Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.
Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.
Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:
Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
Източник: SolarWinds
Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.
Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…
Как реално промените ще засегнат вашата поверителност
Даването на съгласие за споделяне на личните данни, като задължително условие да продължат да ползват WhatsApp акауните си, се отнася за всички извън Европейския съюз (сред които вече попадат и живеещите на територията на Великобритания).
3/5 There are no changes to WhatsApp’s data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads.
В действителност, за никого не е тайна, че WhatsApp споделя данните на потребителите си с Facebook още от 2014 г. – заложените промени в новата Политика за поверителност просто ще официализират действията.
Важно е да отбележим, че новите условия всъщност не променят крайната енкрипция на съобщенията, снимките и останалата информация, която изпращате чрез приложението.
Най-същественото, което трябва да знаете като потребители е, че WhatsApp и Facebook няма как да проследят вашата комуникация. Информацията, която ще бъде споделена между компаниите включва телефонния ви номер, логове за това колко, къде и кога използвате приложението, устройството на което го използвате и т.н.
По-важно е вниманието ви да бъде насочено към това, че личната ви информация изобщо се събира. Да, Facebook и WhatsApp си обменят данни за вас, но по-притеснителен е фактът, че същото прави всяка друга безплатна услуга.
Как WhatsApp промени поведението си през изминалите години
Добре известно е, че за “безплатното” понякога трябва да платим доста скъпо. Често цената е личната ни информация (privacy) и повечето от потребители на социалните мрежи и приложенията за комуникация са наясно с това. Тогава защо промяната в условията за ползване на WhatsApp е обект на такова внимание?
Потребителите на чат приложението имат основателна причина да бъдат ядосани: През 2014 г. WhatsApp обяви, че лични данни от акаунтите няма да бъдат предоставяни на току-що придобилия дялове социален гигант – Facebook.
Две години по-късно обаче (през 2016 г.), след като компанията на Mark Zuckerberg увеличи присъствието си в WhatsApp, приложението „реши“ да започне да споделя информация от акаунтите на потребителите си със социалната мрежа, „за да подобри рекламите и продуктовото позициониране“. Тогава обаче на потребителите беше дадена еднократна възможност да не се съгласят с тази промяна и да отхвърлят възможността личните им данни да бъдат споделяни.
Точно това право на избор липсва в последната версия на Политиката за поверителност на WhatsApp, отнасяща се за потребителите извън територията на ЕС.
Препоръка
Съветът ни към вас е обичайният: Ако желаете да използвате безплатна услуга като Facebook, Viber, WhatsApp, Gmail и т.н, първо се запознайте с условията за ползване. Ясно е, че няма безплатен обяд, но е важно да знаете по какъв начин сте заплатили и дали той е приемлив за вас.
Стартирайте инструмента и изберете опцията Upgrade this PC now
Следвайте инструкциите на екрана, за да актуализирате операционната си система – вече трябва да имате инсталиран Windows 10
Проверете дали системата ви е активирана (Settings -> Update & Security -> Activation) – ако не е, кликнете върху бутона Активиране, за да завършите процеса
Препоръка:
Винаги използвайте ъпдейтната операционна система, за да елиминирате уязвимостите за сигурността ви, които остарелите версии създават.
Над 100 хил. Zyxel защитни стени (firewalls), VPN маршрутизатори и контролери са потенциално уязвими, тъй като във фърмуера им се съдържат потребителско име и парола, осигуряващи администраторски достъп.
Тази предефинирана функционалност може да бъде използвана от хакери като backdoor за достъп до засегнатите устройства, чрез SSH интерфейса или чрез панела за уеб администриране.
От Zyxel заявяват, че използват “hardcoded” потребител и парола, за да доставят автоматични актуализации на фърмуера на някои от устройствата си чрез FTP.
Компанията пусна ZLD V4.60 Patch 1, за премахване на вградените креденшъли в уязвими ATP, USG, USG Flex и VPN устройства и обяви, че тези с по-ранен фърмуер или SD-OS не са засегнати.
Уязвимостите на VPN устройствата са изключително опасни, тъй като те могат да се използват за създаване на нови VPN акаунти. Чрез тях злонамерени лица могат да получат достъп до вътрешната ви мрежа или да създадат правила за пренасочване на портове, за да направят вътрешните ви услуги обществено достъпни.
