ДССЗЗІ оприлюднила аналітичний звіт за 2 півріччя 2023 року. Сам файл звіту прикріпляю, читається легко і швидко (багато графіків, крупний шрифт, адекватна типографіка) але давайте приведемо ключові (на мою думку) моменти:
1️⃣ Ключовий напрям роботи кібер-угрупувань ворога - телеком.
2️⃣ Очікувано зростає кількість атак на Сили оборони. Здебільшого це атаки з метою отримання доступу та контролю.
3️⃣ Домінуючі позиції в рейтингу активності обійняли групи, що не пов'язуються із спецслужбами, тобто не є штатними кадрами хоча і працюють в їх інтересах. Задачами таких груп здебільшого є отримання доступу.
4️⃣ Активно використовуються найсвіжіші експлоіти проти клієнтського ПЗ, які часто можна купити лише на спеціалізованих форумах/майданчиках
5️⃣ Спостерігається висока швідкість реагування на інформаційні приводи в Україні для того, щоб встигнути "хайпанути" на темі із власної злочинною метою.
6️⃣ Зростання фінансово-вмотивованих угрупувань проти українського бізнесу та організацій. "… фактично 40% зареєстрованих інцидентів були пов'язані саме із викраданням коштів".
Наведено деяку статистику для топ-5 війсmкових угрупувань та їх належність до конкретних військових структур.
👉 Особливо цікавий розділ "Кейси". Описані випадки з Київстаром, Дельтою, наведено приклади атак на військових і цивільних (із скріншотами) де вони змогли "хайпанути" га хвилі інфоприводу.
Прогнози від ДССЗЗІ (тобто готуємося):
❗️Збільшення фокусу на точкові приховані розвідувальні кібероперації
❗️Об'єкти енергетики та критичної інфраструктури знову будуть у центрі уваги
❗️Кількість та складність кібератак фінансово мотивованих груп буде рости
❗️Ігнорування вимог кіберзахисту та рекомендацій ДССЗЗІ - основна причина успіху реалізації кібератак.
Серед найпоширеніших векторів первинної компрометації є:
❕Відомі вразливості (PHP, MS Exchange, FortiGate, Zimbra) - тобто достатньо було просто вчасно накатити оновлення.
❕Скомпрометовані облікові записи (->VPN->LAN) -тобто слабкі паролі, їх небезбечне зберігання та відсутність 2FA.
❕Спір-фішінг
❕Самоінфікування (встановлення ОС та ПЗ які завантажені з неофіційних джерел та мають імпланти ШПЗ)
Також наведені рекомендації, але я не буду їх повторювати навмисно, щоб всі самостійно відкрили звіт і подивилися. Бо ці рекомендації є вже багаторічної класикою і, на превеликий жаль, все ще залишаються актуальними.
"Якщо завтра ви отримаєте нотифікацію щодо присутності зловмисників в мережі - чи готові ви до заборони вхідних та вихідних інформаційних потоків за умови за умови забезпечення контрольованого функціонування критичних підсистем?"
1️⃣ Ключовий напрям роботи кібер-угрупувань ворога - телеком.
2️⃣ Очікувано зростає кількість атак на Сили оборони. Здебільшого це атаки з метою отримання доступу та контролю.
3️⃣ Домінуючі позиції в рейтингу активності обійняли групи, що не пов'язуються із спецслужбами, тобто не є штатними кадрами хоча і працюють в їх інтересах. Задачами таких груп здебільшого є отримання доступу.
4️⃣ Активно використовуються найсвіжіші експлоіти проти клієнтського ПЗ, які часто можна купити лише на спеціалізованих форумах/майданчиках
5️⃣ Спостерігається висока швідкість реагування на інформаційні приводи в Україні для того, щоб встигнути "хайпанути" на темі із власної злочинною метою.
6️⃣ Зростання фінансово-вмотивованих угрупувань проти українського бізнесу та організацій. "… фактично 40% зареєстрованих інцидентів були пов'язані саме із викраданням коштів".
Наведено деяку статистику для топ-5 війсmкових угрупувань та їх належність до конкретних військових структур.
👉 Особливо цікавий розділ "Кейси". Описані випадки з Київстаром, Дельтою, наведено приклади атак на військових і цивільних (із скріншотами) де вони змогли "хайпанути" га хвилі інфоприводу.
Прогнози від ДССЗЗІ (тобто готуємося):
❗️Збільшення фокусу на точкові приховані розвідувальні кібероперації
❗️Об'єкти енергетики та критичної інфраструктури знову будуть у центрі уваги
❗️Кількість та складність кібератак фінансово мотивованих груп буде рости
❗️Ігнорування вимог кіберзахисту та рекомендацій ДССЗЗІ - основна причина успіху реалізації кібератак.
Серед найпоширеніших векторів первинної компрометації є:
❕Відомі вразливості (PHP, MS Exchange, FortiGate, Zimbra) - тобто достатньо було просто вчасно накатити оновлення.
❕Скомпрометовані облікові записи (->VPN->LAN) -тобто слабкі паролі, їх небезбечне зберігання та відсутність 2FA.
