Фишинг в конверте

Швейцарские власти обнаружили кампанию распространения трояна Coper/Octo2, но не по электронной, а по обычной почте. Национальный центр кибербезопасности сообщил, что по стране рассылаются письма якобы от Федерального офиса метеорологии и климатологии (MeteoSwiss). Получателям предлагается установить по QR-коду новое приложение для получения предупреждений о чрезвычайных погодных условиях (Severe Weather Warning App). В реальности на устройства на Android устанавливается вредонос Octo2, собирающий данные из 328 приложений, в том числе из сервисов онлайн-банкинга. На телефоне вредоносная программа не особо старательно мимикрирует под легитимное правительственное приложение Alertswiss.

Octo2 распространяется по сервисной модели, кампании с её использованием обнаруживались в самых разных регионах. Как отмечают исследователи, вторая версия появилась в 2024 году после утечки исходного кода Octo.

Использование QR-кодов в атаке — ещё один пример попыток применения квишинга в физическом мире, как и участившиеся в западных странах случаи подделки QR-кодов для оплаты парковки.

Читать полностью…

⚔️ Индустрия ИБ пошла в контратаку!

Помните свежую историю с Sophos, которая вставляла импланты в свои МСЭ 🤬, которые были скомпрометированы якобы китайскими хакерами, для отслеживания последних? Тут схожая история нарисовалась. В ноябре 2024 года исследователь по кибербезопасности Кристиан Корнеа (Cristian Cornea) разработал поддельный конструктор программ-вымогателей под названием "Jinn Ransomware Builder" 👎

Он выложил этот инструмент на форуме BreachForums и предлагал всем желающим очень вкусные 😋 возможности функции для создания кастомизированного вредоносного ПО, включая поддержку нескольких языков программирования, недетктируемость, полную конфигурируемость и многие другие ценности, так востребованные хакерами 🧑‍💻

Однако в код "джина из бутылки" 🧞 были встроены скрытые механизмы, позволяющие Корнеа отслеживать и собирать данные о хакерах, пытающихся использовать этот инструмент для своих целей. В результате более 💯 злоумышленников, скачавших и запустивших "Jinn Ransomware Builder", непреднамеренно раскрыли свои IP-адреса и другую идентифицирующую информацию.

Если бы кто-то разработал и выложил некий инструмент ИБ, то такой эксперимент подчеркнул бы риски использования непроверенных инструментов, скачанных из Интернет ⬇️ В истории с Jinn Ransomware Builder продемонстрировано, что киберпреступники тоже люди, ничто человеческое (особенно халява) им не чуждо и что против них можно использовать те же методы, что и они против обычных пользователей и компаний. Контратака в действии! ⚔️

Читать полностью…

Кстати, да 😅

Читать полностью…

В Британии сотовый оператор сделал нейросеть, которая говорит голосом бабули и просто тратит время телефонных мошенников.

Говорят, нейронка тратит в среднем 40 минут жизни скамера, заваливая его историями о прошлом, вопросами по технике и выдуманными банковскими данными.

Так их

Читать полностью…

Да, из интересного. Когда мы приехали в местный ФСТЭК 😕, то меня поразил масштаб их штаб-квартиры (на первом фото), которая расположена на достаточно большой территории и представляет собой большой кампус из множества зданий, гостиницы/общежития, мечети 🕌, обучающих корпусов, нескольких прудов и мест отдыха.

