sfw
nsfw

Результаты поиска по запросу "выложили в сеть хакеры"

Взломали LastPass, компания утверждает что волноваться не о чем

LastPass, чьими услугами пользуется примерно 33 миллиона пользователей и 100000 компаний был взломан. Украдены сорсы и проприетарная информация. Компания заявляет что нет свидетельств того что взломщик добрался до зашифрованных паролей пользователей, их данных и любой другой информации.

LastPass разослал пользователям письма с уведомлением о том что посторонние получили доступ к их девелоперскому окружению. Необычная активность была обнаружена 2 недели назад. Хакер скачал части внутреннего кода сайта и документы с технической информацией.

"Немедленно было начато расследование, мы не видели доказательств что этот инцидент имел отношение к данным клиентов или зашифрованным паролям"

В отличие от компании Plex LastPass не давало пользователям советов о смене паролей. Хакер проник в систему через единственный скомпрометированный девелоперский аккаунт, дополнительной информации на этот счет нет. Компания сообщает что они выполняют меры по ограничению и обезвреживанию и наняли ведущую фирму по кибербезопасности. LastPass дополнительно сообщает что введены усиленные меры безопасности и не видит больше никаких доказательств несанкционированной деятельности.

Несмотря на огромную популярность это не первый инцидент в истории LastPass. В 2019 году компания выпускала патч для уязвимости позволяющей хакерам получить доступ к данным с последнего посещенного сайта, в 2017 году была выявлена уязвимость расширения браузера.

В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера.

https://www.techspot.com/news/95772-lastpass-hacked-tells-users-not-worry.html

Топ-1 Этичным Хакером, по версии Международного совета консультантов по вопросам электронной коммерции EC-Council, стал FEMI FALOBI, однако еще в ноябре 2020 он едва сдал проходной балл

EC-Council был основан в 2001 году Джеем Бависи вответ на террористический акт 11 сентября. Основная его задача состояла в томчтобы сертифицировать специалистов, которые могут защитить от атак наэлектронную коммерцию. В 2003 году была запущена программа Certified Ethical Hacker (CEH) для белых хакеров. Вместо того, чтобыоткрывать совершенно новые школы, EC-Council сталсертифицирующим органом учебных курсов и экзаменов, мобилизуя предпринимателейв сфере обучения информационной безопасности. CEH быстро расширялся, и к 2007 году курсы CEH предлагались более чем в 60 странах.
25 февраля 2010 года Министерство обороны США обновило свою директиву по информационной безопасности, потребовав от защитников компьютерных сетей пройти сертификацию CEH от EC-Council. Он был выбран Пентагоном для надзора за обучением сотрудников Министерства обороны, занимающихся вопросами компьютерной безопасности.
Рейтинг этичных хакеров был основан в ноябре 2019 года. Критерием попадания в него является общий результат двух экзаменов: теоретического CEH и практического CEH (Practical). Для достижения максимально балла требуется не просто все выполнить правильно, но и сделать это максимально эффективно по времени.
После результата кандидат попадает в топ своего месяца, а после обновляются результаты квартала и за все время. Топ 1 за все время до февраля 2021 выглядел так:
За 2 года существования рейтинга лучший результат стал 92%. Однако в феврале все 10 кандидатов из топа месяца неожиданно получили запредельные (практически невозможные) результаты.
Сурс: https://www.eccouncil.org/ethical-hacking-leaderboard/
Результаты публикуются на официальном сайте Совета, однако на нем так же сохраняется и история результатов за прошлые месяцы. В ноябре 2020 года FEMI FALOBI занимал 6место с общим результатом 81%
TOP 10 IN THE WORLD
Quarter 4 NOVEMBER 2020
Click Here To Visit The All Time Leaderboard
KIVANC AYOIN
METU
TRAINED BY	TURKEY
89%
2
â
HRITHIE MENON
TEMASEK POLYTECHNIC
TRAINED BY	SMGAPORE
•Temasek LsH
И.ПЦ— <
____________89%
~Y
&
MARK SOWELL
CHECK POINT
TRAINED BY	UNITED STATES
Если новый топ обновит текущий, то FEMI FALOBI буквально навсегда останется топ-1 так как такой результат недостижим даже в теории. Вероятность ошибки остается. На Reddit выдвигается версия, что были использованы результаты только теоретического экзамена, но и в этом случае при 124 правильных ответах из 125 результат бы был 99.2% и это совершенно не обьясняет как в топ за февраль попал человек сдавший экзамен в ноябре.

