Недавно мы писали о возможной утечке конфиденциальных данных известной кибергруппы Equation Group (Five Eyes/Tilded Team). Опубликованная информация готовилась по горячим следам, а сам инцидент с публикацией данных рассматривался как вызывающий сомнения. Однако, за прошедшие несколько дней, нам удалось изучить опубликованный в свободном доступе архив, а также собрать доверенные источники, подтверждающие достоверность информации группы хакеров Shadow Brokers. Размер самого архива с доступными для доступа данными составляет около 300МБ, в нем насчитывается более 3,5 тыс. файлов. Расшифрованная публичная часть архива, которая уже упоминалась нами ранее, содержит в себе различные скрипты установки, файлы конфигурации, информацию о работе с управляющими C&C-серверами, работающие эксплойты для популярных роутеров и брандмауэров.

Группа хакеров под названием Shadow Brokers обнародовала в своем блоге информацию, согласно которой на специальный аукцион для продажи выставлены скомпрометированные данные кибергруппировки Equation Group.

Особенность потенциальной утечки данных заключается в том, что Equation Group или по-другому FiveEyes (Tilded Team), с высокой долей вероятности, принадлежит авторство самых известных видов кибероружия, включая, Stuxnet, Flame, Duqu, Regin, EquationLaser и др. Согласно информации, которая была опубликована Сноуденом, FiveEyes имеет прямое отношение к спецслужбам NSA, CIA, GCQH.

Кроме платной части архива со скомпрометированными данными, которая выставлена на аукцион, аудитории представлена и свободно распространяемая часть в зашифрованном виде. Для загрузки данных архива представлена ссылка на файлообменные сети. Архив содержит в себе файлы eqgrp-auction-file.tar.xz.gpg, а также eqgrp-free-file.tar.xz.gpg.

Microsoft выпустила набор обновлений для Windows и Office. Обновлению подверглись веб-браузеры Internet Explorer и Edge, а также такие печально известные компоненты Windows, как драйвер Win32k.sys, графическая библиотека Gdiplus.dll, библиотека Windows PDF Glcndfilter.dll. В рамках обновления MS16-096 в веб-браузере Edge было исправлено восемь уязвимостей, большинство из которых относятся к типу RCE и могут быть использованы атакующими для удаленного исполнения кода с использованием специальным образом сформированной веб-страницы.

Как и в прошлый раз, обновлению подвергся механизм безопасной загрузки Windows 8.1 & 10 под названием Secure Boot. Обновление MS16-100 исправляет в нем уязвимость CVE-2016-3320 типа Security Feature Bypass (SFB). С использованием этой уязвимости атакующие могут скомпрометировать такие функции безопасности Windows как проверка аутентичности загружаемых драйверов, а также разрешить в системе загрузку драйверов с тестовой цифровой подписью.

Неделю назад специалисты ФСБ опубликовали интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.



Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Команда известных security-специалистов, ранее работавших в Microsoft Security Response Center и причастных к разработке EMET, обнародовала информацию о своем новом продукте для Windows под названием Veramine. Он представляет из себя решение для безопасности на основе облака и специализируется на исследовании аномалий в работе системы с целью обнаружения различных типов атак и вредоносных действий, включая, атаки типа pass-the-hash, эксплуатация LPE-эксплойтов, внедрение вредоносного кода в процессы и др.



Veramine специализируется на изучении поведения целевой системы с использованием клиента, который отправляет информацию о происходящих в системе событиях на сервер, после чего серверная часть выстраивает логику работы системы и пытается обнаружить там аномалии на основе используемых правил. Происходящие в системе действия и возможные аномалии пользователь может увидеть через веб-интерфейс при подключении к своему аккаунту на сервере.

Журналисты Reuters сообщают, что мессенджер Telegram в Иране подвергся самой масштабной компрометации аккаунтов пользователей за всю историю. В результате хакерам удалось раскрыть информацию по более чем 15 млн. номеров телефонов пользователей мессенджера, а также получить доступ к десятку аккаунтов. Хакеры воспользовались наиболее уязвимым в Telegram местом — процесс активации новых устройств, который основан на отправке текстовых SMS-сообщениях.



Telegram является очень распространенным мессенджером в Иране, его аудитория достигает 20 млн. человек. Мессенджером пользуются многие гражданские активисты, а также журналисты, так как он предоставляет высокий уровень защищенности пересылаемых данных. При активации пользователем нового устройства, Telegram посылает на него код активации в специальном SMS-сообщении. Данный код может быть перехвачен на уровне телекоммуникационной компании и оказаться в руках хакеров.