Все управления, а их четыре, сосредоточены в одной локации, что облегчает взаимодействие между ними. А наличие обучающей базы ⚔️ и гостиницы позволяет, так сказать, не отходя от кассы, и работать, и учиться, и отдыхать после напряженного рабочего дня, который тут начинается прям очень рано 🌅

ЗЫ. Свои собственные автомобильные номера тоже выглядят солидно 🚘

ЗЗЫ. Про кибервойска, которые были созданы в сентябре решением нового президента и стали 4-м видом войск в Индонезии, расскажу как-нибудь в другой раз 🫡

Читать полностью…

Десятидневное пребывание в Индонезии 🇮🇩 завершилось поездкой в местный ФСТЭК, где, внезапно, мы попали на сессию обмена знаниями ℹ️ с местными коллегами, у которых как раз заканчивался тренинг по реверсингу вредоносного кода 🦠 Ну а у нас был туз в рукаве, то есть презентация про пучины теневого рынка киберпреступности с уклоном в индонезийскую специфику, примеры и вот это вот все. Лицом 😎 в грязь не ударили, репутацию страны защитили, ну и себя показали 💪

На сессии Q&A 💬 местные коллеги задавали интересные вопросы. Например, как детектить зашифрованные коммуникации или payload вредоносов 🤔 Ну а нам что, было что ответить. И про мониторинг поведения на узле (и совсем неважно, шифруется payload или нет), и про мониторинг индикаторов (взаимодействие с C2-инфраструктурой, например), и про анализ зашифрованного трафика с помощью ML 🤔 Коллеги удовлетворенные ответами пошли на пятничную молитву, а мы поехали по другим встречам. Ну а я завершил поездку в Индонезию восьмым, незапланированным, выступлением 🎤

Читать полностью…

Национальный институт стандартов и технологий США (NIST) опубликовал временные границы для перехода 🚶‍♂️ государственных агентств на криптографию, устойчивую к квантовым вычислениям, с целью завершения перехода к 2035 году, как это завещал Байден 🇺🇸 Однако аналитики призывают коммерческие предприятия переходить на новую криптографию быстрее, так как ожидается, что государственные структуры в отдельных странах достигнут масштабируемых квантовых вычислений уже к 2028 году ☝️

Аналитик Gartner Марк Хорват подчеркивает важность отказа от устаревших методов шифрования для бизнеса, предупреждая, что IBM планирует создать квантовый компьютер на 100 миллионов кубитов ⚛️ к 2030 году, а значит, государства могут опережать коммерческие компании на два года. В октябре китайские исследователи 🐉 сообщили, что смогли взломать шифрование RSA с помощью квантовых вычислений, хотя это и не стало пока масштабируемым процессом. Да и сама история с Китаем пока вызывает больше вопросов, чем ответов ❓

В документе NIST различает уровни отказа от нынешних алгоритмов шифрования: "устаревшие" (допустимые с определёнными рисками), "неразрешённые" (полный запрет) и "наследие" (использование только для расшифрования уже защищенных данных). NIST отмечает, что к 2035 году шифрование ECDSA, RSA и EdDSA должно быть полностью запрещено, а 112-битные версии ECDSA и RSA будут признаны устаревшими уже после 2030 года 👵

Хотя квантовые компьютеры 👨‍💻 на массовом уровне пока отсутствуют, NIST предупреждает, что начинать переход к квантово-устойчивой криптографии необходимо уже сейчас. Существует угроза "собирай сейчас, расшифровывай позже", когда злоумышленники собирают зашифрованные данные сейчас, чтобы взломать их с помощью квантовых технологий в будущем (Китай 🇨🇳 так уже точно так делает). Некоторые системы с долгосрочными потребностями в конфиденциальности и сложной криптографической инфраструктурой могут требовать более быстрого перехода на новую криптографию, чем другие. При этом переход на постквантовые криптографические стандарты требует значительных усилий и времени ⏳ Некоторые отрасли могут потратить более десяти лет на полную миграцию. Поэтому предприятиям рекомендуется начинать подготовку уже сейчас, чтобы обеспечить безопасность своих систем в будущем.