СДЭК опять отличился

СДЭК взломали хакеры из группировки Head Mare — сервис не работает уже третий день. 
Они использовали вирус-шифровальщик и лишили компанию базы данных. Также опубликовали скриншоты взлома, передав привет компании, консультирующей СДЭК по кибербезопасности.
По их словам, свои посылки клиенты увидят ещё не скоро.

Сурс на новость https://www.vedomosti.ru/business/articles/2024/05/28/1039828-prichinoi-sboya-v-rabote-sdek-mog-stat-virus-shifrovalschik
Не советую, господа пидоры, пользоваться их услугами. По крайней мере в ближайшее время.

Отличный комментарий!

Ну насчет худшей по России они слегка пиздят, есть транспортные и похуже СДЭКа

"Русские хакеры" ответили на заявление создателей STALKER 2: "Уровень лжи и манипуляций GSC превзошел все ожидания"©

,stalker 2,S.T.A.L.K.E.R,#S.T.A.L.K.E.R, s.t.a.l.k.e.r, S.T.A.L.K.E.R.,,фэндомы,хакеры,Игровые новости,Игры,GSC,Разработчики игр
На этой неделе в сети появился билд S.T.A.L.K.E.R. 2 Heart of Chornobyl, которые энтузиасты смогли запустить, а затем студия GSC Game World во всех грехах начали винить неких "русских хакеров". Судя по всему, представители разработчиков намекали на VK-сообщество "Вестник "Того Самого Сталкера". В сообществе это заявление GSC Game World вызывало возмущение, потому что практически сразу после утечки появились мнения, что это была простая ошибка со стороны разработчиков — на это, в том числе, указывал источник раздачи (Чехия, где расположились разработчики).
Один из основателей сообщества "ВТСС" Даниил Нексус ответил на обвинения GSC Game World. Отдельно он отметил, что "уровень лжи и манипуляций со стороны студии превзошли все ожидания".
   "Приятно, что слив записали на наш счёт, но в этот раз уровень лжи и манипуляций GSC превзошёл все наши ожидания. Немного затронем их официальное заявление и проясним некоторые моменты.

   1. "Наша команда выявила уязвимость, которой пользовалась <...>"
- Ложь. Это очень удобно, назвать некомпетентность своих сотрудников безопасности «уязвимостью», а потом обвинить нас в том, что мы ею воспользовались, беспрепятственно скачав билд. Билд был загружен в торрент самими GSC 6 дней назад, и те забыли настроить его приватность. Никаких взломов и никаких действий со стороны нашей агентуры не было произведено для т.н. «слива» данных.

   2. „<...> группа РОССИЙСКИХ хакеров, атакующих компанию почти полтора года”
- Мы говорили это сто раз, повторим в сто первый: не все из нас россияне, мы не русские и даже никакие не хакеры. Доказательств своих слов компания, конечно же, не привела. Понятия не имеем, о каких «полтора года атак» в таком случае идёт речь.

   Отметим, что коммьюнити-менеджеры GSC приняли решение удалить все русские чаты в их официальном Discord-сервере (заменив на каналы «для всех языков») и запретить на нем свободно разговаривать везде, кроме каналов для предложений и вопросов.
   Только выходит, что политика компании построена на лицемерии. Иначе как объяснить то, что внутри компании он свободно используется? Не только в общении между сотрудниками, но и в разработке: на данный момент в игре почти весь текст — русский, когда английский текст начали вводить совсем недавно. Дизайнерские документы также все пишутся на русском языке.

   Подведём итоги: даже утечка 15Гб данных и наработок по игре была произведена украинцами и только. В недавней же утечке билда виноваты сами GSC Game World, в массе своей украинцы (чехи). Обнаружили утечку американцы, а мы, тоже украинцы, обнаружили следующими и занялись распространением.
   И всё это не прибегая ни к каким взломам и использованиям «уязвимостей»."
Датамайнер и мододел Red Panda тоже не остался в стороне и высказался по этому поводу:
   "Они сами выложили билд с ключами в паблик сами того не подозревая."
Го' Сегодня, в 6:20
@еуегуопе Привет всем, хочу расставить все точки над и на счёт слитого билда сталкера 2.
1.	Сам билд попал в сеть из-за ошибки автоматики для сборки билдов тестерам, по какой та причини система стала кешировать их в паблик. Его нашли первые американские датамайнеры из сервера

Швейцарская девушка-хакер выложила в Сеть список "No Fly" службы авиабезопасности США

 
Список содержит до 1,5 млн имен и псевдонимов лиц, которые вызывают подозрения у службы авиабезопасности США и могут быть не допущены на борт. К примеру, в нем значится Виктор Бут. При этом файл был не зашифрован и открывался в любой программе, работающей с данными.
 
