Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены массовые кибератаки на правительственные и частные организации Колумбии. Предметом особого интереса хакеров стали энергетические и металлургические предприятия.

Схема атаки

1. Жертва в целевой организации получает фишинговое письмо. Темы писем могут быть различными — от повесток в суд до сообщений о блокировке банковских счетов или приглашения пройти обязательный тест на коронавирус. Также встречались письма от имени Генеральной прокуратуры и Национального директората по налогам и таможенным сборам.
2. В письмах содержится PDF-файл со ссылкой на RAR-архив. Если жертва загружает архив, размещенный на OneDrive, MediaFire или в других облачных хранилищах, содержащийся в нем файл запускает вредоносное ПО.
3. Для развертывания вредоноса используется множество загрузчиков и упаковщиков, внедряющих троян для удаленного доступа в легитимный процесс.

Всего во вредоносной кампании используется три трояна удалённого доступа, которые продаются на хакерских форумах:

• Remcos, который можно приобрести за 58 долларов США;
• njRAT — использует в качестве управляющей инфраструктуры Pastebin.
• AsyncRAT — инструмент для удаленного администрирования с открытым исходным кодом.

Обнаружена новая мошенническая кампания, которая заставляет пользователей ВКонтакте предоставить злоумышленникам свой пароль на фишинговом сайте.

Мошенническая схема базируется на предоставляемой соцсетью возможности выгрузки архива, содержащего данные, собранные за все время существования учетной записи. Получить такой архив может только сам пользователь, авторизовавшись в своем аккаунте. Ссылка на архив уникальна и открывается только из профиля пользователя.

Схема атаки:

1. Пользователю «ВКонтакте» приходит сообщение о том, что архив со всей его перепиской в течение 24 часов будет отправлен на почту, при этом указанный адрес явно не принадлежит пользователю.
2. Для отмены отправки архива жертве предлагается авторизоваться в своей учетной записи и сменить пароль, пройдя по ссылке, которая на самом деле ведет на фишинговый сайт. Пример одного из таких сайтов — vkarchives[.]com (уже удалён).
3. Поддельная страница содержит форму с полями для смены пароля. Если жертва введет требуемые данные, они отправятся прямиком к преступникам.
4. Получив пароль для авторизации в учетной записи жертвы, злоумышленник получает возможность выгрузить архив со всеми данными и воспользоваться ими в преступных целях. В архиве содержатся не только открытые данные, но также загруженные пользователем документы, привязки номеров телефона, список использованных банковских карт, история платежей.

Мобильная безопасность

Разработчик мобильного приложения Salaat First продавал личную информацию пользователей брокеру данных, который, в свою очередь, продавал сведения о геолокации всем желающим.

Приложение решает одну простую задачу — напоминает мусульманам об очередной молитве, а в результате такого «слива» у третьих лиц появилась возможность отслеживать перемещение исповедующих ислам людей.

Заказчиком сбора данных мусульман была французская компания Predicio, поставляющая данные ФБР, иммиграционной и таможенной службе США.

В Play Market у приложения Salaat First более 10 миллионов загрузок, что делает сбор данных довольно масштабным.

Новый мобильный троян Rogue позволяет получать доступ к устройствам жертв и похищать с них фотографии, информацию о геолокации, контакты и сообщения, изменять файлы и загружать дополнительные вредоносные программы.

Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если необходимые для работы разрешения не были получены, Rogue назойливо требует их предоставить. Если пользователь попытается отозвать права, на экране появляется пугающее пользователя сообщение: «Вы уверены, что хотите стереть все данные?».

Чтобы не вызывать подозрений, Rogue маскируется под официальное приложение от Google. В качестве управляющего сервера используется платформа Firebase, все команды и похищенная с устройства информация доставляются с помощью инфраструктуры Firebase.

Комбинация из Rogue и ещё одного вредоноса DarkShades продаётся на хакерских форумах за 29,99 долларов США в месяц или за 189,99 долларов США на неограниченный срок.

Атаки и уязвимости

В аппаратных ключах безопасности Google Titan и YubiKey обнаружена опасная уязвимость, эксплуатация которой позволяет восстановить первичный ключ шифрования, используемый для создания криптографических токенов.

