Астрологи объявили неделю CyberCrimeCon. Количество новостей про Group-IB увеличилось вдвое.

ГрИБы опубликовали отчет про операцию Falcon по поимке нигерийских киберпреступников, которую они провели совместно с Интерполом и полицией Нигерии.

В Лагосе были арестованы трое членов хакерской группы, получившей название TMT, специализировавшейся на фишинговых кампаниях против корпоративной электронной почты с целью кражи учетных данных. В качеств приманки использовались различные служебные документы, а также письма на тему COVID-19. Далее использовались общедоступные трояны удаленного доступа (RAT) - AgentTesla, Loky и пр.

Group-IB говорят, что отслеживали деятельность группы TMT с 2019 года и предполагают, что хакеры могли взломать электронную почту около 500 тыс. (!) государственных и частных организаций по всему миру, включая Нигерию. Способ монетизации украденных учетных данных до конца не ясен, но, скорее всего, это их продажа в даркнете.

По данным ГрИБов, в составе TMT действовало несколько групп, и ряд преступников остается на свободе.

Вот такие плодовитые нигерийские хакеры. А Веста опять молодец.

​​В конце октября оператор ransomware Ryuk успешно атаковал французского IT-гиганта Sopra Steria, в результате чего сеть компании упала.

Французы восстанавливали свои ресурсы почти месяц и вчера заявили, что атака Ryuk в итоге приведет к убыткам в размере от 40 до 50 млн. евро.

Также Sopra Steria сообщили, что на текущем этапе утечки информации не выявлены. Но это стандартная мантра и поскольку Ryuk таки ворует данные, то возможны два варианта. Либо выкуп не платился и в ближайшее время в сети могут появиться конфиденциальные документы французской компании. Либо, что мы считаем более вероятным, Sopra Steria заплатила выкуп и его сумма включена в планируемый убыток.

Ну ничего, зато на информационной безопасности сэкономили.

Самые интересные атаки это те, в которых атакующий сам не понимает как у него эта хрень получилась. Именно такую атаку в прошлом году обнаружили исследователи из Мичиганского университета и Токийского университета электросвязи.

Они выяснили, что направленный лазерный луч микрофоны MEMS, которые активно используются домашними голосовыми помощниками типа Amazon Alexa, Apple Siri, Google Assistant или Яндекс.Станция, почему-то принимают как звук. Благодаря этому ресерчеры, меняя интенсивность лазерного луча, смогли с расстояния до 110 метров направлять голосовому помощнику неслышные команды и, таким образом, перехватывать его управление. Причем стекло для этого не помеха.

Не очень понятно, что именно сподвигло исследователей СВЕТИТЬ лазером в МИКРОФОН, но факт остается фактом.

Тем не менее причину, из-за которой это происходит, за прошедший год они так и не выяснили. В настоящее время ресерчеры пытаются изучить на физическом уровне, почему микрофоны реагируют на свет как на звук. Заодно они оттачивают механизм атаки, опробуя его на новых версиях голосовых помощников.

Обо всех подробностях исследователи обещают рассказать в рамках доклада на Black Hat Europe 2020, который стартует буквально через две недели.

А может это известный физический эффект? Если кто знает - напишите нам, мы же не специалисты, очень любопытно.

—Партнерский пост—

Отвлечемся на минутку от спецслужб, кибершпионажа, Кластернета и прочих вымогателей, и вернемся к комьюнити.

Хороших профильных ТГ-каналов в мире инфосек не так много, как хотелось бы, поэтому мы не можем не рассказать об одном из них. Встречайте - Киберпиздец. Как нетрудно догадаться, канал посвящен ситуации в отрасли информационной безопасности.

Несмотря на провокационное название, канал вполне себе серьезный, а автор болеет инфосеком и публикует много полезного, например, материалы для обучения, технические статьи, ссылки на инструменты, которые упрощают жизнь специалистов ИБ и многое другое.

Ну и еще автор периодически устраивает опросы про переименование. Мы считаем, что не стоит, а вы можете высказать свое мнение если подпишитесь на канал.

И да настанет Киберпиздец (уже)!

​​А-а-а-а-а, мы нашли универсальную отмазку!

​​Аргентинцам не везет. В конце августа оператор ransomware NetWalker успешно атаковал аргентинское Агентство иммиграции Direccion Nacional de Migraciones. Да так, что на четыре часа были закрыты пункты пропуска на аргентинской границе.