,страны,США,Швейцария,криминал,хакер,авиация,tsa,длиннопост,длиннотекст,BFM.ru
 
Службы американской авиабезопасности в растерянности – в Сеть утек список лиц, которым может быть запрещен доступ на борт воздушного судна.
Сообщается, что файл весом 80 мегабайт с незамысловатым названием "No Fly" содержит до полутора миллионов имен, и не только американских, но и граждан всего мира. В данных указаны как имена и даты рождения, так и псевдонимы. В нем можно найти не только предполагаемых членов Ирландской республиканской армии, но и некоторые известные имена – например, недавно обмененного на американскую баскетболистку Бриттни Грайнер 56-летнего россиянина Виктора Бута, для которого указано более десятка псевдонимов. То, что список лиц, подозреваемых в терроризме, оказался в открытом доступе, вызвал настоящий скандал в Соединенных Штатах. «Помимо того, что этот список является кошмаром в области гражданских прав, непонятно, как эта информация оказалась столь легко доступна», — написал в Twitter депутат-республиканец Дэн Бишоп. В России с некоторых пор также появились подобные списки. Но террористов в них нет, объясняет адвокат "Форвард Лигал" Людмила Лукьянова:
 
«У нас в России договор перевозки – это публичный договор и по общему правилу авиакомпании не могут не продать билет на рейс пассажиру. Но бывают ситуации, когда пассажиры действительно попадают в блэклисты авиакомпаний. Есть в Кодексе об административных правонарушениях статья, которая называется «невыполнение указаний сотрудников воздушного судна». В случае, если такой пассажир привлекается к ответственности по этой статье и решение вступает в законную силу, авиакомпания имеет право внести пассажира сроком на год в этот блэклист».
 
Многие журналисты написали об этом списке, как о списке лиц, которым в США безусловно запрещен доступ на борт воздушного судна. Они неправы, так как не поняли, о чем идет речь, говорит член правления Российской ассоциации пилотов и владельцев воздушных судов Леонид Кошелев:
 
«Это список TSA. Это огромное американское ведомство, где работают тысячи людей. Это те, кто проверяет людей в аэропортах со сканнерами и рамками. Помимо людей они еще и авиакомпании проверяют. В принципе это не означает, что это список авиакомпаний, которые людей не пускают на самолеты. TSA, допустим, часто заставляют авиакомпании присылать список авиапассажиров на рейсы, которые летят в Соединенные Штаты, еще до вылета этого рейса. Но это не значит, что людей не пускают на самолеты. Это значит, что они пытаются следить за всеми подозрительными и потом их как следует проверять».
 
По сути, и полноценным взломом то, что сделал хакер Crimew назвать нельзя. То есть доступ к компьютеру он, вероятно, получил незаконно. А вот сам файл с миллионами имен хранился в незашифрованном текстовом файле CSV, который запросто можно открыть в "Excel" или другой подобной программе по работе с данными. В России подобное просто невозможно. По той простой причине, что ведомства, подобного американской TSA, в ней не существует, а списки отдельные компании и аэропорты ведут самостоятельно. Говорит главный редактор портала "FrequentFlyers.ru" Илья Шатилин:
 
«Закон о черных списках действует с 2018 года. Есть три способа попасть в этот список: это хулиганство на борту, совершение действий, угрожающих безопасности эксплуатации воздушного судна, а также «невыполнение распоряжений командира воздушного судна». Это может быть любое непослушание. Можно ручную кладь у аварийного выхода, например, складывать. Или пересаживаться на свободные кресла. Или не выключать телефон или планшет, или ноутбук во время полета. Вариантов, по сути, очень много. Только по решению суда могут внести в черный список».
 
Самое примечательное в этой истории это то, что за псевдонимом Crimew стоит 23-летняя гражданка Швейцарии Тилли Коттманн из Лозанны. Она считает, что порой важно выходить за рамки закона, чтобы проверить уязвимости в системе безопасности. Что касается взлома списка лиц, запрещенных к полетам, она написала в своем блоге, что сделала это только просто потому, что ей было скучно.
Однако это объяснение мало успокоило американские власти. То, что имена полутора миллионов настоящих и предполагаемых террористов отказались в открытом доступе –это удар по системе безопасности вообще, считают они. И могут принять меры против швейцарки, которая уже не впервые сталкивается с американскими правоохранительными органами. В марте 2021 года Большое жюри присяжных США по уголовным делам предъявило Тилли Котманн обвинение, связанное с ее предполагаемой хакерской деятельностью в период с 2019 по 2021 год. Тогда в ее доме и доме ее родителей по запросу властей США швейцарская полиция провела обыск, в ходе которого были изъяты ее электронные устройства.
 

