всем нужна информация о геолокации. Компании из Израиля, будучи аффилированными с разведкой, внедряются в рекламные экосистемы и собирают информацию оттуда
https://www.forbes.com/sites/thomasbrewster/2020/12/11/exclusive-israeli-surveillance-companies-are-siphoning-masses-of-location-data-from-smartphone-apps/
https://www.forbes.com/sites/thomasbrewster/2020/12/11/exclusive-israeli-surveillance-companies-are-siphoning-masses-of-location-data-from-smartphone-apps/
Forbes
Exclusive: Israeli Surveillance Companies Are Siphoning Masses Of Location Data From Smartphone Apps
The tools have the ability to track someone’s location using their phone and one product promises “mass collection of all internet users in a country.”
А вот сейчас важные новости, которые активно обсуждались все воскресенье в соответствующих кругах. злоумышленники (утверждается, что это хакеры, работающие по заказу российского правительства) мониторили внутреннюю почту министерства финансов и министерства торговли США. Предполагают, что был взломан сервер подрядчика, и один из апдейтов ПО мог содержать вредоносный пейлоад. Возможно, допускают источники, что почта - это только верхушка айсберга. Среди клиентов подрядчика - компании SolarWinds - огромное количество крупных корпораций и государственных заказчиков.
Оригинальная новость
https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive-idUSKBN28N0PG
Комментарий SolarWind
https://www.reuters.com/article/us-usa-solarwinds-cyber-idUSKBN28N0Y7
А также их рекомендация об обновлении
https://www.solarwinds.com/securityadvisory
Интересный тред с комментариями Microsoft в Твиттере
https://twitter.com/KimZetter/status/1338305089597964290
Похоже, что сигнатуру для Defender для детекции проблемы Microsoft выпустила вчера (кстати, они называют атаку Solorigate)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Solorigate.C!dha&ThreatID=2147771132
Большой отчёт FireEye об уязвимости и взломе (они называют атаку через бэкдор SUNBURST, и утверждают прямым текстом, что жертвами стали большое количество государственных и частных компаний). Судя по тексту, взлом действительно был весьма высококвалифицированный.
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
IT’S FINE.JPG
Оригинальная новость
https://www.reuters.com/article/us-usa-cyber-treasury-exclsuive-idUSKBN28N0PG
Комментарий SolarWind
https://www.reuters.com/article/us-usa-solarwinds-cyber-idUSKBN28N0Y7
А также их рекомендация об обновлении
https://www.solarwinds.com/securityadvisory
Интересный тред с комментариями Microsoft в Твиттере
https://twitter.com/KimZetter/status/1338305089597964290
Похоже, что сигнатуру для Defender для детекции проблемы Microsoft выпустила вчера (кстати, они называют атаку Solorigate)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Solorigate.C!dha&ThreatID=2147771132
Большой отчёт FireEye об уязвимости и взломе (они называют атаку через бэкдор SUNBURST, и утверждают прямым текстом, что жертвами стали большое количество государственных и частных компаний). Судя по тексту, взлом действительно был весьма высококвалифицированный.
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
IT’S FINE.JPG
U.S.
Suspected Russian hackers spied on U.S. Treasury emails - sources
Hackers believed to be working for Russia have been monitoring internal email traffic at the U.S. Treasury and Commerce departments, according to people familiar with the matter, adding they feared the hacks uncovered so far may be the tip of the iceberg.
