Information Security дайджест #4. Спецвыпуск: кибервойна всё спишет, неведомые юниты невидимых фронтов
В выпуске дайджеста речь пойдет, прежде всего, о хактивизме. Положение дел на фронтах: победы и потери. Другие новости тоже имеют место быть.
Краткое содержание предыдущих серий
Вряд ли для кого-то будет откровением, что прямо сейчас, вокруг нас, в мирных городах, происходят военные действия. А самые что ни на есть боевые юниты, условно говоря, ездят рядом с нами в метро. Как правило, увидеть бой нельзя, но многие из нас сталкивались с его результатами. Это — кибервойна. Достаточно заглянуть в новостные ленты и становится понятен ее масштаб, участники и цели. Давайте вместе попробуем провести короткую рекогносцировку.
Не так давно, несколько групп украинских хакеров объединились в мощную ударную армию, Ukrainian Cyber Alliance. Этот альянс сплотил хактивистов из разных уголков Украины, в их числе группы FalconsFlame, Trinity, RUH8, КіберХунта и энтузиасты-одиночки. Некоторые сообщества существовали еще до известных событий. Например, FalconsFlame была основана в 2010 году. Есть и такие, как RUH8, которые образовались в 2014, в ответ на военную агрессию сопредельного государства.
Информация об успехах Украинского Киберальянса (#UkrainianCyberAlliance, #UCA) регулярно появляется на ресурсе международного разведывательного сообщества InformNapalm, которое занимается проведением расследований, OSINT-разведкой, аналитикой, ну и собственно информационным освещением известных событий. В сообществе трудятся достаточно авторитетные в своих областях специалисты, занимающиеся, том числе, анализом добытой Киберальянсом информации. Часть информации, которая представляет особую важность, попадает в руки наших спецслужб и, как правило, не «выходит в свет». Стоит отметить, что много интересной и оперативной инфы из рук самих хакеров публикуется в твиттере RUH8 и на странице Sean Townsend в Facebook. Sean является официальным спикером Киберальянса, поэтому могу рекомендовать чтение его ленты, где кроме сухих фактов (которые затем публикуют ведущие мировые СМИ), присутствует море здорового юмора.
Разобравшись who is who, перейдем к актуальным новостям с фронтов.
Инциденты и угрозы ИБ
В результате успешного взлома МО РФ извлечена конфиденциальная информация по обеспечению гособоронзаказа РФ и получены данные документов по госконтрактам за
FrolovLeaks: добытый хакерами большой массив данных свидетельствует о существовании серьезной кампании по влиянию на политику в Украине через церковь. Опубликовано уже четыре части расследования, основанного на переписке членов российского правительства и церковного руководства. На переднем плане сцены известный фрик Кирилл Фролов, на поверку оказавшийся вовсе не тем, за кого себя выдавал.
Полученный хакерской группой InvisibleFront доступ к почтовому ящику Артема Бузилы (редактора одесского издания сепаратистской тематики, приговоренного к почти четырем годам тюрьмы, отпущенном по закону Савченко и тут же сбежавшем в Москву), позволил пролить свет на многие процессы подрывной деятельности РФ в Украине и Беларуси.
Хактивистами сделан интересный анонс. Судя по всему, был получен доступ к сети федеральной службы охраны РФ, возможно к специальному приложению объектовой охраны, включающему в себя управление закрытыми каналами связи, инфраструктурой безопасности и пр.
Тем временем, по ту сторону фронта тоже не спят. Появился отчет компании Crowdstrike (занимающейся кибербезопасностью), о шпионаже за украинской армией, осуществлявшимся группировкой FancyBear через устанавливаемое в смартфоны наших артиллеристов Android-приложение. Самих FancyBear связывают с российским правительством.
Прошедший месяц ознаменовался целым рядом взломов организаций и ведомств нашей страны. Под удар попали сайты Минобороны, Госказначейства и Министерства финансов Украины. Следом был взломан сайт УЗ. Затем атаковали ресурс Министерства инфраструктуры. В СМИ писали много разных домыслов по этому поводу. Реальных же фактов всего два: сайты перечисленных ведомств и организаций были подвергнуты дефейсу, после чего возникли кратковременные перебои в их работе. От представителей руководства и правительства последовали заявления о том, что кибератаки координировались из России. Примечательно, что Кабмином было немедленно выделено 80 миллионов гривен на защиту Минфина и Госказначейства от хакерских атак, что породило у общественности много справедливых вопросов, ответы на которые вряд ли будут получены. По некоторым данным, в атаке использовался аналог вредоносного ПО BlackЕnergy, в прошлом году инфицировавшего сети «Прикарпатьеоблэнерго» и международного аэропорта Борисполь. Представители ESET сообщают об обнаруженных вредоносных инструментах, используемых в атаках на финансовый сектор Украины. Подробности в объемном материале.
В сервисе Платинум Банка обнаружена уязвимость типа Broken Access Control, позволяющая простым перебором инкрементальных значений истории операций в кабинете пользователя получить доступ к финансовым данным других клиентов.
Миллиард. Петрович, энто ж миллиард! Yahoo официально сообщили, что в результате массированной утечки были скомпрометированы учетные данные миллиарда пользователей. Данные содержат имена пользователей, почтовые адреса, телефоны, даты рождения, хеши паролей (MD5), а в некоторых случаях секретные вопросы и ответы на них, как в зашифрованном, так и в открытом виде. Пользовались Yahoo? Вы наверняка там есть.
SWIFT предупреждает банки о новых кибератаках. В своем письме представители системы, в которой ежедневно обрабатываются переводы на миллиарды долларов, указывают на устойчивость угрозы и сохраняющуюся уязвимость, а также констатируют факты продолжающихся случаев взлома своих клиентов.
Читающий этот дайджест Друг. Основной посыл спецвыпуска: а что лично ты сделал для киберфронта и победы?
Читающий этот дайджест нехороший человек за поребриком. А что лично ты сделал для мира во всем мире?
Околосекьюрные новости
Осторожно, спойлеры! Опубликовано увлекательное прохождение
Двум хакерам удалось захватить контроль над ботнетом Mirai и расширить его до миллиона устройств.
Срочным патчем Mozilla и Tor закрыли критическую уязвимость, которая активно использовалась для деанонимизации пользователей Tor.
Отгремела UISGCON12, конференция, собравшая лучшие (светлые и темные) умы информационной безопасности. Журналистский обзор тут, фотографии здесь.
Полезности безопаснику
Безопасник! Прими участие в зарплатном опросе на DOU, ведь в том числе благодаря просьбе автора этого дайджеста, в списке выбираемых должностей там появился Security Specialist.
Юмор
Эта новость точно «взорвала Интернет». Роскомнадзор заблокировал 127.0.0.1. Запомним дату 12 декабря, — можно будет пить за localhost.
С наступающими праздниками!
В январе надеюсь подвести итоги уходящего 2016 года, но это будет потом. А сейчас кушаем мандаринки!
← Предыдущий выпуск: Information Security дайджест #3.