Процесс взлома обычно занимает несколько часов, требует дорогостоящего оборудования и специального программного обеспечения.

Примерная схема атаки:

1. С помощью фишингового письма получить имя пользователя и пароль пользователя ключа.
2. Выкрасть ключ безопасности у владельца на время так, чтобы он не заметил пропажи.
3. Аккуратно открыть пластиковый корпус устройства, чтобы потом его можно было собрать и вернуть владельцу. Процедура занимает около 4 часов.
4. Проанализировать электромагнитное излучение во время операций с цифровыми подписями на основе ключа ECDSA, используемых для двухфакторной аутентификации FIDO U2F при подключении к учетной записи Google. Для восстановления одного секретного ключа требуется проанализировать с помощью машинного обучения около 6 тыс. операций. Это занимает около 6 часов.
5. Вернуть ключ владельцу.

Стоимость оборудования для атаки составляет около 13 тыс. долларов США, а взломщику потребуются навыки реверс-инжиниринга микросхем и специальное ПО, которое нет в публичном доступе.

Среди необходимого оборудования:

• измерительный комплекс Langer ICR HH 500-6, применяемый для испытаний микросхем на электромагнитную совместимость;
• усилитель Langer BT 706;
• микроманипулятор Thorlabs PT3/M с разрешением 10 мкм;
• четырехканальный осциллограф PicoScope 6404D.

Инциденты

Компания Mimecast, предоставляющая услуги облачного управления электронной почтой для Microsoft Exchange и Microsoft Office 365, стала жертвой компрометации цифрового сертификата, который используется для безопасного подключения учетных записей Microsoft 365 Exchange к сервисам Mimecast.

О взломе стало известно лишь после того, как компания получила уведомление об инциденте от специалистов Microsoft.

Сертификат используется для проверки и аутентификации продуктов Mimecast Sync and Recover, Continuity Monitor и Internal Email Protect (IEP) для web-служб Microsoft 365 Exchange. Результатом компрометации может стать MitM-атака, перехват контроля над соединением и почтовым трафиком и хищение конфиденциальной информации.

Для предотвращения возможных злоупотреблений пользователям рекомендуется немедленно удалить существующее соединение в своем клиенте Microsoft 365 и повторно установить новое соединение, используя новый предоставленный сертификат.

Компания Nissan допустила утечку исходных кодов своего программного обеспечения. В публичном доступе оказались репозитории следующего ПО:

• мобильных приложений Nissan Северная Америка;
• некоторые детали диагностического инструмента Nissan ASIST;
• Dealer Business Systems/Dealer Portal;
• основной внутренней мобильной библиотеки Nissan;
• сервисов Nissan/Infiniti NCAR/ICAR;
• инструментов для привлечения и удержания клиентов;
• инструментов и данных для продаж и исследования рынка;
• различных маркетинговых инструментов;
• портала транспортной логистики;
• сервисов подключения к автомобилям;
• различных других бэкендов и внутренних инструментов.

Причиной утечки стала небезопасная конфигурация приватного Git-репозитория, для доступа к которому использовались логин и пароль admin:admin.

Представители Nissan подтвердили факт утечки, но подчеркнули, что личная информация клиентов, дилеров или сотрудников не пострадала. Также в компании уверены, что в попавших в публичный доступ данных не было информации, создающей угрозу потребителям или их автомобилям.

Ещё одной жертвой утечки стала компания Hyundai: на хакерском форуме появилось объявление о продаже базы данных 1,3 млн зарегистрированных пользователей сайта hyundai.ru.

По словам продавца, база содержит полную информацию: ФИО, телефоны, адреса проживания и электронной почты, а также марку и VIN автомобиля. База доступна в формате SQL дампа.

Этот выпуск дайджеста завершает 2020 год. Пусть 2021 принесёт больше спокойствия, благополучия и уверенности в завтрашнем дне.
Оставайтесь в безопасности!

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Компания Kawasaki Heavy Industries стала жертвой кибератаки, в результате которой злоумышленники получили доступ к серверу компании и предположительно, похитили конфиденциальные данные.