Мощное расследование Bellingcat о покушении на Навального. Независимо от самой темы с покушением хотел просто обратить ваше внимание на факт «информации опасносте»: то, насколько просто сторонним людям, не имеющим отношения к власти или правоохранительным органам получить доступ к информации о геолокации, к биллингу операторов, к информации о перелетах других людей. Практически все покупается без особых ограничений, и это, конечно, очень сильно удручает.
https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/
https://navalny.com/p/6446/
https://www.bellingcat.com/news/uk-and-europe/2020/12/14/fsb-team-of-chemical-weapon-experts-implicated-in-alexey-navalny-novichok-poisoning/
https://navalny.com/p/6446/
bellingcat
FSB Team of Chemical Weapon Experts Implicated in Alexey Navalny Novichok Poisoning - bellingcat
A joint investigation between Bellingcat and The Insider, in cooperation with Der Spiegel and CNN, has discovered voluminous telecom and travel data that implicates Russia’s Federal Security Service (FSB) in the poisoning of the prominent Russian opposition…
И продолжение истории со взломом SolarWinds, что привело к уже известным взломам министерства финансов и министерства торговли США.
ТАСС уполномочен заявить, что «ето не мы»
https://tass.com/politics/1234589
Инструкции от Агенства кибербезопасности США по уменьшению последствий взлома SolarWinds Orion
https://cyber.dhs.gov/ed/21-01/
Рекомендации Microsoft о том же
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
Материал в Forbes о клиентах SolarWinds, покупавших решение Orion (инструмент для IT по упрощению администрирования сетей организации). В списке Пентагон, армия и флот США, ФБР, министерство национальной безопасности, министерство по делам ветеранов, и тд.
https://www.forbes.com/sites/thomasbrewster/2020/12/14/dhs-doj-and-dod-are-all-customers-of-solarwinds-orion-the-source-of-the-huge-us-government-hack/
ТАСС уполномочен заявить, что «ето не мы»
https://tass.com/politics/1234589
Инструкции от Агенства кибербезопасности США по уменьшению последствий взлома SolarWinds Orion
https://cyber.dhs.gov/ed/21-01/
Рекомендации Microsoft о том же
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
Материал в Forbes о клиентах SolarWinds, покупавших решение Orion (инструмент для IT по упрощению администрирования сетей организации). В списке Пентагон, армия и флот США, ФБР, министерство национальной безопасности, министерство по делам ветеранов, и тд.
https://www.forbes.com/sites/thomasbrewster/2020/12/14/dhs-doj-and-dod-are-all-customers-of-solarwinds-orion-the-source-of-the-huge-us-government-hack/
TASS
Cyberattacks contradict Russia's foreign policy principles - Russian US Embassy
The US media are once again groundlessly trying to accuse Russia of hacker attacks on US government bodies, the Russian diplomatic mission wrote
так, пишут, что через SolarWinds было также взломано министерство национальной безопасности США (Department of Homeland Security), просто официально они пока что этого не подтвердили. кажется, назревает взлом года, а то, и, может, десятилетия.
OK, почти что официальное подтверждение про взлом министерства национальной безопасности США через SolarWinds
https://www.reuters.com/article/us-global-cyber-usa-dhs-idUSKBN28O2LY
https://www.reuters.com/article/us-global-cyber-usa-dhs-idUSKBN28O2LY
U.S.
Suspected Russian hackers breached U.S. Department of Homeland Security - sources
A team of sophisticated hackers believed to be working for the Russian government won access to internal communications at the U.S. Department of Homeland Security, according to people familiar with the matter.
Вчера вышли апдейты macOS/iOS и других систем для устройств Apple, и набор фиксов для различных обнаруженных уязвимостей должен вызывать автоматическое желание поставить обновления как можно скорее
macOS 11.1 https://support.apple.com/en-us/HT212011
iOS 14.3 https://support.apple.com/en-us/HT212003
macOS 11.1 https://support.apple.com/en-us/HT212011
iOS 14.3 https://support.apple.com/en-us/HT212003
Apple Support
About the security content of macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave
This document describes the security content of macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave.
