Интересно Статьи и мануалы / подкасты от BlackMast

[BlackMAST]

Вступить в наш чат

Суд освободил под залог гражданина России Михаила Шаргена, который был арестован CBI за предполагаемый взлом экзаменационного программного обеспечения JEE. Хакерской атакой воспользовались более 800 абитуриентов.

Освобожден под залог

25-летний Шарген, арестованный 3 октября, якобы вмешался в программное обеспечение iLeon, платформу, на которой проводился экзамен JEE (Main)-2021, чем помог абитуриентам успешно пройти вступительные испытания. Шарген был одним из участников большой схемы, специализировавшийся на взломе онлайн-экзаменов.

По словам чиновников, суд CBI принял к сведению тот факт, что все остальные сообвиняемые по делу были освобождены под залог, в том числе те, кто напрямую контактировал с кандидатами и их родителями для получения денег и документов. Аргументы CBI о том, что роль Шаргена не соответствовала роли других обвиняемых, поскольку он сыграл важную роль во взломе программного обеспечения, были отклонены судом.

«Только потому, что заявитель является иностранным гражданином, ему не может быть отказано в освобождении под залог, особенно когда его паспорт уже изъят следственным органом», — заявил суд, разрешая ходатайство об освобождении под залог.

Суд разрешил освободить Шаргена под личное поручительство в размере одного миллиона рупий (891 тысяча рублей) и под залог.
В чем обвиняется

Шарген был арестован 3 октября по прибытии в международный аэропорт имени Индиры Ганди из Алматы, Казахстан. В сентябре прошлого года агентство арестовало Affinity Education Pvt Ltd и трех ее директоров Сиддхарта Кришну, Вишвамбхара Мани Трипати и Говинда Варшни, а также других рекламщиков и сообщников за предполагаемое манипулирование экзаменом.

Утверждалось, что три директора в сговоре с другими партнерами и рекламщиками манипулировали онлайн-экзаменом JEE (Mains) и содействовали поступающим студентам в лучшие национальные технологические институты в обмен на огромные суммы денег. Раньше они решали вопросы через удаленный доступ из выбранного экзаменационного центра в Сонепате (Харьяна).

«Утверждалось также, что обвиняемые в целях безопасности получали листы с отметками для 10-го и 11-го классов, идентификаторы пользователей, пароли и чеки абитуриентов в разных частях страны. Cумма варьируется от 12-15 лакхов (более 1 миллиона рублей) на кандидата», — говорится в сообщении CBI.

Что с хакером сейчас

Расследование до сих пор ведется, суд устанавливает виновность Михаила Шаргена. В данный момент он отпущен под залог за неимением достаточного количества доказательств. Команда BlackMast следит за развитием событий.

​

 

[BlackMAST]

Вступить в наш чат


Что произошло

Несколько немецких аэропортов заявили 16 февраля, что их веб-сайты не работают из-за предполагаемых кибератак. Аэропорты в Дюссельдорфе, Нюрнберге и Дортмунде были взломаны.

Сайты стали мишенью так называемых атак «распределенного отказа в обслуживании» (DDoS- атака), предназначенных для того, чтобы перегрузить цель потоком интернет-трафика, препятствуя нормальному функционированию системы.

«Сайт перегружен огромным спросом», — сказал представитель аэропорта Нюрнберга, добавив, что «неясно», когда он вернется к нормальной жизни.
Кто за этим стоит

Немецкое новостное издание Der Spiegel сообщило, что ответственность за атаку взяла на себя группа российских хакеров, хотя власти не прокомментировали, кто именно взломал сайты аэропортов.

Германия находится в состоянии повышенной готовности к российским кибератакам с тех пор, как Россия начала спецоперацию на Украине.

Были ли еще атаки

В прошлом месяце веб-сайты аэропортов, органов государственного управления и организаций финансового сектора подверглись кибератакам, которые, по словам властей, были спровоцированы российской хакерской группой.

Федеральное управление информационной безопасности заявило в октябре, что уровень угрозы хакерских атак и других киберпреступлений был выше, чем когда-либо.

Заключение

Русские хакеры активно взламывают структуры Германии. На прошлой неделе немецкий авиационный гигант Lufthansa был вынужден отменить или задержать рейсы из-за серьезного сбоя в работе ИТ, вызванного строительными работами во Франкфурте, где находится его главный офис. Не исключено, что это тоже кибер-атака от хакеров из России.

Команда BlackMast внимательно следит за развитием событий и оперативно рассказывает о новых взломах.

​

 

[BlackMAST]

Вступить в наш чат


Что произошло

Нэнси Файзер, министр внутренних дел Германии, сообщила, что Германия сейчас подвержена «огромной опасности» со стороны русских хакеров. Риск диверсий, дезинформации и шпионских атак высок как никогда.

В своем сообщении Файзер заявила, что Владимир Путин вкладывает огромные ресурсы в кибератаки, что является ключевой частью его тактики. «Война усугубила проблемы кибербезопасности. Участились атаки пророссийских хакеров», — сказала она в интервью новостной сети Funke Mediengruppe, опубликованном в воскресенье.

Нэнси Файзер, министр внутренних дел Германии


По словам Файзер, опасность спонсируемой и управляемой государством шпионской и диверсионной деятельности со стороны России остается очень высокой. Министр внутренних дел призвала федеральное и региональное правительства к совместной работе по отражению кибератак. «Мы конкурируем с постоянно новыми способами атаки и технологиями», — сказала она.
В чем причина

С тех пор, как Германия начала поддерживать Украину поставками оружия и введением санкций против России, кибератаки участились, в частности, против поставщиков энергии и военных организаций. Эксперты по безопасности предупреждают о значительной опасности, которую они представляют для внутренней безопасности Германии, в частности, о способности кибератак атаковать критически важную инфраструктуру, а также политические операции, такие как Бундестаг. Также недавно российские хакеры взломали сайты аэропортов Германии, об этом мы писали в предыдущем выпуске.

Немецкий парламент стал целью одной из крупнейших кибератак, с которыми когда-либо сталкивалась Германия, в мае 2015 года, когда была атакована внутренняя компьютерная система, украдены данные и отключены офисы депутатов. Предполагается, что за атакой стоит ГРУ, российская военная разведка.

Были ли еще атаки

В 2020 году был взломан личный кабинет бывшего канцлера Ангелы Меркель. Тот взлом она назвала «возмутительным».

Хакерская группировка Ghostwriter, которая якобы находится под контролем российских спецслужб, вскоре после начала спецоперации провела несколько взломов в Германии. В последние недели кибератаки были совершены на все инфраструктуры: от аэропортов до администрации мэрии. Российская группа Killnet недавно объявила, что планирует обратить более пристальное внимание на разрушение жизни в Германии.

Эксперты в области цифровых технологий заявили, что Германия находится в состоянии «постоянного огня» со стороны хакеров. Финансовые институты, заводы по производству вооружений, поставщики энергии, гуманитарные организации и налоговые органы стали объектами атак. Эксперты говорят, что атаки часто хорошо замаскированы и определить их местоположение не так просто.

Вольфганг Вин, вице-президент берлинской службы внешней разведки BND, предупредил на конференции по безопасности в Потсдаме прошлым летом, что в цифровой мир Германии проникли хакеры из России и Китая. «Россия в наших сетях, Китай в наших сетях», — сказал он.
Как меняется ситуация

Марк Кортхаус из берлинской компании по информационной безопасности Sys11 сообщил газете Frankfurter Allgemeine, что атаки становятся все более политизированными. По словам Кортхауса, когда в этом месяце Германия приняла решение поставить Украине танки Leopard 2, количество атак на немецкие цели резко возросло.