NIST представил три метода, которые могут быть использованы для перехода на криптографию, устойчивую к квантовым угрозам: Module-Lattice-Based Key-Encapsulation Mechanism (FIPS203), Module-Lattice-Based Digital Signature Algorithm (FIPS204) и Stateless Hash-Based Signature Algorithm (FIPS205) 🇺🇸 Хорват отметил, что, даже если предположения о будущем квантовых технологий окажутся ошибочными, переход на новые алгоритмы шифрования остаётся важным шагом, поскольку они обеспечивают более высокую степень безопасности и позволяют использовать такие свойства, как защищённый многопользовательский доступ и поиск в зашифрованных данных 🤔

Внедрение новых стандартов также связано с финансовыми затратами 🤑 По оценкам правительства США, миграция федеральных систем на постквантовую криптографию обойдется примерно в 7,1 миллиарда долларов в период с 2025 по 2035 годы. Эти расходы сопоставимы с усилиями, предпринятыми для решения проблемы Y2K в конце 1990-х годов 💵

IDC описывает публикацию NIST как одно из самых значимых событий года в сфере кибербезопасности, так как документ отражает начало широкой индустриальной консолидации в отношении планирования перехода на новую криптографию.

Читать полностью…

Готовимся... Сначала к учениям, потом к отключениям...

ЗЫ. Если кому-то что-то надо будет скачать из мирового Интернета и привезти на дискетке, обращайтесь 😈

ЗЗЫ. Говорят, после заявления Путина о том, что он разберется с замедлением Youtube, последний вдруг заработал 📱

Читать полностью…

Организовывал тут ряд забавных упражнений для шевеления мозговых извилин, расширения кругозора и погружения в кибербез под бокал красного 🍷, что в простонародье именуется квизом. Среди прочего задал вопрос про минимальную длину пароля, которая считается сейчас надежной 💪 И ответ меня обескуражил несказанно, показав как далеко еще нам до состояния всеобщей кибербезопасности. Неслучайно, кража, утечка или подбор паролей входит в Топ3 причин инцидентов ИБ по всему миру. А вы говорите... 🤠

Читать полностью…

⚠️ За сегодня уже две десятка вот таких вот сообщений в Даркнете. Кто-то нашел дыру в МСЭ и начал ее эксплуатировать в разных странах и организациях - Ирак, Франция, США, Норвегия, Китай, Канада, Тайвань, Италия и т.п., продавай доступ в инфраструктуру уязвимых компаний. Обновляйтесь!!! 🔄

Читать полностью…

Кстати, полоски у тигра также уникальны, как и у зебры 🐅 Это чтобы уж совсем закончить историю с звериной биометрией 🐯

Читать полностью…

Рисунок носа животных также является биометрическим фактором! 🐽

Продолжим уроки по занимательной биометрии. Нос 🐽 животных также является их уникальной характеристикой, которую можно использовать в качестве их неизменного в течение времени идентификатора, который еще и удобно мониторить и отслеживать. Впервые обнаружили уникальность звериного носа в 1921 году и с тех пор ее пытаются использовать для идентификации животных в сельском хозяйстве 🐄

Но если раньше снять отпечаток носа было непростой задачей, то с появлением высокоточной оптики и компьютерного зрения, это стало сделать гораздо проще, а главное - безболезненно для животных, которым не надо протыкать уши для вживления туда RFID-меток или навешивания идентификационных бирок 🐽

Читать полностью…

Тут опять зашла дискуссия, зачем я каждый раз делаю новые презентации и почему нельзя использовать одну и ту же по несколько раз. Я уже писал, что вопрос не в презентации, а в отношении к делу. А сейчас я подумал, что ровно та же логика применима и к разработке ПО 🧑‍💻, и вообще почти к любой деятельности, к которой можно относиться по разному. Можно делать по принципу "на отвали" или "я делаю то, что мне сказали и в пределах моей зарплаты" 😠 А можно хотеть оставить после себя след и чтобы тебя вспоминали добрым словом и тебе было не стыдно за результаты своего труда ни сейчас, ни потом.

