3side кибербезопасности

Вторая волна взрывов в Ливане, не только пейджеры А теперь касаемо предположительных взрывов пейджеров/раций и других бытовых и не очень приборов. Мы уверены, что в Бейруте сейчас паника и бомбы будут искать везде. Ключевое: сейчас взрываются совсем разные устройства: рации, ноутбуки, солнечные панели (предположительно). Очень похоже, что израильтяне планировали синхронизировать взрывы с началом операции в Ливане, но не сложилось по какой-то причине. Сначала нетехнические подробности. Ничто не ново под луной, и первая "точечная ликвидация" (как их называют в Израиле) при помощи взрывчатки в средстве связи (телефоне) произошла в далеком 1996 году. Мы не будем описывать все подробности, в конце концов мы канал про кибербез, все желающие могут найти детали в книге Ронена Бергмана "Восстань и убей первым". По слухам, израильская разведка уже пробовала применять подобный подход в Иране: якобы минировали розетки и элементы БПЛА, но иранцы сумели все обнаружить. Так это или нет мы не знаем, но очень похоже, что против подготовленного и технически грамотного оппонента организация такой атаки выглядит малореалистичной. Хотя параноить теперь будут во всем мире. Что нам важно. Во-первых, логика понятна: средства связи носят "близко к телу" взрыв даже небольшого заряда взрывчатки в устройстве, приложенном к уху, с большой вероятностью будет летальным. Проблем тут две: доставить цели заминированный телефон и произвести инициацию ВВ. Потому такие случаи были разовыми и точечными. Сейчас мы имеем дело с принципиально другой ситуацией. Превратить обычный телефон или радиостанцию в "бомбу" при помощи некоего "секретного сигнала" нереально. В худшем случае может загореться батарея — вспоминаем эпопею с самолетами и смартфоном Galaxy A21. Но не более — то есть это банально неэффективный и сложный путь. Что мы точно можем сказать — сейчас очень актуальными станут именно меры противодействия техническим разведкам. Причем мы бы смотрели шире — в первую очередь, это новый вызов для служб безопасности авиакомпаний, потому что дураков, извините, много. Хотя способы обнаружения взрывчатки там вполне себе есть — вряд ли Хизбалла "просвечивала" каждый телефон и каждую рацию. Но в целом, мы видим такой вид физических атак как направленный в первую очередь против "расслабившегося" оппонента, либо против существенно менее технологичной стороны. Массовым инструментом для организации терактов/массовых атак (называйте как хотите) он вряд ли станет: слишком серьезные инструменты там задействованы. А если говорить про Хизбаллу, то главная угроза для нее — не взрывы, а параноя, которая начнется после.

Атака на цепочку поставок пейджеров! Несколько важных технических моментов насчет взрывов пейджеров в Ливане и Сирии с точки зрения специалиста по безопасности: 1) Скорее всего это история про физическую безопасность, а не про ИБ. Никакой взлом не превратит маленькую литиевую батарейку в минивзрывчатку. Да, нагрев и пожар может быть, но на видео - совсем иное. Сравните с видео возгораний аккумуляторов смартфонов, который в разы больше. Марка пейджера на фотографии поста, посмотрите сами размер батарейки. 2) А значит, мы считаем, что «недавно поставленная» (как пишет Reuters) партия была перехвачена, возможно где-то задержана, и там же во всю партию была внедрена взрывчатка, сработавшая по таймеру или (вероятнее) триггеру. Кстати, атака на цепочку поставок ровно так и устроена! И да, мы бы поставили на ВУ в батарейке. 3) С точки зрения технического исполнения и организации - на грани искусства. Средство получилось крайне избирательное - накрыть под 2 тысячи членов Хизболлы с минимумом сопутствующего ущерба иначе нереально. 4) У бойцов Хизболлы это может вызвать отторжение технических средств. И вообще, фобию подобных устройств. Что точно на руку израильтянам. В целом, все это еще раз подтверждает высокий технический уровень израильской разведки. Раньше взрывали по паре телефонов за раз. Но одновременно взорвать более 2 тысяч пейджеров - это что то новое. Видео взрывов и повреждений умышленно не выкладываем, но они легко ищутся в сети!