Хакеры утверждают, что украли новых «Пиратов Карибского моря»

Хакеры утверждают, что им удалось получить доступ к фильму «Пираты Карибского моря: Мертвецы не рассказывают сказки», который еще не вышел в прокат, и угрожают выложить его в сеть для общего доступа, если The Walt Disney Company не заплатит выкуп, сообщает Deadline.

Директор компании Боб Айгер подтвердил эту информацию, однако не уточнил, о краже какого именно фильма идет речь.
Отмечается, что хакеры требуют перечислить внушительную сумму в биткоинах. В случае, если их требования не будут выполнены, злоумышленники намерены сначала обнародовать пятиминутный отрывок, а после публиковать отдельные фрагменты по 20 минут каждый.

Уточняется, что Walt Disney не намерена выполнять условия хакеров и активно сотрудничает по этому вопросу с ФБР.

Отличный комментарий!

Пираты спиратили пиратов

Хакеры выложили в Сеть голые селфи актрисы Энн Хэтэуэй с мужем

,Эротика,красивые фото обнаженных, совсем голых девушек, арт-ню,песочница эротики,энн хэтэуэй,сиски,хакеры,камвхора

CD Projekt Red подверглись хакерской атаке

СD Projekt Red сообщили в твиттере, что их сервера были взломаны и неизвестные хакеры зашифровали все их данные и требуют связаться с ними в течении 48 часов (видимо, чтобы обсудить выкуп). 
Перевод официального сообщения:
"Вчера мы обнаружили, что стали жертвой кибер-атаки, из-за которой некоторые наши внутренние системы были взломаны.

Неизвестные получили доступ к нашей внутренней сети, собрали определенные даные принадлежащие CD PROJEKT capital, и оставили записку о выкупе, которую мы выложили публично. Несмотря на то, что некоторые наши данные были зашифрованы, наши бэкапы в порядке. Мы уже наладили нашу IT инфраструктуру и начали восстановление данных.

Мы не будем вести переговоре о выпупе с неизвестным, и мы понимаем, что это может привести к публикования украденных данных. Мы предпринимаем необходимые шаги для предотвращения последствий подобной публикации, в частности мы связываемся с другими компаниями, которые могут быть задеты этим взломом.

Мы все еще расследуем этот инцидент, но на данный момент мы можем подтвердить, что насколько мы знаем - взломанные системы не содержали никаких персональных данных наших игроков или пользователей наших сервисов.

Мы уже связались с властями, включая представителей закона и Президента Офиса Защиты Персональных Данных, а также специалиство по IT отслеживанию, и мы будем тесно с ними сотрудничать, чтобы полностью расследовать этот инцидент."

Также CDPR приложили предполагаемую записку от взломщиков:
Если вкратце: хакеры говорят, что получили доступ к коду Киберпанка 2077, Ведьмака 3, Гвинта и невыпущенной версии Ведьмака 3. Также они скопировали бугалтерские, административные, юридические, кадровые и инвестроские документы. Они угрожают, что если не придут к соглашению, то выпустят это все онлайн и отправят все деликатные документы игровым журналистам.

История манифеста о независимом интернете

В 1980х, когда в романах Уильяма Гибсона впервые появилось упоминание киберпространства, в тот же момент технологические утописты перевернули с ног на голову его тревожный и пугающий мир будущего. Взяв идею скрытого, тайного мира Гибсона, они превратили её в мечту о новой утопии, где можно было освободиться от развращенных политических и властных иерархий, и познать новые способы существования.

Одним из ведущих представителей этой идеи был Джон Перри Барлоу, - автор песен для Greatful Dead. Увлеченный идеей погружения сознания в виртуальную реальность, Барлоу написал манифест: «Декларация Независимости Киберпространства». Он был адресован всем политикам, предупреждая их держаться подальше от этого нового мира. И он мог стать невероятно влиятельным, поскольку Барлоу дал миру мощную картину интернета не как сети, контролируемой гигантскими корпорациями, но, скорей, как своего рода магического места свободы; альтернативу старым системам власти. 