Я сам когда-то работал разработчиком средств защиты информации, а после поработал в трех ИБ-компаниях, занимавшихся созданием решений по кибербезу, и поэтому у меня есть свое видение того, когда ИБ-продукт превращается в нечто уникальное и запоминающееся ❤️

Когда кто-то создает ИБ-продукт не потому, что ему сказали написать вот этот код, а потому что ему не хочется стыдиться своего творения, происходит магия 😍 Исчезают различные условности, так как вся команда сидит в одной лодке и трудится ради общего дела. Им плевать на должности и трудовой распорядок "с 10 до 18" 👨‍💻 Они никогда не скажут "так ведь оно работает, чего еще надо". Они не будут сваливать все на других и говорить "это не моя задача" и "мне за это не платят" 🤦‍♂️ Они не будут прикрывать свою жопу, ссылаясь на "эту фичу мы запланировали только в релизе следующего года и сейчас комититься на нее мы не будем" ⛔️

Они не боятся встречаться с сейлами и заказчиками, не чтобы пропустить мимо ушей все говно, которое на них льется за то, что они сделали, а чтобы действительно понять, что надо сделать, чтобы от продажи и пользования продуктом все получали удовольствие. Они никогда не скажут сейлам, которых они видят только на корпоративах, "да все равно купят - у них же нет выбора" 😫 Команда разработчиков, создающая продукт мечты, в конце концов, никогда не скажет сейлам, что они тут не главные, а их задача только продавать то, что им дали. Все, блин, в одной лодке сидят и все должны быть заинтересованы в результате (мы же за результативный кибербез в конце концов), а не почивать на недосягаемом Олимпе и считать себя белой костью, а не "вот этими вот всеми"...

Как бы пафосно это не звучало, но таким командам не только не хочется краснеть за результаты своего труда, но и хочется рассказать своим детям в старости, что они были частью команды, создавшей продукт мечты, который все вспоминают только с теплом и добротой ✨ Я же не многого прошу? Почему у нас так мало ИБ-продуктов мечты? 🥺

Читать полностью…

А вот и Halliburton 🛢 отчиталась за свой третий финансовый квартал, не забыв упомянуть и затраты, связанные с реагированием на инцидент, произошедший с ними в августе этого года. Убытки 🤑 составили 35 миллионов долларов, но не стоит думать, что это все и что сумма удвоится, как я это упоминал в посте про финансовую отчетность MicroChip. Дело в том, что Halliburton еще разгребает последствия инцидента и отчетность затрагивает очень небольшой временной отрезок - с 21 августа, когда они обнаружили инцидент 🔓 до 30 сентября, когда у них закончился финансовый квартал.

В отчетности нефтяная компания пишет, что они предпринимают все необходимые усилия, но не могут гарантировать 😰, что не будет новых последствий от инцидента, имеющих материальную форму, которые скажутся и на финансовой отчетности 📉 Также они пишут о возможных рисках, связанных с претензиями регуляторов, а также исками со стороны клиентов, которые могли пострадать от инцидента ⚖️ В любом случае стоит посмотреть на итоговую годовую отчетность, чтобы понять полный масштаб бедствия от инцидента, который, по моим прикидкам, выльется им в 80-100 миллионов долларов 💰

Читать полностью…

Американский производитель микроэлектроники MicroChip 🔸, столкнувшийся в августе с инцидентом ИБ, приведшим к простою некоторых своих бизнес-процессов и производств, опубликовал финансовую отчетность за второй финансовый квартал, указав в нем размер своих затрат на управление инцидентом 💰 Они составили 21,4 (1,3 из них административные расходы) миллиона долларов, что составляет 1,4% от валовой прибыли компании за полгода 🤑

Обычно, если посмотреть на финансовые отчеты других компаний, то можно сделать вывод, что в отчете за следующий квартал, будет схожая сумма, что должно составить на круг около 40 миллионов долларов. Немало получается, хотя до UnitedHealth с их 1,8 миллиарда им еще далеко 🫵 Правда, тут есть нюанс. UnitedHealth показывал в отчетности не затраты на инцидент, которые очень легко посчитать, а потери от падения продаж. У MicroChip падение 📉 от год к году колоссальное (больше 50%), но вряд ли его можно объяснить только инцидентов с шифровальщиком Play. Так что будем посмотреть... 👀