Стариков не проверяем! Злоумышленники из соседней страны зачастую действуют вполне изощренно, особенно на этапе развития атаки внутри сети, где шанс быть обнаруженными особенно высок. И речь тут пойдет не о самых ходовых и распространенных техниках. А о технике которые использовали хакеры из Азии и самые продвинутые группировки с 2018 года для обхода средств защиты. В 2022 году Microsoft выпустило политику обязательной цифровой подписи драйверов, не позволяющих запускать неподписанные валидным сертификатом разработчика. Но как же legacy? Устаревшие драйвера, которые годами используются приложениями во многих системах, и особенно в производственных сегментах и АСУТП? Для них сделали исключение. Все драйверы выпущенные до 29 июня 2015 г, освобождены от проверки! Поэтому еще в 2018 году злоумышленниками был разработаны инструменты "состаривания" драйверов. В настоящий драйвер добавлялся вредоносный код и его подписывали давным-давно скомпрометированной электронной подписью с заменой даты до 29 июня 2015 года! Чтобы "вредоносный драйвер" не попал под ограничения, а имея права драйвера, вредоносу гораздо проще обходить проверки средств защиты. С тех пор Майкрософт пытались решить проблему, 11 июля 2023 года году радикально запрещали подпись всеми известными скомпрометированными сертификатами, даже до 2015 года. Чем создали множество проблем пользователям старой техники и приложений, сертификаты разработчиков которых когда-то были скомпрометированы. Но и это не панацея, пока "политика исключения для старых драйверов" существует будут находиться еще не заблокированные старые скомпрометированные сертификаты, и дата будет успешно меняться. Чем и будут пользоваться злоумышленники. Да, это маска старика с Алиэкспресс

А вы знали, что у телефонных мошенников есть собственная CRM, как у менеджеров по продажам, в которой они хранят данные своих «клиентов»? Когда мошенники звонят вам, всё, что они делают сами – это разговаривают. Для всего остального у них есть CRM BRO. Это система управления взаимоотношениями с клиентами (от анг. Customer Relationship Management), которая давно используется в отечественных компаниях для систематизации клиентской базы. ↗️ Как устроена «тёмная» сторона автоматизации процессов и откуда у мошенников берутся ваши данные, разбираемся с Антоном Бочкаревым, амбассадором клуба резидентов Кибердома и CEO «Третья сторона». 🔳 История одного преступления Криминальная индустрия телефонного мошенничества в одной из соседних стран начала активно развиваться с 2014 года под влиянием местных организованных преступных группировок. За 10 лет своего существования и развития она достигла высокого уровня эффективности и нацелилась на максимизацию прибыли. индустрии это удалось — только в 2024 году телефонные мошенники украли у россиян 600 миллионов рублей. В основе автоматизации этого криминального бизнеса лежит как раз система CrmBro. После покупки украденной базы данных и ручной разметки система автоматически добавляется в общую базу колл-центров и вносит новые данные с помощью ботов для «пробива». Вся собранная информация о жертве структурируется в карточку-досье. ◼️ Как это работает Для совершения звонка оператору нужно лишь нажать пару кнопок, и система сама выберет жертву, соединит с исходящим номером SIP-телефонии (для секретности) и проверит, что этот номер ещё не заблокирован. Во время звонка перед мошенником на экране будет вся информация, которую можно найти или купить в интернете. 🧵 Пока вы разговариваете, он может предоставить сгенерированные картинки с изображением удостоверений, фейковые документы и даже «выписки» с ваших счетов от банка с оперативно подставленной текущей датой, вашим ФИО из карточки и данными по вашим счетам, если вы уже успели сообщить их. Всё, что вы расскажете о себе во время звонка, будет занесено в систему для текущего и последующих звонков. ⬆️ Telegram в помощь В последний год стал популярен сценарий с сообщением от фейкового руководителя в Telegram перед звонком. При этом аккаунт фейкового «майора» генерируется автоматически, и оператору нужно лишь поднять трубку и заговорить с вами.

