответственно, логично предположить, что заказчиками и разработчиками зловредров были спецслужбы США и Израиля, поскольку эти страны планомерно пытаются помешать изготовлению ядерного оружия в Иране, действуя не всегда дипломатическими методами.

Что касается бэкдора SUNBURST, то его приписывают скорее российским хакерам из группировки APT29 (Cozy Bear), исходя из хитроумности применяемых техник, выбора целей и физического проникновения в офис жертвы. Хотя достоверно заказчик и исполнитель не известны.

21 января 2021 года разработчик и основатель компании по кибербезопасности «Vee Security Россия» Александр Литреев рассказал в Twitter, что он смог авторизироваться на веб-портале законодательства России под учетными данными admin/admin. Сейчас это исправлено.

В сети появилась информация о том, что мошенники поставили Министерство финансов России нерабочим программным обеспечением. Причём часть денег, в рамках госконтракта, злоумышленники уже успели получить.

Источник ТАСС рассказал, что исполнитель уже в момент заключения контракта знал, что не сможет создать требуемое ПО. Но он всё равно решил ввести заказчика в заблуждение с целью получить основную долю оплаты. При этом точная сумма нанесённого ущерба остаётся неизвестной.

Специалисты Avast поделились результатами очередного исследования. В его рамках выяснилось, что хакеры для майнинга криптовалюты начали пользоваться вирусами в GTA 5, The Sims 4, Far Cry 5 и прочих играх.

Согласно опубликованным данным, после того на компьютер попал вирус Crackonosh, он начинает эксплуатировать мощность компьютера. При этом у самого пользователи нет возможности его обнаружить. Заподозрить зараженность компьютера в данном случае можно по спаду производительности, а также росту трат на электричество.

Таким образом начиная с 2018 года хакеры смогли заработать порядка 2 млн долларов на майнинге криптовалюты Monero.

Мошенники клонировали голос директора банка в ОАЭ и использовали его для ограбления финучреждения. Они смогли похитить $35 млн.

В начале 2020 года управляющему банком позвонил человек, которого он принял за директора компании. Он заявил, что собирается провести некую сделку, и банк должен выполнить перевод на сумму $35 млн.

Для координации процедуры был нанят юрист по имени Мартин Зелнер, и управляющему банка начали приходить на почту письма от его имени, а также от имени директора. Они содержали подтверждения того, что деньги нужны банку для переезда. Управляющий перевел указанные средства.

Как выяснилось впоследствии, мошенники использовали дипфейк-технологию для клонирования речи директора банка. Власти ОАЭ обратились за помощью к американским следователям для отслеживания пути $400 тысяч, которые были переведены на счета в США, принадлежащие Centennial Bank. Правоохранители полагают, что это была тщательно продуманная схема с участием не менее 17 человек, которые отправили украденные деньги на банковские счета по всему миру.

Почти 40 000 учёток сотрудников МВД утекли в лапы жуликов. Катастрофа начала набирать на столько громадный масштаб, что по всем каналам до личного состава пытают донести важную информацию:

Уважаемые коллеги!

Зафиксирована фишинговая атака (рассылка, целью которой является получение доступа к конфиденциальным данным пользователей — логинам и паролям).
Сообщения от злоумышленников могут приходить сотрудникам МВД России в мессенджерах WhatsApp, Telegram, Viber и др.
Убедительная просьба не отвечать на подобные сообщения и не высылать свои учетные данные.

Пример текста от злоумышленника:

«Уважаемый, Иван Иванович!
Сотрудниками ИСОД проводится тестирование АРМ сотрудников МВД на вирусное ПО. В целях выявления вредоносных программ просим Вас сообщить ваш пароль для входа в компьютер. После завершения тестирования Вы можете сменить его.
Тестирование будет проводиться до 10.01.21

С уважением, ИСОД МВД России»

В случае, если вы передали свои данные злоумышленникам, необходимо незамедлительно обратиться к Администратору Доступа для сброса пароля от учётной записи и проинформировать УЗИ ДИТСиЗИ МВД России.

овым способом взлома компьютерной техники стали SATA-кабели, которые могут быть превращены в радиоантенны для беспроводной кражи данных. Уязвимость обнаружена исследователями израильского университета Бен-Гуриона в Негеве.

Методу атаки дали название SATAn ("Сатана") — технология способна превратить любой штатный кабель SATA в радиоантенну для беспроводной кражи данных. Правда, как отмечают исследователи, уязвимость не будет работать, пока на компьютер не попадет специальная программа, которая может быть загружена и без физического вмешательства в компьютер.

На пораженном компьютере SATAn используется стандартный протокол обмена данными по кабелю SATA для кодирования чувствительной информации в служебные сигналы обычной активности накопителей. Генерируется электромагнитный "шум", который кабель SATA как антенна транслирует на частоте 6 ГГц — дальность передачи ограничена одним метром.