Читать полностью…

Сейчас популярны всякие OSINT-челенджи в Интернете, когда вам дают фотографию 📸 и просят определить местоположение, в котором она была снята 🗺 Так вот в советское время, конечно, технологии были другие, но OSINT-челенджи тоже проводились 👀

Вот, например, загадка из советских времен 🇷🇺 Мы ее бурно обсуждаем в Cisco'вском чатике сейчас и я подумал, что она могла бы развеять хмурое ноябрьское воскресенье и у вас, заняв на какое-то время. Итак, взгляните на картинку, и ответьте на 8 вопросов: ❔
1️⃣ Какое время дня изображено на рисунке?
2️⃣ Раннюю весну или позднюю осень изображает рисунок?
3️⃣ Судоходна ли эта река?
4️⃣ В каком направлении течет река: на юг, север, запад или восток?
5️⃣ Глубока ли река возле берега, у которого стоит лодка?
6️⃣ Есть ли поблизости мост через реку?
7️⃣ Далеко ли отсюда железная дорога?
8️⃣ На север или юг летят журавли?

ЗЫ. За, казалось бы, простотой загадки скрывается достаточно много всего. В первую очередь такие истории развивают внимательность 👀, что очень важно для специалистов по ИБ, особенно аналитиков SOC ☝️

ЗЗЫ. Говорят, эту картинку показывали при приеме на службу в КГБ 🫡 Но я такого не помню 😂

Читать полностью…

Что-то все-таки неизменно - тупость 🤦‍♂️ многих чиновников, которые мнят себя экспертами в областях, по которым они не просто высказывают свое "ценнейшее" мнение, но и, самое неприятное, пытаются их регулировать так, что лучше бы они пошли доить коров (хотя коров 🐮 тоже жалко). Вчера американское агентство CISA отметило свое шестилетие 6️⃣ К американцам можно относиться по-разному, как и к отдельным бездоказательным заявлениям американских ИБ-ведомств 🇺🇸, но надо отдать им должное - они немало и полезного делают, выпуская различные рекомендации, ведя базу трендовых уязвимостей KEV, проводя различные киберучения, принуждая вендоров к внедрению безопасной разработки и т.п. 👨‍💻

И вот тут американский политик Пол Рэнд, который может стать главой сенатского комитета по национальной безопасности, заявил, что: 🎩

"Вряд ли нам удастся избавиться от CISA, но мы прожили без них 248 лет. Я бы хотел их ликвидировать."

У комитета, который может возглавить Рэнд, достаточно широкие полномочия, в том числе и в области кибербезопасности 👮 Он, конечно, вряд ли сможет ликвидировать агентство, созданное по указу Дональда Трампа в 2018-м году, но само отношение человека, распределяющего деньги на национальную безопасность, показательно. Человек, мало понимающий в технологиях, но упорно последние пару лет выступающий в Сенате за ограничение полномочий, может сильно ухудшить ситуацию с ИБ в оплоте демократии 🇺🇸 И это вряд ли голословные утверждения перед инаугурацией нового-старого президента.

У нас, к сожалению, ситуация с отношением к кибербезу у представителей обеих палат парламента похожее 🤦‍♂️ Далекие от технологий люди лезут в регулирование тем, в которых они не очень понимают, занимаясь либо откровенным популизмом, либо выпуская подчас абсолютно бестолковые, а то и вредные законы, которые никак не влияют на безопасность в стране, но вредящие по многим направлениям и сильно осложняющие технологическое развитие 🤦‍♂️

ЗЫ. Фраза "мы прожили без них 248 лет", конечно, поражает. Он такое же и про Интернет мог сказать, и про Apple, и даже про лазерную коррекцию зрения (а он офтальмолог по образованию, правда, дважды обвиненный в халатности) 👀

Читать полностью…

🍃 А вот это более симпатичная капча, чем надоевшая "отметьте все картинки с пожарными гидрантами" или "отметьте все картинки с пешеходными переходами". Отмечать краски осеннего леса гораздо приятнее... Безопасность должна приносить радость, а не выбешивать 👿

Читать полностью…

Опыт Т-Банка перенимается в мире 📞

Читать полностью…

А у вас уже прошло бюджетирование ИБ на 2025-й год?