Този тип уязвимости се използват за последващо инжектиране на рансъмуер или компрометиране на вътрешни корпоративни мрежи и кражба на данни от тях.
Повече за това как престъпниците експлоатират вградени в устройствата уязвимости може да прочетете ТУК.
В повечето случаи, администраторите използваме комбинация от редица инструменти, за да повишим сигурността на нашата инфраструктура – от традиционни решения, като антивирусен софтуер и защитна стена на изхода на мрежата, до по-иновативни, като IDR, XDR и NGFW. В условията на криза обаче, не всички разполагат с нужния ресурс.
Как да си осигурите добра защита ако бюджетът ви е орязан
Често неглижираме вградените инструменти, сред които е и Windows Firewall. Обзалагам се, че повечето от вас дори не са поглеждали правилата му. Доскоро аз също попадах в това число – използвах Windows Firewall единствено в случаите, когато трябва да разреша трафика на определено приложение.
Ще се съгласите, че приемаме вградените инструменти за даденост и не им обръщаме особено внимание. Добрите практики в информационната сигурност и по-точно методологията на многопластовата защита (Defence-in-depth) обаче сочат, че с всеки един слой добавяме още една защита, която би могла да попречи на злонамерените лица при опит за експлоатиране на вътрешната ни инфраструктура.
Какво по-добро средство от вградения Windows Firewall – добавяме още един слой защита без да инвестираме допълнително.
Централизирано управление на правилата в Windows Firewall чрез GPO
Високо ниво на сигурност, базирано на Block by default т.е. трафик, за който няма създадено правило в Windows Firewall, се блокира
Задължително удостоверяване преди да се разреши комуникацията към критичните услуги
Криптиране на протоколите, които изпращат информацията в чист вид
Използване на сигурни шифри при криптирането на комуникацията
Игнориране на локалните Firewall настройки – така сте сигурни, че тази политика ще се приложи на всички машини
Като краен резултат получавате изолация на ниво работна станция, което прави много по-трудно зловредното движение в мрежата (Lateral movement). Освен това, протоколи, които изпращат информацията в чист вид ще бъдат криптирани, което би предотвратило атаки от типа човек по средата (man-in-the-middle). Постигнато е и подсигуряване на RDP (Remote Desk Protocol), един от най-често експлоатираните протоколи при атаки от криптовирус (ransomware), като достъпът до него е възможен само чрез успешно удостоверяване чрез Kerberos.
При това, тези, както и други защитни механизми са възможни с използването само и единствено на вградения Windows Firewall!
ВНИМАНИЕ! Екипът на Freedomonline.bg не е автор на гореописаната тема и не носи отговорност за евентуални негативни последствия от прилагането на описаните конфигурации. Всяка инфраструктура е индивидуална и уникална – възможно е само част от предложенията или дори една конкретна настройка да бъде приложима за вас. Нека всеки да използва това, което смята, че ще му бъде полезно в неговата ежедневна работа. При всички положения, екипът на Freedomonline.bg съветва, преди да подходите към имплементирането на каквато и да е била конфигурация, от този или от друг източник, първо да я тествате в контролирана среда, която да се доближава максимално до реалната ви среда. По този начин ще избегнете разминавания между очаквания и постигнатия резултат.
Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.
В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.
Млад, но амбициозен ransomware
За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.
Една от първите бележки за откуп (Ransom note) на Maze/ChaCha
Много скоро новите версии започнаха да се наричат Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.
Уебсайтът, използван от скорошна версия на Maze
Разпространява се чрез спам / фишинг кампании
Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.
Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.
Персонализиран подход
За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.
Някои атаки стартират с таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.
Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.
По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.
На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.
Изтичане на информация / Изнудване
Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .
Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.
Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze
„Картел за изнудване“
През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“. Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.
Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.
Кратък технически преглед на Maze
Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.
Криптографската схема на Maze се състои от няколко нива:
За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон
Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.
Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.
Стрингове, които Maze използва, за да генерира ransomware note
Фрагмент от процедурата, която генерира бележка за откуп
Как да се предпазим от заразяване с Maze (или други криптовируси)?
Защо използвате електронен портфейл? Защото не искате да носите в себе си пари в брой или кредитни карти. Или защото жена ви звъни със спешна поръчка почти всеки път, когато излезете да разходите кучето само с телефон в ръка? А напоследък и защото в COVID-19 пандемията се страхувате за здравето си и се стремите да плащате отдалечено.
