No Name Update від 13 лютого 2021 р.

Solarflare News

Докладно про головне

Невідомі отримали доступ до комп’ютерних систем водоочисної споруди та змінили рівень хімічних речовин до небезпечних параметрів.

Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).

Користуючись отриманим доступом, нападники більш ніж в сто разів збільшили рівень гідроксиду натрію в налаштуваннях системи. Якби їхні дії не були виявлені й ці налаштування були б застосовані в системі водоочищення, це могло б призвести до згубних наслідків для здоров’я великої кількості людей.

Наскільки великої? Цікавий факт: місто Олдсмар знаходиться поблизу місця проведення Super Bowl LV минулої неділі. Тому, хоч про атрибуцію цієї кібератаки говорити ще зарано, я готовий поставити на росіян. Небагато грошей, але з великим рівнем впевненості. Російські хакери вже неодноразово цілилися у спортивні події з метою дестабілізації політичних настроїв на чужій території. Тут я бачу якщо не шаблон, то натяк на нього. Але звісно, я можу помилятися.

Чиновники від кібербезпеки часто-густо забувають про те, що модель загроз об’єктів критичної інфраструктури ширша, ніж просто вихід усього із ладу. Критична інфраструктура критична не тому, що без неї холодно, нема чого їсти та пити, і неможливо полетіти у відпустку. А тому, що використавши її як зброю, можна заморозити та отруїти купу людей, або ж скинути на неї пару літаків.

Польського розробника легендарних відеоігор серії Відьмака та Cyberpunk 2077 зламали, вкрали вихідні коди кількох ігор, все зашифрували криптолокером, та вимагали відкуп у криптовалюті. Поляки криптоздирникам платити відмовились та почали відновлення з бекапів. Після чого злочинці виконали свої погрози та оголосили аукціон з продажу поцупленої інтелектуальної власності.

Знаючи трохи про стан безпеки в ІТ-компаніях, до CDPR в мене тут питань немає ніц. Вони не кращі та не гірші від решти конкурентів. Тотальне забивання на кібербезпеку чомусь все ще статус кво на цьому ринку. Та в мене є питання до здирників та потенційних покупців вкрадених сорсів. Ви типу серйозно вважаєте, що з цього можна отримати якийсь прибуток?

Як на мене, то ця лавочка закрилася тоді, коли CDPR відмовився платити. Купити вихідні коди відеоігор може лише якийсь дуже екстравагантний покупець або багатій несповна розуму. Бо конкуренту це геть не треба –як ви це уявляєте, хтось купить код і зробить на ньому продукт? Це дуже легко виявити, тому проблем з законом не уникнути, і нікому вони не потрібні.

Китайська комуністична партія продовжує втілювати в життя стратегію збирання даних про всіх громадян країн, що становлять загрозу для світового домінування Китаю. І через те, що всі інші дані у Китайців вже є, черга дійшла до баз даних ДНК.

Чому вони це роблять? Все дуже просто: тому що можуть. А навіщо це робити вони розбираються вже згодом, коли дані отримано та систематизовано. Китай інвестує не лише в кібершпіонаж, в цій країні дуже розвинуті галузі знань аналізу даних та машинного навчання. Саме ці дві галузі є фронтом сучасної холодної війни та гонки озброєнь. І в обох цих галузях виграє той, хто отримає контроль над якомога більшими об’ємами перевірених даних, решту завдань виконає математика.

Тому не питайте себе, чому влада Китаю збирає дані про громадян своїх суперників. Питайте себе, чому цього не робить влада України.

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, 3400 дол. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця бази нас обдурити. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути просто ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних. По-третє, за всієї поваги до маркетологів Привату, 40 млн клієнтів це понад 90% населення України, тому це число додає сумнівів. По-четверте, приклади даних, викладені на форумі, виглядають сумнівно, адже містять знак питання замість букви “і” та введені у верхньому регістрі. Це більше скидається на якийсь до-юнікодний державний реєстр, чи банківську базу з дев’яностих. Ну і по-п’яте, в базі даних клієнтів ПриватБанку я б очікував побачити хоча б натяк на фінансові дані, такі як номери рахунків та платіжних карток. Яких там немає.

Підсумовуючи, я не стверджую що ця база даних фейкова, але звертаю вашу увагу на фактори, які на це натякають. Сподіваюся, ця історія матиме продовження і ми дізнаємось більше.

Коротко про важливе

  • В М’янмі під час військового перевороту зник доступ до мережі Інтернет

М’янма це країна з трагічною історією, в якій після приходу нарешті до влади демократичних сил відбувся черговий військовий переворот. Військові захопили важливі об’єкти інфраструктури та першим ділом вирубали в країні інтернет. Логічно, адже в М’янмі дуже популярний Facebook, а його досить зручно використовувати для координації акцій громадянської непокори.

Гуглу часто дістається від нас у цих випусках і взагалі. Але коли компанія чинить правильно, це варто підкреслити. Гугл продовжує бути взірцем організації, яка піклується про власну кібербезпеку, і їхня програма Bug Bounty не виключення.

Він пояснив свій спосіб роботи, бажані цілі, використання інструментів і чому в Росії важко стати та залишатися законослухняним спеціалістом з кібербезпеки.

Принаймні одна велика група зловмисників експлуатує вразливості в VMWare ESXi, щоб отримати контроль над віртуальними машинами, розгорнутими в корпоративних середовищах, і зашифрувати віртуальні жорсткі диски.

Дослідник безпеки з Threat Intelligence компанії Recorded Future випробував дешифратор і підтвердив, що інструкції та ключ працюють. Але, з очевидних причин, жертвам цього криптоздирника рекомендується почекати на вихід більш легітимної програми розшифрування даних.

Вразливості тижня

А не лише Linux та UNIX систем, як вважалося раніше.

Вразливість нульового дня CVE-2021-21148, була описана як heap-overflow помилка у механізмі JavaScript V8.

  • CD Projekt Red виправили вразливість віддаленого виконання коду в Cyberpunk 2077, яку зловмисники експлуатували створюючи шкідливі моди до гри

Раніше розробники з CDPR попередили, що користувачі Cyberpunk 2077 повинні уникати використання модів, через вразливість у механізмі використання файлів DLL.

Статті та аналітика

Звіт, опублікований компанією Chainalysis підтверджує, що кіберзлочинні групи, які беруть участь в атаках вірусів-вимагачів, не працюють автономно та ізольовано, а часто змінюють постачальників шкідливих програм з метою збільшення прибутку. Аналітики називають цю бізнес-модель Ransomware-as-a-Service, і так, нам варто очікувати подальшої індустріалізації цього ринку та збільшення втрат легітимних компаній внаслідок атак криптоздирників.

Рекомендації

Tools & Writeups

  • Advanced Axiom Usage – автор фреймворку пошуку вразливостей pry0cc розказує про просунуті кейси використання інструменту
  • Звіт з аналізом Sunburst від Агентства Кібербезпеки США

Смі#$%oчки

  • Юрист зі штату Техас не розібрався з котячим Zoom-фільтром, випадково ввімкнув його під час онлайн-засідання, та не зміг вимкнути.

А отже, був змушений голосом проінформував суддю та всіх присутніх, що він не кіт, і я сподіваюся, що це зізнання потрапило до протоколу засідання.

Be the first to comment on "No Name Update від 13 лютого 2021 р."

Leave a comment

Your email address will not be published.


*