тут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone. Похоже, что хакеры, которые организовали атаку через SW в прошлом году, эксплуатировали iOS 0-day с целью кражи логинов-паролей членов правительств западных стран.
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Wikipedia
Same-origin policy
The idea is to organize content based on the origin from which it arrives at the browser, preventing outside interference.
как взломали Kaseya (там внутри ужасы)
https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/
https://blog.truesec.com/2021/07/06/kaseya-vsa-zero-day-exploit/
Truesec
How the Kaseya VSA Zero Day Exploit Worked - Trulysuper
Learn about the pre-auth remote code execution exploit against Kaseya VSA Server that was used in the mass Revil ransomware attack on July 2, 2021.
Citizen Lab опять обнаружили какие-то адские уязвимости нулевого дня, которые использовала израильская компания Candiru для разработки шпионского ПО, которое она затем продавала правительствам для слежки. В прошлый раз это были уязвимости для iPhone, в этот раз - для Windows, хотя продукты компании могут заражать практически все современные платформы. Жертвы продуктов компании были обнаружены в Палестине, Израиле, Иране, Испании, Великобритании, Турции, Армении и Сингапуре. Среди жертв - активисты за права человека, диссиденты, журналисты, политики. По ссылке - статья о компании, её продукте и функциональности вирусного ПО:
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
The Citizen Lab
Hooking Candiru
Candiru is a secretive Israel-based company that sells spyware exclusively to governments. Using Internet scanning, we identified more than 750 websites linked to Candiru’s spyware infrastructure. We found many domains masquerading as advocacy organizations…
компания NSO в этом канале постоянный гость — в новостях, понятное дело. надеюсь, тут сотрудников NSO нет. поиск по каналу быстро покажет и про саму компанию, и про её вредоносно-шпионское ПО Pegasus, которое различные правительства и другие организации используют для слежки за неугодными. Amnesty International опубликовали огромный отчет изучения этого самого Pegasus, который изобилует техническими деталями о том, кто как куда и зачем. Например, интересный нюанс про то, что исследователи в июле наблюдали эксплуатацию нескольких 0-day против iPhone 12 с последним релизом iOS 14.6. при этом механизм без кликов пользователем. А столько было разговоров о новой схеме защиты в Messages в iOS 14 BlastDoor— видимо, не помогло. Также используются для векторов атаки парсеры JPG и GIF.
Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt
Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txt
Amnesty International
Forensic Methodology Report: How to catch NSO Group’s Pegasus
NSO Group claims that its Pegasus spyware is only used to “investigate terrorism and crime” and “leaves no traces whatsoever”. This Forensic Methodology Report shows that neither of these statements are true. This report accompanies the release of the Pegasus…
Деньги опасносте (мутная история, чтото много деталей както не совпадают с рассказом и реальностью)
https://www.fontanka.ru/2021/07/18/70030715/
https://www.fontanka.ru/2021/07/18/70030715/
ФОНТАНКА.ру
Утечка личности. Как петербуржец заглянул в «черное зеркало» и попал на миллион рублей
Петербуржец потерял контроль над своим аккаунтом в «Госуслугах», а спустя неделю увидел в своем паспорте чужое фото и подпись.
Ладно, а тут танки опасносте! Юзер был недоволен тем, как в игре War Thunder была реализована физика и детали танка британского Challenger. Для того, чтобы разработчики улучшили танк, пользователь запостил куски из Army Equipment Support Publication - такой документ типа руководства пользователя. Правда, документ вроде как пока что ещё секретный и постить его не стоило, но все ради реалистичности игры, да?
https://ukdefencejournal.org.uk/classified-challenger-tank-specs-leaked-online-for-videogame/
https://ukdefencejournal.org.uk/classified-challenger-tank-specs-leaked-online-for-videogame/
UK Defence Journal
Classified Challenger tank specs leaked online for videogame
A gamer identifying as Challenger 2 commander has posted a classified document online in order to improve the accuracy of the design of the tank in the game 'War Thunder'.
Продолжая тему NSO, как мне тут уже несколько раз прислали ссылку читатели - Амазон отключил инфраструктуру и заблокировал учетные записи, которые принадлежат NSO Group
https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure
https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure
VICE
Amazon Shuts Down NSO Group Infrastructure
The move comes as activist and media organizations publish new findings on the Israeli surveillance vendor.
надеюсь, последнее на сегодня про NSO Group, Pegasus, взломы телефонов политиков, журналистов и активистов.
1. Ответ компании NSO Group:
https://www.nsogroup.com/Newses/following-the-publication-of-the-recent-article-by-forbidden-stories-we-wanted-to-directly-address-the-false-accusations-and-misleading-allegations-presented-there/
если в двух словах, то «мы-то что, мы продаем решение, и понятия не имеем, кто и как его использует. Также мы точно знаем, что наше решение не было использовано при организации убийства журналиста Джамаля Хашогги!»