За всички, които сте инсталирали на телефона си приложението на А1 Wallet, Pay by Vivacom, Revolut, Apple Wallet, Garmin Pay или друго и зареждате пари в него – ето за какво трябва да внимавате:
Рискове при плащане с електронен портфейл
Един от най-големите рискове всъщност е да загубите телефона си. Докато разберете, че той липсва, за да блокирате картите си и ако не сте го защитили с ПИН или биометрия, всички данни в него са достъпни. А това вероятно са сметките ви – лични и фирмени, кодовете за двуфакторна автентикация, които получавате чрез SMS и т.н. Може да се окаже, че са източили банковите ви сметки и кредитните ви карти. Може дори да навредят на кредитния ви рейтинг в банката и това да ви попречи ако решите да изтеглите кредит в бъдеще.
Друга възможност е да се заразите – смартфоните, както и останалите компютърни устройства са уязвими. Вирус, заразил телефона ви, може да открадне не само данните ви за плащане, но и паролите ви за достъп до други акаунти и да се разпорежда с тях както му харесва.
Киберпрестъпниците използват и други „по-традиционни“ средства, за да бръкнат в портфейла на мобилния ви телефон:
Измамник може да вземе списъка ви с контакти(напр. чрез експлоатиране на уязвимост на телефона или на приложението за плащане) и да се представи за познат, на когото вече сте изпратили пари. Така през приложението за мобилно плащане може да ви примами да му платите „повторно“.
Друга опасност са спам заявките за пари, които се появяват директно в акаунта ви. Ако случайно потвърдите някоя такава заявка, зададената сума незабавно ще се прехвърли в сметката на измамника.
Защитете телефона си и плащайте безопасно
Използването на електронен портфейл крие рискове, които вие обаче можете да управлявате. Защитете го, като използвате функциите за сигурност и на телефона и на дигиталния ви портфейл:
Активирайте мерките за сигурност на вашия телефон: Задайте комбинация от биометрично заключване (сканиране на лице, ретина, пръстови отпечатъци) и код. Приложенията за плащане изискват да потвърдите самоличността си, за да ги използвате. Но имайте едно на ум, че в зависимост от държавата, плащания до определен лимит се извършват без каквато и да е проверка / удостоверяване.
Активирайте опцията да получавате известията при транзакция или плащане – в случай на подозрителна дейност, ще бъдете предупредени в (почти) реално време
Сваляйте приложения за плащане само от официалните магазини, защото контролът на сигурността им е завишен
Проверявайте правата за достъп, които приложението ви иска и разрешете само тези, които са необходими за извършване на разплащания
Използвайте антивирусен софтуер на вашия смартфон – съществуват различни софтуерни решения, които ще ви осигурят антивирусна защита и ще ви предпазват срещу зловредни приложения. Те също ще ви защитят при плащане, от спам и бързо ще локализират телефона ви ако бъде откраднат или го изгубите.
В заключение, електронният портфейл прави пазаруването по-лесно, по-бързо и по-удобно от всякога. Вземете нужните мерки за безопасност и спокойно се насладете на предимствата, които съвременните технологии ви предлагат.
Докато вие броите дните, измамниците дебнат покрай една от най-чаканите премиери през декември 2020 – Cyberpunk 2077. ВНИМАНИЕ, ГЕЙМЪРИ!
Изследователите от Kaspersky са засекли няколко уебсайта (на различни езици), които привидно предлагат Cyberpunk 2077 безплатно.
Свалянето и инсталацията започват уж нормално, но в един момент ви е нужен лицензен ключ. Нямате такъв – не е проблем: Ще го получите ако попълните анкета и предоставите телефонен номер и имейл за връзка. Накрая приложението ви казва, че липсва DLL, необходим за стартиране на играта, но… измамниците вече имат данните, които току-що сте попълнили.
Фалшивият Cyberpunk 2077 не може да се стартира, поради липса на DLL
В този конкретен случай крадат телефона и имейла ви. Но свалянето на приложения от съмнителни сайтове може да ви докара по-големи главоболия. Например, вместо анкета, киберпрестъпниците може да поискат пари в замяна на ключа. Или фиктивния инсталатор директно да ви зарази с вирус. Може да криптират устройството ви, да откраднат ваша лична информация, да ви наблюдават през камерата на устройството ви, да източат банковата ви сметка, да си присвоят профила ви в социалните мрежи и т.н.
