Категорія: Кібербезпека

Короткий переказ подій: якщо ваша корпоративна пошта на Microsoft Exchange і ви розміщуєте її у «наземному» датацентрі, – є високі шанси, що це вже не ваша корпоративна пошта. В продукті було знайдено низку критичних вразливостей безпеки, які активно використовуються кількома хакерськими групами. Одна з таких груп, що має назву HAFNIUM та напряму пов’язана з китайським урядом, ймовірно першою розробила багатоетапний експлойт та вже встигла скомпрометувати з його допомогою понад 30,000 поштових серверів, в тому числі в чисельних державних установах США. І не дивно, адже за спостереженнями компанії Volexity активна експлуатація цих вразливостей нульового дня розпочалася ще 6 січня цього року.

Продовжити читання “Критичні вразливості в Microsoft Exchange”

Викладаю відео та слайди мого виступу “Threat Modeling Gamification” (in English) на зустрічі OWASP Kyiv минулої суботи. У доповіді йдеться про те, як команда BSG здійснює моделювання загроз в проєктах з тестування безпеки програмного забезпечення. В пентестах програмних додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота, а не лише те, про що OWASP не забув написати у відповідному стандарті. Наш підхід цю проблему розв’язує і досить оптимально.

Продовжити читання “Threat Modeling Gamification @ OWASP Kyiv”

Надзвичайно цікаве дослідження випустив 1 березня Atlantic Council. Вишуканий смаколик детективної журналістики. В дослідженні йдеться про найдраматичнішу галузь індустрії кібербезпеки. А саме пошук вразливостей в програмному забезпеченні та створення інструментів з експлуатації цих вразливостей. Але які ж то інструменти, якщо їхня суть деструктивна? Це, друзі, справжнісінька зброя, а в цьому випадку – кіберзброя. Зокрема, російська.

В матеріалі йдеться зокрема про те, що розробкою цієї новітньої зброї в певних країнах займаються не державні спецслужби, а приватні компанії. Автори дослідили три такі фірми та діляться своїми спостереженнями щодо того, як у них все влаштовано. Як відбуваються технічні процеси, а як бізнесові. Як ці компанії співпрацюють зі спецслужбами та іншими замовниками в себе на батьківщині та закордоном. З якими експортними та іншими міжнародними угодами та регуляціями їм доводиться мати справу. Тощо.

Як приклади авторський колектив наводить три конкретні компанії: NSO Group з Ізраїлю, DarkMatter з ОАЕ та таємничу фірму з Росії, назву якої в тексті вони згадувати не стали. Точніше, ця назва закодована словом ENFER, яке підозріло співзвучне зі словом infer (англ. припускати, робити висновок). Як на мене, то це чудова пасхалка, з прямим натяком на те, що на основі наведених у звіті даних можна здогадатися, про яку саме компанію йдеться.

Продовжити читання “Хто розробляє російську кіберзброю?”

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.

Оновлення 2021-02-25 18:00. Схоже, новина викликала неабиякий резонанс. Ситуація перейшла на рівень МВС, де робляться спроби врегулювати цей маразм та ініціювати законодавчі зміни, які б його унеможливили.

Це було б дуже смішно, якби відбувалося не з нами. Голосіївський суд Києва заблокував кількасот вебсайтів і цього разу до списку потрапили LiveJournal та піддомен gist.github.com.

Тут для не-технарів невеличке пояснення. Що таке LiveJournal багато з вас, напевно, ще пам’ятає. Це одна з найперших успішних блог-плаформ, яка пережила пік популярності ще до початку епохи соцмереж і скотилася десь під кінець 2000-х років. Її викупили росіяни, бо більше нікому вона була непотрібна, і росіяни ж нею переважно й користуються.

Але щодо Github ситуація принципово інша. Це платформа для розміщення вихідного коду програмного забезпечення. Скажімо, у вас є команда програмістів, і ви хочете налагодити між ними ефективну роботу. Ви створюєте організацію в Github, додаєте до неї розробників, і вже за кілька хвилин можете розпочати процес створення нового програмного продукту. Ресурс неймовірно популярний і його нещодавно викупила корпорація Microsoft. Після чого на Github з’явилися нові фішки типу автоматичного безплатного аналізу вразливостей у використаних вами програмних бібліотеках та інші безпекові примочки. З усіх боків класний та позитивний сервіс. Звісно ж, що його блокування автоматично призводить до зупинки усіх пов’язаних проєктів з розробки програмного забезпечення.

Продовжити читання “Блокування LiveJournal і Github в Україні”