а, главное, не понятно определение некорректного использования продукта, о котором пишет компания.
2. Комментарий компании Apple по поводу информации об эксплуатации уязвимостей нулевого дня в iOS, от Ивана Крстича, руководителя разработки и архитектуры безопасности (Apple Security Engineering and Architecture):
“Apple unequivocally condemns cyberattacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.”
тоже в двух словах: «они редиски, мы их осуждаем. мы стараемся делать безопасные iPhone, насколько это возможно, потому что есть всякие редиски. эти атаки — направленные на конкретные цели, массовым юзерам не грозят. осуждаем и продолжаем улучшать!»
1. Ответ компании NSO Group:
https://www.nsogroup.com/Newses/following-the-publication-of-the-recent-article-by-forbidden-stories-we-wanted-to-directly-address-the-false-accusations-and-misleading-allegations-presented-there/
если в двух словах, то «мы-то что, мы продаем решение, и понятия не имеем, кто и как его использует. Также мы точно знаем, что наше решение не было использовано при организации убийства журналиста Джамаля Хашогги!»
а, главное, не понятно определение некорректного использования продукта, о котором пишет компания.
2. Комментарий компании Apple по поводу информации об эксплуатации уязвимостей нулевого дня в iOS, от Ивана Крстича, руководителя разработки и архитектуры безопасности (Apple Security Engineering and Architecture):
“Apple unequivocally condemns cyberattacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.”
тоже в двух словах: «они редиски, мы их осуждаем. мы стараемся делать безопасные iPhone, насколько это возможно, потому что есть всякие редиски. эти атаки — направленные на конкретные цели, массовым юзерам не грозят. осуждаем и продолжаем улучшать!»
NSO Group
Following the publication of the recent article by Forbidden Stories, we wanted to directly address the false accusations and misleading…
The report by Forbidden Stories is full of wrong assumptions and uncorroborated theories that raise serious doubts about the reliability and interests of the sources. It seems like the “unidentified sources” have supplied information that has no factual basis…
Ну и да, есть инструмент для проверки заражения Pegasus, который разработала Amnesty International. Инструмент сканирует iPhone и Android смартфоны на предмет свидетельств присутствия Pegasus, хотя, конечно, вероятность, что у кого-то в этом канале будут такие свидетельства, достаточно низкая
https://github.com/mvt-project/mvt
https://github.com/mvt-project/mvt
GitHub
GitHub - mvt-project/mvt: MVT (Mobile Verification Toolkit) helps with conducting forensics of mobile devices in order to find…
MVT (Mobile Verification Toolkit) helps with conducting forensics of mobile devices in order to find signs of a potential compromise. - mvt-project/mvt
=== РЕКЛАМА ====
Команда Jet DevSecOps "Инфосистемы Джет" приглашает вас на вебинар из цикла DevSecOps, 2-й сезон!
Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
Вас ждет максимум полезной информации о механизме Audit Policy.
🔹 Для чего нужен Audit Policy?
🔹 Особенности формирования Audit Policy — на что стоит обратить внимание.
🔹 Использование Audit Policy для идентификации атаки на кластер.
🔹 Живая демонстрация использования Audit Policy
Вебинар будет полезен: CISO, специалистам ИБ-подразделений
Регистрация
Команда Jet DevSecOps "Инфосистемы Джет" приглашает вас на вебинар из цикла DevSecOps, 2-й сезон!
Мониторинг/аудит k8s. Что такое Audit Policy и как ей пользоваться?
Вас ждет максимум полезной информации о механизме Audit Policy.
🔹 Для чего нужен Audit Policy?
🔹 Особенности формирования Audit Policy — на что стоит обратить внимание.
🔹 Использование Audit Policy для идентификации атаки на кластер.
🔹 Живая демонстрация использования Audit Policy
Вебинар будет полезен: CISO, специалистам ИБ-подразделений
Регистрация
👍1
Вай-вай. Вот это ещё врагам доверять. И свои инструменты слежки есть
https://www.themoscowtimes.com/2021/07/21/why-is-russia-not-using-pegasus-spyware-a74572
https://www.themoscowtimes.com/2021/07/21/why-is-russia-not-using-pegasus-spyware-a74572
The Moscow Times
Why Is Russia Not Using Pegasus Spyware?