«Правительства промышленно развитых стран – киберпространство не лежит в пределах ваших границ. Мы создаем мир, где любой желающий, в любом месте, может выражать свои убеждения, независимо от того, один он или нет, без страха и принуждения к молчанию и подчинению.Я объявляю глобальное социальное пространство, которое мы строим, естественно независимым от навязанных вами тираний. Мы создадим цивилизацию разума в киберпространстве. И пусть она будет более гуманной и справедливой, чем тот мир, который прежде создавали ваши правительства».


Пытаясь показать, что Барлоу описывал вымышленный мир, двое молодых хакеров из Нью-Йорка взломали сервера гигантской корпорации TRW, украли и выложили в свободный доступ кредитную историю Барлоу. Они хотели доказать, что виртуальная утопия была невозможна, поскольку в интернете уже нарастала жесткая контролирующая сила, массово собирающая информацию о своих пользователях.


,интернет,хакеры,не политика,Уильям Гибсон,Джон Барлоу

Первая кровь кибервоины - история Stuxnet

 Практически у любой войны есть отправная точка, прецедент/провокация или что-то такое, от чего принято отсчитывать ее начало. Но никто не знает, когда же случилась первая война в истории человечества. На самой заре цивилизации, с конфликта двух племен человекоподобных обезьян? Во время первой драки между кроманьонцем и неандертальцем?
 Зато у войн в киберпространстве, которые идут ежедневно и незаметно для обывателя в 21 веке, есть начало. Именно о нем я расскажу вам историю, историю о вирусе, с которого все началось, историю о Stuxnet. Расскажу максимально подробно, и попробую собрать воедино все, что было собрано журналистами и исследователями за эти годы. Интересно? Тогда добро пожаловать под кат.


Предыстория

 Вы ведь слышали историю арабо-израильского конфликта? Тут на Коте она освещалась множество раз, и эта статья тоже ее затрагивает, но обо всем по порядку. Иран - один из самых грозных противников Израиля, он же “угроза всему миру” со слов представителей Вашингтона.
 Обогащение урана для Ирана - краеугольный камень энергетики и возможность получить ядерное оружие, соответственно, это страшный сон для США и Израиля. Поэтому иранцы подошли к этому вопросу максимально серьезно, был построен город ядерщиков Натанз (примерно как Припять в СССР), где собрали лучшие Иранские умы и построили самый защищенный завод по обогащению урана.
 А как построить защищенный завод? Максимальная секретность на этапе стройки, тщательный отбор кандидатов, отсутствие связи со внешними сетями и особенно Интернетом, пара военных частей рядом (преимущественно ПВО), ну и самую критическую инфраструктуру закопать поглубже под землю!
                                                                            Завод в Натанзе с воздуха
 Конечно же и Израиль и США знали о строительстве, а позже об этом узнал и весь мир. После постройки завод неоднократно показывали по иранскому телевидению, первые лица государства регулярно там бывали, и везде говорилось об успехах ядерщиков.

                                                            Махмуд Ахмадинежад, у центрифуг в Натанзе
 А что Израиль и США думали предпринять на этот счёт? На тот момент США все еще разгребали последствия вторжения в Ирак и даже не думали о какой-либо военной операции против Ирана, у них и так забот было достаточно, а в одиночку евреи ничего сделать и не могли.
 Устроить авианалет они бы очень хотели, даже в 2003 закупили у США самолеты получше и бомбы специальные для уничтожения целей под землей, но осознали что силенок у них не хватит, да и идти на прямой конфликт с Ираном откровенно говоря стремно.
                                                                             Батарея ПВО на страже завода
 Что же тогда делать? И тут в игру вступили спецслужбы, которые напомнили, что у нас же 21 век, киберпанк уже близко, может их это… похакаем? Неизвестно кто первый предложил такой сценарий ЦРУ, АНБ или же израильское подразделение радиоэлектронной разведки 8200 (а почему не 1337, лол), но участвовали в итоге все три, где-то всплывали данные об участии и МИ6, но хоть каких-то даже косвенных доказательств этому обнаружено не было.
                       Так родилась первая военная операция в киберпространстве, которая получила название “Олимпийские игры”.
 А откуда появилось название Stuxnet? Его придумали вирусные аналитики. Почему именно оно? А хрен его знает, где-то увидели такое сочетание слов в коде или просто выдумали, с этим всегда сложно и “приживается” обычно то название, которое больше по душе журналистам.