Не является секретом тот факт, что ядро Android во многом основано на ядре Linux и повторяет его модель безопасности. Как в случае с Linux и другими десктопными ОС, Android обеспечивает свои приложения закрытым виртуальным адресным пространством, что позволяет эффективным образом распределять ресурсы между ними, а также управлять их безопасностью. Android также обеспечивает приложения защитными технологиями DEP & ASLR, что препятствует эксплуатации уязвимостей в них. Механизм sandbox и система прав (permissions) гарантируют, что запущенное приложение получит доступ только к предназначенным для него данным и ресурсам.



Недавно разработчики Android сообщили, что работают над защитными мерами компонентов ядра, которое функционирует в своем адресном пространстве, недоступном для простых приложений. В опубликованных нами в этом году бюллетенях безопасности Android не один раз указывались LPE-уязвимости в ядре и драйверах, которые позволяли приложению запустить свой код в режиме ядра.

Про Stuxnet было сказано и показано уже достаточно много раз, чтобы возвращаться к нему снова. Однако, на сей раз, мы решили это сделать. Это связано с тем, что в США в прокат вышел долгожданный документальный фильм известного режиссера Alex Gibney под названием Zero Days. Фильм уже заработал самые положительные отзывы и оценки не только от простых зрителей, но и от экспертов из разных областей по всему миру. Zero Days стал по-настоящему первым полнометражным фильмом столь высокого уровня, в котором центральной темой является Stuxnet и методы ведения кибервойны.



Для зрителя доступным языком рассказывается об уязвимостях нулевого дня, так называемых state-sponsored кибератаках, а также о политическом противостоянии между странами не только в киберпространстве, но и в реальной жизни. Разумеется, наиболее интересным моментом было объяснение причастности тех или иных спецслужб к разработке Stuxnet. Согласно одной из сотрудниц АНБ, Stuxnet был крупным секретным проектом спецслужб нескольких государств: ЦРУ, АНБ, Кибернетического командования США, Центра правительственной связи Великобритании (GCHQ), а также израильской MOSSAD, и подразделения радиоэлектронной разведки 8200.

Несмотря на усилия Google, направленные на повышение безопасности Android путем регулярного (ежемесячного) выпуска security-обновлений, не все компании-производители смартфонов готовы идти на встречу своим пользователям в вопросе поддержки актуального состояния прошивок своих смартфонов. Ранее мы писали, что кроме Google, компания Samsung также обещала пользователям регулярно обновлять Android. По крайней мере, речь идет об обновлении Android на флагманских моделях смартфонов.



В противоположность Samsung, известная американская компания Motorola отказалась ежемесячно исправлять уязвимости в своих версиях прошивок Android. Как указывает издание Ars Technica, компания отказалась обновлять Android на своих современных устройствах, в частности, на Moto Z и Moto G4 из-за «сложности этого процесса». В то же время компания утверждает, что будет обновлять свои прошивки, но может не делать это так часто как Google.

Год назад специалисты ESET фиксировали наибольшую активность двух типов вредоносных программ в Бразилии — банковских троянов и их загрузчиков (даунлоадеров). Загрузчики представляют из себя исполняемые файлы компактного размера, специализирующиеся на загрузке в скомпрометированную систему основного исполняемого файла банковского трояна. На сегодняшний день ситуация остается прежней, но с некоторыми изменениями, в частности, в список наиболее активных угроз Бразилии попали вредоносные Java .jar файлы, а также скрипты Visual Basic Script и JavaScript.



Таким образом видно, что вредоносные файлы скриптов стали весьма популярны у злоумышленников в данном регионе. В этом посте мы рассмотрим несколько вредоносных скриптов, а также механизмы их работы. Подобные скрипты также используются злоумышленниками как загрузчики, но предоставляют злоумышленникам более гибкую схему распространения, поскольку могут просто интегрироваться в веб-страницы.

Apple выпустила обновленную версию iOS 9.3.3, исправив в ней ряд уязвимостей. Среди прочих, речь идет и о серьезной уязвимости типа Stagefright для Android, о который мы писали ранее. Эта уязвимость позволяла удаленно исполнять код на устройстве Android, причем пользователю не нужно было даже открывать сообщение, достаточно было его просто получить. Схожая уязвимость с идентификатором CVE-2016-4631 была исправлена и в iOS (компонент ImageIO).



Для эксплуатации уязвимости злоумышленнику достаточно отправить на iPhone специальным образом сформированное MMS-сообщение с мультимедийным файлом. После получения сообщения, на смартфоне пользователя будет исполнен код, который может похитить из памяти данные учетных записей пользователя. В то же время, для получения полного контроля над устройством, атакующему необходим еще один LPE-эксплойт, который обеспечит ему права root в системе.

Lenovo расширила свое уведомление безопасности LEN-8324 об уязвимости ThinkPwn списком компьютеров, которые она затрагивает, а также обнародовала даты выхода обновлений для ее исправления. Ранее мы писали об этой 0day LPE уязвимости, которая присутствует в одном из драйверов UEFI-прошивки компьютеров производства Lenovo, а также указывали, что уязвимыми для нее являются и компьютеры других производителей, например, Dell и Hewlett Packard. Уязвимость позволяет вошедшему в систему атакующему с правами администратора исполнить в ней произвольный SMM-код, а также использовать этот метод для обхода аппаратной защиты от модификации памяти SPI-flash чипа.



