Хто розробляє російську кіберзброю?

Atlantic Council у вишуканій манері деанонімізував компанію з кібербезпеки, що розробляє російську кіберзброю, яку російська розвідка та спецслужби використовують у кібератаках.

Надзвичайно цікаве дослідження випустив 1 березня Atlantic Council. Вишуканий смаколик детективної журналістики. В дослідженні йдеться про найдраматичнішу галузь індустрії кібербезпеки. А саме пошук вразливостей в програмному забезпеченні та створення інструментів з експлуатації цих вразливостей. Але які ж то інструменти, якщо їхня суть деструктивна? Це, друзі, справжнісінька зброя, а в цьому випадку – кіберзброя. Зокрема, російська.

В матеріалі йдеться зокрема про те, що розробкою цієї новітньої зброї в певних країнах займаються не державні спецслужби, а приватні компанії. Автори дослідили три такі фірми та діляться своїми спостереженнями щодо того, як у них все влаштовано. Як відбуваються технічні процеси, а як бізнесові. Як ці компанії співпрацюють зі спецслужбами та іншими замовниками в себе на батьківщині та закордоном. З якими експортними та іншими міжнародними угодами та регуляціями їм доводиться мати справу. Тощо.

Як приклади авторський колектив наводить три конкретні компанії: NSO Group з Ізраїлю, DarkMatter з ОАЕ та таємничу фірму з Росії, назву якої в тексті вони згадувати не стали. Точніше, ця назва закодована словом ENFER, яке підозріло співзвучне зі словом infer (англ. припускати, робити висновок). Як на мене, то це чудова пасхалка, з прямим натяком на те, що на основі наведених у звіті даних можна здогадатися, про яку саме компанію йдеться.

Продовжити читання “Хто розробляє російську кіберзброю?”

РНБО повідомляє про атаку російських хакерів на систему документообігу держорганів

РНБО попереджає про фішингову атаку через систему документообігу Українських державних установ та звинувачує в цьому росіян.

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.

Блокування LiveJournal і Github в Україні

Голосіївський районний суд заблокував 426 вебсайтів, серед яких блог-платформа LiveJounral та навіть піддомен Github.

Оновлення 2021-02-25 18:00. Схоже, новина викликала неабиякий резонанс. Ситуація перейшла на рівень МВС, де робляться спроби врегулювати цей маразм та ініціювати законодавчі зміни, які б його унеможливили.

Це було б дуже смішно, якби відбувалося не з нами. Голосіївський суд Києва заблокував кількасот вебсайтів і цього разу до списку потрапили LiveJournal та піддомен gist.github.com.

Тут для не-технарів невеличке пояснення. Що таке LiveJournal багато з вас, напевно, ще пам’ятає. Це одна з найперших успішних блог-плаформ, яка пережила пік популярності ще до початку епохи соцмереж і скотилася десь під кінець 2000-х років. Її викупили росіяни, бо більше нікому вона була непотрібна, і росіяни ж нею переважно й користуються.

Але щодо Github ситуація принципово інша. Це платформа для розміщення вихідного коду програмного забезпечення. Скажімо, у вас є команда програмістів, і ви хочете налагодити між ними ефективну роботу. Ви створюєте організацію в Github, додаєте до неї розробників, і вже за кілька хвилин можете розпочати процес створення нового програмного продукту. Ресурс неймовірно популярний і його нещодавно викупила корпорація Microsoft. Після чого на Github з’явилися нові фішки типу автоматичного безплатного аналізу вразливостей у використаних вами програмних бібліотеках та інші безпекові примочки. З усіх боків класний та позитивний сервіс. Звісно ж, що його блокування автоматично призводить до зупинки усіх пов’язаних проєктів з розробки програмного забезпечення.

Продовжити читання “Блокування LiveJournal і Github в Україні”

Гейміфікація моделювання загроз

Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.

– Назва
Гейміфікація моделювання загроз for Fun and Profit

– Тези
У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.

Продовжити читання “Гейміфікація моделювання загроз”

Китайські бекдори в SuperMicro та Lenovo

За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.

Коли я вперше побачив цей матеріал, я подумав: “Bloomberg знову взявся за своє. Що вони там курять таке міцне, що їх так довго тримає?” Прочитавши цей матеріал вперше, я сказав про себе: “Хм… А чого ж вони раніше мовчали?” Після другого прочитання, я замислився: “І що ж це, вони весь час мали рацію, а ми з них глузували?”

Короткий переказ попередніх серій. Протягом останніх років Bloomberg кілька разів розміщував на своїх шпальтах сенсаційні заяви про те, що китайські спецслужби вбудовують бекдори в обладнання Supermicro та Lenovo. (Посилання на ці матеріали ви можете знайти в оригінальній статті на Bloomberg). Ці бекдори, або закладки, які дозволяють викрадати дані з комп’ютерів користувачів та навіть захоплювати над ними контроль, спочатку представлялися авторами як додаткові компоненти, мікрочипи на материнських платах, які деякі анонімні та не дуже експерти ніби то бачили на свої очі. Пізніше, бекдори перекочували у прошивку та BIOS, й історія з фантастичної стала науково-фантастичною. Але увесь цей час у якості доказів журналісти представляли або анонімних експертів, які мали стосунок до відповідних розслідувань, або неанонімних, які до розслідування жодного стосунку не мали.

Продовжити читання “Китайські бекдори в SuperMicro та Lenovo”