=== РЕКЛАМА ===

Интересуетесь пентестом, но не знаете, как тренироваться?

Начните получать практические навыки уже 17 декабря на демо-занятии «Windows AD сбор информации, эскалация привелегий. Эксплойты и уязвимости последних 5ти лет». Вместе с Александром Колесниковым вы рассмотрите методы компрометации Windows AD и самые популярные эксплойты, доступные в паблике под Windows AD.

Демо-урок входит в программу онлайн-курса «Этичный хакинг. Тестирование на проникновение» и дает возможность получить ценные знания и познакомиться с преподавателем.

Для регистрации на занятие пройдите вступительный тест: https://otus.pw/A1Og/

Прикольная штукенция — акустический кейлоггер (в отличие от первой версии, где надо было натренировать на определенной клавиатуре, и потом по звукам он мог собирать набранный текст, эту версию не надо обучать конкретным клавиатурам)

https://github.com/ggerganov/kbd-audio/discussions/31

а помните историю чувака из Нидерландов, который утверждал, что смог залогиниться в твиттер-аккаунт Президента Трампа? там даже опровержения от Твиттера якобы были, что «не было такого». Между тем, прокуратура Нидерландов изучила доказательства, предоставленные исследователем, и посчитала эти доказательства такими, которым можно доверять. Чувак же просто подобрал пароль к аккаунту — MAGA2020!. Видимо, теперь пароль уже поменяли на MAGA2024!

https://www.bbc.com/news/technology-55337192

касательно взлома SolarWinds также подтвердили, что получен контроль над доменом avsvmcloud[.]com, который использовался злоумышленниками для контроля зараженных систем.

https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/

https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/

Никогда такого не было и вот опять

https://www.zdnet.com/article/three-million-users-installed-28-malicious-chrome-or-edge-extensions/

Окей, сразу много обновлений по поводу взлома SolarWinds и последовавших за этим взломов:

- CISA говорит, что APT, которая стоит за этой кампанией (подозреваются все те же Cozy Bear), использовала и другие методы, не только взлом через SolarWinds Orion. по крайней мере, есть знаки и агентство сейчас расследует доступную информацию
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://www.bleepingcomputer.com/news/security/cisa-hackers-breached-us-govt-using-more-than-solarwinds-backdoor/

– Reuters пишет, что жертвой взлома стала компания Microsoft. Детали и кого это может затрагивать, пока не озвучиваются. Microsoft опровергает пока этот факт.
https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW

- Президент Microsoft Брэд Смит опубликовал пост, в котором озвучил свои опасения по поводу этой атаки, и её масштабов.
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/

- Политико пишет, что министерство энергетики и национальное агенство ядерной безопасности тоже стали жертвами взлома. Это агентство отвечает за безопасность запасов ядерного оружия, например.
https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855

Даже с информацией, которая доступна сейчас, все это выглядит очень масштабным взломом. А ведь, кажется, мы знаем о происшедшем очень и очень мало.

и как обычно, ученые придумали новый и слабореалистичный метод удаленного взлома, когда оперативная память превращается в транслятор беспроводного сигнала для передачи данных с изолированного компьютера

https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-steal-data-from-air-gapped-systems/

Apple опубликовала документ с рекомендациями о том, как управлять своей инфомацией на устройствах компании — iPhone и iPad: как проверить различные настройки конфиденциальности, что и как оптимально настроить для уменьшения рисков лишней раздачи своей информации. Кроме того, документ пригодится тем пользователям, которые подозревают, что их информация подвергается несанкционированному доступу — что проверить, и как обезопасить эту инфу. Информация безопасносте!

https://manuals.info.apple.com/MANUALS/1000/MA1976/en_US/device-and-data-access-when-personal-safety-is-at-risk.pdf

И снова жопа в iOS, ну что ж такое. Похоже, NSO group то ли сами нашли, то ли купили у кого-то уязвимость в мессенджера iMessage, и заказчик компании. использовали её для взлома журналистов и других сотрудников канала Al Jazeera. Нюанс в том, что использовалась цепочка уязвимостей, которая, видимо, включала в себя эксплойт iMessage, который был незаметен пользователям и не требовал никаких действий с их стороны. Предполагается, что эта цепочка под названием KISMET применялась в период с октября по декабрь 2019 года, возможными исполнителями взлома были Саудовская Аравия и Объединённые Арабские Эмираты. Как результат взлома, телефон мог удаленно записывать аудио с микрофона, и звонка, и делать снимки камерой. Также, считают исследователи, имплант мог сообщать о местоположении телефона и иметь доступ к паролям на устройстве. Потенциально это лишь часть жертв, и, возможно, о других мы ещё узнаем в будущем. Цепочка KISMET работала вплоть до iOS 13.5.1 ещё в июле 2020 года, а в iOS 14, похоже, новые изменения безопасности сделали её эксплуатацию невозможной. Подробный отчёт об обнаружении результатов этих взломов по ссылке. Но вообще звучит как ситуация, которая на пиз начинается, на дец заканчивается. CitizenLab призывает всех, а особенно журналистов, обновиться до iOS 14, хотя стоимость таких эксплойтов и решений NSO Group такова, что использоваться это будет только очень таргетированно, против конкретных людей. Но все равно лучше проапдейтиться.

https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

PS а ведь кто-то за такую цепочку уязвимостей вполне мог получить 3-5млн долларов