Теперь же REvil вывалили в сеть скриншот содержимого 50 Гб данных, украденных с официального портала Аргентины argentina .gob .ar.

Самая популярная шутка в обсуждении в Twitter, что папку "Борьба с коррупцией" не надо было выкладывать, она же пустая. Что же, это справедливо не только для Аргентины.

Финны из F-Secure поднимают кипиш по поводу выявленной атаки по угону аккаунтов WhatsApp через фишинг с подтверждением их конвертации в WhatsApp Business.

Мы немного разобрались и поняли, что эта атака ничем не отличается от стандартного угона через подтверждение подключения нового устройства. Только вместо обычного WhatsApp - WhatsApp Business. Разница, пожалуй, только в том, что в стандартном случае кроме SMS с кодом придет еще и push-сообщение о попытке переподключения.

Поэтому, на всякий случай, напоминаем про правила безопасного пользования мессенджерами:
1. Никому никакие коды в моменте не пересылаем. Даже жене и детям, их аккаунты могут быть уже скомпрометированы. Особенно жены (да простят нас девушки из инфосек, это не про них).
2. Всегда используем двухфакторную аутентификацию.

На связи Бразилия. Сотрудник больницы им. Альберта Эйнштейна из города Сан-Паулу загрузил на GitHub таблицу с учетными данными и ключами доступа к нескольким государственным информационным системам.

Среди них оказались системы E-SUS-VE и Sivep-Gripe, в которых содержится информация о всех бразильских пациентах, переболевших COVID-19. В них присутствуют такие данные, как имена, адреса, ID, а также сведения медицинского характера. Среди тех, чьи данные попали в утечку - Президент Бразилии Жаир Болсонару и его семья, семь министров и 17 губернаторов.

Таблицу нашел один из пользователей, который сообщил об этом в бразильскую газету Estadao. А журналисты, в свою очередь, уведомили больницу и бразильский Минздрав. В итоге таблица была удалена, а учетные данные и ключи изменены.

Думали как подытожить, но даже не нашли формулировки правильной. Обезьянам дали в руки микроскоп.

Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.

Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.

Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.

Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.

В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.

Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.

#APT #DarkCaracal

По всей видимости, эксперимент с Rutube признан неудачным )

Роскомнадзор призвал IT-компании к созданию видеохостинга для отечественных СМИ

Из-за цензуры на YouTube Роскомнадзор обратился к крупным IT-компаниям России с просьбой помочь создать видеохостинг для отечественных СМИ.

Это связано с тем, что YouTube запретил создание каналов отечественным СМИ "ANNA NEWS".

Роскомнадзор уже потребовал у Google снять цензуру, однако также он обратился к крупным IT-компаниям, чтобы политика Ютуба не мешала им в будущем.

В своём обращении Роскомнадзор попросил IT-компании «помочь нашим СМИ в создании и популяризации собственных видеохостингов».

Начинаем неделю с новостей ransomware.

1. Оператор вымогателя Conti, работающего по схеме RaaS и в августе получившего свой собственный сайт, на котором публикуются украденные данные, успешно атаковал тайваньскую компанию Advantech.

Advantech - мировой лидер в области производства систем промышленной автоматизации и чипов для промышленного Интернета вещей (IIoT), который имеет под 2 млрд. долларов годового дохода.

Атака произошла в середине ноября и компания не сделала никаких публичных заявлений. Тем не менее, 21 ноября Conti сделали анонс публикации украденной информации, а 26 ноября начали ее выкладывать, разместив 3 Гб данных, составляющих 2% от общего количества утечки.

Журналисты BleepingComputer добыли копию записки с требованием выкупа, который составляет около 14 млн. долларов.

Интересно, что стоящие за атакой хакеры пообещали после выплаты денег, кроме прочего, немедленно удалить все оставленные в сети Advantech бэкдоры, а также сообщить о дырках в системе информационной безопасности, благодаря которым им удалось эту сеть скомпрометировать. То есть злоумышленники до сих пор сохраняют свое присутствие в Advantech. Красота.

Кстати говоря, данная атака, как и опубликованные в ее ходе конфиденциальные данные, вполне могут стать атакой на цепочку поставок тех самых промышленных систем управления (ICS), про которые мы частенько пишем. И этот кейс очень ярко иллюстрирует состояние инфосека в огромной корпорации, которая, по идее, должна крайне серьезно относиться к безопасности производимых ею устройств. Но она и за свой уследить не может. Какой уж тут DevSecOps.