Как да се предпазите от подобни измами
Не вярвайте на твърде добрите оферти и подлагайте на съмнение непознати сайтове. Уебсайт, предлагащ безплатна версия на една от най-очакваните игри за годината преди официално обявената дата, е фалшив.
Помислете внимателно преди да споделите лична информация или данни за плащане в уебсайт: Ако ви обещават достъп до желан файл или ключ, в повечето случаи се оказва, че сте си загубили времето или още по-лошо – личните данни и финанси.
Използвайте надеждно антивирусно решение, което да ви предупреди за съмнителни сайтове и да ви предпази от злонамерен софтуер
Уязвимост във Fortinet устройства (CVE 2018-13379) дава възможност за неупълномощен достъп през SSL VPN до системните файлове на FortiOS – предупреждението е на Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA).
Киберсигурността е интересна, актуална и обширна област, която изисква задълбочени познания и разнообразни умения. Започваме с това обобщение, за да ви подготвим, че ще ви е нужен детайлен план за действие, а не за да ви откажем.
Киберсигурността, по дефиниция, обхваща всички приети предпазни мерки за защита на ИТ системите и техните данни от неразрешен достъп, атаки и вреди, за да се гарантира тяхната достъпност, поверителност и цялост. Такъв мащабен обхват изисква сериозен професионален капацитет.
Ако сте ИТ специалист, който иска да повиши собствената си експертиза, да намери по-интересна и перспективна работа и атрактивно заплащане – продължете да четете. Да станете професионалист по киберсигурност е реално постижимо, стига да отделите нужното време и внимание и да не се страхувате да се натоварите. Междувременно, за да защитите организацията си, препоръчваме да се обърнете към експертите в областта, които ще ви помогнат да получите професионална защита, а и ще улеснят вашето израстване като специалист.
Изграждането на експертиза изисква любопитство и последователност
На първо място се информирайте какви теми включва киберсигурността. Подберете тези, които са ви най-интересни или най-необходими за работата ви и се задълбочете в тях. След като натрупате достатъчно знания, продължете с някоя от останалите теми.
На второ място – въоръжете се с търпение: овладяването на всяко умение изисква постоянство и дългосрочен времеви хоризонт. Киберсигурността, както всяка друга професия, изисква хиляди часове специално обучение, за да се превърне в умение.
Изберете ефективна учебна стратегия
Изборът на подход зависи от самите вас. Специалистите препоръчват като успешни следните три метода на усвояване на нови умения:
Top-down (отгоре надолу): Спирате се на конкретно умение и започвате да го изучавате. Ще спестите много време ако имате възможност да работите с ментор, дори и само под формата на стаж. Работата с добре подготвен специалист в областта на киберсигурността може да ви даде готови отговори и да ви спести някои провали. А и всеки ментор би предложил постоянна работа на стажант, който показва интерес, старание и прогрес.
Bottom-up (отдолу нагоре): Четенето на много книги и статии за киберсигурност, както и посещаването на подходящите курсове, е задължително. Добрата теоретична основа ще ви отвори врати към по-атрактивни позиции и възможности за развитие. И със сигурност ще увеличи шансовете ви да бъдете избран от добър ментор за съвместна работа – никой професионалист не иска времето му да бъде загубено напразно. А и много интервюта за работа започват с въпроса: „Кои са последните пет специализирани книги, които сте прочели?“
Проектно-базиран подход: Работата по конкретни проекти е най-прекият път към придобиване на практически умения. Това няма да ви спести четенето и нуждата от теоретична подготовка – само ще ви помогне точно вие да бъдете поканен в екипа. Работата по проект ще очертае конкретните технически цели и основните ресурси, които са ви необходими за да ги постигнете.
В заключение, обучението по киберсигурност е комплексно – изисква много четене, правилните курсове, практика, самоинициатива. Но с точната нагласа и избор на стратегия за действие, неусетно ще изминете пътя. И не забравяйте да вземете със себе си страстта, отдадеността и любопитството, когато тръгнете на пътешествието, наречено киберсигурност. И не забравяйте, че това е само началото!
Полезни препратки
В следното видео ще откриете допълнителна информация относно различните стратегии как да станете добри в областта на киберсигурността:
Още интересни и полезни статии по темата как най-ефективно да придобием нови знания и умения може да откриете и в блога на Azeria.