Сразу две интересные новости про американские школы:
Рейтинг популярности вредоносных приложений в школах, из которого можно узнать, что самым популярным вирусом для Маков является Shlayer. А вообще, в образовательном секторе, как и везде, самыми популярными атаками являются вымогатели, кража данных и нарушение функционирования сервисов удаленного обучения.
https://www.zdnet.com/article/cisa-and-fbi-warn-of-rise-in-ransomware-attacks-targeting-k-12-schools/
В то же время школы «вооружаются» против учеников теми же инструментами, что и покупают полиция и прочие правоохранительные органы: устройства и приложения компании Cellebrite для получения данных с устройств:
https://gizmodo.com/u-s-schools-are-buying-phone-hacking-tech-that-the-fbi-1845862393
Рейтинг популярности вредоносных приложений в школах, из которого можно узнать, что самым популярным вирусом для Маков является Shlayer. А вообще, в образовательном секторе, как и везде, самыми популярными атаками являются вымогатели, кража данных и нарушение функционирования сервисов удаленного обучения.
https://www.zdnet.com/article/cisa-and-fbi-warn-of-rise-in-ransomware-attacks-targeting-k-12-schools/
В то же время школы «вооружаются» против учеников теми же инструментами, что и покупают полиция и прочие правоохранительные органы: устройства и приложения компании Cellebrite для получения данных с устройств:
https://gizmodo.com/u-s-schools-are-buying-phone-hacking-tech-that-the-fbi-1845862393
ZDNet
CISA and FBI warn of rise in ransomware attacks targeting K-12 schools | ZDNet
The percentage of ransomware attacks against K-12 schools increased at the beginning of the 2020 school year
This media is not supported in your browser
VIEW IN TELEGRAM
вчера в рамках нового обновления всех своих операционных систем Apple включила в своих магазинах показ так называемой «этикетки конфденциальности» — уж не знаю, как это лучше по-русски сказать (privacy label). Разработчикам надо указать, какую информацию о пользователях собирает их приложение в процессе работы, и потом это в простом и понятном виде показывается в App Store. Ну, конечно, в приложении ФБ все красиво
Интересная информация о том, как хакеры, стоящие за взлома SolarWinds, обходили требования двухфакторной аутентификации (речь идёт о файле akey с авторизационного сервера OWA)
https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/
https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/
Ars Technica
SolarWinds hackers have a clever way to bypass multi-factor authentication
Hackers who hit SolarWinds compromised a think tank three separate times.
=== РЕКЛАМА ===
Интересуетесь пентестом, но не знаете, как тренироваться?
Начните получать практические навыки уже 17 декабря на демо-занятии «Windows AD сбор информации, эскалация привелегий. Эксплойты и уязвимости последних 5ти лет». Вместе с Александром Колесниковым вы рассмотрите методы компрометации Windows AD и самые популярные эксплойты, доступные в паблике под Windows AD.
Демо-урок входит в программу онлайн-курса «Этичный хакинг. Тестирование на проникновение» и дает возможность получить ценные знания и познакомиться с преподавателем.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/A1Og/
Интересуетесь пентестом, но не знаете, как тренироваться?
Начните получать практические навыки уже 17 декабря на демо-занятии «Windows AD сбор информации, эскалация привелегий. Эксплойты и уязвимости последних 5ти лет». Вместе с Александром Колесниковым вы рассмотрите методы компрометации Windows AD и самые популярные эксплойты, доступные в паблике под Windows AD.
Демо-урок входит в программу онлайн-курса «Этичный хакинг. Тестирование на проникновение» и дает возможность получить ценные знания и познакомиться с преподавателем.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/A1Og/
Прикольная штукенция — акустический кейлоггер (в отличие от первой версии, где надо было натренировать на определенной клавиатуре, и потом по звукам он мог собирать набранный текст, эту версию не надо обучать конкретным клавиатурам)
https://github.com/ggerganov/kbd-audio/discussions/31
https://github.com/ggerganov/kbd-audio/discussions/31
GitHub
Keytap2 - acoustic keyboard eavesdropping based on language n-gram frequencies · ggerganov kbd-audio · Discussion #31
Introduction Keytap is my hobby project for acoustic keyboard eavesdropping. In short, it works like this: Train an algorithm with the sounds that a specific keyboard emits when pressing its keys R...