Читать полностью…

ℹ️ Похоже, оценки NIST по разруливанию проблем с национальной базой уязвимостей NVD были "оптимистичными" по заявлениям самого NIST, данным в эту среду 🆒 Но идея с онтологией, которую сейчас "пилит" приглашенная NIST'ом Analygence, выглядит интересной. Может быть все у них и получится. А может и нет ⌛ Число уязвимостей все-таки растет и бэклог будет все накапливаться и накапливаться, если не поменять что-то в консерватории кардинально ⛏

Читать полностью…

Источник рассказал: ЦБ сообщил банкам, что Роскомнадзор готовит в декабре учения по отключению от зарубежного интернета отдельных регионов.

Читать полностью…

Суд в Москве арестовал главу департамента Центра кибербезопасности и защиты ПАО "Ростелеком" Владимира Шадрина и гендиректора ООО "Комплаинс Софт" Антона Менчица по делу о мошенничестве в особо крупном размере.

Читать полностью…

Борясь с APT, шифровальщиками, хакерами "в погонах" и другими страшными субъектами, не забывайте и про инсайдеров... 😡 Их больше, а ущерб от их действий может быть не меньше, чем от виртуальных "Джеймсов Бондов" и "Робин Гудов"... 🇷🇺

Читать полностью…

Индонезия 🇮🇩 входит в пятерку стран по числу утечек данных, что и обусловило мое очередное выступление, которое я посвятил защите данных. Как ни странно, но я ни разу не упомянул аббревиатуру DLP в этом выступлении, кроме как в названии ☹️ А все потому, что почти все последние нашумевщие утечки не могли бы быть обнаружены и заблокированы этим классом защитных средств ⛔️

Тут нужны совсем иные подходы и, что интересно, почти все используемые традиционных решения по ИБ (NTA, EDR, SIEM, NGFW, WAF и др.) могут быть использованы для обнаружения первых сигналов и индикаторов утечек структурированных и неструктурированных данных. Собственно об этом я и рассказывал... 🤠

Не забыл и упомянуть историю с Джеком Текшейрой, которому как раз присудили 15 лет за утечку данных через игровые сервера Discord 📱, что достаточно сложно отслеживается с технической точки зрения и требует немного иных подходов при мониторинге. А уж кейс с Goldman Sachs 📱 вообще уникален, как мне кажется, и тоже показывает, что есть немало каналов, которые компания просто не в состоянии мониторить, и надо выстраивать защиту данных немного иначе - с контроля доступа к ним, понимания мест хранения и обработки данных, автоматической классификации и приоритизации данных и т.п. А уж мониторинг - это вишенка на торте 🍰

Читать полностью…

В Индонезии бум шифровальщиков 🏠, которые наносят значительный ущерб частным и государственным организациям. Поэтому моя очередная презентация в Джакарте была посвящена именно этой проблеме. Но говорил я не о том, как предотвращать атаки ransomware (на эту тему выступал мой коллега, Володя Гриднев), а о том, что делать, когда вы уже столкнулись с зашифрованными данными и требованием выкупа 🫢 Какова последовательность действий в этом случае, когда надо, а когда не стоит платить вымогателям, то есть все те вопросы, о которых мы часто не думаем, считая, что "с нами этого не произойдет" 😅

Читать полностью…

Несмотря на все попытки Роскомнадзора ограничить работу российских специалистов по ИБ зарубежом 😠, продолжаю нести благую весть иностранным коллегам из дружественных стран. Вчера отчитал три презентации в Индонезии 🇮🇩, одну из которых посвятил взгляду на киберпреступность с точки зрения рыночных принципов и экономических законов. По итогам не только получил много положительных отзывов и оценок 5️⃣ уровня "мы и не думали смотреть на киберпреступность под таким углом", но и приглашение выступить с лекциями в местном университете 👨‍🏫