Подготовка “спортсмена” к “олимпийским играм”

 Почему спецслужбы предложили военным такой необычный по меркам спецопераций сценарий, как полноценная кибердиверсия? Да потому что они не считали это настолько уж необычным, кибероперации меньшей сложности и масштаба уже проводились ими в сети. Однако с иранцами дело обстояло гораздо сложнее.
 Основная задача спецслужб была проста - нарушить работу объекта на как можно более долгий срок. Для этого необходимо было вывести из строя самое сложное и дорогое оборудование на заводе - центрифуги. Центрифуги по обогащению урана - это вершина технического мастерства и инженерной мысли, для их правильной работы необходима очень точная настройка скорости вращения и, нарушив эту настройку, можно было легко вывести их из строя.
 Просто представьте, стоит такая штука которая вращается с гигантской скоростью (90 тыс. оборотов в минуту!) и отделяет одни изотопы от других за счет различной массы оных. Что будет, если она будет вращаться неравномерно? Или быстрее чем надо? Ее разорвет к чертям собачим!) Это то и было нужно.

                                                     Комната контроля над обогащением, кадры с Иранского ТВ
 Они там даже не в “косынку” играли, а работали под камерами ТВ (или делали вид), но рабочее ПО засветили, и стало понятно, что управляют этими центрифугами контроллеры компании Siemens. Как узнать какие именно? Это уже было не сложно вычислить, например слить данные о поставках например. В таком случае, картинка с мониторов, то была не нужна, если данные о поставках спецслужбами были перехвачены сразу. Ведь не так много компаний продают контроллеры подобного рода.
                           Таким образом основная цель была понятна - заражение вирусом контроллеров, перезапись настроек и выведение из строя центрифуг.
 Завод - это всегда множество различных АСУТП (Автоматизированная система управления техническим процессом) со специфичным оборудованием, сложной организацией сети и проблемами с безопасностью внутри этой сети (и так на всех заводах по всему миру, ага). Такого рода сети практически всегда защищаются их изоляцией, а если это еще и военный объект, то скорее всего изоляцией на физическом уровне и от внешних сетей и тем более от Интернета. Всегда ведь проще залить дверь бетоном, чем совершенствовать замки, и тогда ее точно не откроют, верно? Вот так и с изоляцией сети.
 И самое главное эту операцию необходимо было провести незаметно от средств защиты, особенно антивирусного ПО, хотя бы до момента достижения цели. А значит спецслужбам необходимо было решить множество задач, часть которых было довольно нетривиальна на тот момент времени.

Задача 0. Доставка вируса в изолированную сеть.

 Итак у нас есть изолированный от Интернета и большинства сетей объект, на который мы не можем внедрить инсайдера(шпиона, предателя, называйте как хотите), тогда, как этот объект заразить? Кто ответил никак?! Неправильный ответ, так же как и всегда, через работников!
 Ведь большинство крупных промышленных взломов начинается именно с социальной инженерии (атаки на работников), чаще всего с рассылки вредоносных писем. Но вот обнаружить работников секретного объекта, закрытой страны и их домашние компьютеры слишком сложно и долго, да и доступа у них может и не быть к святая святых завода - к АСУТП, а заранее это и не узнаешь.
Значит заразить нужно тех, кто эти АСУТП обслуживает и настраивает, а как правило это внешние организации. Именно поэтому Stuxnet поразил первыми 5 компаний в Иране, которые работали в сфере разработки промышленных систем или поставки соответствующих комплектующих. Логично правда?
Вот она “первичная пятерка”:
          •Foolad Technic Engineering Co - создавала автоматизированные системы для Иранских промышленных предприятий.
          •Behpajooh Co. Elec & Comp. Engineering - аналогично с предыдущей, именно с нее и началась глобальная эпидемия, но об этом позднее.
           •Neda Industrial Group – организация, с сентября 2008 года находящаяся в списке санкций Министерства Юстиции США и обвиняемая в нелегальном экспорте запрещенных веществ (очевидно, что не наркотиков) в Иран, в том числе в военных целях.
           •Control-Gostar Jahed Company – еще одна иранская компания, выполняющая работы в области автоматизации промышленного производства.
          •Kala Electric - ее считают разработчиком иранских центрифуг IR-1 для обогащения урана, самая сладкая для заражения компания.

 Успешное их заражение и позволило решить Задачу 0. Цепочки поставщиков и обслуживающие организации оказались слабым звеном, связанным с заводом в Натанзе. Из какой именно организации вирус попал на завод - неизвестно.

Задача 1. Заражение и распространение.