«Атаки — предупредительный сигнал, и мы должны отнестись к этому серьезно». По его словам, за более простыми атаками часто следовали более технически сложные, причем первоначальные атаки часто рассматривались хакерами как «прощупывание почвы».

Александр Вуккевич, директор лабораторий защиты компании по информационной безопасности Avira: «Каждый раз, когда Европа усиливает свои санкции против России или ускоряет помощь Украине, хакеры усиливают свои атаки».

Когда Бундестаг проголосовал за поставки танков, была аналогичная активность, хотя парламент смог отразить атаки на свою собственную сеть. Во время Мюнхенской конференции по безопасности, на которой главной темой обсуждения было российское вторжение в Украину, хакеры атаковали ИТ-системы НАТО. Когда Болгария заявила, что поддерживает Украину, Killnet атаковала правительственные компьютеры в Софии, сказал Вуккевич.
Заключение

Похоже, что российские хакеры перешли в режим полной боевой готовности. Атаки на Германию становятся все более точными и болезненными для инфраструктуры страны.

В своих сообщениях хакерские группировки уточняют, что действуют лишь по политическим причинам. Разрушение привычной жизни жителей Германии является следствием действий их правительства. Команда BlackMast внимательно следит за развитием ситуации и каждую неделю рассказывает о новых кибератаках русских хакеров.​

 

[BlackMAST]

Как США пытаются защититься от русских хакеров

Вступить в наш чат​

Белый дом в четверг 2 марта объявил о новой стратегии кибербезопасности в рамках недавних усилий правительства США по укреплению своей киберзащиты. Усиление безопасности потребовалось на фоне неуклонного роста хакерских атак и цифровых преступлений, направленных против страны.

Суть стратегии:​

Стратегия призывает к более жесткому регулированию существующих практик кибербезопасности в различных отраслях и улучшению сотрудничества между правительством и частным сектором. Это произошло после серии громких хакерских инцидентов, совершенных против Соединенных Штатов, и на фоне военного конфликта между Россией и Украиной, в котором кибервойна занимает сейчас важную роль.

Стратегия называет Китай и Россию наиболее серьезными угрозами кибербезопасности для Соединенных Штатов. Во время разговора с журналистами официальный представитель США, который отказался назвать свое имя, сказал, что часть новой стратегии направлена на обуздание российских хакеров.

«Россия де-факто служит убежищем для киберпреступников, и программы-вымогатели — основная проблема, которой мы занимаемся сегодня», — сказал представитель власти.​

Из-за чего появилась необходимость в дополнительных мерах защиты:​

Атаки программ-вымогателей, в ходе которых киберпреступные группировки захватывают контроль над системами цели и требуют выплаты выкупа, относятся к наиболее распространенным типам кибератак и в последние годы затронули широкий спектр отраслей.

«Система уголовного правосудия не сможет самостоятельно решить эту проблему — нам нужно обратить внимание на другие элементы нашей власти», — добавил чиновник. «Поэтому мы надеемся, что Россия понимает последствия злонамеренной деятельности в киберпространстве и перестанет угрожать нашим системам».​

Как будет внедряться новая стратегия:​

Стратегия призывает к созданию коалиций с иностранными партнерами, «чтобы оказать давление на Россию и других злоумышленников, чтобы они изменили свое поведение», — сказал второй официальный представитель США, принявший участие в телефонном разговоре, который также отказался назвать

«Я думаю, что за последний год мы добились определенного успеха в создании этих коалиций», — добавил чиновник.​

Среди прочего, стратегия призывает к улучшению стандартов исправления уязвимостей в компьютерных системах и реализации указа, который потребует от облачных компаний проверять личность иностранных клиентов.

Заключение​

Похоже, что правительство США серьезно настроено на улучшение своей кибербезопасности. В лице русских хакеров США видит опасность, способную нанести серьезный вред государству.

Как отреагируют русские хакеры, и как быстро они смогут обойти новые защиты? Команда BlackMast с интересом следит за развитием событий, новый выпуск Дневников Даркнета уже через неделю!

 

[BlackMAST]

Как русские хакеры взломали украинскую видеоигру

Вступить в наш чат​

Утечки происходят в интернете. Так же и взломы. Когда в наши дни две страны воюют друг с другом, кибератак обычно становится все больше. Тем не менее, утечки остаются утечками, и если к ним подойти правильно, они не будут иметь большого значения. Или они могут стать способом получения большей поддержки со стороны клиентов или фан-базы.
Давайте поговорим о том, как российская хакерская группа взломала системы украинского разработчика GSC Game World, студии, создавшей серию видеоигр Stalker

Что произошло​

11 марта на российской фан-странице серии Stalker появился пост, в котором говорилось, что взломали Stalker 2, находящуюся в разработке, и начали угрожать украинским разработчикам игры. Эти разработчики теперь ответили и, по сути, сказали им идти к черту.
Пост и взлом, по-видимому, являются ответом на решение разработчиков GSC Game World не локализовать грядущий шутер для российского рынка, а также на то, как российские члены сообщества серии обращаются с российскими членами сообщества после последнего вторжения их страны в Украину. Хакеры просят GSC «пересмотреть свое отношение к игрокам из Беларуси и России» и «принести извинения за недостойное отношение к обычным игрокам из этих стран».
Касаемо отсутствия русской локализации пишут «Фанаты ждут от вашей официальной компании. Не надо портить людям игру из-за политики».
По словам хакерской группы, если их запросы не будут удовлетворены, они выпустят тонну украденных данных. Это включает в себя иллюстрации, детали, изображения и все виды другого контента для невыпущенной игры Stalker 2, выпуск которой намечен на конец этого года.

Ответ украинских разработчиков ​

Как вы можете себе представить, это никогда не бывает веселой ситуацией для создателей контента. Весь этот контент может влиять на завершенную игру на том или ином уровне, но он почти наверняка не полностью отражает то, чем будет законченная игра. Вы можете себе представить, что GSC очень разозлилась из-за того, что это произошло, и очень обеспокоена впечатлением, которое выпущенный контент может оставить у будущих покупателей игры. Многие студии в таких случаях вели переговоры с хакерами, чтобы контент не был опубликован.
Или, если вы GSC, вы говорите что-то вроде: "Русские хакеры, идите к черту". Нижеследующее взято из заявления, опубликованного GSC:

МЫ УКРАИНСКАЯ КОМПАНИЯ, И, КАК БОЛЬШИНСТВО УКРАИНЦЕВ, МЫ ПЕРЕЖИВАЛИ МНОГО ГОРАЗДО УЖАСАЮЩИХ ВЕЩЕЙ: РАЗРУШЕННЫЕ ДОМА, РАЗРУШЕННЫЕ ЖИЗНИ И СМЕРТИ НАШИХ БЛИЗКИХ. ПОПЫТКИ ШАНТАЖАТЬ ИЛИ ЗАПУГАТЬ НАС АБСОЛЮТНО БЕСПОЛЕЗНЫ.

НАША ПОСТОЯННАЯ ПРИВЕРЖЕННОСТЬ ПОДДЕРЖИВАТЬ НАШУ СТРАНУ ОСТАЕТСЯ НЕИЗМЕННОЙ – МЫ БУДЕМ ПРОДОЛЖАТЬ ДЕЛАТЬ ВСЕ ВОЗМОЖНОЕ ДЛЯ ПОДДЕРЖКИ УКРАИНЫ. И ЭТО НЕ ИЗМЕНИТСЯ В БУДУЩЕМ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ.