По информации Lenovo, ThinkPwn наименее актуальна для десктопной и десктопной all-in-one (моноблоки) серии компьютеров, речь идет об IdeaCentre, Lenovo (B,D,E,G,H,M), Lenovo QITIAN и др. С другой стороны, наиболее подверженной для ThinkPwn оказалась серия ноутбуков ThinkPad и некоторые модели IdeaPad. Для части компьютеров ThinkStation уязвимость также актуальна.

Microsoft выпустила обновления для своих продуктов, исправив уязвимости в ядре и системных компонентах Windows, а также .NET Framework и Office. Всего исправлению подлежит 49 уязвимостей в рамках 6 критических и 5 важных обновлений. Одно из важных обновлений MS16-090 исправляет шесть уязвимостей в печально известном драйвере GUI-подсистемы Windows — win32k.sys. Уязвимости относятся к типу Local Privilege Escalation (LPE) и могут быть использованы атакующими для поднятия своих прав в системе до уровня SYSTEM, что позволит несанкционированно исполнить код напрямую в режиме ядра. Обновление актуально для Windows Vista+.



Другое важное обновление MS16-094 исправляет уязвимость типа Security Feature Bypass (SFB) с идентификатором CVE-2016-3287 в механизме безопасности Windows под названием Secure Boot. Secure Boot используется Windows в качестве гарантии загрузки легитимного UEFI-кода на самом раннем этапе загрузки системы, что гарантирует пользователю отсутствие какого-либо вредоносного кода, который может быть запущен еще до загрузки самой ОС. С использованием уязвимости атакующий также может отключить настройку проверки в системе цифровой подписи у драйверов, что может использоваться для загрузки в память драйверов с тестовой цифровой подписью. Исправление актуально для Windows 8.1+.

Наши аналитики анализируют множество экземпляров вредоносного ПО для Apple OS X каждый день. В основном, они относятся к типу нежелательных приложений (Potentially Unwanted Applications, PUA), которые специализируются на внедрении рекламы в работающий веб-браузер.



Последние несколько недель мы занимались исследованием одного интересного экземпляра вредоносного ПО, которое специализируется на краже содержимого т. н. связки ключей OS X (keychain), а также выступает как backdoor, предоставляя злоумышленнику доступ к скомпрометированному компьютеру.

Google исправила уязвимости в Android, выпустив обновление Android Security Bulletin—July 2016. Всего было исправлено 33 уязвимости в компонентах Android, а также 74 уязвимости в компонентах сторонних производителей (device specific): Qualcomm, MediaTek, NVIDIA. Наибольшее количество уязвимостей было исправлено в компонентах производства Qualcomm, все они относятся к типу Elevation of Privilege и могут быть использованы атакующими для поднятия своих привилегий до уровня ядра Android.



Целых семь критических уязвимостей было исправлено в печально известном компоненте Android Mediaserver, о котором мы уже писали неоднократно в прошлых постах. Уязвимости относятся к типу Remote Code Execution и могут быть использованы атакующими для удаленного исполнения кода с использованием специальным образом сформированного медиа-файла. Для срабатывания уязвимости файл может быть доставлен пользователю с помощью MMS сообщения или размещен на вредоносном ресурсе.

Facebook анонсировал функцию e2e шифрования для своего мессенджера. Правда, в отличие от WhatsApp, Viber и Signal, она не будет включена по умолчанию. Для своего мессенджера Facebook пошел по схожему с Telegram и Google Allo пути, добавив такую возможность в качестве опциональной. Компания планирует выпустить бета-версию приложения Messenger для смартфонов, в которой усиленный тип шифрования будет присутствовать в режиме «секретного общения» (secret conversations).



Текущий год стал настоящим криптографическим бумом, сначала возможность усиленного e2e шифрования получил WhatsApp, который, кстати, принадлежит Facebook, потом дело дошло до Viber. Тучи над WhatsApp стали сгущаться за месяц до анонсированного менеджерами перехода на режим усиленного шифрования по умолчанию. К мессенджеру начали предъявлять претензии правоохранительные органы, которые хотели получить доступ к функции расшифровки сообщений. На тот момент WhatsApp использовал частичную реализацию e2e шифрованию, доступную только для пользователей Android.