2. Округ Дэлавер штата Пенсильвания, того самого, в котором беспалевно по почте вбросили 2,5 млн. бюллетеней за Байдена, выплачивает полмиллиона долларов выкупа оператору ransomware DoppelPaymer.

Вымогатель атаковал сети властей неделю назад, скомпрометированными оказались данные полицейских отчетов, финансовая информация и другие базы. Выплата выкупа производится за счет соответствующей страховки.

Но это ерунда. Главное, что информационные системы Избирательного бюро не пострадали.

С Международным днем защиты информации!

Bank Security сообщает, что в открытый доступ попал код ПО, разрабатываемого шведской компанией CMA, клиентами которой являются многие Центробанки мира, в том числе ЦБ России.

С помощью этого ПО проводятся транзакции на сумму более 100 млрд. долларов в день.

Какие последствия это может повлечь объяснять, думаем, не надо.

​​А тем временем, кибератаки могут спровоцировать "невольную" разработку нового биологического оружия вместо лекарств от новых видов заболеваний, говорят исследователи в публикации в авторитетном журнале Nature Biotechnology.

В наши дни компании, синтезирующие ДНК-цепочки, зачастую принимают заказы от лабораторий онлайн. При этом существуют процедуры, который предназначены для выявления заказов "вредоносных" ДНК - например, согласно рекомендациям Международного консорциума синтеза генов (IGSC, надеемся мы правильно перевели) или Международной ассоциации синтетической биологии (IASB), необходимо осуществлять проверку поступающих заказов по специализированной базе данных, в которой собраны подозрительные последовательности цепочки ДНК, способные привести к синтезу опасного патогена.

Но, как обычно, всегда есть способы обойти существующие процедуры. Израильские исследователи из Университета Бен-Гуриона смогли осуществить своеобразную обфускацию цепочки ДНК, которая проходит проверку по базам, но на выходе получится "вредоносный" агент.

Ресерчеры смоделировали атаку типа Man in the Middle (MITM), когда в процесс взаимодействия заказчика синтеза ДНК (условно Alice) и исполнителя (Bob) вмешивается хакер (Eve), который с помощью уже компьютерного вредоноса вносит изменения в пересылаемое описание цепочки ДНК с использованием приемов "биообфускации" (мы сами не поняли, как это конкретно работает, но мы и не биологи). Bob проверяет полученную ДНК по базе, не находит подозрительных цепочек и синтезирует ДНК. При этом Alice видит у себя абсолютно правильное описание. А далее, при использовании методики CRISPR-Cas, той самой, с помощью которой сейчас создается часть вакцин от вируса, доставка вредоносной ДНК в целевую клетку приводит к появлению патогена.

Исследователям даже удалось создать Proof of Concept - они смогли отправить на синтез вредоносное ДНК, которое прошло все проверки. С учетом этого израильтяне призывают к немедленной разработке мер кибер-биобезопасности.

Так что если вы думаете, что инфосек вас не касается по причине того, что у вас из ЭВМ один только калькулятор МК-54, а программу Время вы смотрите по телевизору Горизонт, то придется вас огорчить. Касается.

​​Ну и в продолжение медицинской темы - обратимся в признанному авторитету в области истребления вредоносных организмов.

Оффтоп. Тут нестандартные пользователи Twitter выдвинули версию, что под личиной полковника Сандерса, основателя известной франшизы фастфуда KFC, скрывался Троцкий.

А мы-то думали, почему у них такие крылья острые...

Хакер продает доступ к адресам электронной почты глав компаний

Неизвестный злоумышленник продаёт пароли от электронных почт глав компаний со всего мира.

Это обнаружили на одном из закрытых форумов с названием Exploit.in, где доступ к электронным постам продаётся от $100 до $1500.

Цена варьируется в зависимости от самой компании и должности её руководителя.

Один из источников по кибербезопасности согласился провести сделку с продавцом и подтвердил достоверность данных.

Сам же продавец не рассказывает, откуда у него эти данные, однако по его словам у него есть «ещё сотни» адресов на продажу.

Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus.

Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь.

Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?

Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.

Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.

Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.

#APT #OceanLotus