Итак, GSC решает, что утечки не так страшны, по крайней мере, не настолько, чтобы сдаться.

В СЛУЧАЕ УТЕЧКИ ПРОСИМ ВАС ВОЗДЕРЖАТЬСЯ ОТ ПРОСМОТРА ИЛИ РАСПРОСТРАНЕНИЯ ИНФОРМАЦИИ О S.T.A.L.K.E.R. 2: СЕРДЦЕ ЧЕРНОБЫЛЯ. УСТАРЕВШИЕ И НЕЗАВЕРШЕННЫЕ МАТЕРИАЛЫ МОГУТ РАЗБАВИТЬ ВПЕЧАТЛЕНИЕ ОТ ОКОНЧАТЕЛЬНОЙ ИДЕИ, КОТОРУЮ МЫ ВЛОЖИЛИ В ИГРУ. МЫ ПРИЗЫВАЕМ ВАС НАБРАТЬСЯ ТЕРПЕНИЯ И ДОЖДАТЬСЯ ОФИЦИАЛЬНОГО ВЫПУСКА ДЛЯ НАИЛУЧШЕГО ВОЗМОЖНОГО ОПЫТА. МЫ ВЕРИМ, ЧТО ВАМ ЭТО ПОНРАВИТСЯ.

МЫ ХОТИМ ВЫРАЖАТЬ НАШУ ГЛУБОКУЮ ПРИЗНАТЕЛЬНОСТЬ НАШЕМУ ЛОЯЛЬНОМУ СООБЩЕСТВУ. МЫ ПОРАЖЕНЫ ОТВЕТОМ И ПОДДЕРЖКОЙ, КОТОРЫЕ МЫ ПОЛУЧИЛИ ОТ ВАС. СПАСИБО ВАМ ЗА ЭТО. ОТ КАЖДОГО ЧЛЕНА GSC GAME WORLD TEAM.

Заключение​

Следующий шаг за русскими хакерами. Обнародуют ли они материалы игры? Справедливы ли требования хакеров и правильны ли действия украинских разработчиков? Команда BlackMast следит за развитием событий, оставайтесь с нами.

 

[BlackMAST]

Microsoft назвала хакерскую группировку, которая следующей атакует Украину

Вступить в наш чат​

"Российские хакеры, по-видимому, готовят новую волну кибератак против Украины, в том числе угрозу "по типу программ-вымогателей" для организаций, обслуживающих украинские линии снабжения", — говорится в исследовательском отчете Microsoft
Что произошло
В отчете, подготовленном группой по исследованиям и анализу кибербезопасности Microsoft, излагается ряд новых фактов о том, как российские хакеры действуют во время конфликта на Украине и что может произойти дальше.

«С января 2023 года Microsoft наблюдает, как российские киберугрозы приспосабливаются к усилению деструктивных и разведывательных возможностей в отношении гражданских и военных активов Украины и ее союзников», — говорится в отчете. Специалисты считают, что одна известная пророссийская группировка «кажется, готовится к новой разрушительной кампании».

Посольство России в Вашингтоне не сразу ответило на запрос о комментарии. Эксперты говорят, что тактика сочетания физических военных операций с киберметодами отражает предыдущую деятельность России.

«Сочетание кибератак с попытками нарушить или лишить обороняющихся возможности координировать действия и использовать киберзависимые технологии — не новый стратегический подход», — сказала Эмма Шредер, заместитель директора инициативы Cyber Statecraft Атлантического совета.

Кто за этим стоит​

Microsoft обнаружила, что особенно опытная российская хакерская группа, известная в сообществе исследователей кибербезопасности как Sandworm (она же Telebots, BlackEnergy, Voodoo Bear), тестировала «дополнительные возможности в стиле программ-вымогателей, которые можно было бы использовать для разрушительных атак на организации за пределами Украины, которые выполняют ключевые функции в линиях снабжения Украины».

Что касается данной группировки, их называют «правительственными» хакерами. Sandworm стоит за длившейся три года операцией, в результате которой был взломан ряд французских организаций, использующих мониторинговое ПО Centreon.

Атака программ-вымогателей обычно связана с проникновением хакеров в организацию, шифрованием их данных и вымогательством платы за восстановление доступа. Исторически программы-вымогатели также использовались в качестве прикрытия для более злонамеренной киберактивности, включая так называемые вайперы, которые просто уничтожают данные.

Были ли другие атаки​

С января 2022 года Microsoft заявила, что обнаружила как минимум девять различных вайперов и два типа вариантов программ-вымогателей, которые использовались против более чем 100 украинских организаций.

Согласно отчету, эти события сопровождаются ростом более скрытных российских киберопераций, направленных на прямую компрометацию организаций в странах, являющихся союзниками Украины.

«В странах Америки и Европы, особенно в соседних с Украиной странах, российские злоумышленники пытались получить доступ к правительственным и коммерческим организациям, участвующим в усилиях по поддержке Украины», — сказал Клинт Уоттс, генеральный менеджер Центра анализа цифровых угроз Microsoft.

Заключение​

С каждым днем заявлений о том, что российские хакеры готовятся к атаке на Украину становится больше. Данный отчет Microsoft говорит о том, что внимание властей сейчас приковано к киберпреступникам.

Команда BlackMast следит за развитием ситуации. Судя по усилению напряжения, совсем скоро мы узнаем о новой кибератаке от русских хакеров.

 

[BlackMAST]

Как хакеры Winter Vivern крадут письма НАТО

Вступить в наш чат ​

Русскоязычная хак-группа Winter Vivern активно использует уязвимость в Zimbra и с февраля 2023 года похищает письма официальных лиц НАТО, правительств, военнослужащих и дипломатов.

Кампания, которая также нацелена на официальных лиц европейских стран, использует вредоносный JavaScript, настроенный для отдельных порталов веб-почты, принадлежащих различным организациям, связанным с НАТО.

Winter Vivern отслеживаетcz Proofpoint с 2021 года под именем TA473, использует постоянную разведку и тщательные исследования для создания скриптов, которые крадут имена пользователей, пароли и другие конфиденциальные учетные данные целей на каждом общедоступном портале веб-почты, на который нацелены.

Как это работает​

«Эта хакерская группировка упорно преследует американских и европейских официальных лиц, а также военных и дипломатов в Европе», — написал в электронном письме исследователь угроз Proofpoint Майкл Рагги.

«С конца 2022 года TA473 потратил достаточно времени на изучение почтовых веб-порталов европейских государственных органов и сканирование общедоступной инфраструктуры на наличие уязвимостей, чтобы в конечном итоге получить доступ к электронной почте тех, кто тесно связан с государственными делами и российско-украинскими военными отношениями".

Рагги отказался назвать цели, заявив, что среди них были выборные официальные лица США и сотрудники на уровне федерального правительства, а также европейские организации.

«В ряде случаев как в США, так и в Европе лица, на которые нацелены эти фишинговые кампании, открыто поддерживают Украину в российско-украинской войне и/или участвуют в инициативах, касающихся поддержки Украины на международной арене», — добавил он.

Большинство недавних атак, обнаруженных Proofpoint, использовали уязвимость в устаревших версиях Zimbra Collaboration, программного пакета, используемого для размещения порталов веб-почты. Уязвимость, отслеживаемая как CVE-2022-27926 и исправленная в марте прошлого года, представляет собой недостаток межсайтового скриптинга, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять вредоносные веб-скрипты на серверах, отправляя специально созданные запросы. Атаки работают только против серверов Zimbra, на которых еще не установлено исправление.