 Но как именно заразить сети этих компаний? И ведь нужно успешно распространиться по компьютерам в Натанзе в поисках АСУТП центрифуг! Задача тоже не из простых, и судя по всему к ней подошли особо тщательно и не поскупились на “дорогие инструменты”.
 Есть такое понятие в информационной безопасности как “0day”, она же “уязвимость нулевого дня”, это такое “оружие победы” мира хакерства. Уязвимость - к которой на момент использования нет заплатки, а значит и защиты нет и о ее существовании разработчикам неизвестно. А значит все, у кого эта уязвимость присутствует, могут быть через нее взломаны. На черном рынке 0day стоят суммы с большим количеством нулей, ведь они того стоят. Особенно опасные 0day стоят уже девятизначные суммы в долларах. И используют их крайне осторожно, ведь если факт заражения заметят, и обнаружат как именно оно произошло, то и уязвимость станет известна всему мира и будет закрыта как можно быстрее, а значит и стоить она уже будет практически ничего. Идеальное одноразовое оружие.

 Так вот, для своего успешного распространения Stuxnet использовал ЧЕТЫРЕ 0day уязвимости. Представляете каких ресурсов стоило их найти/купить?
 Вот вот, давайте взглянем на них поближе, наша дорогая во всех смыслах четверка:

         •MS10-046 - уязвимость обработки ярлыков (LNK-файлов) в WIndows. Казалось бы, что может быть в ярлыках? Это же даже не файл! А просто ссылка на него или папку! Но вот открытие папки с специально сформированным ярлыком вызывало загрузку вредоносного кода в память системного процесса Windows и запуск его на исполнение, а значит и гарантированное заражение системы. Этот механизм использовался для заражения USB-носителей (флешек) и сетевых папок.
         •MS10-061 - уязвимость системной службы работы с принтерами. Позволяла и как своя на тот момент известная сестренка (MS08-067) удаленно заразить систему без шума и пыли, тут даже действий никаких не требовалось. К слову, MS08-067 тоже была в “арсенале” Stuxnet и использовалась при распространении, если была возможность.
         •MS09-025 - предположительно именно эта уязвимость использовалась для “поднятия привилегий”, то есть выполнение вируса с правами администратора компьютера, в случае если это было необходимо. Например при заражении через ярлыки и запуске по каким-либо причинам с правами пользователя. Ведь для распространения вирусу необходимы были полные “администраторские” права. А не эти ваши плебейские, пользовательские...
         •Неизвестная уязвимость “поднятия привилегий”, подробной информации о ней, к сожалению, нет. Известно лишь что она была закрыта сразу после инцидента со Stuxnet. Использовалась для тех же целей, что и третья
                    Стоит отметить, что ни одно вредоносное ПО, кроме Stuxnet, не использовало на тот момент ни одну из этих уязвимостей.
 Модификаций вируса Stuxnet было несколько, и они использовали разные методы заражения на разных этапах. Первые жертвы были заражены иначе, чем последующие, как показала практика заражение первых жертв было произведено через несколько часов после создания вируса, а значит маловероятно, что они успели быть записаны на USB-носители и перенесены.
 На одном из объектов одновременно были заражены 3 компьютера, из которых два были серверами, что полностью исключает вектор электронной почты и USB-носителей, возможно имело место заражение заранее взломанных серверов через Интернет, ведь у первичных компаний была с ним связь и еще какая! Рассылка вируса по электронной почте возможно также было одним из векторов заражения, хотя явных подтверждений последнего найдено не было. (Ну или просто Иранцы скрыли сей позорный факт)

Задача 1. Была успешно решена, за счет четырех 0day уязвимостей. Это был ОЧЕНЬ дорогой, но невероятно действенный метод.

Задача 2. Автономность, избирательность, контролируемое заражение.

 Избирательность. Вирус может успешно распространиться по Заводу в Натанзе, но у него есть конкретная цель - нарушить работу центрифуг и вывести их из строя. А это самая нетривиальная задача.

 Что нужно? Обнаружить систему управления центрифугами!
Вирус успешно искал на зараженных машинах следующее ПО от Siemens - PCS 7, WinCC, STEP7. Если находил, брал управление на себя, проверял какое оборудование подключено и если понимал, что это центрифуга, а не другая херовина любого другого завода, то переписывал часть кода контроллера, выставляя некорректную скорость вращения. И Бабах! Профит!)
 Для настройки вируса видимо разработчикам предоставили тестовый стенд имитирующий центрифугу ну или… настоящую центрифугу! После четырех 0day я уже ничему не удивлюсь!
 Прочее ПО? Вируса не интересовало, он искал конкретную цель.