❕Спір-фішінг
❕Самоінфікування (встановлення ОС та ПЗ які завантажені з неофіційних джерел та мають імпланти ШПЗ)
Також наведені рекомендації, але я не буду їх повторювати навмисно, щоб всі самостійно відкрили звіт і подивилися. Бо ці рекомендації є вже багаторічної класикою і, на превеликий жаль, все ще залишаються актуальними.
"Якщо завтра ви отримаєте нотифікацію щодо присутності зловмисників в мережі - чи готові ви до заборони вхідних та вихідних інформаційних потоків за умови за умови забезпечення контрольованого функціонування критичних підсистем?"
❤2👍2
Тема ночі і найближчих днів - аппка Резерв+. Дуже цікаво подивитися перші «розпаковочкі» та аналіз. Сам робити точно не буду. Час на реалізацію аппки був прям дуже обмежений. Що ж, подивимося, як розробники вміють в ризики та безпеку.
👍2
Forwarded from DC8044 F33d
Благодійний лот: оригінальна міна МОН-50, перероблена в WiFi роутер (всередені розпаяно роутер Keenetic Starter KN-1112, його характеристики повністю відповідають характеристикам роутера-міни). Є декілька штук (кількість обмежена і скоріше за все, нових більше не буде). Вибухова речовина вилучена професійними саперами підрозділу, якому ми допомогаємо. Роутер в корпус міни розпаяно професійними інженерами, яким ми також допомогаємо.
Підкреслимо ключові речі: міни є оригінальними, не надрукованими. Це справжня міна МОН-50, з якої дістали всю вибухову речовину, дістали підривник, але лишили металеву осколкову "сорочку" і корпус. Завдяки тому всередині зробилось вільне місце і туди розпаяли вайфай роутер. Що в цьому пристрої не оригінальне:
- антени роутера (виведені в отвори взривників, пофарбовані в автентичний колір). Їх можна скласти, це реалізовано.
- порти під мережевий кабель (вирізано знизу)
- тумблер та кнопка (переключають відповідні режими роботи роутера)
- отвори під світлодіоди (їх видно збоку міни, та біля них фарбою нанесено через трафарет позначки роботи роутера), виглядає досить автентично, не портить зовнішній вигляд міни.
В комплекті кабель та блок живлення, патчкорд, оригінальна упаковка з роутера. Роутери встановлено абсолютно нові.
Нагадаємо, лот благодійний. Найменша ціна для старту, яку ви можете запропонувати, 25 000 гривень за один екземпляр. Попередній було продано значно дорожче. На ці кошти ми купляємо необхідне (плати ініціації та різноманітне спеціалізоване радіо-обладнання) на фронт, також допомогаємо Українським Месершмітам, які роблять інженерні дива, пов'язані з дронами та цифровим зв'язком.
Для придбання пишіть в прєдложку цього каналу. Відправимо НП по Україні. Знаходяться у місті Київ. Продаємо тим, хто запропонує найбільшу ціну.
Підкреслимо ключові речі: міни є оригінальними, не надрукованими. Це справжня міна МОН-50, з якої дістали всю вибухову речовину, дістали підривник, але лишили металеву осколкову "сорочку" і корпус. Завдяки тому всередині зробилось вільне місце і туди розпаяли вайфай роутер. Що в цьому пристрої не оригінальне:
- антени роутера (виведені в отвори взривників, пофарбовані в автентичний колір). Їх можна скласти, це реалізовано.
- порти під мережевий кабель (вирізано знизу)
- тумблер та кнопка (переключають відповідні режими роботи роутера)
- отвори під світлодіоди (їх видно збоку міни, та біля них фарбою нанесено через трафарет позначки роботи роутера), виглядає досить автентично, не портить зовнішній вигляд міни.
В комплекті кабель та блок живлення, патчкорд, оригінальна упаковка з роутера. Роутери встановлено абсолютно нові.
Нагадаємо, лот благодійний. Найменша ціна для старту, яку ви можете запропонувати, 25 000 гривень за один екземпляр. Попередній було продано значно дорожче. На ці кошти ми купляємо необхідне (плати ініціації та різноманітне спеціалізоване радіо-обладнання) на фронт, також допомогаємо Українським Месершмітам, які роблять інженерні дива, пов'язані з дронами та цифровим зв'язком.
Для придбання пишіть в прєдложку цього каналу. Відправимо НП по Україні. Знаходяться у місті Київ. Продаємо тим, хто запропонує найбільшу ціну.
❤7😍1
Трохи возився із аналізом поверхні атаки одного проєкту і натрапив на такий прикольний ресурс: тут можна як у шпаргалку або чекліст подивитися, чи не провтикав виконати пошук конкретних даних, в залежності від предмету пошуку: https://www.osintdojo.com/diagrams/main
🔥7👍3❤1👀1
Forwarded from Бінарний XOR
Крч, вирішив зробити міні-івент, орієнтований на те щоб новачки трохи повчились, а задроти понетворкались один з одним
В цю суботу ми будемо розбирати таски на CSRF з portswigger web academy! Розберемось, що це взагалі таке, потикаємо стенди. Поговоримо про кібербезпеку загалом. Активних і скілових учасників, за бажанням, зможу відрекомендувати роботодавцям
Час проведення - субота 01.06, 18:00 за київським часом. Орієнтуємось на пару годин етеру, а там як піде вже
Місце проведення - таємний діскорд сервер. Я вирішив що раз нас буде людей ~15-20, то нам комфортніше буде в діскорді ніж на твічі
Пиши + під цим постом або мені в лс, щоб отримати завтра-післязавтра інвайт на діскорд сервер, і взяти участь в івенті в суботу
До зустрічі!