Атака начинается с использования инструментов сканирования, таких как Acunetix, для выявления незакрытых порталов, принадлежащих интересующим группам. Затем члены TA473 рассылают фишинговые электронные письма, якобы содержащие информацию, представляющую интерес для получателей.

Фишинговое письмо​

Электронные письма отправляются со скомпрометированных адресов электронной почты, которые часто исходят от неисправленных или иным образом уязвимых доменов, размещенных на WordPress. Отправитель электронных писем подделывается, чтобы он выглядел как человек или организация, с которой цель взаимодействует во время обычной работы. Тело электронных писем содержит безобидный URL-адрес, но при нажатии гиперссылка приводит к URL-адресу, на котором размещен JavaScript, использующий уязвимость Zimbra.

Этот сценарий первого этапа загружает сценарий JavaScript второго этапа, адаптированный для отдельного веб-портала, выполняющего подделку межсайтовых запросов. Этот CSRF захватывает имя пользователя, пароль и токен аутентификации цели. Чтобы скрыть себя, вредоносный код JavaScript включает легитимный код JavaScript, который выполняется на собственном портале веб-почты.

Схема атаки

Чем выделяются Winter Vivern
​

Исследователи из других фирм, занимающихся безопасностью, отслеживают TA473 как Winter Vivern, имя, придуманное исследователями из DomainTools и взятое из пути к файлу, который является ранней частью вредоносного ПО группы, используемого при работе с управляющими серверами.

Исследователи из фирм Lab52 и SentinelLabs (кибербезопасность) также изучили профиль группы. Все четыре фирмы, изучившие Winter Vivern, считают: нехватку финансирования и передовых технологий группа компенсирует настойчивостью и глубокими исследованиями.

«Хотя TA473 не является лидером по сложности среди APT-угроз, нацеленных на европейский киберпространство, они демонстрируют сосредоточенность, настойчивость и повторяемость процесса компрометации геополитически уязвимых целей», — пишет Proofpoint.

Еще три недели назад сообщалось, что русскоязычная группировка Winter Vivern замечена в атаках на государственные учреждения в нескольких странах Европы и Азии, а также на поставщиков телекоммуникационных услуг.

Заключение
​

Хакеры из Winter Vivern придерживаются простого и эффективного подхода, который работает даже против важных целей, которые не способны своевременно устанавливать обновления и патчи. Они действуют медленно, но верно.

Наша команда внимательно следит за развитием событий и каждую неделю сообщает о самых громких кибератаках русских хакеров.​

 

[BlackMAST]

Российские хакеры нашли необычный способ слежки за военной техникой

Российские хакеры подключались к частным камерам наблюдения в украинских кофейнях, чтобы собирать информацию о проходящих колоннах с гуманитарной помощью, заявил во вторник высокопоставленный сотрудник службы безопасности США.

Что произошло​

Роб Джойс, директор по кибербезопасности Агентства национальной безопасности, заявил, что российское правительство и хакеры, поддерживаемые правительством, продолжают атаковать украинские системы информационных технологий в рамках своего вторжения в страну.

По его словам, одним из направлений являются камеры видеонаблюдения, используемые местными властями и частными предприятиями для наблюдения за своим окружением.

«Продолжаются атаки на украинские интересы, будь то финансовые, правительственные, личные, частные предприятия», — сказал Джойс в Центре международных и стратегических исследований в Вашингтоне.

«Мы наблюдаем, как российские хакеры подключаются к общедоступным веб-камерам, чтобы наблюдать за колоннами и поездами, доставляющими помощь», — сказал Роб Джойс.

Чиновник АНБ назвал некоторых российских хакеров «креативными», комментируя их способ добывания информации.

«Они действуют креативно. Мы наблюдаем, как российские хакеры подключаются к показывающим посетителей веб-камерам, чтобы следить за колоннами и поездами, доставляющими помощь <...>, а вместо того, чтобы пользоваться камерами на городских площадях, они выискивают камеры слежения в кафе, чтобы видеть нужную им дорогу», — сказал он.

Буду ли еще атаки​

По его словам, русские также сосредоточили свои усилия по взлому американских оборонных производителей и логистических транспортных компаний, чтобы узнать больше о цепочке поставок оружия в Украину.

«Они испытывают ежедневное давление со стороны россиян», — сказал Роб Джойс.

Заключение​

Судя по недавним новостям, российские хакеры все ближе подходят ко взлому американских оборонных производителей и логистических транспортных компаний. Не исключено, что в скором времени у взломщиков появится гораздо больше информации.

Команда BlackMast внимательно следит за развитием событий и каждую неделю рассказывает о самых интересных взломах и кибератаках со стороны российских хакеров.

 

[BlackMAST]

Вступить в наш чат
Гражданин России Денис Дубников, соучредитель криптовалютных бирж EggChange и Crypto Coyote, недавно признал себя виновным по обвинениям, связанным с отмыванием денег для вымогательской группировки Ryuk. Теперь Дубникову вынесли приговор: уже отбытый тюремный срок и штраф в размере 2000 долларов.
В этой статье вспомним о самом обсуждаемом вымогателе, нашумевшем в бизнес-среде, а также расскажем, как Дубникову удалось смягчить наказание за отмыв более 400 000 долларов доходов.
Что произошло

Денис Дубников — соучредитель криптовалютных бирж EggChange и Crypto Coyote. В 2021 году был арестован при попытке провести отпуск в Мексике. Ему отказали во въезде в страну и направили в Нидерланды, где Дубникова официально задержала голландская полиция по запросу ФБР.
В результате, в августе 2022 года Дубникова экстрадировали в США, за то, что он помогал хакерам-вымогателям обналичивать криптовалюту. Через его счета были отмыты более 400 000 долларов, связанные с деятельностью шифровальщика Ryuk.
Согласно обвинительному акту, Дубников был среди брокеров, которые помогали Ryuk отмывать выплаты программ-вымогателей, разделяя платежи на несколько меньших сумм, переводя их между собственными кошельками, а затем обменивая биткойны (BTC) на Tether (USDT), другие криптовалюты и фиат, в основном китайский юань.

Шифровальщик Ryuk

Ryuk — один из самых нашумевших вариантов шифровальщиков за последние несколько лет. С тех пор как он впервые появился летом 2018 года, он собрал внушительный список жертв, особенно в бизнес-среде, которая является главным объектом его атак.
Вымогатель шиф*рует фай*лы и тре*бует у жер*твы выкуп в крип*товалю*те Bitcoin за пре*дос*тавле*ние клю*чей для дешиф*ровки. ИБ-исследователи из компаний Advanced Intelligence и HYAS подсчитали, что «доход» операторов малвари Ryuk суммарно насчитывает более 150 000 000 долларов в биткоин-эквиваленте. Отмыть часть из дохода как раз помог Денис Дубников.

ак удалось смягчить приговор за отмыв

В случае признания виновным Дубников провел бы в тюрьме до 20 лет, а также тремя годами условно-досрочного освобождения и штрафом в размере до 500 000 долларов США.
В феврале 2023 года Дубников признал себя виновным по одному пункту обвинения (в заговоре с целью отмывания денег), а 11 апреля его приговорили к уже отбытому сроку и выплате компенсации в размере 10 000 долларов США.
Отмечается, что суд также обязал россиянина соблюдать условия надзора, в том числе регулярно отмечаться в полиции, сдавать анализы на наркотики и добровольно предоставлять образцы ДНК по запросу властей.