По имеющимся данным взломщики получили доступ к серверу в Японии из таиландского офиса компании. После обнаружения этой атаки были обнаружены другие несанкционированные подключения к серверам в Японии, осуществлявшиеся из  Индонезии, Филиппинов и США.

Из-за инцидента компания была вынуждена временно прервать всякую коммуникацию между этими локациями. Связь была восстановлена лишь 30 ноября 2020 года, после введения ограничительных мер, проведения аудита примерно 30 000 машин в сетях компании в Японии и Таиланде, а также окончательного подтверждения, что после инцидента несанкционированных подключений к японским серверам не было.

Из-за взлома и утечки данных японский разработчик игр Koei Tecmo отключил свои европейские и американские сайты.

Для взлома использовался целевой фишинг против сотрудника компании. Похищенная информация включает 65 тыс. записей, содержащих адреса электронной почты пользователей, IP-адреса, хешированные пароли с солью, имена пользователей, даты рождения и информацию о стране проживания. Хакер пытался продать её на подпольном форуме за 0,05 биткоина что составляет около 1,3 тыс. долларов США по текущему курсу, а когда желающих купить не нашлось, опубликовал похищенные сведения бесплатно.

Кроме информации взломщик предлагал купить за 0,25 биткоина (около 6,5 тыс. долларов США) доступ к веб-шеллу, который он установил на сайте компании.

Компания Whirlpool стала жертвой вымогательского ПО Nefilim, операторы которого похитили данные и зашифровали устройства в корпоративной сети.

После атаки киберпреступная группировка опубликовала похищенные у Whirlpool файлы, среди которых были документы по выплатам сотрудникам, запросы на трудоустройство, медицинская информация, результаты проверок биографических данных.

Представители Whirlpool подтвердили факт кибератаки изданию и сообщили, что в настоящее время их системы полностью восстановлены, никаких операционных последствий для бизнеса из-за инцидента не было

Хакеры получили доступ к внутренней IT-системе парламента Финляндии и взломали электронную почту нескольких депутатов. Инцидент произошёл осенью 2020 года, но был обнаружен только в декабре.

Согласно версии следствия, неизвестные злоумышленники взломали IT-систему парламента и получили доступ к конфиденциальной информации либо в интересах иностранного государства, либо с целью причинения вреда Финляндии. Правоохранительные органы сообщают, что кража затронула более одного человека, но точное число не называется, чтобы не навредить расследованию.

Неизвестные хакеры внедрили вредоносное ПО в приложения вьетнамского государственного центра сертификации (Vietnam Government Certification Authority, VGCA), который выдает цифровые сертификаты для электронной подписи документов. Из-за компрометации пострадали частные компании и правительственные учреждения.

Любой гражданин Вьетнама, компания и государственное учреждение, которое хочет отправить файлы вьетнамскому правительству, должны подписать их цифровым сертификатом, совместимым с VGCA. Для удобства VGCA не только выдает сертификаты, но и предоставляет приложения, которые можно установить на компьютеры, чтобы автоматизировать процесс подписания документов.

Именно такие приложения и скомпрометировали злоумышленники, внедрив в них троян-бэкдор PhantomNet, также известный под названием Smanage.

Этот вредонос обычно используется как средство для загрузки более мощных плагинов, например, прокси для обхода корпоративных брандмауэров, обратных шеллов и шпионов и шифровальщиков. Предполагается, что задачей компрометации была разведка в сетях жертв и подготовка к более серьезным атакам.

Атаки и уязвимости

Уязвимость сервиса Документы Google позволяла похищать скриншоты конфиденциальных документов, встроив их в вредоносный сайт.

Для атаки использовалась опция обратной связи, с помощью которой Google давала пользователям возможность отправлять отзывы, отчеты об ошибках и пожелания по улучшению работы сервиса. При этом можно было включить в сообщения скриншоты, иллюстрирующие проблему.

Видео: демонстрация эксплуатации уязвимости

Функциональность обратной связи была реализована в виде элемента iframe, который загружал контент с feedback.googleusercontent.com.
Из-за того, что в домене Документов Google отсутствовал заголовок X-Frame-Options, злоумышленник мог заменить фрейм произвольным внешним web-сайтам и таким образом перехватывать скриншоты Документов Google, предназначавшиеся для отправки на серверы Google.