Все скрипты, на которые мошенники опираются, написаны заранее более их профессиональными и опытными «коллегами». Также заранее прописаны памятки о «безопасных» суммах кредитов, которые могут вам дать без проверок в банках, а система подсказывает, куда и как можно вывести средства.

❗️ Сохраняйте бдительность Может сложиться впечатление, что это уникальная и не имеющая аналогов система, но это не так. Аналогичная автоматизация бизнес-процессов используется в крупных компаниях с фокусом на холодных продажах. Мошенники лишь переняли лучшие практики и добавили свои инструменты. ➡️ Всегда помните – на том конце провода находится технически и психологически подкованный профессионал. Самое главное правило в общении с телефонными мошенниками – немедленно положить трубку и обратиться в вашу службу безопасности. #ИБ_шпаргалка #Антон_Бочкарев 🏠 Подписаться на Кибердом & Бизнес

Запускаем опрос, который важен для одной будущей большой статьи!

Эксплойт на Wi-Fi чипы Mediatek Вышел публичный эксплойт на CVE-2024-20017, RCE (выполнение кода), 0-click (действий пользователя не требуется). Опасность: максимальная, легко компрометируется любое Wi-Fi устройство, от роутера до мобильного телефона с уязвимым чипом. Какие чипы MediaTek уязвимы: MT6890, MT7915, MT7916, MT7981, MT7986, MT7622. В устройствах каких производителей их используют чаще всего? Ubiquiti, Xiaomi, Netgear, многие устройства на Android и множество роутеров, с поддержкой Wifi6 (802.11ax). Как определить уязвимо ли мое устройство? Пока таблицы уязвимых устройств нет, придется гуглить модель вашего устройства со словами "wi-fi chipset", и искать спецификации. А если уязвимо то что? Обновляйтесь, уязвимость была обнаружена в марте, поэтому если прошивка устройства новее, то скорее всего все ок. Если обновлений нет, придется принять риск. Именно из-за таких уязвимостей важно иметь регулярно обновляемые производителем телефоны/роутеры, чтобы не оказаться без защиты. Тут прочитать полный технический репорт. Тут публичный эксплойт.

Старая, опасная кавычка Знаете, когда какая-либо новая уязвимость появляется в сети, обязательно появляются скептики которые говорят что-то в стиле "ну и к чему такой ажиотаж? Ее сейчас все закроют и все". Самые простые SQL-инъекции вида ' or '1'='1 впервые были описаны в легендарном журнале PHRACK 12 декабря 1998 года, более 25 лет назад! И их до сих пор можно встретить далеко не в студенческих/школьных приложениях. Компания Collins Aerospace - предлагала услуги личного кабинета для небольших авиакомпаний. Приложение FlyCASS для регистрации членов экипажа. Через их приложение можно было: - Посмотреть список и личные данные всех членов экипажа каждого рейса авиакомпании. - Внести нового члена экипажа на рейс для более быстрого, и как правило, менее пристрастного досмотра в аэропорту. - Внести данные члена экипажа, который не на службе, а летит как частное лицо, чтобы оформить ему перелет на дополнительном кресле в кабине пилотов, а не в салоне. Для входа в личный кабинет этого приложения необходимо было ввести логин и пароль авиакомпании, или:

Логин: ' or '1'='1 Пароль: ') OR MD5('1')=MD5('1

Чтобы зайти под любой авиакомпанией на выбор. К счастью, случаев использования уязвимости 25 летней давности обнаружено не было. Никто не захватил самолет из кабины и не пронес на борт что-то опасное, использовав всего несколько кавычек!

На IOS снова 0-day Спасибо SecAtor за подсветку, тревожно! Ждем обновления, а те кто не "Неуловимый Джо" (Политики/журналисты/активисты/крупные бизнесмены), включаем Lockdown Mode на своих айфонах. Он в теории должен защитить от заряженной SMS.

͏Тем временем, в киберподполье подкатили новинки в категории iOS RCE. KeeperZed предлагает приобрести iOS 0-day RCE эксплойт, который не требует взаимодействия с пользователем (ZeroClick) и обеспечивает полный контроль над устройствами под управлением iOS 17.xx и iOS 18.xx