Polijā arestēts botneta operators

Polijā arestēts botneta operators no Ukrainas — Glib Oleksandr Ivanov-Tolpintsev. Viņa botnets nodarbojās ar brute-force uzbrukumiem, pārdodot pieeju uzlauztām sistēmām pagrīdes tirdzniecības platformās. Pēc FBI datiem viņš nopelnījis vismaz $80'000.

Hakeris bija noķerts, kad FBI ieguva pieeju viņa Gmail adresei, kas bija izmantota gan pagrīdes darījumiem, gan arī iepirkumiem internetā - aizdomās turamā vārds un adrese tika noskaidroti no rēķiniem par vape produktiem un videospēļu aprīkojumu.

Dienvidkorejā arestēts TrickBot izstrādātājs

Kāds TrickBot trojāna izstrādātājs arestēts Dienvidkorejā. Šogad jau tika arestēta cita TrickBot programmiste, kurai esot bijušas saistības ar Latviju.

Romantiskie krāpnieki — ASV armijas rezervisti

Bieži dzirdēts par to, ka romantiskie krāpnieki izliekas par ASV karavīriem. Bet dažreiz, viņi tiešām ir ASV kareivji vai rezervisti. Šonedēļ iegūts tiesas spriedums vienā no tādiem gadījumiem, kurā divi ASV rezervisti sadarbojušies ar Nigērijas kriminālgrupu, lai veiktu romantiskas krāpniecības un Business Email Compromise uzbrukumus. 

FBI atklājuši vismaz 69 upurus, t.sk. arī kādu ASV veterānu biedrību. Kopumā krāpšanas un Business Email Compromise darbību rezultātā šī kriminālgrupa nopelnījusi $1.8 miljonu. 

Windows nulles dienas ievainojamība

CVE-2021-40444 — ievainojamība novecojusī Internet Explorer komponentē, kas izmanto ActiveX. Lai gan 2021. gadā Internet Explorer kā pamata pārlūku nevienam izmantot nevajadzētu (tā vietā lietojot Edge, Chrome vai Firefox), tas joprojām tiek izmantots “behind the scenes”.

Doto ievainojamību var izmantot, izveidojot speciālu MS Office dokumentu, kas automātiski palaiž fonā Internet Explorer ar ActiveX komponenti. No interneta lejupielādētie faili pēc noklusējuma tiek marķēti kā nedroši un tiek atvērti iekš “Protected View”, kas apstādina eksploita darbību, taču šo ierobežojumu iespējams apiet, ievietojot .docx failu zip arhīvā vai arī izmantojot citu sākotnējo vektoru, piem. RTF dokumentu.

Ja datorā ir ieslēgta “File Preview” funkcionalitāte, kas attēlo faila saturu pirms tas atvērts, tad arī tā ir ievainojama, t.i. ļaunatūra var tikt palaista vēl pirms faila atvēršanas, vienkārši vienreiz uzklikšķinot uz šo failu tā direktorijā (piem. ar nolūku šo failu izdzēst). Turklāt “File Preview” funkcionalitāte nepārbauda faila avotu, t.i. “Protected View” no šāda uzbrukuma nepasargās.

Pagaidu risinājums - manuāla ActiveX komponentes bloķēšana caur registry, taču šobrīd šķiet, ka tas pilnībā nepasargā no ievainojamības, jo pretēji sākotnējai informācija, tā neaprobežojas ar ActiveX komponentēm, bet gan ļauj palaist no Office dokumentiem arī dažādu citu ļaunatūru.

Visos gadījumos eksploits palaiž jaunus procesus no winword.exe vai citiem Office procesiem, tāpēc šādu procesu noteikšana caur Windows Event / Sysmon varētu būt galvenais eksploitu atpazīšanas veids. 

Publicētas 500'000 Fortinet VPN lietotāju paroles

Pagrīdes forumā publicētas 500'000 lietotāju paroles, kas savāktas no 87'000 (pēc citiem datiem: 13'000) Fortinet VPN iekārtu.

