T.Hunter | информационная безопасность

#digest Разбираем в нашем ежемесячном дайджесте ключевые новости октября. Так, взлому дважды подвергся The Internet Archive, нанеся серьёзный удар по проекту. Инфраструктура инфостилеров RedLine и Meta была перехвачена, а члены группировки AnonSudan, которых часть исследователей называли русскими хакерами под прикрытием, были арестованы. В ушедшем месяце сюжет вокруг Recall от Microsoft продолжил закручиваться с поворотами в тревожную сторону на фоне очередного откладывания релиза функции. Месяц был богат и на новости, связанные с APT-группировками со всего мира, а OpenAI и Microsoft опубликовали крупные отчёты о состоянии ИБ. Об этом, а также других громких взломах, арестах и утечках октября, читайте на Хабре! @tomhunter

#news Nokia расследует потенциальный взлом. Предположительно был взломан подрядчик, у которого стянули данные, связанные с разработкой внутренних инструментов компании. Новости об утечке пришли от вездесущего IntelBroker. Как он утверждает, в сливе исходники, ключи SSH и RSA, захардкоженные данные доступа и прочее. Случай со взломом стороннего поставщика от IntelBroker не первый, но вектор атаки классический: сервер SonarQube, дефолтные данные доступа. Впрочем, как и с другими такими взломами всё сводится к тому, насколько плотно и по каким направлениям поставщик сотрудничал с пострадавшей компанией. Но заголовки для фарма репутации всегда удачные: «AMD/Apple/Nokia Data Breach»! Как тут пройти мимо. @tomhunter

#news В сетевых дебрях появилась новая рансомварь-операция. И не простая, а с энкриптором под сервера FreeBSD. Ранее такой был в арсенале только у Hive, а их улей, как известно, разворошили почти два года назад. Операция Interlock активна с сентября, на текущий момент злоумышленники заявили об атаке на шесть организаций, чьи данные слиты на сайте. Энкриптор под FreeBSD, очевидно, написали с оглядкой на всю крутящуюся на ней критическую инфраструктуру. В плане методов у группировки всё как у взрослых: двойное вымогательство, сайт для связи с жертвами через чаты, желаемые выкупы от сотен тысяч до миллионов долларов. Деталей об Interlock мало — группировка только попала на радары исследователей. Но с учётом атак по FreeBSD, возможно, у нас что-то интересное. @tomhunter

#news Гугл рапортует о первом известном случае, когда языковая модель нашла уязвимость. Речь идёт о баге на недостаточное заполнение буфера в SQLite. Он был обнаружен проектом Гугла Big Sleep, заточенным под анализ уязвимостей с помощью LLM. Что интересно, уязвимость не нашли с помощью фаззинга и иных тестов в рамках инфраструктуры, а вот Big Sleep её засёк. Эту модель начали разрабатывать в качестве ответа на тот факт, что больше 40% нулевых дней являются вариантами уже известных багов. Её натаскали на деталях ранее исправленных уязвимостей, и результаты выглядят многообещающе. Тем не менее, они пока чисто экспериментальные, и модель работает только по несложному софту. Так что время для горького «Вы что? И инфобезом за меня заниматься будете?» пока ещё не пришло. Обязательно будут. Всю ИБ в труху! Но потом. @tomhunter

#news У панелей управления веб-хостингом CyberPanel на днях произошёл мини-апокалипсис. Больше 22 тысяч инстансов с критической уязвимостью под RCE попали под массовую атаку рансомварью PSAUX. Почти все они ушли офлайн. На этих панелях висело управление более 152 тысячами доменов и баз. Между тем PSAUX не так страшна, как её старшие братья по рансомварь-сцене: злоумышленники требуют 200 баксов за ключ, а из-за ошибок в энкрипторе под него написали скрипт для дешифрования. Вот только уязвимость эксплойтят ещё две рансомварь-группировки. Так что у нас новый редкий случай из серии «Файлы зашифрованы дважды». Кому повезло, к тем на панели первой зашла PSAUX и положила их в процессе. У вторых вариант на исходниках Babuk, к нему тоже сегодня подобрали декриптор. У третьих шифр на базе Conti. Им соболезнуем. @tomhunter

#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции. Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас 118 исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте на Хабре! @tomhunter