Что такое надёжный пароль? По мере развития технологий за последние десятилетия несколько раз менялись политика, что считать таковым. Мощности для брутфорса становятся всё доступнее, в том числе в облаках, поэтому и требования к энтропии паролей повышаются — в 2022 году рекомендуется использовать спецсимволы, цифры, буквы в разных регистрах, с общей длиной минимум 11 символов.

Менеджер паролей LastPass объявил об еще одной серьезной ошибке в своей системе безопасности. Согласно пресс-релизу августовская утечка данных позволила хакеру взломать домашний компьютер одного из самых привилегированных сотрудников LastPass - старшего инженера DevOps, имевшего доступ к ключам дешифровки.

А теперь стало известно, что утечка данных в августе позволила хакеры взломать личный компьютер старшего DevOps-инженера LastPass. Впоследствии хакер установил на компьютер инженера кейлоггер, который позволил ему украсть мастер-пароль LastPass. Далее киберпреступник смог проникнуть в хранилище паролей инженера и, получив необходимые ключи дешифровки, проник в общую облачную среду LastPass, откуда похитил целый ворох важных данных.....

Нас целая команда экспертов по проникновению в информационные сети.

Предположим, мы хотим понять, можно ли украсть данные с крупного промышленного комплекса. Обычно мы стараемся подключиться ко внутренней сети предприятия (однажды даже удалось подключить своё маленькое устройство к свободно висящему патч-корду, пока ходили на собеседование). Иногда мы делаем рассылку по всей компании, с просьбой что-то проверить в зарплатном файле, и приземляем людей на фишинговый сайт, изображающий их Джиру или корпоративный портал. Иногда просто просим срочно прислать, потому что у нас контракт на 100 миллионов горит и «ЕСЛИ СЕЙЧАС НЕ БУДЕТ, ТО УВОЛЮ К ЧЕРТЯМ!!»

Практически в любом случае нам нужно как можно больше данных о компании. Нужно знать, какие стоят средства защиты на рабочих станциях пользователей: для этого можно забросить исполняемый файл, позвонить человеку, попросить его открыть, а потом прочитать логи прямо с экрана. Нам очень важно знать, как зовут ИТ-директора, главного безопасника или руководителя направления, потому что письмам от них поверят. Часто бывают нужны коды двухфакторной авторизации из SMS или почты.

Или, например, в отношении тестируемой компании мы сначала смотрим на геометки доставки. Затем, сопоставляя данные различных утечек, можно найти практически всех сотрудников, их имена, почты и телефоны. Плюс данные из социальных сетей и сайта — и вот у нас уже есть телефонный справочник компании, понимание, кто когда онлайн, кто где находится (спасибо фото из отпуска), хобби, имена детей, собак и всё нужное, чтобы составить сценарий разговора.

Мы проводим социотехнические пентесты предприятий, госкомпаний, крупных финансовых компаний, ретейла и так далее. Понятно, везде разный уровень паранойи и грамотности, но обычно цели у таких проектов обозначаются достаточно похоже:

Понять, насколько сотрудники бдительны и осведомлены про ИБ.

Понять, насколько глубоко можно пройти через неосведомлённых сотрудников.

Понять, можно ли получить закрытые данные.

На вопрос, насколько сотрудники бдительны и осведомлены про ИБ, сразу можно дать ответ. Не осведомлены. У средних и крупных компаний хватает 0,01% неосведомлённости, чтобы мы просочились.

Обычно мы разведываем инфраструктуру, находим контакты руководителей, потом придумываем отличный сценарий массовой рассылки или массового обзвона, который будет казаться всем достоверным, а потом находится герой, который сливает свою учётку.

В общем, мало кто, по нашему проектному опыту, не попадается на уловки социнженерии. И наша масштабная разведка приносит массу полезной информации о сотрудниках из социальных сетей, опубликованные утечки данных, сведения для анализа публичных ресурсов компании (включая её организационную структуру) и прочее.

Например, однажды удалось узнать, что в компании несколько лет подряд на Новый год HR-служба устраивала конкурс с премиями за особые достижения. Нужно было заходить на их лендинг, отмечать свои достижения и ждать шанса выиграть в лотерее. Мы собрали точно такой же сайт (точнее, только форму логина), отправили письмо от руководителя HR-службы (с опечаткой в одну букву в домене) в корпоративном шаблоне, рассказали похожую историю с премиями и попросили всех сотрудников отметить свои успехи. Что характерно, в этом тесте стояла особая задача: не включать в рассылку директора подразделения, чтобы его случайно не скомпрометировать. Так вот, он взял ссылку у своего подчинённого, прошёл по ней, ввёл свой логин-пароль, не смог авторизоваться (странно, почему), взял ссылку у другой сотрудницы, повторил попытку, а затем проделал то же самое с третьим человеком. А после неудач начал вводить другие пароли от своих сторонних аккаунтов.