__________________

 

[BlackMAST]

Великобритания заявила, что российские хакеры нацелены на атаку ключевой инфраструктуры.

Вступить в наш чат​

Министр Оливер Дауден заявил, что угроза исходит от хакеров, поддерживающих Россию, хотя и не обязательно направляемых российским государством. Он описал их как кибер аналог группы Вагнера, частной российской компании с наемниками, воюющими в Украине.

Что произошло ​

Российские хакеры стремятся «нарушить или уничтожить» критически важную инфраструктуру Британии, и для того, чтобы их остановить, делается недостаточно, заявили в прошлую среду правительственные чиновники Великобритании.

Британский национальный центр кибербезопасности выпустил официальное уведомление об угрозах для операторов британских систем электроснабжения, водоснабжения и других важных систем. В уведомлении центр кибербезопасности советует усилить защиту.

Что планирует предпринять Великобритания ​

«Я не думаю, что мы делаем достаточно, чтобы защитить нашу инфраструктуру от киберугроз, исходящих от пророссийских группировок», — заявила глава центра Линди Кэмерон.

Министр Оливер Дауден заявил, что угроза исходит от хакеров, поддерживающих Россию, хотя и не обязательно направляемых российским государством. Он описал их как кибер аналог группы Вагнера, частной российской компании с наемниками, воюющими в Украине.

Он сказал, что, хотя у предполагаемых хакеров в настоящее время нет возможности нанести масштабный ущерб британским системам, угроза растет.

«Раскрытие этой угрозы — это то, на чем мы серьезно сконцентрированы», но оповещение важных систем страны необходимо, чтобы «компании понимали текущий риск, с которым они сталкиваются, и принимали меры для защиты себя и страны», — сказал Доуден на конференции по кибербезопасности в Белфасте.

Возможные последствия​

Из данных заявлений очевидно, что Великобритания осознает серьезность последствий взломов ключевых систем страны.

«Эти компании отвечают за то, чтобы наша страна работала. За то, чтобы свет оставался включенным», — сказал он. «Наше общее процветание зависит от того, насколько серьезно они относятся к собственной безопасности».

Заключение​

На этом фоне русские хакеры KillNET анонсировали масштабную атаку на киберинфраструктуру НАТО. Команда BlackMast внимательно следит за развитием кибератаки и уже в следующем выпуске подробно осветит эту тему.

 

[BlackMAST]

Российские хакеры взламывают оборудование Cisco

Вступить в наш чат​

Власти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) взламывают их устройства. Хакеры внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании, что позволяет им получать доступ к устройствами без аутентификации.
В этой статье разберемся, как происходит взлом и какую опасность он несет.

Что произошло​

18 апреля британский Национальный центр кибербезопасности (NCSC), Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР опубликовали отчет, где сообщили, что хакерская группировка APT28 использует уязвимость для разведки и развертывания вредоносных программ на маршрутизаторах Cisco.

Что такое Cisco​

Cisco Systems, «Сиско Системз» — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование, предназначенное в основном для крупных организаций и телекоммуникационных предприятий. Также разрабатывает программное обеспечение в сфере информационной безопасности.
Взламывая устройства Cisco, хакеры получают доступ к следующим функциям маршрутизаторов:

• показать текущую конфигурацию;
• показать версию;
• показать бриф интерфейса ip;
• показать arp;
• показать соседей cdp;
• показать старт;
• показать IP-маршрут;
• показать флеш.

Как происходит взлом​

Малварь под названием Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.
Взлом не несет в себе сенсационный характер, это обычная ошибка удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит. Однако на многих устройствах Cisco стоят древние прошивки, неспособные защитить маршрутизатор.
Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).

Заключение​

Известно, что APT28 получает доступ к уязвимым маршрутизаторам, используя стандартные и слабые строки сообщества SNMP, а также используя CVE-2017-6742. В своем отчете Cisco напоминает администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки.
Команда BlackMast продолжает следить за новыми взломами от русских хакеров. Уже на следующей неделе узнаем, как работает новый вирус-вымогатор или нашумевшая DDoS-атака.

 

[BlackMAST]

Вступить в наш чат
По данным властей США, ФБР уничтожило вредоносное ПО, известное как Snake, которое использовалось в кибершпионаже российской службой безопасности ФСБ. Как это произошло, узнаем в нашей статье.
Чиновники ФБР запустили операцию «Медуза», в ходе которой было выявлено и обезврежено вредоносное ПО, нацеленное на огромное количество американских компьютеров. Вредоносное ПО считалось «главным инструментом шпионажа». Между тем ответственные российские хакеры, известные как группа Turla, были названы одними из самых опытных в этом направлении.
Что произошло

Власти США заявили, что ФБР саботировало набор вредоносных программ, используемых элитными российскими шпионами, что все больше пролило свет на цифровое перетягивание каната между двумя кибер-сверхдержавами.
Высокопоставленные сотрудники правоохранительных органов заявили, что технические эксперты ФБР выявили и обезвредили вредоносное ПО, используемое российской службой безопасности ФСБ, против нераскрытого числа американских компьютеров. Они надеялись, что этот шаг нанесет смертельный удар одной из ведущих российских программ кибершпионажа.
«Мы оцениваем это как их главный инструмент шпионажа», — сказал журналистам один из официальных лиц США перед публикацией. Он сказал, что Вашингтон надеется, что операция «уничтожит страну с виртуального поля боя».

Кто за этим стоит

Чиновник сказал, что шпионы ФСБ, стоящие за вредоносной программой, известной как Snake, являются частью печально известной хакерской группы Turla.
По словам высокопоставленного сотрудника ФБР, группа в течение двух десятилетий активно действовала против различных целей, связанных с НАТО, правительственных учреждений США и технологических компаний.
Российские дипломаты не сразу ответили на сообщение с просьбой прокомментировать ситуацию. Москва регулярно отрицает проведение операций кибершпионажа.
Официальные лица США поговорили с журналистами перед выпуском новостей при условии, что их имена не будут названы. Аналогичные заявления, раскрывающие усилия ФСБ по киберподрыву, были сделаны службами безопасности Великобритании, Канады, Австралии и Новой Зеландии.
Turla считается одной из самых опытных хакерских команд, изученных сообществом исследователей безопасности.
«Они оставались в тени, сосредоточившись на скрытности и оперативной безопасности», — сказал Джон Халтквист, вице-президент по анализу угроз в американской компании по кибербезопасности Mandiant. «Они — одна из самых сложных целей, которые у нас есть».

Как удалось обезвредить ПО

Правительство США назвало уничтожение вредоносного ПО Turla Snake «Операция Медуза». ФБР и его партнеры определили, где в Интернете был развернут хакерский инструмент, и создали уникальную программную «полезную нагрузку», чтобы нарушить хакерскую инфраструктуру.
ФБР полагалось на существующие органы, выдающие ордера на обыск, для удаленного доступа к российской вредоносной программе в сетях жертв в США и разъединения ее соединений.
Высокопоставленный сотрудник ФБР сказал, что инструмент был разработан специально для связи с российской шпионской программой. «Он говорит на языке Snake и общается с помощью пользовательских протоколов Snake, не получая доступа к личным файлам жертвы», сказал чиновник.