#news В qBittorrent исправили уязвимость под RCE. Она связана с багом в валидации сертификатов SSL/TLS в менеджере загрузок. В сущности qBittorrent принимает любые сертификаты, включая поддельные, допуская MitM-атаки. Плот твист: уязвимость ушла в прод ещё 6 апреля 2010-го года. Так как исходники открыты, собрать версию с бэкдором — тривиальная задача. И вариантов для атаки хватает: подмена инсталлятора Python на вредоносный, захардкоженные ссылки под обновление XML-фида и базы GeoIP, уязвимые RSS-фиды. Патч вышел пару дней назад, спустя 14 с лишним лет уязвимость наконец исправлена. Без присвоения ей CVE за все эти годы, без уведомления пользователей и с активным участием сторонних исследователей, пытающихся расшевелить избегающих контакта разработчиков и делающих за них работу по раскрытию. Иными словами, типичные издержки опенсорса. Подробнее об уязвимости здесь. @tomhunter

#news Новость из серии «Не забывайте отключать аккаунты уволенных сотрудников» за номером 983. На этот раз от Disney прямиком из её парка развлечений. Его бывший работник со своей учётки взломал ПО для создания меню и немного пошалил. У истории вайб «Чёрного Зеркала» на минималках: согласно материалам дела, взломщик изменил информацию в меню о составе блюд. В частности он пометил позиции с аллергенами вроде арахиса как безопасные — потенциально это вплоть до смертельного исхода для жертв. К счастью, товарищ попутно поломал шрифты в системе и добавил в меню нецензурной брани. Так что в компании заметили изменения, до того как версии с подвохом ушли в прод. По итогам никто не пострадал, кроме наёмных рабов Диснея, временно вынужденных пересобирать меню вручную, но случай показательный. Будь злоумышленник чуть умнее, последствия могли быть трагичнее, чем современные переосмысления Диснеем культовой классики. @tomhunter

#article В нашей новой статье на стыке ИБ и юриспруденции мы разбираем правовые основы видеонаблюдения. Как организовать его в компании в соответствии с законом, какими статьями и нормами оно регулируется, как собирать биометрию и при каких условиях в дело вступает Единая Биометрическая Система. За подробностями добро пожаловать на Хабр! @tomhunter

#news Вновь к несуществующим, но активным китайским госхакерам: Канада в свежем отчёте о кибербезопасности сообщает об усиленной работе тайфунов по своим сетям в последние пять лет. За это время были скомпрометированы не менее 20 госорганизаций. Помимо этого, целью атак стали политики, критикующие Китай — госхакеры собирают информацию на фоне ухудшения отношений между странами. Не обошлось и без старого-доброго промышленного шпионажа: китайцы работают по инновационным секторам, включая робототехнику, квантовые компьютеры и авиацию. Отдельно в отчёте отметили и восходящую звезду APT-сцены, Индию. Вслед за дипломатической напряжённостью по Канаде прошлась волна кибератак и шпионажа, и местные безопасники ждут роста угроз по этому направлению. Что ж, до вепонизации индийского девелоперского лобби и скам-центров под нужды партии в сущности был один шаг. @tomhunter

#news Злоумышленники стянули 15 тысяч данных доступа от облаков из уязвимых конфигов Git. Они прошлись автосканом с помощью httpx и Masscan по пятистам миллионам айпишников. И собрали файлы под все возможные адреса в IPv4 под будущие сканы. 4,2 миллиарда записей. Исследователь обнаружил по следам атаки — что иронично, в открытом ведре S3 — терабайт стянутых секретов и логов. 67 тысяч адресов с /.git.config в свободном доступе, их список идёт на продажу всего за 100 долларов. Из 6 тысяч токенов с Github 2 тысячи были валидны. К слову, с помощью конфига Git, недавно дважды взломали The Internet Archive. Минимум усилий, автоматизация, опенсорс-инструменты. И потенциал под сотни громких взломов. В общем, приватный репозиторий — ложный друг разработчика. Любишь оставлять в них секреты, люби и конфиг ковырять. @tomhunter

#news Коллаборации, которых никто не хотел, но некоторые опасались: госхакеры из КНДР замечены в сотрудничестве с рансомварь-группировкой Play. Об этом сообщает Unit42 в свежем отчёте, документируя первый известный случай работы северокорейцев с киберпреступным подпольем. Jumpy Pisces были замешаны в атаке от Play в начале сентября. Северокорейцы вели разведку в сетях жертвы и подготовили их к заходу рансомвари. Неясно, действовали они как партнёр Play или только в качестве брокера начального доступа. Тем не менее, кейс примечательный: возможно, в недалёком будущем в бюджете КНДР появится новая прибыльная статья. Ну а к нам новый виток воплощения Панорамы в жизнь пришёл, откуда не ждали. На этой жизнеутверждающей ноте можем условиться, что если доживём до коллабов по взлому криптоплатформ с северокорейскими братушками, завершаем карьеру в ИБ, уходим в лес и больше никогда не появляемся онлайн. @tomhunter