Paroles iegūtas, izmantojot 2019. gadā aizlāpīto kritisko ievainojamību CVE-2018-13379, par kuru divu gadu laikā publicēti vismaz 15 brīdinājumi. Domājams, ka daudzi Fortinet lietotāji, kas atjauninājumus instalējuši ar aizkavi, nav laicīgi nomainījuši lietotāju paroles, tādēļ iepriekš savāktie pieejas dati joprojām aktuāli. 

Šīs paroles tika vairākus gadus privāti tirgotas pagrīdes forumos, bet tagad jauna platforma ir padarījusi šo datubāzi brīvi pieejamu reklāmas nolūkos.

“Mēris” — MikroTik iekārtu botnets

Mēris — no Mikrotik rūteriem veidots botnets, veicis lielākos uzbrukumus pasaulē, mēneša laikā uzbrūkot CloudFlare un Yandex. 

Domājams, ka Mikrotik iekārtas uzlauztas pirms vairākiem gadiem, iespējams caur CVE-2018-14847. Tobrīd savāktās lietotāju paroles turpinātu darboties arī pēc atjauninājumu instalēšanas, ja vien lietotāji paši tās neizmainītu. Uzbrucēji bija izvietojuši rūteros arī backdoors SOCKS tuneļu un scheduled tasks veidā. 

Botnets izmanto HTTP Pipelining, lai nosūtītu vairākus pieprasījumus vienas konekcijas ietvaros, kas iepriekšējiem botnetiem nav bijis raksturīgi. Tas ļāvis izveidot līdz šim neredzētu trafika plūsmu, līdz pat 20 miljoniem HTTP pieprasījumu sekundē. Šādu trafika plūsmu būtu iespējams atfiltrēt relatīvi vienkārši, ja tā nāktu no vienas IP adreses, bet dēļ tā ka rūteri izvietoti parastu cilvēku mājās un mazos uzņēmumos, IP adreses nav iespējams vienkārši atpazīt.

Interesanti, ka uzbrucēji vienlaicīgi neizmanto visus pieejamos rūterus, lai neatklātu pilnu inficēto iekārtu sarakstu, līdz ar to maksimālais iespējamais trafiks varētu būt vairākas reizes lielāks. Pēc Qrator Labs novērtējuma, kopīgais inficēto Mikrotik iekārtu skaits varētu būt ap 200'000. 

Izskatās, ka šis botnets ir atbildīgs arī par uzbrukumiem Jaunzēlandei, kuros cieta bankas, pasta servisi un valsts resursi. Oficiālas atribūcijas šiem uzbrukumiem nebija, bet vairāki analītiķi tos saistīja ar Ķīnu. 

REvil kriminālgrupas atgriešanās

REvil — viens no ienesīgākajiem ransomware-as-a-serviss biznesiem — ir atgriezies. Pēc Kaseya uzbrukuma, kas izraisījis vērienīgu politisku reakciju ASV un Krievijas valsts līmeņos, varētu sagaidīt, ka REvil būs nomainījuši vārdu vai vispār apstādinājuši savu darbību, taču izskatās, ka bizness ir pārāk ienesīgs, lai to apturētu. 2021. gada laikā REvil nopelnījis vismaz $11M.

Confluence haku sekas

Labs ZDnet raksts par Confluence ekspluatācijas kampaņām. Vairākas IT drošības kompānijas norāda, ka dažu dienu laikā pēc Proof of Concept publicēšanas, tika uzlauzti visi publiski pieejamie Confluence serveri. Tas izskatās pēc šīgada trenda — masveidīga automatizēta publiski pieejamo serveru ekspluatācija dienas pēc ielāpu publicēšanas. 

Šajā gadījumā Confluence uzbrukumi sakrita ar ASV brīvdienu un atvaļinājumu laiku (Labor day). Ja uzņēmumiem nav pārliecības, ka ir spēja monitorēt visus savus on-prem serverus un atjaunināt tos stundu laikā pēc ievainojamības publicēšanas (arī brīvdienās), tad drošāk ir pāriet uz mākoņpakalpojumu. 

