Кібербезпека | Хакер, що біжить

США анонсують кібератаки проти Росії

США готуються відповісти на кібератаку росіян проти SolarWinds та інших компаній. Чи буде це кібератака? Навіщо анонсувати цей контрудар? Поміркуймо разом.

Джерела у Білому домі повідомляють, що протягом наступних трьох тижнів США здійснять низку прихованих дій у російських мережах, які будуть очевидні для військового та розвідувального керівництва РФ та особисто Володимира Путіна, але залишаться невидимими для зовнішнього світу. Ці дії буде поєднано із розширенням економічних санкцій, повідомляє New York Times.

Після виходу цього матеріалу 7 березня у кібербезпековій тусовці здійнялася не аби яка хвиля піднесення: ось, нарешті, Джо Байден покладе край бездіяльності Сполучених штатів щодо російського беспрєдєла в інтернеті. Усі, хто хоч трохи знається на кібербезпеці, діляться один з одним та з “простими смертними” своїми прогнозами щодо того, що ж насправді відбудеться, навіщо про це повідомляти заздалегідь, і взагалі – що за гру веде нова адміністрація Білого дому.

Продовжити читання

Критичні вразливості в Microsoft Exchange

SolarWinds з його Supply Chain, про який всім вже мозок винесли сейли та маркетологи, це практично ніщо в порівнянні з десятками тисяч скомпрометованих цими днями серверів Microsoft Exchange.

Короткий переказ подій: якщо ваша корпоративна пошта на Microsoft Exchange і ви розміщуєте її у «наземному» датацентрі, – є високі шанси, що це вже не ваша корпоративна пошта. В продукті було знайдено низку критичних вразливостей безпеки, які активно використовуються кількома хакерськими групами. Одна з таких груп, що має назву HAFNIUM та напряму пов’язана з китайським урядом, ймовірно першою розробила багатоетапний експлойт та вже встигла скомпрометувати з його допомогою понад 30,000 поштових серверів, в тому числі в чисельних державних установах США. І не дивно, адже за спостереженнями компанії Volexity активна експлуатація цих вразливостей нульового дня розпочалася ще 6 січня цього року.

Продовжити читання

Threat Modeling Gamification @ OWASP Kyiv

В пентестах додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота. Threat Modeling Gamification оптимально її розв’язує.

Викладаю відео та слайди мого виступу “Threat Modeling Gamification” (in English) на зустрічі OWASP Kyiv минулої суботи. У доповіді йдеться про те, як команда BSG здійснює моделювання загроз в проєктах з тестування безпеки програмного забезпечення. В пентестах програмних додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота, а не лише те, про що OWASP не забув написати у відповідному стандарті. Наш підхід цю проблему розв’язує і досить оптимально.

Продовжити читання

Хто розробляє російську кіберзброю?

Atlantic Council у вишуканій манері деанонімізував компанію з кібербезпеки, що розробляє російську кіберзброю, яку російська розвідка та спецслужби використовують у кібератаках.

Надзвичайно цікаве дослідження випустив 1 березня Atlantic Council. Вишуканий смаколик детективної журналістики. В дослідженні йдеться про найдраматичнішу галузь індустрії кібербезпеки. А саме пошук вразливостей в програмному забезпеченні та створення інструментів з експлуатації цих вразливостей. Але які ж то інструменти, якщо їхня суть деструктивна? Це, друзі, справжнісінька зброя, а в цьому випадку – кіберзброя. Зокрема, російська.

В матеріалі йдеться зокрема про те, що розробкою цієї новітньої зброї в певних країнах займаються не державні спецслужби, а приватні компанії. Автори дослідили три такі фірми та діляться своїми спостереженнями щодо того, як у них все влаштовано. Як відбуваються технічні процеси, а як бізнесові. Як ці компанії співпрацюють зі спецслужбами та іншими замовниками в себе на батьківщині та закордоном. З якими експортними та іншими міжнародними угодами та регуляціями їм доводиться мати справу. Тощо.

Як приклади авторський колектив наводить три конкретні компанії: NSO Group з Ізраїлю, DarkMatter з ОАЕ та таємничу фірму з Росії, назву якої в тексті вони згадувати не стали. Точніше, ця назва закодована словом ENFER, яке підозріло співзвучне зі словом infer (англ. припускати, робити висновок). Як на мене, то це чудова пасхалка, з прямим натяком на те, що на основі наведених у звіті даних можна здогадатися, про яку саме компанію йдеться.

Продовжити читання

РНБО повідомляє про атаку російських хакерів на систему документообігу держорганів

РНБО попереджає про фішингову атаку через систему документообігу Українських державних установ та звинувачує в цьому росіян.

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.