Рубрика «nsa»

Итак, продолжая тему шпионажа, интриг, закулисных политических скандалов, происходящих на мировой арене. Устройства, аппаратура, великие умы…

Шпионаж так же стар, как сама история. Гораздо моложе, однако, разведывательные службы. Часто шпионаж называют «второй древнейшей профессией в мире». Для правителей использование агентов всегда было важным инструментом для защиты от внутренних и внешних опасностей. Они хотели не быть предоставленными воле слепой судьбы, а вовремя распознавать опасности и уметь защититься от них.

Дела шпионские (часть 3) - 1
© Вася Ложкин
Читать полностью »

Security Week 17: DoublePulsar вырвался на волю, в сотне тысяч Linksys нашли дыры, SMSVova изгнан из Google Play - 1Пока безопасники охали и ахали над архивом хакерских инструментов АНБ, который слили в Сеть ShadowBrokers, серьезные дяди с темной стороны запустили новые госэксплойты в дело. И, как выяснилось, не только эксплойты – поверхностное сканирование Интернета выявило большое число машин, зараженных свежеслитым бэкдором DoublePulsar.

Положение серьезнее некуда. DoublePulsar представляет собой хитрый бесфайловый бэкдор и позволяет удаленно запускать код, который сделает с системой все, что изволит пожелать господин хакер. Вот тут можно посмотреть подробный анализ работы DoublePulsar, мы же поговорим немного не об этом.
Читать полностью »

Всем привет!

В пятницу 14 апреля рано утром в публичном доступе появился новый дамп инструментов и документов Агенства Национальной Безопасности США, украденных APT-группировкой TheShadowBrokers. В данной статье мы попытаемся разобраться, что же содержится в папке swift дампа.

Дамп ShadowBrokers: разбираемся в содержимом директории «swift» - 1

Осторожно, под катом много картинок и текста.
Читать полностью »

Сначала новость, потом мои рассуждения на эту тему.

Новость

Помните прошлогодние утечки об уязвимостях в Cisco и Fotrinet (раз, два, три)? Тенденция сохраняется. 7 марта СМИ опубликовали информацию про очередные секретные данные о наработках спецслужб США в области сетевых технологий — Vault 7. Среди вендоров был и MikroTik. Представители MikroTik отработали достаточно оперативно. Они сами проанализировали эти документы и прокомментировали данные об уязвимостях. Заодно выпустив обновлённую версию (8 марта), закрывающую уязвимости.Читать полностью »

Как спецслужбы США и Великобритании переговоры абонентов в самолетах прослушивали - 1

Документы, предоставленные экс-сотрудником АНБ Эдвардом Сноуденом изучаются до сих пор. Их тщательно анализируют эксперты по информационной безопасности из разных стран и, конечно же, спецслужбы. До сих пор изучение этих документов дает интересную информацию и тем, и другим. Например, в ряде документов рассказывается, как агентство прослушивало переговоры пассажиров самолетов нескольких авиакомпаний в течение многих лет. И речь идет не только о пассажирах обычных авиарейсов, нет. Основное внимание уделялось политикам, контрабандистам, врагам США, бизнесменам и всем прочим.

Все началось в 2010 году. Тогда в АНБ распространили документ с грифом «совершенно секретно» для внутреннего использования персоналом. В документе говорилось о том, что число людей, которые используют мобильные телефоны во время полета, постоянно увеличивается. По данным агентства, в 2008 году осуществляли голосовые вызовы 50 тысяч человек, а в 2009 этот показатель увеличился вплоть до 100 тысяч. Руководство агентства указывало на возможность перехвата звонков «воздушных» абонентов с целью получения важной информации.
Читать полностью »

Картинка для привлечения внимания

"Какой изящный ход – называть стандартный буткит имплантом," — подумали мы.

Всё началось около года назад, когда в распоряжение нашего отдела исследований поступили дорогостоящие подставки под кофе, а именно несколько железок от Cisco – коммутаторы Catalyst 3850, Catalyst 6500 (о технике написания шеллкодов под этого "зверя" ранее был доклад на ZeroNights 2015) и межсетевой экран ASA 5525-X.

Найдя несколько баг в межсетевом экране, которые позволяли «провалиться» в систему, получив стандартный шелл (разработчик был своевременно проинформирован), мы задумались над импактом – что можно сделать такого страшного, чтобы нанесло бы максимальный урон. И тут… слитые в 2013-м году Сноуденом секретные документы АНБ пришлись как нельзя кстати. В них рассказывалось про имплант для PIX и ASA под названием JETPLOW, покрывающий Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550. Как вы можете заметить, в каталоге АНБ из представленного большого диапазона поддерживаемых версий не было упоминания об имеющемся в нашем распоряжении ASA 5525-X, что, в свою очередь, породило спортивный интерес в части создания своего импланта под серию 5525-X в качестве PoC.

О своем видении и реализации импланта под ASA 5525-X мы будем рассказывать на конференции ZeroNights 2016 и выложим его исходные коды. Также, в качестве бонуса, мы продемонстрируем реализацию аналогичного импланта для Catalyst 3850.