Azurescape

Ievainojamība Azure mākoņpakalpojumā Azure Container Instances, ļāva vienam lietotājam pārņemt citu lietotāju konteinerus.

Problēmu izsauca novecojusi RunC komponente lietotajā Kubernetes risinājumā. Microsoft ir nosūtījis paziņojumus skartajiem klientiem, kuriem ieteicams nekavējoties nomainīt pieejas datus.

NPM ievainojamība dēļ “tar” bibliotēkas

Nopietna piegādes ķēdes ievainojamība npm rīkā. Node.js bibliotēkā ‘tar’ atrastas ievainojamības, kas paver iespēju piegādes ķēdes uzbrukumiem. Cita starpā šo bibliotēku izmanto NPM rīks. JavaScript izstrādātājiem ieteicams nekavējoties atjaunot Node.js un npm.

New York COVID-19 aplikācija

Izlabota ievainojamība New York COVID-19 aplikācijā, kas ļāva tai pievienot viltotus COVID-19 sertifikātus. Lai gan līdzīgas problēmas atrodamas daudzu citu valstu COVID-19 aplikācijās, praktisks efekts no šāda veida ievainjamības ir zems, jo

1. Standarta protokols sertifikāta pārbaudei paredz, ka demonstrētais QR kods tiek ieskenēts ar šīs pašas aplikācijas palīdzību uzticamā telefonā, turklāt uzrādītais vārds jāsalīdzina ar to, kas redzams uzrādītā dokumentā
2. Ja pārbaude netiek veikta pēc protokola un pārbaudītājs uzticas tam, ko viņam parāda nezināmā telefonā, tad tik pat labi varētu uzrādīt pavisam citu aplikāciju, kas izskatās vizuāli līdzīgi oficiālajai, vai arī vienkārši ekrānšāviņu

Ievainojamība populārā load balancer rīkā HAProxy.

CVE-2021-40346 ir HTTP Smuggling ievainojamība, t.i. tā ļauj apvienot divus HTTP pieprasījumus tādā veidā, ka frontend redzēs tikai vienu no tiem, bet backend – abus. Piemēram, no frontend viedokļa var tikt apstrādāts viens pieprasījums, kas sūtīts parasta lietotāja vārdā, savukārt backend saņem vienu nevainīgu pieprasījumu no lietotāja un otru pieprasījumu, kas veic kaut kādas darbības ar admin tiesībām.

HAProxy lietotājiem jāuzinstalē jaunākie atjauninājumi, bet plašākā skatā backend izstrādātājiem jāņem vērā HTTP Smuggling ievainojamības risks un jāveic kārtīga pieprasījumu validācija, nepaļaujoties uz to, ka tā notiek frontend/load balancer/middlebox līmenī.

Android Private Compute Core 

Google pastāstījusi vairāk par mākslīgo intelektu, kas darbojas lokāli uz Android ierīces, nesūtot datus uz mākoņpakalpojumu. Šī tehnoloģija nodrošina tādu Android 11 un Android 12 funkcionalitāti:

• Live Caption – automātiski ģenerēti subtitri
• Now Playing – mūzikas atpazīšana
• Smart Reply – piedāvā atbildes čatos vai epastos

Google ir uzbūvējuši open source API, kas ļauj šiem Android moduļiem darboties lokāli un komunicēt ar mākoņpakalpojumiem tikai tad, kad tas ir nepieciešams, nodrošinot datu privātumu.

Piemēram, Now Playing gadījumā, lai spētu atpazīt mūziku, kas šobrīd tiek spēlēta, ierīcei ir nepieciešama pieeja globālam mūzikas katalogam, bet mērķis ir izvairīties no audio nosūtīšanas uz mākoni. Tā kā šis kods un API ir brīvi pieejami pētniekiem, tad drošības pētniekiem ir iespējams veikt neatkarīgus privātuma auditus.