No Name Update від 3 квітня 2021 р.

Докладно про головне

Зазвичай коли Google виявляє і знешкоджує чергову вразливість або кібератаку в Інтернеті, це викликає лише схвальну реакцію від спільноти та активістів приватності. Цього разу сталося дещо інакше. Звісно, Гугл знову виявив хакерську атаку, що експлуатувала 11 потужних вразливостей нульового дня для компрометації пристроїв на iOS, Android і Windows, та опублікував свої знахідки на сайті Project Zero. Проте є нюанс: у своєму звіті Гугл не уточнив, що виявлені хакери насправді були оперативниками спецслужб західних країн у процесі проведення контртерористичної операції. Одноосібне рішення Гугла зупинити та опублікувати дані про атаку, і при цьому нічого не сказати про її природу, викликало суперечки як всередині компанії, так і серед представників спецслужб та професійної спільноти. З одного боку, серед західних кібербезпекових компаній існує негласне правило не публікувати інформацію про виявлені атаки дружніх спецслужб. Зрештою, частина фахівців цих приватних компаній раніше і самі працювали в розвідувальних службах. З іншого боку Гугл, цілком справедливо зауважує, що рано чи пізно ці експлойти будуть використані й іншими сторонами, не обов’язково дружніми. А тому чим раніше вразливості будуть розголошені та виправлені, тим краще для всіх. Наразі невідомо, чи Гугл попередньо координував свої наміри з представниками влади перед публікацією та нейтралізацією атаки. Проте, як мені здається, якщо Гугл впевнений у своїй позиції, їм варто було б опублікувати всі аспекти виявленої атаки і нічого не замовчувати.

  • У Facebook стався масштабний витік даних – номери телефонів та персональні дані понад пів мільярда користувачів опинилися у відкритому доступі

Опубліковані дані містять наступну інформацію про користувачів: номери телефонів, ідентифікатори Facebook, повні імена, локації, дати народження, біографію, дату створення акаунту, сімейний стан та у деяких випадках – email адреси.

Наразі відомо що дані було скомпрометовано через вразливість в інфраструктурі Facebook, яку згодом було виправлено у 2019 році. Вперше про витік стало відомо у січні, коли дослідники виявили розповсюдження на хакерських форумах бота, який по запиту, за гроші, надавав номери телефонів користувачів Facebook. Згодом повний об’єм даних був опублікований для безоплатного доступу. Це демонструє нам дві речі: по-перше, (вкотре наголошуємо) – жодна компанія не застрахована від компрометації, навіть якщо це Facebook. Звісно засоби захисту у великих технологічних компаній якісніші, проте і наслідки компрометації, якщо вона все ж стається – значно масштабніші. По-друге, Фейсбук міг би на ділі продемонструвати, що піклується про безпеку даних своїх користувачів: повідомити їх про витік, вибачитись за порушення довіри та застережити про можливі фішингові атаки з використанням скомпрометованих даних; але не зробив цього. Висновки робіть самі.

Звіт підготовлений Департаментом Внутрішньої Безпеки США сумісно з Кібер Командуванням і містить деталі про зловмисний код та методи проникнення у мережі, що використовувались російськими оперативниками для компрометації SolarWind і проникнення в 9 державних установ Сполучених Штатів та понад 100 приватних компаній. Звіт мав бути опублікований ще в середу, проте представники влади повідомили про надходження додаткових даних, внаслідок чого реліз звіту затримується. Вочевидь, злам SolarWinds досі не припиняє радувати новими подробицями не лише кібербезпекову спільноту, але навіть і самі спецслужби.

Коротко про важливе

Проблеми виявили в механізмі розмежування мережі (network slicing). 5G базується на так званій service-based архітектурі (SBA), яка забезпечує модульну структуру для розгортання множини взаємопов’язаних мережевих функцій. Атака експлуатує особливість архітектури SBA, яка не має перевірки того, що ідентифікатор слайсу на сигнальному рівні відповідає ідентифікатору на транспортному рівні, дозволяючи зловмиснику що має з’єднання до SBA оператора використати шкідливі мережеві функції для отримання доступу в основну мережу та інші мережеві слайси.

Нагадуємо, у січні Ubiquiti – так званий Apple у світі маршрутизаторів, мережевих відеореєстраторів та камер безпеки, повідомив про неавторизований доступ до систем розташованих у їх надавача хмарних послуг та запевнили що не мають підстав вважати, що користувацькі дані були скомпрометовані. Цим надавачем хмарних послуг виявився AWS, де Ubiquiti хостить свої хмарні рішення.

