Kriptoplatforma Badger

No kriptoplatformas Badger lietotājiem nozagti $120 miljoni Bitcoin un Ethereum kriptovalūtās. Šobrīd tā ir gada trešā lielākā zādzība pēc zaudējumu apjomiem.

Šoreiz caurums nav bijis decentralizētajos protokolos, tā vietā ir vienkārši uzlauzta mājaslapa. Uzbrucēji ieguvuši pieeju CloudFlare kontam, caur kuru nomainīts mājaslapā strādājošais JavaScript fails. Lietotājiem ielogojoties, tas izpildījies un veicis naudas pārskaitīšanu uz uzbrucēju kontiem.

Panasonic

Nezināmi hakeri jūnijā uzlauzuši Panasonic tīklu un pavadījuši tur vairākus mēnešus. Uzbrucēju motivācija nav zināma. Tas nav bijis izspiedējvīrusu incidents, taču ir nozagti uzņēmuma dati.

Cannazon “dark web” platforma

Vērienīgu dDoS uzbrukumu rezultātā kādu laiku nedarbojās narkotiku melnais tirgus “Cannazon”. Vēlāk administratori izlēmuši izmantot šo iespēju, lai slēgtu savu biznesu. Cannazon bijusi viena no lielākām platformām pagrīdē.

Colorado enerģijas kompānija DMEA

Kiberuzbrukuma rezultātā uzņēmums pazaudējis 25. gadu datus. Uzbrukums pamanīts 7. novembrī, mēnesi vēlāk joprojām turpinās iekšējā tīkla pārbūve. Tika skartas visas uzskaites un biznesa sistēmas. Novembra laikā kompānija neizsūtīja rēķinus un nespēja saņemt maksājumus, bet plāno atjaunot šo funkcionalitāti nākamnedēļ.

Latvijā arestēts krāpnieks

Latvijā pēc ASV lūguma arestēts krāpnieks, kas izveidojis krāpniecisku investīciju platformu un piedāvājis krāpnieciskus kriptovalūtu piedāvājumus (“Initical Coin Offering”). Šajās shēmās cilvēki pazaudējuši $7 miljonus.

Veikta kratīšana un konfiscētas divas ekskluzīvas automašīnas un 100,000 skaidrā naudā.

Babam

Brian Krebs atklājis kāda noziedznieka personību, kas pagrīdē bija zināms kā “Babam” un tas izrādījās kāds lietuvietis. Cilvēks savas pagrīdes karjeras laikā lietojis vairākus pseidonīmus, taču tos izdevās sasaistīt savā starpā, apkopojot lietotās epasta adreses un vārdus. Krebsa raksts labi demonstrē atklāto avotu (open source intelligence) analīzes būtību.

Ubiquity janvāra haks

Janvārī Ubiquity publicēja ziņas par to, ka kāds ir uzlauzis viņu tīklu un nozadzis datus, prasot par to atgriešanu ievērojamu izpirkuma naudu ($2 miljoni).

Izrādās, ka hakeris bijis šīs pašas kompānijas darbinieks, turklāt sākotnēji viņš pat tika iesaistīts sava incidenta risināšanā.

FBI atklāja uzbrucēja identitāti, jo viņš apmaksāja uzbrukumā izmantot VPN servisu ar savu PayPal kontu, turklāt vienu brīdi VPN nav nostrādājis, atklājot īsto IP adresi.

Piektais arestētais FIN7 dalībnieks cietumā nenonāks

FIN7 grupa vēsturiski uzbrukusi ASV veikalu tīkliem, inficējusi maksājumu termināļus un zagusi no tiem kredītkaršu datus. Taču pēdējos gados šī grupa ir nomainījusi fokusu un pēc Microsoft datiem tieši FIN7 darboņu rezultātā radušies DarkSide un Blackmatter grupas.

Šonedēļ Krievijas tiesā notiesāts piektais FIN7 grupas dalībnieks, taču tam iedots relatīvi maz sods - 1 gads nosacīti.

Bulletproof hostinga uzturētājs

ASV tiesā Krievijas pilsonis [notiesāts uz 5 gadiem]](https://therecord.media/founder-of-bulletproof-hosting-provider-used-by-malware-gangs-gets-5-years-in-prison/) cietumsoda par hostinga uzturēšanu, kas specializējās malware serveru hostēšanā.

Noziedzīgās darbības tika veiktas 2008-2015 gados, bet iesaistītie darbinieki arestēti un ekstradēti uz ASV tikai 2020. gadā. Pavisam serveru uzturēšanā iesaistīti četri cilvēki, divi no Krievijas, pa vienam no Lietuvas un Igaunijas.

