Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Топ 5 самых громких событий инфосека за ноябрь 2021

root

СисАдмин Форума
Команда форума
Действительный члены НП "МОД"
Регистрация
17 Февраль 2007
Сообщения
677
Реакции
1.022
Баллы
93
Возраст
57
Подведем итоги месяца и вспомним, что творилось в ноябре информационно-безопасного.

007~1.jpg


А творилось ой как много чего: поговорим и о новых полетах одного известного зловредного пегаса, и взломе ФБР, и о боте на Госуслугах, который внезапно стал сторонником криптозаговоров.

Путешествия Пегасуса​

002.jpg


Ноябрь выдался для Пегасуса богатым на события. В начале месяца оказалось, что Пегасус долетел в Европу: правительство Венгрии заявило, что использовало его «в рамках закона». Всего набралось около трех сотен жертв, но мы о них ничего не знаем — детали будут засекречены до 2050 года.

Чуть позже Apple подала на производителя Пегасуса, израильскую NSO Group, в суд, обвинив в незаконной слежке за своими пользователями. Яблочная компания пообещала, что впредь будет уведомлять пользователей, если заметит на их устройствах Пегасус.

Первые уведомления не заставили себя долго ждать: через пару часов после того, как суд получил обращение Apple, первые потенциальные жертвы Пегасуса увидели на своих устройствах предупреждения. Среди них пользователи из Таиланда, Эль Сальвадора и Уганды: политические исследователи и преподаватели, активисты и журналисты.

Такое же получила прокурор из Польши. Она ранее призывала расследовать, куда ушли миллионы злотых, заготовленные для почтового голосования на в итоге не состоявшихся выборах.

Вскоре Минобороны Израиля сильно подрезало список стран, в которые израильские инфосек-компании могут экспортировать свои продукты.

В новый список включили только демократические страны, в том числе страны, входящие в ЕС и Five Eyes. Теперь список выглядит так: Австралия, Австрия, Бельгия, Великобритания, Болгария, Германия, Греция, Дания, Исландия, Испания, Индия, Ирландия, Италия, Канада, Кипр, Латвия, Лихтенштейн, Литва, Люксембург, Мальта, Нидерланды, Новая Зеландия, Норвегия, Португалия, Румыния, Словакия, Словения, США, Финляндия, Франция, Хорватия, Чешская Республика, Швеция, Швейцария, Эстония, Южная Корея и Япония.

Конечно же, в списке нет Марокко, Бахрейна, Саудовской Аравии и ОАЭ, которые ранее были замечены среди клиентов NSO Group. А если вас вдруг смущает затесавшаяся среди развитых демократий Индия, то напрасно: это другое, понимать надо.

NSO Group не позавидуешь, конечно, но и поделом.

ФБР и Robinhood: насыщенные будни одного хакера​


001.jpg


Что общего у Федерального Бюро Расследований и инвестиционного приложения Robinhood? Хакер, выбравший их в ноябре своими целями.

Сначала Robinhood рассказали про утечку: она случилась в результате успешной социнженерной атаки на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имен. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; еще на 10 человек получили некие «более детальные данные». Далее выяснилось, что утекло еще около 4400 телефонных номеров. Финансовые и прочие критичные данные, похоже, не пострадали. Наконец, все это дело выставили на продажу на известном хакерском форуме — награбленное предлагал пользователь pompompurin.

005.jpg


А ФБР-то тут при чем? А при том, что в середине ноября с почты ФБР разослали по адресам сисадминов фейковые письма. В них сообщалось об опасном хакере по имени Винни Троя, от которого ФБР настоятельно советует защититься — например, перепроверить безопасность систем. Вскоре Бюро признало, что допустило ошибку в настройке софта, которая и позволила взломщику разослать письма.

А дальше известный инфосек-блогер Брайан Кребс рассказал, что получил с того же взломанного ящика (eims@ic.fbi.gov) такое письмо:

«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».

Pompompurin сказал Кребсу, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, вытянуть из сисадминов ценные данные и так далее, но делать этого не стали.

