Китайські бекдори в SuperMicro та Lenovo

За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.

Коли я вперше побачив цей матеріал, я подумав: “Bloomberg знову взявся за своє. Що вони там курять таке міцне, що їх так довго тримає?” Прочитавши цей матеріал вперше, я сказав про себе: “Хм… А чого ж вони раніше мовчали?” Після другого прочитання, я замислився: “І що ж це, вони весь час мали рацію, а ми з них глузували?”

Короткий переказ попередніх серій. Протягом останніх років Bloomberg кілька разів розміщував на своїх шпальтах сенсаційні заяви про те, що китайські спецслужби вбудовують бекдори в обладнання Supermicro та Lenovo. (Посилання на ці матеріали ви можете знайти в оригінальній статті на Bloomberg). Ці бекдори, або закладки, які дозволяють викрадати дані з комп’ютерів користувачів та навіть захоплювати над ними контроль, спочатку представлялися авторами як додаткові компоненти, мікрочипи на материнських платах, які деякі анонімні та не дуже експерти ніби то бачили на свої очі. Пізніше, бекдори перекочували у прошивку та BIOS, й історія з фантастичної стала науково-фантастичною. Але увесь цей час у якості доказів журналісти представляли або анонімних експертів, які мали стосунок до відповідних розслідувань, або неанонімних, які до розслідування жодного стосунку не мали.

Звісно, що вся ця сенсаційна маячня, написана зі слів осіб, що побажали залишитися невідомими, викликала в публіки неоднозначну реакцію. В той час як колеги-журналісти розганяли матеріал по своїх каналах, професіонали з кібербезпеки демонстрували скепсис та навіть глузували з Bloomberg. Мовляв, “S in Bloomberg stands for Security Journalism”. Цікаво, що при цьому всі погоджувалися, що історія цілком ймовірна. Просто в матеріалах Bloomberg не було достатньо підстав для того, щоб констатувати її фактичну правдивість.

Якщо вам не байдужі теми безпеки глобальних ланцюгів постачання та міжнародного кібершпіонажу, я наполегливо рекомендую прочитати увесь текст та ретельно його обдумати. Після кількох годин аналізу, в мене все ще немає однозначної відповіді на питання, чи вірю я репортерам Bloomberg цього разу. На шляху до цієї версії вони припустилися багатьох помилок та хибних інтерпретацій. Висновки все ще опосередковані та не підкріплені офіційними заявами. Хоча додався новий лейтмотив: журналісти стверджують, що уряд Сполучених Штатів навмисно тримає розслідування в секреті, щоб не відлякати китайських оперативників та не нашкодити ефективності контррозвідувальних заходів.

Що ж стверджують журналісти та що на їхню думку приховує уряд США? За версією Bloomberg, компанії Supermicro та Lenovo були зламані китайськими кібершпигунами, які вбудували у вибіркові партії виробів цих компаній програмні та апаратні бекдори. За допомогою цих закладок, китайські спецслужби понад десятиліття шпигували за десятками державних та приватних установ у Сполучених Шатах. Під час цих операцій їм вдалося викрасти цінні розвіддані, отримати інформацію про будову мереж, а подекуди завантажити шкідливі програми в системи їхніх жертв.

Попередні висновки в мене такі: або Блумберг геть загубився у власній теорії змови, або уряд та спецслужби США закінчені параноїки й все це цілком може виявитися правдою. Обидві версії цілком реалістичні. І щоб завершити ескіз, ще одна: чи не використовує Блумберг нещодавню актуалізацію проблем ланцюгів постачання, щоб набрати кліків на старих текстах? Спостерігаємо, час покаже.

Поділитися:

Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку

В Даркнеті виставлено на продаж базу даних українців та стверджується, що це клієнти ПриватБанку – найбільшого банку в Україні. В мене є сумніви, щодо правдивості цієї інформації.

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, $3,400. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця вкраденої бази даних ввести нас в оману. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних.

Фото: cybernews.com

По-третє, за всієї поваги до маркетологів Привату, 40 млн клієнтів це понад 90% населення України, що додає сумнівів. По-четверте, приклади даних, викладені на форумі, виглядають сумнівно, адже містять знак питання замість букви “і” та введені у верхньому регістрі. Це більше скидається на якийсь до-юнікодний державний реєстр, чи банківську базу з дев’яностих.

Фото: cybernews.com

Ну і по-п’яте, в базі даних клієнтів ПриватБанку я б очікував побачити хоча б натяк на фінансові дані, такі як номери рахунків та платіжних карток. Яких там немає.