Штраф був накладений за реакцію на атаку, що сталася в грудні 2018 року, коли хакери отримали доступ до облікових даних працівників 40 готелів у Об’єднаних Арабських Еміратах. Зловмисники отримали доступ до інформації про людей, що зупинялися в готелях, та даних їх платіжних карток.

  • Видавництво ігор Activision застерігає геймерів про фейковий інструмент для “шахрайства” у Call of Duty: Warzone

Згідно зі звітом компанії, зловмисники на darknet форумах обговорюють можливість завантаження геймерами дропера – програми, що буде використано для встановлення інших форм шкідливого програмного забезпечення (наприклад, для віддаленого доступу до комп’ютера жертви).

У судових документах не вказано, чи була атака успішною і як підсудного було виявлено; однак чиновники заявили, що підозрюваний працював у службі водопостачання протягом року по січень 2019 р., та згодом подав у відставку.

Дослідники Дублінського університету, проаналізували трафік, що виходить з пристроїв iOS та Android і спрямовується до серверів Apple і Google відповідно, та виявили, що як Android, так і iOS продовжують надсилати певну телеметрію навіть після відмови користувача від цієї опції, а також надсилають деякі дані ще до того як користувач авторизувався.

Компанія надає послуги державним службам у сфері цифрової розвідки, та відома своїми рішеннями по зламу зашифрованих смартфонів

Приватні дані витекли минулого року після того, як один з бувших працівників MetData завантажив їх на GitHub. Згодом ці дані були видалені, але нідерландські дослідники з’ясували, що вони встигли потрапити до Arctic Code Vault – проекту Гітхаб з архівації відкритого коду у сховищі в Норвегії. Це означає, що ці репозиторії тепер будуть частиною величезної колекції відкритого коду, що існуватиме 1000 років у арктичному сховищі.

Атаки та інциденти

Прокурори у справі заявили, що злочинна група обійшла систему перевірки особистості цієї платформи. Шахраї використовували особисту інформацію та фотографії високої чіткості, що придбали на чорному ринку для створення відео облич людей. Після реєстрації, компанія видавала клієнтам підроблені податкові накладні.

Зразок програми, виявлений командою дослідників, був знайдений у сторонньому сховищі, а не в офіційному магазині Google Play.
Після встановлення пристрій жертви реєструється на сервері командного керування Firebase (C2), який використовується для видачі команд, тоді як окремий виділений C2 використовується для управління крадіжкою даних.

Зловмисні коміти, які були підписані іменами розробників мови PHP, були замасковані як прості помилки при друку, які потрібно було виправити.
Однак виявилось, що за цими комітами є код, що запускає довільний код у заголовку HTTP-агента, якщо рядок починається із вмісту, пов’язаного із Zerodium, таким чином створюючи backdoor.

Вразливості та патчі

Вразливості CVE-2021-28918 та CVE-2021-29418 виникли через неправильну обробку мережевої маски IP-адреси змішаного формату, а точніше, коли десяткова адреса IPv4 містить на початку нуль.

Помилка десеріалізації JSON, дозволяла автентифікованому користувачеві виконувати довільний код за допомогою функції test alert actions, доступної в веб-консолі Orion.

vRealize Operations – це рішення для управління ІТ-операціями, що працює на основі штучного інтелекту. Вразливість CVE-2021-21975 характеризується як Server-Side Request Forgery в програмному інтерфейсі vRealize Operations Manager.

Аналітика

  • За результатами опитувань, п’ята частина жертв вірусів-вимагачів не отримують дані після оплати викупу
  • Всесвітня Організація Охорони Здоров’я дійшла висновку, що COVID-19 пішов з ринку тварин, а не з лабораторії
  • Дослідження соціологічних наслідків епідемії COVID-19 свідчить про необхідність поліпшення практик прогнозування такого роду подій

Рекомендації

Деніел створив діаграму з різними рівнями захищеності споживача в залежності від налаштованого методу автентифікації. Основною метою було створити візуалізацію, яка полегшила б роботу фахівців з безпеки у веденні просвітницької роботи.

Смі#$%oчки

Be the first to comment on "No Name Update від 3 квітня 2021 р."

Leave a comment

Your email address will not be published.


*