Особенно хорошо зашли примеры индонезийских взломов, которые произошли 🔓 в ночь перед выступлением, на которых можно было демонстрировать то, о чем я говорил и какие предсказания делал. Тем более, что Индонезию, как быстрорастущую экономику, атакуют достаточно активно 🤕

ЗЫ. Кстати, вы знаете, что является очень лакомой целью для хакеров на Бали? Вот и я не знал до своей поездки. Нет, это не кассовые терминалы у бара на берегу океана 🏖️ и не сайты по бронированию байков. Все гораздо интереснее и серьезнее!

Читать полностью…

А вы знали, что у австралийских коал и у человека отпечатки пальцев неотличимы друг от друга? 🤒

Эти австралийские 🇦🇺 родственники вомбатов известны не только тем, у них раздвоенный пенис и два влагалища (у самцов и самок соответственно), но они одни из немногих млекопитающих, кроме приматов, имеющих папиллярные узоры 👍 на подушечках пальцев, которые даже под электронным микроскопом неотличимы от человеческих 🐨 Австралийские ученые считают, что данная особенность коал увеличивает цепкость их конечностей. Коалы питаются листьями эвкалипта и благодаря папиллярному узору на "пальцах" собирать такие листья гораздо удобнее 🐨

ЗЫ. А вы, если используете аутентификацию по отпечаткам пальцев, включили подмену со стороны коал в свою модель угроз? 😂

Читать полностью…

Почему бы не принять закон о размещении на ИТ-продуктах, которые в течение 3-х и более месяцев не устраняют свои уязвимости, каких-нибудь страшных фотографий с катастрофическими последствиями, к которым может привести использования уязвимого ПО или железа? 😵

Читать полностью…

Британская компания по кибербезопасности Sophos опубликовала подробности многолетнего противостояния с китайскими хакерскими группами, поддерживаемыми государством 👲 С 2018 года Sophos сталкивалась с серией атак, направленных на эксплуатацию уязвимостей нулевого дня в своих продуктах, особенно в межсетевых экранах 🤬 Хакеры применяли различные методы, включая пользовательские руткиты, загрузчики в памяти и уникальные UEFI-бутикиты, а также использовали украденные VPN-учетные данные для обеспечения постоянного доступа, что, среди прочего, позволило 🇨🇳 успешно взломать офис Sophos в Индии через уязвимое настенное устройство. Sophos отметила, что эти атаки демонстрируют высокую адаптивность и ресурсы, которыми располагают злоумышленники.

Но интересно в этой истории другое 🆕 Для отслеживания действий злоумышленников компания использовала собственные импланты, что позволило выявить их инструменты и тактики ⚪️ Эти импланты позволяли Sophos наблюдать за действиями злоумышленников, собирая информацию об их инструментах, методах и тактиках. Это дало возможность компании выявлять и анализировать новые уязвимости и методы атак, используемые хакерами 🏃‍♂️

Импланты были разработаны для скрытого мониторинга активности хакеров. Они собирали данные о попытках эксплуатации уязвимостей, методах проникновения и инструментах, применяемых злоумышленниками ⚡ Благодаря этим имплантам Sophos смогла выявить и нейтрализовать несколько сложных атак, включая использование ранее неизвестных эксплойтов и вредоносного ПО ☁️ Компания также обнаружила связь между различными группами хакеров и их методами, что позволило более эффективно противодействовать угрозам.

Использование таких имплантов ♥️ поднимает вопросы об этичности и законности подобных методов со стороны ИБ-компании. Однако Sophos утверждает, что пошла на этот шаг после серьезных консультаций с юристами, а все действия были направлены исключительно на защиту клиентов и улучшение безопасности продуктов, соблюдая при этом все соответствующие законы и нормы ☁️

Читать полностью…