Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Top 5 most high-profile events of the infosec for November 2021

root

Teammitglied
Full members of NP "MOD"
Mitglied seit
17.02.2007
Beiträge
678
Punkte für Reaktionen
1.026
Punkte
93
Let's sum up the results of the month and remember what happened in November, information-safe.

007~1.jpg


And oh, how many things were going on: let's talk about new flights of one well-known malicious Pegasus, and the FBI hacking, and about a bot on State Services, which suddenly became a supporter of crypto conspiracies.

Pegasus Travel​

002.jpg


November turned out to be eventful for Pegasus. At the beginning of the month, it turned out that Pegasus flew to Europe: the Hungarian government announced that it was using it "within the framework of the law." In total, there were about three hundred victims, but we do not know anything about them - the details will be classified until 2050.

Apple later sued the Pegasus manufacturer, Israel's NSO Group, for illegal surveillance of its users. The Apple company has promised that it will henceforth notify users if it sees Pegasus on their devices.

The first notifications were not long in coming: a couple of hours after the court received Apple's appeal, the first potential victims of Pegasus saw warnings on their devices. Among them are users from Thailand, El Salvador and Uganda: political researchers and educators, activists and journalists.

The same was received by the prosecutor from Poland. She had previously called for an investigation into where the millions of zlotys that were prepared for postal voting in the ultimately failed elections went.

Soon, the Israeli Defense Ministry severely cut the list of countries to which Israeli infosec companies can export their products.

The new list included only democracies, including countries belonging to the EU and Five Eyes. Now the list looks like this: Australia, Austria, Belgium, UK, Bulgaria, Germany, Greece, Denmark, Iceland, Spain, India, Ireland, Italy, Canada, Cyprus, Latvia, Liechtenstein, Lithuania, Luxembourg, Malta, Netherlands, New Zealand, Norway, Portugal, Romania, Slovakia, Slovenia, USA, Finland, France, Croatia, Czech Republic, Sweden, Switzerland, Estonia, South Korea and Japan.

Of course, the list does not include Morocco, Bahrain, Saudi Arabia and the United Arab Emirates, which were previously seen among the clients of the NSO Group. And if you are suddenly embarrassed by India that is clinging among the developed democracies, then it is in vain: this is different, you need to understand.

NSO Group is not to be envied, of course, but it serves it right.

The FBI and Robinhood: the busy days of a hacker​


001.jpg


What do the FBI and the investment application Robinhood have in common? The hacker who targeted them in November.

First, Robinhood was told about the leak: it happened as a result of a successful social engineering attack on a support employee. Unknown hackers received about 5 million user emails and about 2 million real names. For about 310 (not thousands, but people) the name, date of birth and index have been merged; for another 10 people received some "more detailed data." Further it turned out that about 4,400 more telephone numbers had leaked. Financial and other critical data did not seem to be affected. Finally, the whole thing was put up for sale on a well-known hacker forum - the loot was offered by the user pompompurin.

005.jpg


What does the FBI have to do with it? And despite the fact that in mid-November, fake letters were sent from the FBI mail to the addresses of system administrators. They reported on a dangerous hacker named Vinnie Troy, from whom the FBI strongly advises to protect yourself - for example, to double-check the security of systems. The Bureau soon admitted that it had made a mistake in configuring the software, which allowed the cracker to send out the letters.

And then the famous infosec blogger Brian Krebs said that he received from the same hacked mailbox ( eims@ic.fbi.gov ) such a letter:

“Hi, this is pompompurin. Check the header of this email to make sure it really came from the FBI servers. I am writing to you because we have discovered a botnet that is hosted on your forehead. Take action immediately! Thanks".

Pompompurin told Krebs that the purpose of the hack was to point to a gaping security hole in the FBI. He could send out more believable letters, extract valuable data from the system administrators, and so on, but they did not.

Krebs suggested that another target of the attack was Vinnie Troy, who was called the legendary dangerous hacker in fake letters. In fact, Troy is a major information security researcher. He himself also stated that pompompurin was probably behind the attack, who did not like Troy for a long time. In addition, the day before the attack, Troy received a tweet from pompompurin “enjoy”. After the mailing, the sensitive hacker wrote again, carefully specifying: “Did you enjoy”.

The arrests of REvil​

004.jpg


November was not fun for well-known cybercriminal groups. First, BlackMatter collapsed. Second, there have been mass arrests of potential REvil members around the world.

Romanian police officers detained two suspects; before that, they searched four houses in Constanta, seizing laptops, telephones and storage media. On the same day, the Kuwaiti police arrested another suspect. These three scammers, if they really are, are responsible for about 7,000 attacks and ransom requests for € 200 million in total.

In total, 7 suspected REvil members have been arrested this year. Three were caught in South Korea, and another was recently arrested in Germany.

The US Department of Justice today announced allegations against the ransomware agent REvil responsible for the July 2 attack on the Kaseya MSP platform and the seizure of more than $ 6 million from another REvil partner.

The suspect is a 22-year-old Ukrainian citizen Yaroslav Vasinsky (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), who was arrested for cybercrime activities on October 8 at the insistence of the United States while trying to enter Poland from his home country.