Підсумовуючи, я не стверджую що ця база даних фейкова, але звертаю вашу увагу на фактори, які на це натякають. Сподіваюся, ця історія матиме продовження і ми дізнаємось більше.

Поділитися:

Новини про мою роль в OWASP

Я складаю повноваження лідера OWASP Kyiv та продовжую діяльність в OWASP як член OWASP Chapter Committee.

Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.

Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.

Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.

Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.

Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂

Поділитися:

Кібератака на критичну інфраструктуру в Сполучених Штатах

Невідомі хакери здійснили кібератаку на водоочисну споруду та намагалися підвищити вміст хімічних речовин до небезпечного рівня.

Невідомі отримали доступ до комп’ютерних систем водоочисної споруди в місті Олдсмар, штат Флорида, і змінили рівень хімічних речовин до небезпечних параметрів. Системи водопостачання є елементами критичної інфраструктури й цей інцидент буде розслідувано дуже прискіпливо.

Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).

Користуючись отриманим доступом, нападники більш ніж в сто разів збільшили рівень гідроксиду натрію в налаштуваннях системи. Якби їхні дії не були виявлені й ці налаштування були б застосовані в системі водоочищення, це могло б призвести до згубних наслідків для здоров’я великої кількості людей.

Наскільки великої? Цікавий факт: місто Олдсмар знаходиться поблизу місця проведення Super Bowl LV минулої неділі. Тому, хоч про атрибуцію цієї кібератаки говорити ще зарано, я готовий поставити на росіян. Небагато грошей, але з великим рівнем впевненості. Російські хакери вже неодноразово цілилися у спортивні події з метою дестабілізації політичних настроїв на чужій території. Тут я бачу якщо не шаблон, то натяк на нього. Але звісно, я можу помилятися.

Directions from Oldsmar to Raymond James Stadium

Чиновники від кібербезпеки часто-густо забувають про те, що модель загроз об’єктів критичної інфраструктури ширша, ніж просто вихід усього із ладу. Критична інфраструктура критична не тому, що без неї холодно, нема чого їсти та пити, і неможливо полетіти у відпустку. А тому, що використавши її як зброю, можна заморозити та отруїти купу людей, або ж скинути на неї пару літаків.

Поділитися:

Звіт про вразливості безпеки знайдені у 2020

Ми (BSG) опублікували звіт про вразливості безпеки, знайдені минулого року. У ньому ми наводимо знеособлені дані про наші проєкти та знайдені в них вразливості.

Нахабної реклами пост. Через шість років після заснування Berezha Security, ми вирішили започаткувати традицію. Ми щороку публікуватимемо звіт про вразливості безпеки та наш бізнес-прогрес за минулий рік. Поряд із висвітленням змін в організації, ми ділитимемося знеособленими даними про наші проєкти та знайдені в них вразливості. Навіщо? На це питання є кілька відповідей.

По-перше, тому що корисність цієї інформації важко переоцінити. Як професіонали з кібербезпеки, ми постійно розповідаємо про якихось хакерів, якісь вразливості, і що всіх зламають, і це лише питання часу. І оце наше гонорове “якщо ви думаєте, що ви в безпеці, то у вас просто пентеста нормального не було” воно ж повинно на щось спиратися, правда? Інакше, з чого б це вам вірити? Ось, власне, і відповідь: те, скільки ми робимо проєктів та в яких галузях, в поєднанні з середніми кількостями вразливостей різного рівня ризику дає вам уявлення, що чекає на вас, якщо ви раптом замислитесь про нормальний пентест.

По-друге, і Костя вже пафосно заявив про це у себе в Фейсбуку, здається, раніше ніхто такого не робив. А у нас це ще одна традиція, давніша, – робити в українській кібербезпеці те, на що до нас не наважувалися. Безплатні ретести. Знижки на наступні проєкти, а не на перший, для заманухи. Фіксований рейт, що не залежить від регіону та оборотів клієнта. Тощо. Тому, якщо ми помиляємось і хтось раніше ділився даними про свої знахідки, то я прошу нас виправити. В протилежному разі, це унікальне явище, а отже й цінність його ще вища.

І по-третє, ми робимо це тому, що можемо. А ви можете зареєструватися та завантажити вашу копію за цим посиланням. Якщо з якихось причин ви не хочете залишати нам ваш одноразовий email, спеціально згенерований для такої нагоди (жартую), напишіть мені про це зручним способом і я надішлю вам пряме посилання. Але звісно, що трохи згодом 🙂 Зв’язатися зі мною можна у соцмережах за посиланнями праворуч, або у цій Телеграм-групі.

Поділитися: