18 сентября издание 404media опубликовало интересный репортаж из казино группы MGM в Лас-Вегасе (США). Ранее эта компания, управляющая 14 отелями и казино в столице азартных игр, подверглась атаке кибервымогателей, которые потребовали выкуп за восстановление работоспособности ее IT-систем. Другая подобная организация, Caesars, подверглась аналогичной атаке, но в итоге решила заплатить выкуп в размере 15 миллионов долларов. Репортаж 404media предоставляет достаточно редкую возможность узнать, каковы могут быть последствия успешной, деструктивной кибератаки на публичный бизнес.


Хочется добавить «публичный бизнес, зависящий от IT», но на самом деле трудно представить себе организацию, которая от современных технологий не зависела бы. Главная мысль публикации заключается в том, что для посетителей казино MGM кибератака привела к ряду относительно мелких неудобств. А вот для сотрудников компании недоступность множества компьютерных систем превратилась в настоящий кошмар. Многие ранее автоматизированные операции пришлось проводить вручную — от контроля доступа в гостиницы до продажи фаст-фуда.

«На стажировке не дают реальных задач», «Тебя и близко к реальному проекту не подпустят!», «Лидам некогда с тобой нянчиться: ошибешься — и на выход!», «Даже если возьмут в штат, все равно будешь „принеси-подай”». Так многие думают про стажировки в IТ-компаниях.



Чтобы развеять стереотипы, мы подготовили три честных истории от сотрудников «Лаборатории Касперского», которые в свое время проходили стажировку Kaspersky Safeboard. Они разбирают реальные кейсы из своей практики и рассказывают, как этот опыт помог им в дальнейшей работе. А какое решение их кейсов предложили бы вы?

Если вы последние лет 20 катаетесь на старом, но надежном автомобиле, легко упустить из внимания тот момент, что современные авто, даже бюджетные, теперь оснащены полноценным компьютером (и не одним), а также постоянно подключены к Интернету. В начале сентября организация Mozilla Foundation провела исследование приватности современных авто, и выводы из него были сделаны, мягко говоря, не радужные.


Идея исследования Mozilla Foundation была достаточно простая (и не лишенная недостатков). По сути специалисты внимательно прочитали различные пользовательские соглашения, предлагаемые владельцам авто разных марок. Эти тексты создают опытные команды юристов, и в них не всегда отражается реальное положение дел со сбором данных. Впрочем, обобщенные и обтекаемые формулировки делают только хуже: кажется, что автопроизводители знают о нас все и могут делать с информацией что угодно, начиная с автоматического распространения политик сбора данных на всех пассажиров вплоть до сбора информации о «сексуальной жизни» владельцев авто.

6 сентября компания Microsoft поделилась результатами расследования киберинцидента, обнаруженного ранее в июле этого года. Тогда стало известно об успешном взломе почтовых систем 25 организаций — с использованием поддельных токенов доступа.


И сам инцидент, и результаты расследования представляют большой интерес. Речь идет о действиях хорошо подготовленной группировки, которая воспользовалась далеко не самым простым способом взлома корпоративной переписки. Последовавшее за взломом расследование также дает уникальный шанс понять, как такие инциденты становятся возможными в очень крупных организациях с большими затратами на защиту корпоративной инфраструктуры.

29 августа компания VMware закрыла критическую уязвимость в сервисе VMware Aria Operations for Networks. Этот сервис обеспечивает мониторинг облачной инфраструктуры предприятия и по своей природе должен обладать доступом к этой самой инфраструктуре. Тем опаснее проблема для организаций, использующих данный инструмент. Уязвимость с идентификатором CVE-2023-34039 получила близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS v3.



Проблема подробно рассмотрена в отчете команды Summoning Team. В официальном описании уязвимости сказано, что она позволяет обойти систему авторизации. Но независимый отчет наглядно показывает, что произошла достаточно распространенная ошибка: в сервисе версий 6.0–6.10 были намертво вшиты ключи авторизации по протоколу SSH.

Кибератака на сервис обмена файлами MOVEit вполне может оказаться самым масштабным инцидентом в сфере информационной безопасности в этом году. По обновленным на прошлой неделе сведениям компании Emsisoft, число организаций, данные которых были украдены с использованием критической уязвимости в MOVEit, достигло 1000.



Этот же отчет содержит и грубую оценку количества пострадавших пользователей, чьи данные утекли в результате кибератак, — более 60 миллионов. Такой масштаб утечек связан с несколькими причинами. Во-первых, MOVEit внедряется на стороне организации, что позволяет по иронии соблюдать строгие требования по защите информации и не использовать обычные облачные сервисы. Это, в свою очередь, приводит к задержкам в установке патчей. Во-вторых, в ПО были обнаружены несколько серьезных уязвимостей подряд, причем как минимум одна из них уже эксплуатировалась на момент обнаружения.

Одна из презентаций на недавно прошедшей конференции BlackHat была посвящена уязвимостям в SDK Codesys. Уязвимости нашли специалисты компании Microsoft, а история их обнаружения подробно изложена в этой публикации. Codesys — это среда разработки для систем промышленной автоматизации, а именно для работы с программируемыми логическими контроллерами (PLC). Специалисты Microsoft показали практическую эксплуатацию проблемы в двух контроллерах производства Schneider Electric и WAGO, но так как уязвимости были найдены именно в SDK, скорее всего, им подвержены все устройства, использующие данную среду разработки, — а это несколько сотен наименований.



Всего специалисты нашли 15 уязвимостей в пяти разных компонентах SDK, реализующих коммуникацию по сети с использованием проприетарного протокола Codesys V3. При этом все уязвимости имеют одну и ту же причину: некорректная обработка так называемых меток данных для маркировки пересылаемых пакетов. При наихудшем сценарии отправка модифицированного пакета данных на уязвимый контроллер PLC может приводить либо к выполнению произвольного кода и перехвату контроля, либо к отказу в обслуживании.

На прошлой неделе вышли сразу две работы, посвященные аппаратным уязвимостям в процессорах. Атаку Inception (сайт проекта, исследование) разработали специалисты Швейцарской высшей технической школы Цюриха. Она затрагивает процессоры AMD вплоть до новейших версий с архитектурой Zen 4.



Исследователи назвали атаку в честь одноименного фильма Кристофера Нолана, в котором показана возможность «внедрения» идей в память человека во время сна. Важным элементом атаки является уже известная уязвимость CVE-2022-23825, которая обеспечивает условия для направления предсказателя ветвлений по ложному пути. Ранее считалось, что данная уязвимость актуальна только для процессоров Zen 1 и Zen 2. По факту выяснилось, что ей подвержены и более поздние модели процессоров. В атаке Inception использован новый метод Training in Transient Execution (TTE), при котором спекулятивное выполнение инструкций происходит рекурсивно.

На прошлой неделе исследователи из трех британских университетов опубликовали работу, в которой предложили обновленную методику «подслушивания за клавиатурами» — распознавания набранных символов по звуку нажатия на клавиши. Авторы статьи ссылаются на успешные эксперименты с такими акустическими кейлоггерами, проведенные в 50-х годах прошлого века, и другие подобные работы. Достижением нового исследования стала чрезвычайно высокая точность определения нажатых клавиш, а также автоматизированный способ анализа с помощью нейросетей.



Интересным техническим моментом статьи является тот факт, что нейросети тренировали на анализ изображений. Так как работа исследует звук нажатий на клавиши, это довольно необычно. Оказалось, что такой подход обеспечивает более высокую точность распознавания. Изображения представляли собой модифицированную спектрограмму звуковых сэмплов, как показано на иллюстрации выше. Во всех экспериментах текст и цифры (без знаков препинания и спецсимволов) набирались на клавиатуре ноутбука Apple Macbook Pro 16 2021 года. Исследовались два сценария «подслушивания» — прямая запись звука на расположенный рядом с ноутбуком смартфон и удаленное прослушивание нажатий через телеконференц-сервис Zoom.

На прошлой неделе исследователь Тавис Орманди из команды Google Information Security опубликовал подробности о новой уязвимости в процессорах AMD поколения Zen 2. Эта аппаратная проблема связана с ошибкой в логике работы процессоров, которую AMD, к счастью, решает обновлением микрокода. Исправление уже вышло, но пока только для серверных процессоров EPYC, где эта проблема наиболее актуальна. Патчи для десктопных и мобильных процессоров Zen 2, которые выпускались в период с 2019 по 2022 год, AMD обещает выпустить до конца 2023 года.



Пример на скриншоте выше максимально коротко описывает уязвимость. На GitHub также выложен работающий Proof of Concept. При удачном стечении обстоятельств Zenbleed позволяет извлекать информацию, хранящуюся в регистрах процессора, надежно и быстро: до 30 килобайт в секунду на каждое ядро. Хотя PoC написан под Linux, эксплуатация уязвимости возможна в любой операционной системе.

18 июля компания Citrix закрыла три уязвимости в корпоративных сетевых решениях Netscaler (а именно Netscaler ADC и Netscaler Gateway). Одна из уязвимостей (CVE-2023-3519) — критическая (рейтинг по методу CVSS 9,8 балла), она позволяет злоумышленнику выполнять произвольный код без авторизации. Эта угроза актуальна в том случае, если решение Netscaler ADC или Gateway работает в определенной конфигурации, например в качестве VPN-сервера или прокси-сервера RDP.



Уязвимость затрагивает Citrix Netscaler версий 12.1, 13.0 и 13.1, причем самая ранняя уязвимая версия имеет статус end-of-life и требует обновления до более свежей. Как сообщает издание Bleeping Computer, у наиболее серьезной проблемы статус zero-day. Эксплойт для нее был предположительно выставлен на продажу на одной из киберкриминальных площадок в начале июля. Впрочем, на момент утечки компания уже работала над исправлением ошибки.

Использование технологий интернета вещей (IoT) в городской среде позволяет оптимизировать и автоматизировать городские процессы, таким образом, делая город более эффективным, безопасным и удобным для жизни. Современные IoT-контроллеры позволяют собирать информацию с отдельных датчиков, подключенных инженерных систем и прочего оборудования, отправлять ее в облачные платформы и приложения для последующей аналитики.



При этом, становясь границей разделения физического и цифрового миров, такие устройства становятся узким местом с точки зрения кибербезопасности. Ведь, взломав их, злоумышленники получают возможность непосредственно влиять на процессы в физическом мире, получать доступ к чувствительным данным или изменять их. Таким образом, проникнуть из контура ИТ (информационные технологии) в контур ОТ (операционных технологий).

Мы взяли типовой контроллер для умного города и, совместно с создателями устройства (компанией ИСС), сделали его кибериммунным, то есть гарантированно выполняющим поставленные цели безопасности, даже под атакой. Это позволило реализовать потенциал концепции «умного города», избежав при этом сопутствующих критических киберрисков. В этом посте рассказываем, что конкретно мы сделали, почему именно так и как это помогло устранить киберриски.

Во вторник 11 июля компания Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов. Апдейт получился крупный: всего закрыли 132 уязвимости, из них 9 критических. 4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в уже вроде бы устаревшем браузере Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей можно почитать в блоге «Лаборатории Касперского» и, например, у журналиста Брайана Кребса.



Патчи для Internet Explorer представляют особый интерес, так как компания Microsoft официально «похоронила» этот браузер еще в феврале. Несмотря на это, компоненты IE11 продолжают свою жизнь как в виде специализированного режима IE Mode в браузере Edge, так и в виде системных модулей. В их список входит компонент MSHTML, который может быть задействован другими приложениями; поэтому хотя официально Internet Explorer вроде как уже не используется, устанавливать для него патчи по-прежнему важно. Тем более что самая опасная уязвимость в MSHTML, CVE-2023-32046, как раз эксплуатируется в реальных атаках.

6 июля компания Progress закрыла критическую уязвимость в программном обеспечении MoveIT. Это корпоративное ПО для обмена файлами, которое предусматривает как передачу данных через публичное облако, так и использование конфигурации с приватным хостингом файлов внутри корпоративной сети. Уязвимость была найдена в веб-приложении MoveIT Transfer: ошибка в ПО открывает возможность классической SQL-инъекции. А она, в свою очередь, приводит к доступу к базе данных (и всем файлам) без какой-либо авторизации.



Это уже вторая критическая уязвимость в ПО MoveIT. Первая была обнаружена и закрыта в самом конце мая. Подробный разбор уязвимости тогда опубликовала компания Mandiant. Проблема в корпоративном софте активно эксплуатировалась на момент обнаружения и предоставляла достаточно легкий способ доступа к приватным данным. По разным источникам, жертвами организованной атаки через MoveIT стали от ~ 120 до 230 организаций.

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха опубликовали работу, в которой показали новый метод атаки на ячейки оперативной памяти. Метод RowPress развивает идеи атаки RowHammer, впервые показанной в 2014 году еще на модулях памяти стандарта DDR3. Если предельно упростить описание этой атаки, RowHammer вызывает сбои в ячейках памяти путем многократных операций чтения соседних ячеек. Вызванная таким «постукиванием» перемена значения в целевой ячейке с единицы на ноль или наоборот может эксплуатироваться для, например, доступа к защищенным данным в оперативной памяти.



Суть RowPress показана на этом трудночитаемом графике. Исследователи из ETH Zurich слегка изменили метод атаки: они последовательно, сотни и тысячи раз подряд, обращались к ячейкам памяти так, чтобы контроллер держал «открытым» соответствующий ряд ячеек максимально долго. То есть, по сути, они применили новый порядок обращения к данным. Именно это усовершенствование привело к значительному уменьшению количества операций, необходимых для того, чтобы в соседнем ряду произошел сбой и значение целевой ячейки изменилось. Эффективность атаки таким образом удалось повысить в десятки и сотни раз. В некоторых случаях повреждение данных удавалось вызвать после всего одной активации соседнего ряда ячеек. Самое главное, что работоспособность RowPress была продемонстрирована на вполне актуальных модулях памяти DDR4, которые защищены от предыдущих атак RowHammer.