Soon, the TOR-sites of the grouping (a blog with plums and a service for paying the ransom), which were previously hacked by the special services, show just such a page with the heading "Revil is bad."

008.jpg


There is a mysterious form on the page that requires a username and password - it is not very clear why. And the CSS file with styles is called revil_sucks.css. I wonder if it’s the intelligence services that are having fun, or some third-party group decided to kick the lying one and hacked already hacked hackers?

Not Facebook, not Meta yet​


003.jpg


In November, Facebook suddenly promised that it would no longer collect the database of recognized faces, and would delete everything that had already been collected from the servers. Everyone was very surprised - it always looks suspicious when bees militantly oppose honey.

Where is the catch? Watch your hands: the promise was made by Facebook, and the company is now called Meta.

Meta is currently developing virtual reality in which people will interact through realistic avatars of themselves. Of course, there is nowhere without recognition - you need to build a virtual model of a real person, and then track facial expressions and movements.

It was always curious what those who literally bring to life the images of megavillains from various cyberpunk universes think about. Except for "earthlings_given_you_with", of course.

Hacking Npm packages: part 2​

Continuing the October epic. The popular coa library - with 9 million weekly downloads, used by 5 million github repositories - has suddenly been updated after a couple of years of silence. Of course, it was hacked and updated with malicious code, just like UAParser.js recently.

The malware is identical. After installation, the obfuscated TypeScript script checks which operating system is on the machine and pulls the corresponding malicious file. The file was deobfuscated and it was found out that the version of the Qakbot Trojan is being pulled.

The npm component rc was also hacked in the same way (versions 1.2.9, 1.3.9 and 2.3.9.). He has under 14 million downloads a week. Fortunately, npm quickly removed all the malicious updates.

A little later, GitHub (the parent company of npm) talked about two critical vulnerabilities that it recently fixed.

First, for some time at the end of October, the names of private packages stored on the npm mirror were publicly available. The content was not highlighted, but the names are enough to exploit the dependency confusion vulnerability. GitHub changed the mirror generation process to prevent such leaks in the future.

The second vulnerability allowed the publication of package updates without proper authorization. Github says that the microservices responsible for authorization did not work quite correctly, which caused the vulnerability. At the same time, there is no data on exploits, and the company is confident that the bug has not been used since at least September 2020.

And from 2022, npm will include mandatory two-factor authentication for developers. If it was owned by the owners of UAParser.js, coa and other heroes of the funny stories that sounded here, then these packages might not have been hacked.

Botnet month​

In early November, researchers spoke about the largest botnet in history, which once had more than 1.6 million devices. For comparison, the rather sensational Meris in September, responsible for the record DDoS in the Russian Internet (on Yandex), includes only 250 thousand devices. The giant botnet has long been called Pink.

Pink mainly consists of MIPS routers. It uses several third-party services (like GitHub), P2P networks, and centralized C&C servers for management.

Since its golden age, the botnet responsible for over a hundred DDoS attacks has been blown away. There are now about a hundred thousand active devices left in Pink.

Back in November, the Emotet botnet returned, which had been defeated by intelligence agencies in January. They say the botnet operators were persuaded to return it by the Conti hackers.

The main feature of Emotet is its partnership with hacker groups, which the botnet helps to distribute runaway and other malware to “expensive” victims. Looks like we are waiting for the heyday of Conti: for them this not too triumphant return is very profitable.

Hacking Government services and crypto conspiracies from the bot​

006.jpg


Finally, someone pretty much stormed the State Services. On November 10, the Ministry of Digital Communications spoke about an attack of 680 GB per second.

The only casualty was the local bot. For some time, he said in response to attempts to obtain a QR code or certificates that "the coronavirus does not exist," QR codes "are part of the world government's plans for population segregation," and vaccines are "a means of disposing of the surplus population."

The ministry claims that they only got to the bot, and the user data is safe.

A source
 
Original message
Подведем итоги месяца и вспомним, что творилось в ноябре информационно-безопасного.

007~1.jpg


А творилось ой как много чего: поговорим и о новых полетах одного известного зловредного пегаса, и взломе ФБР, и о боте на Госуслугах, который внезапно стал сторонником криптозаговоров.

Путешествия Пегасуса​

002.jpg


Ноябрь выдался для Пегасуса богатым на события. В начале месяца оказалось, что Пегасус долетел в Европу: правительство Венгрии заявило, что использовало его «в рамках закона». Всего набралось около трех сотен жертв, но мы о них ничего не знаем — детали будут засекречены до 2050 года.

Чуть позже Apple подала на производителя Пегасуса, израильскую NSO Group, в суд, обвинив в незаконной слежке за своими пользователями. Яблочная компания пообещала, что впредь будет уведомлять пользователей, если заметит на их устройствах Пегасус.

Первые уведомления не заставили себя долго ждать: через пару часов после того, как суд получил обращение Apple, первые потенциальные жертвы Пегасуса увидели на своих устройствах предупреждения. Среди них пользователи из Таиланда, Эль Сальвадора и Уганды: политические исследователи и преподаватели, активисты и журналисты.