Symfony PHP framework

Populārā PHP framework’ā PHP Symfony atklāta būtiska ievainojamība, kas pieļauj cache poisoning uzbrukumu veikšanu. Lai gan ne visas uz Symfony bāzes izstrādātas mājaslapas būs ievainojamas, ņemot vērā šī framework milzīgo popularitāti un to, ka daudzas lapas turpinās izmantot novecojušu versiju vairākus gadus, šī ir ļoti noderīga ievainojamība, gan noziedzniekiem, gan bug bounty medniekiem.

Praktiski, cache poisoning efekts ir līdzīgs tam, ko sniedz stored XSS - var nozagt lietotāju sessijas, laist patvaļīgus skriptus, veikt privileģētas darbības citu lietotāju kontekstā.

HP printeri

HP izlaiž ielāpu 150 printeru modeļiem. Viena ievainojamība - web rakstura, var tikt ekspluatēta arī iekšējos tīklos caur CSRF; otrai nepieciešama fiziska pieeja.

Flubot

Android Sms vīruss, kas izplatās tārpveidīgi. Inficētais telefons nosūta uz saimniekserveri kontaktu sarakstu un sāk izsūtīt simtiem SMS dienā, pavairojot infekciju skaitu. Par šo ļaunatūru ziņojušas vairākas valstis, Eiropā - Latvijā infekcija pagaidām nav manīta.

Vīruss pielāgo SMS tekstus un mājaslapu saturu dotajai valstij. Tēmas tiek ātri rotētas un lai gan populārākās no tām ir saistītas ar pasta vai kurjeru servisiem, ļaundari ik pa laikam pārsteidz ar kreativitāti, piemēram, Jaunzēlandē kādu laiku Flubot izplatījās caur paziņojumiem par to, ka lietotāja iekārta ir inficēta ar Flubot:

Tardigrade

Neliels update par pagājušajā nedēļā pieminēto grupu Tardigrade. Sākotnējā informācija, kas nākusi no biomedicīnas pētnieku veidotās atskaites, liecināja par ļoti sarežģītiem uzbrukumiem, īpaši rakstītiem vīrusiem, utt. Tagad citi pētnieki apgalvo, ka tas viss ir nepatiesi un realitātē uzbrukumi lietojuši gatavu (“off-the-shelf”) ļaunatūru Cobalt Strike.

Kāds noskatās Tor lietotāju trafiku

Jaunatklāta grupa “KAX17” četru gadu laikā kontrolējusi tūkstušos Tor serveru (pīķos līdz 10% no Tor tīkla).

Neparasti, ka šie Tor serveri pārsvarā darbojas kā “Entry” un “Middle” relejas, t.i. šie serveri nevar modificēt trafiku, bet var tikt izmantoti Tor lietotāju deanonimizācijai.

Grupa darbojusies kopš 2017. gada un operācija noteikti prasījusi ievērojamus ieguldījumus, tā kā var izslēgt akadēmiskos pētījumus, tad šobrīd labākā hipotēze ir kādas valsts vai interpola operācija.

“Magnat” malvertising kampaņa

Raksts no Cisco Talos par “Magnat” ļaunatūras kampaņu, kas izmanto reklāmu tīklus, infostealer trojāna un ļaundabīga Chrome paplašinājuma izplatīšanai.

Uz inficētām sistēmām:

• tiek nozagta paroles
• veic port forwarding caur SSH, ļaujot uzbrucējiem pieslēgties pie datora caur Remote Desktop, neatkarībā no ugunsmūra konfigurācijas
• Chrome paplašinājums darbojas kā keylogger, saglabājot arī ekrānšāviņus

Template injection uzbrukumi

Vairākas grupas sākušas izmantot jaunu tehniku - RTF dokumentu “template injection”.

Pavasarī šo tehniku sākušas izmantot Indijas un Ķīnas uzbrucēji, rudenī to paķēruši arī Krievijas uzbrucēji.

Tehnikas būtība: RTF dokuments tiek izmantots kā dropperis, kas attālināti ielādē dokumenta template caur iebūvēto RTF funkcionalitāti, ļaunatūru satur tieši template, nevis pamatdokuments.

Šī metode ir ļoti noderīga targetotos uzbrukumos, jo uzbrucēji var precīzi kontrolēt ļaunatūras izsaukumu skaitu un var pat selektīvi padot dažādus templates, atkarībā no sagaidāmās IP adreses.

Mozilla NSS bibliotēka

Interesants raksts no Google Project Zero par kritisku caurumu super svarīgā Firefox komponentē NSS (atbild par kriptogrāfiju Firefox un Thunderbird programmās), par spīti tam, ka projektā bija ieviestas visas labās prakses.