Opinion | When a group of international investigative journalists and researchers broke the news that spyware called Pegasus, produced by the Israeli NSO Group, had helped repressive governments across the world spy on journalists, activists and lawyers on…
Возвращаясь к теме MVT - инструмента для проверки заражения Pegasus. Полезный тред в твиттере о самом инструменте и его работе
https://twitter.com/RayRedacted/status/1417829244869222400
https://twitter.com/RayRedacted/status/1417829244869222400
Twitter
Ray [REDACTED]
As you may have heard, @amnesty has released mat-detect. an amazing tool for detecting whether your device has evidence that it may have been touched by the Pegasus spyware. In this thread I am going to tell you about my experience and lessons using this…
Ну и, конечно, было очень интересно почитать расследование The Washington Post о том, имена каких политиков они нашли в списке потенциальных жертв NSO Pegasus - включая президента Франции Эммануэля Макрона
https://www.washingtonpost.com/world/2021/07/20/heads-of-state-pegasus-spyware/
NSO, правда, утверждает, что это вроде как не список жертв, но откуда им знать, они же не знают, кого взламываюсь покупатели их софта
Amnesty тоже заговорили, что это только СМИ представили этот список как список жертв, а на самом деле это просто какой-то непонятный список
https://www.calcalist.co.il/technology/article/rkq4v2hau
https://www.washingtonpost.com/world/2021/07/20/heads-of-state-pegasus-spyware/
NSO, правда, утверждает, что это вроде как не список жертв, но откуда им знать, они же не знают, кого взламываюсь покупатели их софта
Amnesty тоже заговорили, что это только СМИ представили этот список как список жертв, а на самом деле это просто какой-то непонятный список
https://www.calcalist.co.il/technology/article/rkq4v2hau
The Washington Post
On the list: Ten prime ministers, three presidents and a king
Among 50,000 phone numbers, the Pegasus Project found those of hundreds of public officials.
Список исправленных уязвимостей в недавно вышедших iOS/iPadOS внушительный. Кто не обновился, Пегасуса вам в хату
https://support.apple.com/en-us/HT212601
Для Макоси 11.5 тоже отсыпали фиксов
https://support.apple.com/en-us/HT212602
И даже более старым версиям даже сесурити апдейтов. Что-то хорошее, наверно, надо брать
https://support.apple.com/en-us/HT212601
Для Макоси 11.5 тоже отсыпали фиксов
https://support.apple.com/en-us/HT212602
И даже более старым версиям даже сесурити апдейтов. Что-то хорошее, наверно, надо брать
Apple Support
About the security content of iOS 14.7 and iPadOS 14.7
This document describes the security content of iOS 14.7 and iPadOS 14.7.
Тут какая-то весёлая история про уязвимость в системе «умного голосования», допущенная админами при конфигурации сервиса
https://habr.com/ru/post/568842/
И ответ админов команды Навального обработке над ошибками
https://habr.com/ru/post/569176/
https://habr.com/ru/post/568842/
И ответ админов команды Навального обработке над ошибками
https://habr.com/ru/post/569176/
Хабр
Как ФБК* сами слили все данные оппозиции в открытый доступ
* - Фонд борьбы с коррупцией включён в реестр НКО, выполняющих функции иностранного агента, по решению Министерства юстиции РФ от 09.10.2019; организация признана экстремистской, её деятельность...
Со всеми этими NSO я почти пропустил другую интересную новость. Помните, несколько месяцев назад была эпидемия атак на сервера Exchange? Министерство юстиции США официально выдвинуло обвинения против китайской группировки APT40! И вот их доказательства:
https://www.justice.gov/opa/press-release/file/1412916/download
https://www.washingtonpost.com/politics/2021/07/19/cybersecurity-202-us-allies-are-taking-stand-against-chinese-hacking-here-are-three-takeaways/
https://www.justice.gov/opa/press-release/file/1412916/download
https://www.washingtonpost.com/politics/2021/07/19/cybersecurity-202-us-allies-are-taking-stand-against-chinese-hacking-here-are-three-takeaways/
Пишут, что на продажу выставили базу номеров телефонов пользователей Клабхаус - 3,8 млрд номеров телефонов. Круто, если это так. Все эти миллениальские стартапы, которые для социального эффекта просят доступ ко всей адресной книге (и юзеры, которые их раздают) заслуживают какого-то наказания. Жаль, что страдают даже те, кто не подключался к Клабхаусу - их номер все равно, скорей всего, уже там есть.
https://twitter.com/mruef/status/1418693478574346242
Так, апдейт: пишут, что скорей всего, фигня эта база
https://twitter.com/UnderTheBreach/status/1418889649708208137
Что не отменяет моего аргумента о приложениях, просящих доступа ко всей адресной книге
https://twitter.com/mruef/status/1418693478574346242
Так, апдейт: пишут, что скорей всего, фигня эта база
https://twitter.com/UnderTheBreach/status/1418889649708208137
Что не отменяет моего аргумента о приложениях, просящих доступа ко всей адресной книге