Несколько дней назад мы писали о 0day Local Privilege Escalation (LPE) уязвимости в UEFI-прошивке ноутбуков Lenovo ThinkPad, которой было посвящено интересное исследование security-ресерчера под ником Cr4sh. Продемонстрированный вектор эксплуатации уязвимости позволяет отключить встроенную аппаратную защиту под названием SPI Protected Ranges, которая используется для защиты SPI flash-памяти чипа от записи данных. Сама уязвимость присутствует в одном из UEFI-драйверов прошивки под названием SystemSmmRuntimeRt и позволяет исполнить произвольный привилегированный SMM-код в системе.



В свою очередь, Lenovo выпустила уведомление безопасности, в котором указала, что не занималась разработкой уязвимого драйвера, так как обращается за этим к производителям прошивок BIOS/UEFI, которые, в свою очередь, используют наработки Intel и AMD. После этого стало понятно, что спектр ноутбуков и компьютеров, уязвимых для ThinkPwn, не ограничивается компанией Lenovo. Хотя кроме Lenovo никто из производителей компьютеров и материнских плат не обмолвился об этой уязвимости, стало известно что ей подвержены ноутбуки Hewlett-Packard Pavilion, компьютеры с материнскими платами от GIGABYTE (Z68-UD3H, Z77X-UD5H, Z87MX-D3H, и др), ноутбуки Fujitsu LIFEBOOK, а также Dell.

В прошлом году специалисты компании ESET смогли обнаружить и проанализировать несколько экземпляров вредоносной программы, которые использовались в операциях кибершпионажа за пользователями. Эта вредоносная программа получила название SBDH и использует в своей работе мощные фильтры данных, различные методы взаимодействия со своими операторами, а также интересную технику обеспечения своей выживаемости в системе. Вредоносная программа была направлена на получение интересных для атакующих данных компьютеров правительственных и государственных учреждений, которые в основном сосредоточены на экономическом росте и сотрудничестве в Центральной и Восточной Европе. Информация о SBDH также будет представлена исследователями ESET Tomáš Gardoň и Robert Lipovský на конференции Copenhagen Cybercrime Conference 2016 в Копенгагене.



SBDH состоит из загрузчика и других модулей, которые используются операторами. Компактный по размеру загрузчик распространялся злоумышленниками с использованием фишинговых сообщений электронной почты. Такие сообщения содержали вложение, в качестве которого содержался файл, имеющий в названии двойное расширение. Так как Windows скрывает расширение известных файлов, пользователю отображалось фальшивое расширение, на что и рассчитывали злоумышленники. Для того, чтобы еще больше убедить потенциальную жертву в своей легитимности, для исполняемых файлов были подобраны значки стандартных приложений Microsoft или документа Word.

Производитель компьютеров Lenovo выпустил для своих пользователей уведомление безопасности Lenovo Security Advisory LEN-8324. Речь идет об уязвимости в firmware (прошивке) выпускаемых компанией компьютеров, в т. ч. в известной серии ноутбуков ThinkPad. Уязвимость можно отнести к типу Local Privilege Escalation, поскольку она позволяет атакующему исполнить код в режиме микропроцессора System Management Mode (SMM). Код SMM является самым привилегированным с точки зрения системы, так как его приоритет исполнения даже выше чем у запущенной в системе ОС или гипервизора, который может контролировать виртуальные машины.



Lenovo не раскрывает информацию об уязвимости, однако, очевидно, что речь идет именно о той уязвимости, детали которой несколько дней назад были опубликованы security-ресерчером под ником Cr4sh. Исследователь представил свои результаты исследования защищенности прошивки ноутбуков ThinkPad и опубликовал информацию об уязвимости в реализации механизмов защиты BIOS_CNTL и SPI Protected Ranges (PRx), которые позволяют коду прошивки защищать регионы SPI flash-памяти чипа (NVRAM) от перезаписи. Такая защита не позволяет модифицировать легитимный исполняемый код прошивки или интегрировать в SMRAM память посторонний код, например, бэкдор.

Компания Lenovo исправила две опасных уязвимости в своем продукте Solution Center в рамках обновления LEN-7814. Lenovo Solution Center представляет из себя специальное приложение Lenovo, которое используется для настройки производительности и удобства работы с продуктами семейства Think. С его помощью пользователи могут осуществлять мониторинг работоспособности, состояния сетевых подключений и общей безопасности системы. Приложение поставляется с компьютерами производства Lenovo. Обновлению подлежат все версии приложения младше 3.3.003.



Обновление закрывает две уязвимости, одну с идентификатором CVE-2016-5248 типа Local Privilege Escalation (LPE) и другую CVE-2016-5249 типа RCE+LPE. С использованием первой уязвимости атакующий с правами обычного пользователя может завершать в системе процессы с более высоким уровнем привилегий. Вторая уязвимость намного опаснее, поскольку позволяет атакующим удаленно исполнить код в системе под учетной записью с максимальными правами LocalSystem. В случае с первой уязвимостью, атакующему предварительно нужно получить доступ к системе, после чего он уже может использовать эксплойт для завершения процессов.