Кребс предположил, что еще одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится. Кроме того, за день до атаки Троя получил от pompompurin’а в Твиттере сообщение “enjoy”. Уже после рассылки чуткий хакер написал снова, заботливо уточнив: “Did you enjoy”.

Аресты REvil​

004.jpg


Ноябрь выдался для известных киберпреступных группировок невеселым. Во-первых, схлопнулись BlackMatter. Во-вторых, по всему миру прошли массовые аресты потенциальных членов REvil.

Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала еще одного подозреваемого. Эти три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.

Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а еще одного недавно арестовали в Германии.

Министерство юстиции США сегодня объявило обвинения в адрес представителя программы-вымогателя REvil, ответственного за атаку на платформу Kaseya MSP 2 июля и конфискацию более 6 миллионов долларов у другого партнера REvil.

Подозреваемый - 22-летний гражданин Украины Ярослав Васинский (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, and Affiliate 22), арестованный за киберпреступную деятельность 8 октября по настоянию США при попытке въезда в Польшу из своей родной страны.

Вскоре TOR-сайты группировки (блог со сливами и сервис для выплаты выкупа), которые ранее были взломаны спецслужбами, показывают вот такую страницу с заголовком «Revil это плохо»

008.jpg


На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css. Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка решила пнуть лежащего и взломала уже взломанных хакеров?

Уже не Facebook, ещё не Meta​


003.jpg


В ноябре компания Facebook внезапно пообещала, что больше не будет собирать базу данных распознанных лиц, а все уже собранное удалит с серверов. Все очень удивились — всегда подозрительно смотрится, когда пчелы воинственно выступают против меда.

Где же подвох? Следите за руками: обещание давал Фейсбук, а компания теперь называется Meta.

Meta сейчас занята разработкой виртуальной реальности, в которой люди будут взаимодействовать через реалистичные аватары самих себя. Ясное дело, без распознавания здесь никуда — нужно построить по реальному человеку его виртуальную модель, а потом отслеживать мимику и движения.

Всегда было любопытно, о чем же думают те, кто буквально воплощает в жизнь образы мегазлодеев из разнообразных киберпанковых вселенных. Кроме «земляне_сдавайтесь_вы_окружены», конечно.

Взломы Npm-пакетов: часть 2​

В продолжение октябрьской эпопеи. Популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, ее взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.

Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.

Таким же образом еще взломали npm-компонент rc (версии 1.2.9, 1.3.9 и 2.3.9.). У него под 14 миллионов загрузок в неделю. К счастью, все зловредные обновления npm оперативно убрал.

Чуть позже GitHub (родительская компания npm) рассказал о двух критических уязвимостях, которые недавно устранил.

Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.

Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.

А с 2022 npm включит обязательную двухфакторную авторизацию для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь веселых историй, то взломов этих пакетов могло и не быть.

Месяц ботнетов​

В начале ноября исследователи рассказали о крупнейшем ботнете за историю, в котором когда-то было более 1.6 миллиона устройств. Для сравнения, изрядно нашумевший в сентябре Meris, ответственный за рекордный в рунете ДДоС (на Яндекс), включает всего 250 тысяч девайсов. Гигантский ботнет давно еще назвали Pink.

В основном Pink состоит из MIPS-роутеров. Он использует несколько сторонних сервисов (например, Гитхаб), P2P-сети и централизированные C&C-серверы для управления.

Со времен своего золотого века ботнет, ответственный за более чем сотню DDoS-атак, сильно сдулся. Сейчас в Pink осталось около ста тысяч активных устройств.

Еще в ноябре вернулся ботнет Emotet, побежденный в январе спецслужбами. Говорят, операторов ботнета уговорили его вернуть хакеры Conti.

Основная особенность Emotet — партнерство с хакерскими группировками, которым ботнет помогает распространять ранмосварь и прочие зловреды на «дорогих» жертв. Похоже, нас ждет расцвет Conti: для них это не слишком триумфальное возвращение очень выгодно.

Взлом Госуслуг и криптозаговоры от бота​

006.jpg


Наконец, кто-то изрядно поштурмовал Госуслуги. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.

Из пострадавших был разве что местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».

Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.

Источник
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555