Дайджест событий в области информационной безопасности: январь 2021 г.

Русские хакеры

Взлом SolarWinds произошёл весной 2020 г., но было интересно запастись попкорном и следить за развитием событий. Несмотря на масштабность события, обсуждения достаточно быстро поутихли. На Reuters вышел материал под громким названием, прямо заявляющем о русских хакерах, но в отчёте FireEye про это нет упоминаний. То, что среди пострадавших есть и российский Лукойл (значится домен ООО «ЛУКОЙЛ Узбекистан Оперейтинг Компани») не означает, что нет российского следа. Лукойл — частная компания и использует ПО на своё усмотрение.

Конфузы с атрибуцией российских хакеров случались очень часто. Компания CrowdStrike заявила, что из-за русских хакеров Украина потеряла управление над частью своей боевой техники, а Guccifer 2.0 взял ответственность за взлом сети Национального комитета Демпартии США. Для запутывания следов хакеры используют искажающие прокси, встраивают False Flags и используют множество других уловок.

Почтовая переписка Натаниэля Холмса, которая попала на фото во время штурма Капитолия 6 января 2021 г. сторонниками Дональда Трампа.

Кстати, про сторонников Трампа и Parler, который перешёл на защиту от DDoS атак российской компании из Ростова-на-Дону, когда им отказал Amazon. Компания защищает тысячи других сайтов и, возможно, украинским разработчикам Parler было проще общаться и заказывать услугу на русском языке. К сожалению, программисты из Украины пропустили дыру в безопасности “размером с Житомир” и в сеть утекли 70 Тб данных пользователей социальной сети.

Нерусские хакеры

Не только Россию обвиняли во взломе, досталось и Ирану. Ещё в декабре 2020 г. были взломаны серверы израильского предприятия ELTA Systems, входящего в концерн “Авиационная промышленность Израиля” (Israel Aerospace Industries, IAI), дроны IAI Harop которого применялись в недавнем конфликте в Карабахе. Израильские специалисты предполагают, что атаки связаны с иранскими хакерами, но не ассоциированными с режимом, и считают, что нападавшие были мотивированы лишь финансовыми интересами. Связь с Ираном с точки зрения экспертов подтверждается тем, что следы шифровальщика Pay2Key ведут к криптокошельку, зарегистрированному на иранской криптобирже Excoino. Но существуют и другие мнения — некоторые специалисты ассоциируют хакеров напрямую с иранским государством, с актором Fox Kitten. Подробно о стратегии информационной и кибербезопасности, хакерских группировках ассоццированных с Ираном, можно познакомиться в спецпроекте “Кибермощь Ирана”, в том числе и о группировке Kitten.

Диаграмма атаки на цепь поставок (источник Microsoft)

Полицейские захватили самый крупный ботнет

Чаще встречаются новости о крупных утечках и успешных взломах, но в данном случае об успешной работе борцов с кибер преступлениями. В результате совместной длительной спецоперации ФБР, Европола и Национального криминального агентства Великобритании удалось перехватить управление крупнейшей ботнет сетью Emotet и обезвредить её изнутри. Полная история этого трояна, которая началась ещё в 2014 году, доступна на securelist.kaspersky. За это время зловред постоянно развивался, менялся и нанёс огромные финансовые потери. Так что обезвреживание такой мощной сети — действительно большое событие в области борьбы с кибер криминалом.

Сигнал Сноудену

Израиль не только пострадал от взломов, израильский разработчик шпионского ПО Cellebrite заявил, что защищённый мессенджер Signal скомпрометирован.

Аналогичные бреши в безопасности недавно были обнаружены в WhatsApp и Telegram. Компания Cellebrite поставляет свои решения по всему миру, в том числе и Россию.

Как будет развиваться ситуация дальше в вечном противостоянии взломщиков и защиты мы скоро узнаем. Но возникает вопрос к программным продуктам с открытым исходным кодом, раз данная уязвимость была выявлена в процессе изучения кода мессенджера.

В следующем же обновлении разработчики исправили данный недостаток.

Инструменты

В последнее время происходит много протестов на улицах городов и с разных сторон приходят разные данные о количестве участников акций. Журналисты сейчас используют открытые инструменты. Можете сами поиграться и сравнить полученные данные с данными из других источников. Методик достаточно много, по какой-то причине часто считают по формуле 2 человека на квадратный метр. Но при спокойном перемещении толпы добровольно 2 человека вряд ли захотят расположиться на одном квадратном метре, а ещё есть зима и тёплые куртки, более правдоподобным кажется формула 0,7 человека на квадратный метр. Данный инструмент не учитывает этот фактор автоматически, но если выделить площадь, то вручную можно переключать специальный бегунок.

Яблочный фикс

Apple выпустила обновление iOS 14.4, которое исправляет несколько очень важных уязвимостей, которые обнаружил неизвестный исследователь. Предположительно эксплуатируя именно эти уязвимости сотрудники полиции и спецслужб, служб безопасности корпораций получали доступ к устройствам Apple. В этом видео можно познакомиться с тем, как работают подобные системы:

Полезность

Авторизация по отпечатку пальца, по лицу, шифрование данных и прочее, и прочее сейчас присутствует в смартфонах. Но если злоумышленник получит доступ к смартфону и не сможет его разблокировать, то обычная скрепка даст доступ к сим-карте. Обычно мы не меняем стандартный ПИН (0000, 8888) на свой или отключаем его вовсе, что даёт шанс злоумышленнику получить доступ к соцсетям, мессенджеру, электронной почте или клиент-банку (при условии, что где-то не используется дополнительный пароль и т.п.). Виртуальная сим-карта лишена такого недостатка, но на обычную желательно установить свой ПИН.