Уязвимости популярных систем распознавания лиц позволяют злоумышленникам разрешить доступ в помещения компании кому угодно и даже назначить в системе своих администраторов.

Например, система ZKTeco FaceDepot:

• построена на базе устаревшей версии Android;
• имеет доступный для всех USB-порт;
• позволяет даже посторонним устанавливать приложения с подключенного накопителя;
• не использует шифрование при обмене с сервером.

Использование таких систем в офисах создаёт иллюзию безопасности, в то время как проникнуть в помещение при желании может кто угодно.

Вредоносное ПО

Обнаружено вредоносное ПО, которое использует Word-файлы с макросами для загрузки PowerShell-скриптов с GitHub. Скрипт дополнительно загружает легитимный файл из сервиса хостинга изображений Imgur для декодирования полезной нагрузки Cobalt Strike на системах Windows.

Фрагмент скрипта, раскодирующего и запускающего полезную нагрузку из файла на хостинге Imgur.

Схема атаки:

• пользователь получает письмо, содержащее вложенный документ Word с макросами в устаревшем формате * .doc;
• при открытии документа Word запускается встроенный макрос, которые запускает powershell.exe и передает ему расположение PowerShell-скрипта, размещенного на GitHub.
• скрипт загружает реальный PNG-файла из сервиса хостинга изображений Imgur;
• значения пикселей изображения используются скриптом для раскодирования полезной нагрузки, в цикле перебирая значений пикселей в PNG и выполняя различные арифметические операции для получения функционального кода;
• декодированная полезная нагрузка представляет собой вредоносное ПО Cobalt Strike. Она связывается с управляющим сервером через модуль WinINet и ждёт дальнейших инструкций.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

На хакерском форуме обнаружена база с данными владельцев аппаратных кошельков Ledger.

База содержит сведения, полученные в результате утечки данных, о которой компания Ledger сообщила летом 2020 года. Тогда из-за уязвимости на сайте производителя злоумышленники получили доступ к контактной информации пользователей.

Опубликованный архив содержит два текстовых файла:

• All Emails (Subscription).txt, в котором имеются адреса электронной почты более 1 млн человек, подписавшихся на рассылку Ledger;
• Ledger Orders (Buyers) only.txt с именами и почтовыми адресами 273 тысяч покупателей устройств Ledger.

Фишинговое письмо

Похищенные данные уже используются для фишинговых атак против владельцев Ledger. С октября 2020 года они получают мошеннические письма, замаскированные под официальное предупреждение об утечке данных. Пользователю предлагают загрузить новую версию Ledger Live, якобы для защиты своих криптовалютных активов с помощью нового PIN-кода.

Фальшивое приложение просит ввести кодовую фразу.

Если пользователь попадается на удочку злоумышленников, загружает и устанавливает фальшивое приложение Ledger Live, его попросят ввести кодовую фразу. Полученная информация сразу же отправляется злоумышленникам, которые используют её для кражи криптовалюты жертвы.

Неизвестные хакеры похитили почти 5% активов британской криптовалютной биржи EXMO, скомпрометировав горячие кошельки. Суточный объем торгов биржи составляет 2273 BTC (почти 52 000 000 долларов США), а количество активных трейдеров — более 27 тыс.

Attention!
We detected suspicious withdrawal activity. All withdrawals are temporarily suspended. We're investigating the issue and taking measures to protect your funds.
If any user fund is affected by this incident, it'll be covered completely by EXMO.https://t.co/QCtOGRFE65

— EXMO (@Exmo_Com) December 21, 2020

Представители EXMO пишут, что 21 декабря 2020 года в 2:27:02 UTC были замечены подозрительные операции по выводу больших объёмов средств. Сейчас на бирже приостановлены все операции, а пользователей просят не пополнять депозиты.

Общая сумма ущерба может составить около 10 500 000 долларов США.

Сотрудники телекомпании «Аль-Джазира» и журналист лондонского телеканала «Аль Араби» пострадали от взлома, проведённого с помощью легального инструмента Kismet, разработанного израильской компанией NSO Group.