__________________

 

[BlackMAST]

Русские хакеры украли данные 237 000 государственных служащих США

Вступить в наш чат​

Утечка коснулась систем обработки льгот на проезд TRANServe, которые возмещают государственным служащим некоторые расходы на поездки. Неясно, использовалась ли какая-либо личная информация в преступных целях.

В этой статье узнаем подробнее о деталях взлома.

Что произошло
​

Личная информация 237 000 нынешних и бывших служащих федерального правительства была раскрыта в результате утечки данных в Департаменте транспорта США (USDOT).

Министерство транспорта США уведомило Конгресс в электронном письме, что его первоначальное расследование утечки данных «изолировало утечку в определенных системах в отделе, используемом для административных функций, таких как обработка льгот для сотрудников».

Департамент расследует нарушение и заморозил доступ к системе льгот на проезд до тех пор, пока она не будет защищена и восстановлена, говорится в сообщении.

Ущерб от взлома и кто за ним стоит​

Максимальное пособие составляет 280 долларов в месяц на оплату проезда на общественном транспорте федеральных служащих. Утечка затронула 114 000 нынешних сотрудников и 123 000 бывших сотрудников.

Правительственный источники сообщают, что во взломе обвиняются пророссийские хакеры. Пока ни одна группировка не взяла на себя ответственность за утечку, однако, сообщается, что правительство уже обозначило круг подозреваемых.

Были ли подобные атаки
​

Государственные служащие и ранее подвергались взломам. Две утечки в Министерстве по управлению персоналом США (OPM) в 2014 и 2015 годах скомпрометировали конфиденциальные данные, принадлежащие более чем 22 миллионам человек, включая 4,2 миллиона нынешних и федеральных служащих, а также данные отпечатков пальцев 5,6 миллиона из этих лиц.

Подозреваемые российские хакеры, которые использовали программное обеспечение SolarWinds и Microsoft для проникновения в федеральные агентства США, взламывали незасекреченные сети Министерства юстиции и читали электронные письма в министерствах финансов, торговли и внутренней безопасности. По сообщению журналистов в 2021 году, были взломаны девять федеральных агентств.

​

 

[BlackMAST]

Как хакеры пошли по магазинам и слили клиентские данные ритейлеров
​

Хакер, который опубликовал ранее данные клиентов сервисов «Сбера», снова отличился. На этот раз в сеть попали клиентские базы гипермаркетов «Ашан» и «Твой дом», а также сети Gloria Jeans, содержащие имена, номера телефонов и адреса доставки товаров. В этой статье подробно разберем данный взлом.

Что произошло
​

ИБ-специалисты Data Leakage & Breach Intelligence (DLBI) сообщили, что в сети опубликованы базы данных с информацией о клиентах торговых сетей «Ашан» и «Твой Дом». В открытый доступ попали данные 7,8 млн клиентов «Ашана» и около 700 000 клиентов гипермаркетов «Твой Дом». Вероятнее всего, хакер попал в системы сервисов в мае этого года.

Масштаб трагедии​

Данные «Ашана» представлены в текстовых файлах, содержащих 7 840 297 строк, среди которых:

• имя/фамилия;
• телефон (7,7 млн уникальных номеров);
• email-адрес (4,7 млн уникальных адресов);
• адрес доставки или самовывоза (777 000 адресов);
• дата создания и обновления записи (с 13 апреля 2020 по 18 май 2023).

Данные «Твой Дом» опубликованы в виде дампа таблицы пользователей из CMS Bitrix. Суммарно утечка насчитывает 713 365 строк, включая:

• имя/фамилию;
• телефон (618 300 уникальных номеров);
• email-адрес (389 500 уникальных адресов);
• хешированный (с солью) пароль;
• пол (не для всех);
• дата рождения (не для всех);
• дата создания и обновления записи (с 21 января 2019 по 18 мая 2023).

Кто ответственен за слив​

Этот слив связывает с тем же хакером, что слил в сеть клиентские данные «СберСпасибо», «СберПрава», «СберЛогистики», GeekBrains и так далее.

«База опубликована в принадлежащем взломщику Telegram-канале, данные открыты для публичного доступа, что свидетельствует об их бесполезности для самого хакера»,— пояснил основатель DLBI Ашот Оганесян.

Хакер угрожает, что в дальнейшем сольет базы данных 12 крупных компаний, пока известно о девяти жертвах. Никакие требования или информацию о выкупе хакер не сообщает.

Как хакер получил данные​

В DLBI полагают, что источником утечки данных «Твой дом» могла стать система «1C-Битрикс» — как через уязвимость, так и через получение доступа к резервной копии сервера базы данных или ему самому. По данным сайта «1С-Битрикс», гипермаркет «Твой дом» есть в числе компаний, создавших корпоративный сайт на платформе.
Возможно, для Ашана точка входа была иной, так как слив выложен в другом формате.

Реакция слитых компаний​

Торговая сеть «Ашан» уже подтвердила сведения об утечке данных своих клиентов. В компании проводят внутреннее расследование.

«Служба информационной безопасности "Ашан ритейл Россия" подтвердила утечку данных клиентов торговой сети. В настоящий момент мы проводим внутреннее расследование с целью установления вектора атаки и источника утечки. Мы сожалеем о случившемся и приносим извинения нашим клиентам», — сообщают в пресс-службе ретейлера.

В компании добавили, что предпринимают все необходимые меры для усиления средств защиты информационных систем компании и защиты данных клиентов.

 

[BlackMAST]

Вступить в наш чат​

Пророссийские хактивисты атаковали европейские банковские учреждения, назвав Европейский инвестиционный банк (ЕИБ) одной из своих жертв.​

Ранее сегодня пророссийская хакерская группа Killnet заявила в своем Telegram, что нацелилась на межсетевую инфраструктуру ЕИБ.
С тех пор ЕИБ подтвердил претензии. В 16:20 банк написал в Твиттере, что в настоящее время он столкнулся с кибератакой, которая повлияла на доступность его веб-сайта.
«Мы реагируем на инцидент», — написал банк в Twitter. На момент написания статьи сайт все еще не работал.
Санкции против Европы

Последняя атака, вероятно, связана с серией крупномасштабных киберугроз против европейских финансовых учреждений со стороны пророссийских хакеров в ответ на европейскую поддержку Украины.
«Здравствуй, Европа! Как обстоят дела с банковской системой IBAN? Я чувствую, что с ней что-то не так. Возможно, на систему трансфера повлияла непогода. А еще синоптики говорят, что умрет не только IBAN, но и SEPA, WISE, SWIFT», — написала банда Killnet в своем Telegram-канале.
Три известные хакерские группировки — Killnet, Anonymous Sudan и REvil — 16 июня провозгласили себя Парламентом Даркнета. Эта фраза почти мгновенно стала популярным ключевым словом в Твиттере среди аналитиков угроз.

«72 часа назад три главы хакерских групп из России и Судана провели очередную встречу в парламенте DARKNET и пришли к общему решению: РЕШЕНИЕ №0191. Сегодня мы начинаем вводить санкции в отношении европейских систем банковских переводов SEPA, IBAN, WIRE, SWIFT, WISE», — написал Killnet.

 

[BlackMAST]

10 миллионов долларов за поимку русского хакера​

Вступить в наш чат​

США предлагают вознаграждение в размере 10 миллионов долларов за поимку печально известного российского оператора программ-вымогателей. Сегодня узнаем, о каком хакере идет речь и чем он известен.