а помните историю чувака из Нидерландов, который утверждал, что смог залогиниться в твиттер-аккаунт Президента Трампа? там даже опровержения от Твиттера якобы были, что «не было такого». Между тем, прокуратура Нидерландов изучила доказательства, предоставленные исследователем, и посчитала эти доказательства такими, которым можно доверять. Чувак же просто подобрал пароль к аккаунту — MAGA2020!. Видимо, теперь пароль уже поменяли на MAGA2024!
https://www.bbc.com/news/technology-55337192
https://www.bbc.com/news/technology-55337192
Bbc
Trump Twitter ‘hack’: Police accept attacker's claim
Victor Gevers was acting ethically when he guessed the president's password, "MAGA2020!", police say.
касательно взлома SolarWinds также подтвердили, что получен контроль над доменом avsvmcloud[.]com, который использовался злоумышленниками для контроля зараженных систем.
https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/
https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/
https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/
https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/
Krebs on Security
Malicious Domain in SolarWinds Hack Turned into ‘Killswitch’
A key malicious domain name used to control potentially thousands of computer systems compromised via the months-long breach at network monitoring software vendor SolarWinds was commandeered by security experts and used as a "killswitch" designed to turn…
Никогда такого не было и вот опять
https://www.zdnet.com/article/three-million-users-installed-28-malicious-chrome-or-edge-extensions/
https://www.zdnet.com/article/three-million-users-installed-28-malicious-chrome-or-edge-extensions/
ZDNET
Three million users installed 28 malicious Chrome or Edge extensions
Extensions could redirect users to ads, phishing sites, collect user data, or download malware on infected systems.
Окей, сразу много обновлений по поводу взлома SolarWinds и последовавших за этим взломов:
- CISA говорит, что APT, которая стоит за этой кампанией (подозреваются все те же Cozy Bear), использовала и другие методы, не только взлом через SolarWinds Orion. по крайней мере, есть знаки и агентство сейчас расследует доступную информацию
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://www.bleepingcomputer.com/news/security/cisa-hackers-breached-us-govt-using-more-than-solarwinds-backdoor/
– Reuters пишет, что жертвой взлома стала компания Microsoft. Детали и кого это может затрагивать, пока не озвучиваются. Microsoft опровергает пока этот факт.
https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW
- Президент Microsoft Брэд Смит опубликовал пост, в котором озвучил свои опасения по поводу этой атаки, и её масштабов.
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
- Политико пишет, что министерство энергетики и национальное агенство ядерной безопасности тоже стали жертвами взлома. Это агентство отвечает за безопасность запасов ядерного оружия, например.
https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855
Даже с информацией, которая доступна сейчас, все это выглядит очень масштабным взломом. А ведь, кажется, мы знаем о происшедшем очень и очень мало.
- CISA говорит, что APT, которая стоит за этой кампанией (подозреваются все те же Cozy Bear), использовала и другие методы, не только взлом через SolarWinds Orion. по крайней мере, есть знаки и агентство сейчас расследует доступную информацию
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://www.bleepingcomputer.com/news/security/cisa-hackers-breached-us-govt-using-more-than-solarwinds-backdoor/
– Reuters пишет, что жертвой взлома стала компания Microsoft. Детали и кого это может затрагивать, пока не озвучиваются. Microsoft опровергает пока этот факт.
https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW
- Президент Microsoft Брэд Смит опубликовал пост, в котором озвучил свои опасения по поводу этой атаки, и её масштабов.
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
- Политико пишет, что министерство энергетики и национальное агенство ядерной безопасности тоже стали жертвами взлома. Это агентство отвечает за безопасность запасов ядерного оружия, например.
https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855
Даже с информацией, которая доступна сейчас, все это выглядит очень масштабным взломом. А ведь, кажется, мы знаем о происшедшем очень и очень мало.
Cybersecurity and Infrastructure Security Agency CISA
Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations | CISA
CISA is aware of compromises of US government agencies, critical infrastructure entities, and private sector organizations by an advanced persistent threat actor beginning in at least March 2020.