Kismet использует цепочку из нескольких уязвимостей, среди которых имеется уязвимость нулевого дня в iOS, не требующая взаимодействия с пользователем. В результате атаки устройства жертв были заражены вредоносным ПО Pegasus.

По имеющимся данным, NSO Group продала Kismet по крайней мере четырем организациям, которые использовали его для взлома личных iPhone сотрудников «Аль-Джазира» и «Аль Араби» в июле и августе 2020 года. Дальнейшее расследование показало, что атаки начались в октябре 2019 года.

Когда атаки были обнаружены, выяснилось, что инструмент Kismet работал против новейших на тот момент устройств Apple. 0-day уязвимость перестала представлять опасность лишь после выпуска iOS 14 осенью 2020 года.

Производитель ароматизаторов Symrise стал жертвой кибератаки вымогателя Clop, в результате которой злоумышленники украли 500 ГБ незашифрованных файлов и зашифровали почти 1 тыс. компьютеров компании.

В результате инцидента Symrise пришлось отключить компьютерные системы, чтобы предотвратить распространение атаки. Компания также временно остановила производство и закрыла объекты для расследования масштабов атаки.

Для взлома сети Symrise преступники использовали фишинговые письма, содержащие вредоносные вложения. Получив доступ к сети, они похитили 500 ГБ незашифрованных файлов перед запуском шифрования.

Размещённые на портале утечек в качестве доказательства данные включают сканы паспортов, бухгалтерские документы, аудиторские отчёты, конфиденциальную информацию о косметических ингредиентах и электронные письма.

Атаки и уязвимости

В тонких клиентах Dell Wyse обнаружены критические уязвимости, эксплуатация которых позволяет запустить вредоносный код и получить доступ к произвольным файлам.

Тонкий клиент Dell Wyse 3040 — одна из уязвимых моделей.

Уязвимости CVE-2020-29492 и CVE-2020-29491 содержатся в компонентах ThinOS — операционной системы, под управлением которой работают тонкие клиенты Dell Wyse. Для удалённого управления ThinOS Dell рекомендует настроить FTP-сервер, с которого на устройства будут загружаться обновления прошивок, пакетов и конфигураций.

Оказалось, что подключиться к FTP можно с использованием анонимной учётной записи (anonymous). При этом ЭЦП Dell были подписаны только прошивка и пакеты. Файлы конфигурации мог изменять кто угодно.

Уязвимости содержатся в 11 моделях тонких клиентах с ThinOS версии 8.6 и старше.

Атака AIR-FI позволяет превратить оперативную память компьютера (RAM) в точку доступа Wi-FI и извлечь данные даже с физически изолированных систем.

Демонстрация атаки:

Атака AIR-FI базируется на том, что любой электронный компонент при прохождении электрического тока генерирует электромагнитные волны. Управляя определённым образом питанием RAM, можно заставить «линейки» оперативной памяти генерировать электромагнитные волны с частотой, соответствующей частоте сигнала Wi-Fi (2,4 ГГц).

Такой сигнал может принять любое устройство с поддержкой Wi-Fi, находящееся неподалеку от изолированного компьютера, например, смартфон, ноутбук или умные часы.

Максимальная скорость AIR-FI, которую удалось получить в ходе экспериментов, составила 100 бит/сек. При этом принимающее сигнал устройство находилось на расстоянии нескольких метров от скомпрометированной машины.

Атака AIR-FI довольно проста в реализации. Для её проведения злоумышленнику не нужно получать права администратора. Она может работать на любой ОС и даже на виртуальных машинах.

Большинство современных модулей RAM без труда могут излучать сигналы в диапазоне 2,4 ГГц, а старую память для проведения атаки придётся «разогнать».

Из-за программной ошибки адреса электронной почты и даты рождения пользователей Instagram были доступны через интерфейс Facebook Business Suite.

Для эксплуатации ошибки достаточно было подключить свой Instagram к Business Suite, после чего при отправке сообщений можно было видеть адреса их электронной почты и даты рождения, которые должны оставаться конфиденциальным. Email-адрес просто отображался в правой части окна, и получение этой информации не требовало каких-либо манипуляций.

Примечательно, что доступ можно было получить к email-адресу любого пользователя Instagram, включая владельцев закрытых профилей и тех, кто запретил приём личных сообщений.