В цю суботу ми будемо розбирати таски на CSRF з portswigger web academy! Розберемось, що це взагалі таке, потикаємо стенди. Поговоримо про кібербезпеку загалом. Активних і скілових учасників, за бажанням, зможу відрекомендувати роботодавцям
Час проведення - субота 01.06, 18:00 за київським часом. Орієнтуємось на пару годин етеру, а там як піде вже
Місце проведення - таємний діскорд сервер. Я вирішив що раз нас буде людей ~15-20, то нам комфортніше буде в діскорді ніж на твічі
Пиши + під цим постом або мені в лс, щоб отримати завтра-післязавтра інвайт на діскорд сервер, і взяти участь в івенті в суботу
До зустрічі!
❤4💩2🥰1
Розбираємось із вчорашньою новиною про виток із Snowflake, що був у користуванні Ticketmaster і одним з контракторів виступав ЕПАМ. Якщо дуже стисло: фінансово вмотивована група регулярно купує різні витоки для отримання доступу до аккаунтів у Snowflake. Схоже цього разу їм попався акаунт Snowflake, креди від якого колись були у співробітника ЕПАМ. В додаток до цього Mandiant зазначає, що скоріше за все креди були перенесені на неконтрольований компанією пристрій звідки були викрадені стілером. Особисто від себе можу додати, що в мене є обгрунтована підозра, що цей виток кредів стався багато місяців тому і попав до кримінального угрупування тільки зараз. Підкреслюю, креди від аккаунту у Snowflake, який знаходився під управлінням Ticketmaster. Як цього можна було запобігти? Енфорсити ротацію секретів та використовувати мультифакторну автентифікацію. Наче базові штуки, але все ще такі актуальні. https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion
Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
A campaign targeting Snowflake customer database instances with the intent of data theft and extortion.
👍7❤1
І ще момент: моя особиста суб'єктивна думка - вчорашня стаття на Wired занадто всрата, щоб одразу їй повірити. І якісь дивні місця зберігання кредів, і "надійне джерело" в особі анонімного хакера, і слово Ukraine підсвічується так, ніби їх SEO-шник вийшов на літні канікули і має час на експерименти. Якось трохи джинсою пахне, як на мене.
👍6
Для тих, у кого є вільний час і натхнення, залишу тут цікавий документ. Сам ще не добрався до детального вивчення, але дуже хочу. https://datatracker.ietf.org/doc/html/rfc6819
IETF Datatracker
RFC 6819: OAuth 2.0 Threat Model and Security Considerations
This document gives additional security considerations for OAuth, beyond those in the OAuth 2.0 specification, based on a comprehensive threat model for the OAuth 2.0 protocol. This document is not an Internet Standards Track specification; it is published…
👍4👀1
День сьогодні видався цікавий. Тепер в нас +1 кейс у прикладах реалізації ризиків. Краудстрайку скорішого одужання, я в них щиро вірю. А нам всім зробити висновок: любиш на вендорів спиратися, люби і сапплайн чейн ризики рахувати.
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
Ось нам всім почитати на вихідних: https://csrc.nist.gov/pubs/sp/800/161/r1/final
CSRC | NIST
NIST Special Publication (SP) 800-161 Rev. 1 (Withdrawn), Cybersecurity Supply Chain Risk Management Practices for Systems and…
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks…
👍5❤2
Сьогодні МОУ релізнуло застосунок Армія+.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
Перший реліз - це MVP. З наявного: рапорти в електронному вигляді. В нормальному, а не відсканований папірець.
Що це дасть: командир більше не зможе порвати рапорт на очах у солдата, не зможе його загубити чи тягнути з погодженням. Це можна розглядати як захист прав військовослужбовців. Командир, звісно, має право не погодити, але зобовʼязаний зазначити причину, яку неможна потім прибрати.
Шо по безпеці: Цю інформацію ми скоро дізнаємось з офіційної комунікації, але можу сказати, що, як на мене, стало значно краще, ніж у інших відомих кейсах.
Шо по бюджетам: розробляли військові, які не були військовими до 22 року. Тобто лише їх тилова ЗП. Це перший яскравий приклад реалізованої ініціативи, що айтішники можуть в армії працювати за фахом. Не останній. Інфа 100. У війська багато задач для них.
Можна відноситись по різному: хейтити, ігнорувати, пишатись, заздрити. Кожен обере собі сам. Я обираю пишатись.
Мінуси: патч “я їбу де твій рапорт” більше не актуальний.
👍6🔥3❤1