Что произошло

Министерство юстиции США предъявило гражданину России обвинение в организации атак программ-вымогателей против «тысяч жертв» в стране и по всему миру.
Михаил Павлович Матвеев (он же Wazawaka, m1x, Boriselcin, and Uhodiransomwar), рассматриваемый 30-летний человек, предположительно является «центральной фигурой» в разработке и развертывании вариантов программ-вымогателей LockBit, Babuk и Hive с июня 2020 г.
Сообщение властей

«Эти жертвы включают в себя правоохранительные органы и другие правительственные учреждения, больницы и школы», — говорится в сообщении Министерства юстиции. «Общие требования о выкупе, предположительно предъявленные участниками этих трех глобальных кампаний по вымогательству к своим жертвам, составляют до 400 миллионов долларов, а общие выплаты выкупа жертвам составляют до 200 миллионов долларов».
Как взламывал хакер

LockBit, Babuk и Hive действуют одинаково, используя незаконно полученный доступ для кражи ценных данных и развертывания программ-вымогателей в скомпрометированных сетях. Злоумышленники также угрожают опубликовать украденную информацию на сайте утечки данных, пытаясь договориться с жертвами о сумме выкупа.
Обвинение

Матвееву были предъявлены обвинения в заговоре с целью передачи требований о выкупе, заговоре с целью повреждения защищенных компьютеров и умышленном повреждении защищенных компьютеров. Если его признают виновным, что маловероятно, ему грозит более 20 лет тюрьмы.
Государственный департамент США также объявил о присуждении до 10 миллионов долларов за информацию, которая приведет к аресту и/или осуждению Матвеева.
По словам журналиста по кибербезопасности Брайана Кребса, одним из псеводнимов Матвеева был Orange, который обвиняемый использовал для создания ныне несуществующего даркнет-форума Russian Anonymous Marketplace (он же RAMP).
Возможны ли новые взломы

Несмотря на шквал действий правоохранительных органов по борьбе с киберпреступной экосистемой в последние годы, модель «программы-вымогатели как услуга» (RaaS) продолжает оставаться прибыльной, предлагая аффилированным лицам высокую прибыль без необходимости разрабатывать и поддерживать сами вредоносные программы.
Финансовая механика, связанная с RaaS, также снизила входной барьер для начинающих киберпреступников, которые могут воспользоваться услугами, предлагаемыми разработчиками программ-вымогателей, для организации атак и присвоения львиной доли доходов, полученных нечестным путем.​

 

[BlackMAST]

Российские хакеры «Tomiris» собирают разведданные с Центральной Азии

Как показывают свежие данные «Лаборатории Касперского», русскоязычный злоумышленник, скрывающийся за бэкдором, известным как «Tomiris», в первую очередь занимается сбором разведывательных данных в Центральной Азии. В этой статье узнаем больше о взломе и его последствиях.
Ответ специалистов по безопасности

«Целью Томириса постоянно оказывается регулярная кража внутренних документов», — заявили исследователи безопасности Пьер Дельшер и Иван Квятковски в опубликованном сегодня анализе. «Угроза нацелена на правительственные и дипломатические учреждения в СНГ».
Что известно о Tomiris

Впервые Tomiris стала известна в сентябре 2021 года, когда «Лаборатория Касперского» указала на ее потенциальную связь с Nobelium (также известной как APT29, Cozy Bear или Midnight Blizzard), пророссийской хакерской группировкой, стоящей за атакой на цепочку поставок SolarWinds.
Также были обнаружены сходства между бэкдором и другим штаммом вредоносного ПО под названием Kazuar, который приписывается группе Turla (также известной как Krypton, Secret Blizzard, Venomous Bear или Uroburos).

​

Как происходит атака

В атаках целевого фишинга, организованных группой, использовался «набор инструментов полиглота», состоящий из множества несложных «сжигающих» имплантатов, которые закодированы на разных языках программирования и неоднократно развертывались против одних и тех же целей.

​

Помимо использования открытых или коммерчески доступных наступательных инструментов, таких как RATel и Warzone RAT (также известная как Ave Maria), собственный арсенал вредоносных программ, используемый группой: загрузчики, бэкдоры и похитители информации.

• Telemiris — бэкдор Python, использующий Telegram в качестве канала управления и контроля (C2).
• Roopy — похититель файлов на основе Pascal, предназначенный для поиска интересующих файлов каждые 40–80 минут и их эксфильтрации на удаленный сервер.
• JLORAT — похититель файлов, написанный на Rust, который собирает системную информацию, выполняет команды, выдаваемые сервером C2, загружает и скачивает файлы и делает снимки экрана.

Что еще удалось узнать

Расследование атак, проведенное «Лабораторией Касперского», также выявило совпадения с кластером Turla, отслеживаемым компанией Mandiant, принадлежащей Google, под именем UNC4210, и обнаружило, что имплантат QUIETCANARY (также известный как TunnusSched) был развернут против правительственной цели в СНГ с помощью Telemiris.
«Точнее, 13 сентября 2022 года, около 05:40 UTC, оператор попытался развернуть через Telemiris несколько известных имплантов Tomiris: сначала загрузчик Python Meterpreter, затем JLORAT и Roopy», — пояснили исследователи.
«Эти планы были сорваны продуктами безопасности, которые заставили злоумышленника предпринять повторные попытки из разных мест файловой системы. Все эти попытки закончились неудачей. После часовой паузы оператор снова попытался в 07:19 UTC с использованием образца TunnusSched/QUIETCANARY. Образец TunnusSched также был заблокирован».

Связь Tomiris и TurlaТем не менее, несмотря на потенциальные связи между двумя группами, говорят, что Tomiris действуют отдельно от Turla из-за различий в их целях и способах торговли.
С другой стороны, также весьма вероятно, что Turla и Tomiris сотрудничают в отдельных операциях или что обе группировки работают с одним поставщиком программного обеспечения, о чем свидетельствует использование российскими военными разведывательными службами инструментов, предоставленных московским ИТ-подрядчиком NTC. Вулкан.

 

[BlackMAST]

Вступить в наш чат​

Пророссийская хакерская группа активизировала свои кибератаки на Швейцарию, заявили власти страны. Хакеры отключили несколько крупных веб-сайтов, в том числе сайт аэропорта Женевы. В этой статье подробно разберем новый взлом.​

Что произошло

Основные правительственные веб-сайты Швейцарии, включая парламент и федеральную администрацию, в последние дни подверглись атаке распределенного отказа в обслуживании (DDoS). Ответственность за взлом взяла группа NoName.
В заявлении Национальный центр кибербезопасности Швейцарии (NCSC) охарактеризовал интенсивность DDoS-атаки как «исключительно высокую» и предупредил, что некоторые правительственные веб-сайты могут оставаться недоступными.

Хронология взлома

Группа NoName заявила, что на прошлой неделе она провела атаку на веб-сайт парламента в ответ на принятие Швейцарией еще одного пакета санкций ЕС против России, которая подверглась западным санкциям после начала СВО в Украину в феврале 2022 года.
Группировка атаковала и другие веб-сайты, в том числе веб-сайт аэропорта Женевы, являющегося узловым пунктом для дипломатов и официальных лиц, направляющихся в ООН.
«Веб-сайт международного аэропорта Женевы не устоял перед нашей атакой», — написала группа в мессенджере Telegram, опубликовав изображение медведя с когтями. Аэропорт подтвердил, что его веб-сайт подвергся DDoS-атаке.