Пару недель назад мне один из читателей писал о том, что в Казахстане опять начали внедрять государственный сертификат для перехвата HTTPS трафика. Доступ к многим зарубежным сайтам был заблокирован без установки этого сертификата. Официальная версия — "учения по кибербезопасности", но кто ж им поверит? Наверно, не станет сюрпризом тот факт, что разработчики всех браузеров — Apple, Google, Microsoft и Mozilla — забанили этот рутовый сертификат, так что его нельзя будет установить в браузерах.

https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/

Я как-то пропустил, что в июле компанию-производителя аппаратных кошельков для криптовалюты Ledger взломали, украв оттуда базу данных клиентов. База включала в себя около 1 млн записей, содержащих имена, адреса электронной почты, а также настоящие адреса и номера телефонов примерно 270 тысяч реальных покупателей. При этом там история даже интересней, потому что компании сообщили об уязвимости в сайте, они её исправили, а через несколько дней кто-то все-таки взломал инфраструктуру и добрался до базы данных маркетинга.

https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Теперь же эту уведённую базу кто-то выложил в интернете

https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ

Там даже есть данные почти 6 тыс клиентов из России и Украины
https://amp.rbc.ru/crypto/news/5fe057879a794768cb14040c

А поскольку среди людей с криптокошельками есть некоторое количество людей с высоким доходом, то эта утёкшая информация уже, похоже, стала применяться «по назначению», то есть для шантажа

Пишут, что Apple наконец-то начала рассылать отобранным экспертам по безопасности специальные исследовательские айфоны с рутом для более тщательного изучения потенциальных уязвимостей в системе.  Интересно, насколько пинком для них стала последняя история со взломанными айфонами журналистов Аль Джазира, о которой я писал пару дней назад? Там от сообщества раздавались жалобы о том, что если бы Apple была более открытой с сообществом (в том числе и с помощью таких специальных устройств), то, возможно, что подобные баги можно было бы раньше отловить

https://www.macrumors.com/2020/12/22/apple-security-research-device-program-launches/

=== РЕКЛАМА ===

🌲 Начните Новый 2021 год с новыми скиллами в ИБ!

Практический онлайн-курс «Этичный хакинг. Практика тестирования на проникновение» стартует уже 21 декабря.
Успейте пройти вступительный тест и присоединиться к группе с новогодней скидкой 30% https://otus.pw/h75O/

Освойте must have практики Реверс-инжиниринга на виртуальной машине с реальными малварами, найденными в сети. Единственный в России онлайн-курс, где вас ждет 4 месяца практики, интенсивных вебинаров и общения с опытным специалистом по информационной безопасности.
Старт уже 23 декабря! Успейте пройти вступительный тест и занять место с новогодней скидкой -30%

https://otus.pw/Ryxt/

Если вам надоели новости про SolarWinds, то ничем не могу помочь, у меня есть еще апдейты по этому поводу!

Например, очень большой анализ от Microsoft по поводу того, как обнаруживать соответствующие бэкдоры и вредоносное ПО
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/

https://www.microsoft.com/security/blog/2020/12/21/advice-for-incident-responders-on-recovery-from-systemic-identity-compromises/

И вообще у Microsoft целый портал уже есть по поводу этого взлома
http://aka.ms/solorigate

В одном из постов вообще было интереснейшее:
Additional malware discovered
In an interesting turn of events, the investigation of the whole SolarWinds compromise led to the discovery of an additional malware that also affects the SolarWinds Orion product but has been determined to be likely unrelated to this compromise and used by a different threat actor.

То есть при анализе обнаружили ЕЩЕ ОДИН вирус, затрагивавший SolarWinds Orion, но при этом не имевший отношения к «оригинальному» взлому. Интересный поворот.

рука и лицо... Сотрудники Годедди получили письмо с информацией о том, что на Рождество компания выплатит им 600 долларов, и надо было зарегистрироваться для его получения. Только бонуса им никто не дал, потому что это было фишинговое письмо. Более того, это был фишинговый тест от компании, и около 500 сотрудников тест провалили. С одной стороны, конечно, тест хороший — злоумышленники-то могут использовать любую тему для фишинга. Но, наверно, есть некие этические пределы для тестов, особенно в это время, с праздниками, кризисом и тд.

PS вот вы пишете, что не должно быть этических пределов, потому что у преступников их нет. Ок, можно ли разослать фишинг с угрозами убийством, например? Нет, конечно. Пределы есть, просто они у каждого из вас свои.

https://www.engadget.com/godaddy-sent-fake-phising-email-promising-holiday-bonus-220756457.html

Есть такая компания TCL, производит телевизоры. Много телевизоров, один из крупнейших производителей телевизоров в мире. Недавно исследователи обнаружили несколько уязвимостей в телевизорах под управлением операционной системы Android. Одна позволяла просматривать файловую систему устройства без пароля, вторая была интересней: похоже, что она отправляла скриншоты и логи пользовательской активности на сервер в Китае. Без ведома пользователя, конечно же. После информирования об этих недоразумениях китайцы выкатили патч, который поставился втихаря без информирования пользователей об этом. Что потенциально может значить, что TCL имеет полный контроль над устройствами, которые находятся у пользователя, по словам одного из исследователей (хотя надо отметить, что многие современные операционные системы умеют обновляться без всякого интерактива). Короче, теперь вроде как министерство нацбезопасности США собирается исследовать, нет ли там в телевизорах бэкдоров. TCL все отрицает.


https://www.tomsguide.com/news/tcl-wolf-dhs-china-bashing