Важно отметить, что разработанный имплант для целевых 5525-X немного отличается от JETPLOW ввиду того, что 5525-X построена на архитектуре Intel x86_64, и использует UEFI, а Catalyst 3850 базируется на архитектуре MIPS64.

Читать полностью »

АНБ эксплуатировало уязвимость межсетевых экранов PIX от Cisco более десяти лет - 1
Защита фаерволов PIX от Cisco долгие годы казалась столь же надежной, как кирпичная стена. Но нет

Группа экспертов по информационной безопасности опубликовала заметку о том, что уязвимость в межсетевых экранах линейки PIX производства Cisco позволяла АНБ удаленно получать зашифрованные ключи в открытом виде в течение десяти лет. Результаты работы, проведенной исследователями, имеют огромное значение, поскольку PIX-системы, представленные Cisco в 2002 году, поддерживались вплоть до 2009 года. Большое количество организаций использовало эти системы и после этой даты, поскольку компания приняла решение об ограниченной поддержке модельного ряда фаерволов PIX в течение четырех лет, вплоть до 2013 года. Многие компании, организации и частные лица работают с межсетевыми экранами PIX и сейчас.

Как оказалось, все эти годы пользователи PIX-систем были уязвимы для атак злоумышленников и кибершпионов. Опасность остается актуальной и в настоящее время. Результаты расследования специалистов по информационной безопасности помогли объяснить публикацию Эдварда Сноудена в Der Spiegel. В этой публикации говорилось о том, что сотрудники АНБ имели возможность расшифровывать трафик тысяч VPN-соединений в час.
Читать полностью »

Cisco и Fortinet выпустили уведомления безопасности после утечки данных Equation Group - 1 В прошлом посте мы более подробно остановились на содержимом утекшего в сеть архива с данными кибергруппировки Equation Group. Мы также указали, что названия эксплойтов и имплантов (компонентов) вредоносных программ соответствуют названиям из архива NSA ANT. В ряде упоминавшихся вендоров, на устройства которых были нацелены эксплойты, указывались Cisco и Fortinet (Fortigate Firewall). В случае с Cisco речь идет о двух эксплойтах для устройств Cisco ASA, PIX и Firewall Services Module с названиями ANT EXTRABACON (EXBA) и EPICBANANA (EPBA). Первый эксплойт относится к типу 0day и использует ранее неизвестную уязвимость с идентификатором CVE-2016-6366 (Cisco ASA RCE vulnerability). Второй использует исправленную 1day уязвимость с идентификатором CVE-2016-6367 (Cisco ASA CLI RCE).

Читать полностью »

Опубликованные данные элитной кибергруппировки Equation Group не оказались шуткой - 1 Недавно мы писали о возможной утечке конфиденциальных данных известной кибергруппы Equation Group (Five Eyes/Tilded Team). Опубликованная информация готовилась по горячим следам, а сам инцидент с публикацией данных рассматривался как вызывающий сомнения. Однако, за прошедшие несколько дней, нам удалось изучить опубликованный в свободном доступе архив, а также собрать доверенные источники, подтверждающие достоверность информации группы хакеров Shadow Brokers. Размер самого архива с доступными для доступа данными составляет около 300МБ, в нем насчитывается более 3,5 тыс. файлов. Расшифрованная публичная часть архива, которая уже упоминалась нами ранее, содержит в себе различные скрипты установки, файлы конфигурации, информацию о работе с управляющими C&C-серверами, работающие эксплойты для популярных роутеров и брандмауэров.
Читать полностью »

Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome - 1Как, и тут покемоны?! А что делать: одним из основных критериев выбора значимых новостей по безопасности для меня по-прежнему является их популярность на Threatpost. Способ не идеальный, но достаточно объективный. Если в топе находится какая-то странная фигня, есть повод разобраться, как так получилось, как например это вышло с новостью про вредоносный код в метаданных PNG в топе 2014 года. Как правило объяснение таким казусам находится не в технических особенностях угрозы, а в том, как безопасность воспринимают люди. А это тоже интересно.

Новость про вредоносные приложения, маскирующиеся под Pokémon Go — она вообще на 100% про восприятие, точнее про то, что все вокруг сошли с ума. По данным исследователей из Proofpoint, киберпреступники воспользовались недоступностью игры в официальных магазинах приложений в ряде регионов, рассчитывая получить свои пять копеек незаконной прибыли от всеобщей популярности.

Впрочем, и в аутентичном приложении обнаружились проблемы. Исследователь Адам Рив обнаружил, что при регистрации учетной записи в игре, пользователям требуется предоставить полный доступ к своему аккаунту Google. То есть разработчик игры, компания Niantic Labs, получает возможность читать всю почтовую переписку, отправлять письма от имени игрока, может скачивать все документы с Google Drive, смотреть историю поиска и навигации, и многое другое. Примечательно, что на момент данного открытия альтернативный способ регистрации, не через Google, просто не работал.
Все выпуски дайджеста доступны по тегу.
Читать полностью »