Кто стоит за взломом

Ответственность за взлом взяла группа NoName. NoName — пророссийская хакерская группировка, заявившая о себе в марте 2022 года и взявшая на себя ответственность за кибератаки на украинские, американские, европейские сайты госучреждений, СМИ и частных компаний. Оценивается как неорганизованная и свободная пророссийская группа активистов, стремящаяся привлечь внимание в западных странах.
Команда NoName 15 августа 2022 года запустила проект для организации DDos-атак силами добровольцев. Уже в начале сентября того же года хактивисты выплатили первые вознаграждения самым активным участникам краудфандингового проекта. По данным профильных Интернет-ресурсов, на октябрь 2022 года в группе проекта в Telegram насчитывалось около 400 участников.

 

[BlackMAST]

Русские хакеры вымогают деньги у правительства США

Вступить в наш чат​

По данным одного из ведущих агентств США по кибербезопасности, несколько федеральных правительственных учреждений США пострадали в результате глобальной кибератаки со стороны российских хакеров, использующих уязвимость в широко используемом программном обеспечении.
Сегодня подробно разберем, как произошла кибератака, и кто за ней стоит.
Что произошло

Агентство США по кибербезопасности и безопасности инфраструктуры «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями, затрагивающими их приложения MOVEit», — заявил Эрик Гольдштейн, исполнительный помощник директора агентства по кибербезопасности, в заявлении для CNN, имея в виду ПО, через которое произошел взлом. «Мы работаем в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».
Clop, банда вымогателей, предположительно ответственная за это, как известно, обычно требует многомиллионных выкупов. Но никаких требований о выкупе от федеральных агентств не поступало, сообщил высокопоставленный чиновник журналистам на брифинге.
Ответ CISA пришел после того, как Progress Software, американская фирма, производящая программное обеспечение, используемое хакерами, заявила, что обнаружила вторую уязвимость в коде, над исправлением которой компания работала. Министерство энергетики входит в число нескольких федеральных агентств, взломанных в ходе продолжающейся глобальной хакерской кампании, подтвердил CNN представитель министерства.

Последствия взлома

Взломы не оказали «значительного воздействия» на федеральные гражданские агентства, заявила журналистам директор CISA Джен Истерли, добавив, что хакеры «в значительной степени просто авантюристы» в использовании уязвимости в программном обеспечении для взлома сетей.
Эта новость дополняет растущее число жертв широкомасштабной хакерской кампании, которая началась два месяца назад и затронула крупные университеты США и правительства штатов. Хакерское веселье усиливает давление на федеральных чиновников, которые пообещали положить конец угрозе атак программ-вымогателей, которые нанесли ущерб школам, больницам и местным органам власти по всей территории США.
Университет Джона Хопкинса в Балтиморе и известная система здравоохранения университета заявили, что в результате взлома могла быть украдена «конфиденциальная личная и финансовая информация», включая записи о медицинских счетах.
Подробности кибератаки

Хакеры использовали брешь в широко используемом программном обеспечении, известном как MOVEit, которое компании и агентства используют для передачи данных. Progress Software, американская фирма, производящая программное обеспечение, сообщила CNN, что в программном обеспечении была обнаружена новая уязвимость, «которая может быть использована злоумышленником».

«Мы связались с клиентами и сообщили о шагах, которые им необходимо предпринять для дальнейшей защиты своих сред, и мы также отключили MOVEit Cloud, поскольку мы срочно работаем над устранением проблемы», — говорится в заявлении компании.

Особенность взлома

Российские хакеры первыми воспользовались уязвимостью MOVEit, но эксперты говорят, что другие группировки теперь тоже могут иметь доступ к программному коду, необходимому для проведения атак.
Группа вымогателей дала жертвам время, чтобы связаться с ними по поводу выплаты выкупа. Хакеры также уточнили: «Если вы представитель государственной, городской или полицейской службы, не волнуйтесь, мы стерли все ваши данные. Вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации».
Кто взял на себя ответственность

Группа вымогателей CLOP — одна из многочисленных банд в Восточной Европе и России, которые почти исключительно сосредоточены на том, чтобы выманить у своих жертв как можно больше денег.
«Активность, которую мы наблюдаем в настоящее время, — добавление названий компаний на их сайт утечки — это тактика, чтобы напугать жертв, как зарегистрированных, так и не внесенных в список, чтобы они заплатили», — сказал CNN Рэйф Пиллинг, директор по исследованию угроз в Secureworks, принадлежащей Dell.

 

[BlackMAST]

Российские хакеры используют приложение Zulip Chat в дипломатических фишинговых атаках

Вступить в наш чат
​

Продолжающаяся кампания, нацеленная на министерства иностранных дел стран, входящих в НАТО, указывает на причастность к этому российских хакеров.
Особенности атаки

В фишинговых атаках используются PDF-документы с дипломатическими приманками, некоторые из которых замаскированы под сообщения из Германии, для доставки варианта вредоносного ПО под названием Duke, которое было приписано APT29 (он же BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes).

«Злоумышленник использовал Zulip — чат-приложение с открытым исходным кодом — для управления и контроля, чтобы уклоняться от своих действий и скрывать их за законным веб-трафиком», — заявила голландская компания по кибербезопасности EclecticIQ в анализе, проведенном на прошлой неделе.
Последовательность заражения следующая: вложение в формате PDF под названием «Прощание с послом Германии» содержит код JavaScript, который инициирует многоэтапный процесс, чтобы оставить постоянный бэкдор в скомпрометированных сетях.
Были ли подобные атаки ранее

Об использовании APT29 тем приглашений ранее сообщал Lab52, который задокументировал атаку, которая выдавала себя за норвежское посольство для доставки полезной нагрузки DLL, способной связаться с удаленным сервером для получения дополнительных полезных данных.
Использование домена «bahamas.gov[.]bs» в обоих наборах вторжений еще больше укрепляет эту связь. Выводы также подтверждают предыдущее исследование Anheng Threat Intelligence Center, опубликованное в прошлом месяце.
Если потенциальная цель поддается фишинговой ловушке, открыв файл PDF, запускается вредоносная дроппер HTML под названием Invitation_Farewell_DE_EMB для выполнения JavaScript, который сбрасывает файл ZIP-архива, который, в свою очередь, упаковывается в файл HTML-приложения (HTA), предназначенный для развертывания. вредоносное ПО Duke.
Командование и управление (C2) облегчается за счет использования Zulip API для отправки сведений о жертве в чат-комнату, контролируемую действующим лицом (toyy.zulipchat[.]com), а также для удаленного захвата скомпрометированных хостов.

Масштаб атаки

EclecticIQ заявила, что обнаружила второй PDF-файл, который, вероятно, использовался APT29 для разведки или тестирования.

«Он не содержал полезной нагрузки, но уведомлял хакера, если жертва открывала вложение электронной почты, получая уведомление через скомпрометированный домен edenparkweddings[.]com», — заявили исследователи.

Стоит отметить, что злоупотребление Zulip является нормой для спонсируемой государством группы, которая имеет опыт использования широкого спектра законных интернет-сервисов, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase и Trello. для С2.

Основными целями APT29 являются правительства и государственные деятели, политические организации, исследовательские фирмы и критически важные отрасли в США и Европе. Но, что интересно, неизвестный противник использует свою тактику для взлома китайскоязычных пользователей с помощью Cobalt Strike.

Это произошло после того, как Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о новой серии фишинговых атак против государственных организаций Украины с использованием набора инструментов постэксплуатации с открытым исходным кодом на основе Go под названием Merlin. Активность отслеживается под псевдонимом UAC-0154.