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование одной из «умных кормушек» компании Dogness. Это достаточно необычные IoT-устройства, имеющие, впрочем, общую функциональность с умными дверными звонками и видеокамерами: возможность удаленного управления через приложение, передача видео и звука. Есть и еще одна общая черта: категорически небезопасная реализация всех этих функций.



Протестированное устройство определенно входит в список эталонно незащищенных IoT-изделий: трудно найти в нем функцию, связанную с удаленным управлением, которая была бы нормально реализована. На фото приведен пример продукции данной компании, хотя конкретная модель в отчете не названа. Но функциональность у них примерно одна и та же: подключение к домашнему Wi-Fi, работа через Интернет, отправка на сервер видеороликов, записанных на встроенную видеокамеру. Для начала на кормушке был обнаружен работающий протокол telnet, позволяющий удаленное подключение с правами суперпользователя. Пароль root — фиксированный и хранится в прошивке устройства.

12 июня было опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен. Программное обеспечение CoCCA используется для управления доменами в таких зонах, как .ai, .ms и .td. Для коммуникации с регистраторами доменных имен, которые должны вносить изменения в реестр, оно применяет стандартизированный протокол EPP (Extensible Provision Protocol). Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен или создавать новые.


Авторами материала стала команда во главе с Сэмом Карри, экспертом по безопасности, который не только умеет находить нестандартные уязвимости, но и подробно рассказывает о процессе их обнаружения. Предыдущая публикация Сэма, например, рассказывала об уязвимостях в сетевых сервисах автопроизводителей. Его новый материал также представляет интерес благодаря подробному описанию выявленных проблем. Главный вывод авторов отчета: критическая инфраструктура Интернета очень часто недофинансирована. Более ранние исследования по «угону доменов», как правило, фокусировались на взломе DNS-серверов. Однако в этом случае все получилось проще и опаснее: зачем атаковать DNS, если можно модифицировать любую информацию прямо в реестре доменной зоны?

Рано или поздно каждого сетевого администратора настигает задача растянуть L2 домен. После этого любой IT-администратор достает бубен и начинает танцевать танец разной степени сложности: от Pseudowire до Ethernet over GRE. Не миновала эта задача и нас (уж очень наши ИБ-продукты любят анализировать SPAN трафик). А решать мы ее решили с помощью нашего же продукта Kaspersky SD-WAN.



Растянутый L2, SPAN, информационная безопасность и SD-WAN — довольно странный набор сетевых технологий для статьи, но, если бы автор вам предложил почитать про очередные active/active балансировки по unequal cost каналам связи в SD-WAN это было бы не так любопытно.

В этой статье делимся опытом и показываем, как настроить решение в режиме передачи L2 трафика между филиалами. И, забегая вперед, можем сказать, что все получилось настолько просто, что даже бубен доставать не пришлось.

Пятого июня исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы Satacom, известной также как LegionLoader. Речь идет о семействе загрузчиков — программ, которые устанавливают на компьютер пользователя «полезную нагрузку». В статье разобран вариант, в котором на устройство жертвы ставится расширение для браузера с богатой функциональностью по краже криптовалют.



Особый интерес представляет показанный в статье метод распространения вредоносного кода. В дополнение к чисто мошенническим сайтам, предлагающим скачать пиратскую версию какого-либо популярного ПО, Satacom также распространяется через рекламные объявления, представляющие собой изображение кнопки Download. Да, это тот самый случай, когда на каком-то (сомнительном или не очень) файловом хостинге отображается сразу несколько кнопок загрузки файла, и пользователю нужно угадать, какая из них относится непосредственно к этому хостингу. В исследовании подробно описана ситуация, когда потенциальная жертва нажимает не туда, куда надо.

1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция». Отчет можно считать предварительным — он дает только общие сведения о процессе атаки. Кроме того, в тексте подробно перечислены индикаторы компрометации, позволяющие другим компаниям и исследователям найти зараженные устройства: доменные имена, к которым обращается вредоносное программное обеспечение, характерные сетевые запросы. Последние предлагается анализировать по двум сценариям: по логам активности на самом устройстве (точнее, после анализа резервной копии) и по перехватам трафика в сетевом окружении.


Атаку обнаружили благодаря SIEM-системе KUMA: с ее помощью был зафиксирован подозрительный трафик в корпоративной сети Wi-Fi. Как и другие целевые атаки на устройства Apple, «Триангуляция» начинается с отправки сообщения в мессенджере iMessage. Сообщение задействует уязвимость в iOS, что позволяет выполнить произвольный код. Каких-либо действий со стороны владельца устройства не требуется: вредоносный код выполняется автоматически и незаметно для пользователя.