Такое же получила прокурор из Польши. Она ранее призывала расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах.

Вскоре Минобороны Израиля сильно подрезало список стран, в которые израильские инфосек-компании могут экспортировать свои продукты.

В новый список включили только демократические страны, в том числе страны, входящие в ЕС и Five Eyes. Теперь список выглядит так: Австралия, Австрия, Бельгия, Великобритания, Болгария, Германия, Греция, Дания, Исландия, Испания, Индия, Ирландия, Италия, Канада, Кипр, Латвия, Лихтенштейн, Литва, Люксембург, Мальта, Нидерланды, Новая Зеландия, Норвегия, Португалия, Румыния, Словакия, Словения, США, Финляндия, Франция, Хорватия, Чешская Республика, Швеция, Швейцария, Эстония, Южная Корея и Япония.

Конечно же, в списке нет Марокко, Бахрейна, Саудовской Аравии и ОАЭ, которые ранее были замечены среди клиентов NSO Group. А если вас вдруг смущает затесавшаяся среди развитых демократий Индия, то напрасно: это другое, понимать надо.

NSO Group не позавидуешь, конечно, но и поделом.

ФБР и Robinhood: насыщенные будни одного хакера​


001.jpg


Что общего у Федерального Бюро Расследований и инвестиционного приложения Robinhood? Хакер, выбравший их в ноябре своими целями.

Сначала Robinhood рассказали про утечку: она случилась в результате успешной социнженерной атаки на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имен. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; еще на 10 человек получили некие «более детальные данные». Далее выяснилось, что утекло еще около 4400 телефонных номеров. Финансовые и прочие критичные данные, похоже, не пострадали. Наконец, все это дело выставили на продажу на известном хакерском форуме — награбленное предлагал пользователь pompompurin.

005.jpg


А ФБР-то тут при чем? А при том, что в середине ноября с почты ФБР разослали по адресам сисадминов фейковые письма. В них сообщалось об опасном хакере по имени Винни Троя, от которого ФБР настоятельно советует защититься — например, перепроверить безопасность систем. Вскоре Бюро признало, что допустило ошибку в настройке софта, которая и позволила взломщику разослать письма.

А дальше известный инфосек-блогер Брайан Кребс рассказал, что получил с того же взломанного ящика (eims@ic.fbi.gov) такое письмо:

«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».

Pompompurin сказал Кребсу, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, вытянуть из сисадминов ценные данные и так далее, но делать этого не стали.

Кребс предположил, что еще одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится. Кроме того, за день до атаки Троя получил от pompompurin’а в Твиттере сообщение “enjoy”. Уже после рассылки чуткий хакер написал снова, заботливо уточнив: “Did you enjoy”.

Аресты REvil​

004.jpg


Ноябрь выдался для известных киберпреступных группировок невеселым. Во-первых, схлопнулись BlackMatter. Во-вторых, по всему миру прошли массовые аресты потенциальных членов REvil.

Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала еще одного подозреваемого. Эти три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.

Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а еще одного недавно арестовали в Германии.

Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.

Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.

Вскоре TOR-сайты группировки (блог со сливами и сервис для выплаты выкупа), которые ранее были взломаны спецслужбами, показывают вот такую страницу с заголовком «Revil это плохо»

008.jpg


На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css. Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка решила пнуть лежащего и взломала уже взломанных хакеров?

Уже не Facebook, ещё не Meta​


003.jpg


В ноябре компания Facebook внезапно пообещала, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов. Все очень удивились — всегда подозрительно смотрится, когда пчелы воинственно выступают против меда.

Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta.

Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.

Всегда было любопытно, о чем же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.

Взломы Npm-пакетов: часть 2​

В продолжение октябрьской эпопеи. Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, ее взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.

Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.

Таким же образом еще взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю. К счастью, все зловредные обновления npm оперативно убрал.

Чуть позже GitHub (родительская компания npm) рассказал о двух критических уязвимостях, которые недавно устранил.

Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.

Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.

А с 2022 npm включит обязательную двухфакторную авторизацию для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь веселых историй, то взломов этих пакетов могло и не быть.

Месяц ботнетов​

В начале ноября исследователи рассказали о крупнейшем ботнете за историю, в котором когда-то было более 1.6 миллиона устройств. Для сравнения, изрядно нашумевший в сентябре Meris, ответственный за рекордный в рунете ДДоС (на Яндекс), включает всего 250 тысяч девайсов. Гигантский ботнет давно еще назвали Pink.

В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.

Со времен своего золотого века ботнет, ответственный за более чем сотню DDoS-атак, сильно сдулся. Сейчас в Pink осталось около ста тысяч активных устройств.

Еще в ноябре вернулся ботнет Emotet, побежденный в январе спецслужбами. Говорят, операторов ботнета уговорили его вернуть хакеры Conti.

Основная особенность Emotet — партнерство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждет расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.

Взлом Госуслуг и криптозаговоры от бота​

006.jpg


Наконец, кто-то изрядно поштурмовал Госуслуги. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.

Из пострадавших был разве что местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».

Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.

Источник

До нового года осталось