 Автономность. Работа вируса было полностью автономна, ему не требовался контроль оператора или доступ в интернет, но при этом существовал риск его излишнего распространения. В вирус были заложены даты остановки деятельности по заражению, а именно 24 июня 2012 года - остановка заражения usb-носителей. Почему именно эта дата? Ну это 3 года с момента запуска одной из версий вируса. Есть еще версии, но это самая правдоподобная. Хотя не все сводилось к этой дате, использование MS10-061 продолжалось до 1 июня 2014 года, а MS08-067 аж до января 2030.
 Поэтому возможно в планах разработчиков, эти даты были не “рубильником” для выключения, а лишь датами которые бы обновились после выпуска новой версии Stuxnet.

 До сих пор не понятно, для чего в Stuxnet внедрили эти даты, а также для чего внедрили систему “логирования”. Вирус зачем-то записывал в своем теле каждое последующее заражение, выстраивая целую цепочку. Хранил он следующие данные:

Дата зараженияИмя операционной системыИмя компьютераДомен                                                    Логи одного из семплов Stuxnet
 Эти логи очень помогли вирусным аналитикам на этапе расследования, особенно при восстановлении цепочки заражений и поиска “первичных” источников.
 Контролируемое заражение. Первые версии Stuxnet запускали и распространяли очень аккуратно. Но в определенный момент пожертвовали осторожностью во имя высокой автономности и срочной необходимости достичь цели любой ценой. Таким образом утечка его последующих, более агрессивной версии в Интернет была лишь вопросом времени.

Задача 2 успешно решена во всем, кроме последнего пункта. Именно заражение Behpajooh Co. Elec & Comp. Engineering более агрессивной версией и привело к эпидемии по всему миру, но об этом далее.

Задача 3. Обход антивирусного ПО.

 Заражение компьютеров и распространение не может остаться долгое время незамеченным со стороны антивирусного ПО. Антивирусы в тот момент уже умели замечать любую подозрительную движуху, даже без участия вирусных аналитиков, просто “по поведению”/“эвристике”. Поэтому для скрытности и успеха операции было просто необходимо было придумать надежный способ обхода антивирусного ПО.

 Но в чем проблема, на 2010 год производителей антивирусного ПО и их продуктов было бесчисленное множество, алгоритмов анализа поведения еще больше, и подстраиваться под все из них задача явно невыполнимая. А “частичная скрытность” руководство операции явно не устраивала.
 Но у руководство было что? Правильно, бабло! А еще и другие “специальные” ресурсы, которые и помогли достать еще одно “оружие победы”, но уже из мира вирусописателей. Как заставить антивирус поверить тебе, что ты не вирус? Представиться продуктом солидной компании с соответствующими документами!

 В 21 веке все крупные производители ПО подписывают свои продукты специальными электронными сертификатами, которые хранятся в святая святых компании. Ведь если программный код подписан, значит он действительно написан этой компанией, и антивирусам проверять его не нужно, им безоговорочное доверие, они в “белом списке”.
 Случаев утечек сертификатов крупных компаний можно по пальцам пересчитать, слишком сложная это задача - украсть сертификат. Да и ведь все понимают опасность такой утечки, ну а в случае утечки эти сертификаты и подписи обычно моментально аннулировались.

 Версии Stuxnet были подписаны аж ДВУМЯ сертификатами двух крупных компаний Realtek Semiconductor Corp. и JMicron. Как они были получены? Неизвестно, но общее у этих компаний в том, что располагаются они в Hsinchu Science Park на Тайване, вполне возможно что были украдены “под задачу” инсайдерами или “специальными” людьми.
Есть мнение, что они были куплены на “черном рынке”, но она не выдерживает никакой критики, ведь риски слишком высоки, а организовать кражу самому спецслужбам и проще и безопаснее.

                                В результате любое антивирусное ПО пропускало Stuxnet, без каких-либо подозрений.

Задача 3 была успешно выполнена за счет “специального” ресурса и украденных сертификатов.

Предположительный запуск вируса и массовая эпидемия.

 Известно что первая сборка и последующий запуск одной из версий Stuxnet случились 23 июня 2009 года в 4:40 по Гринвичу. Эта версия еще не использовала ярлыки (LNK-файлы) для распространения.
 Следующие версии были запущены 28 июня и 7 июля.
По словам журналистов и их источников АНБ медлили с запуском, не давали вирусу прав на автоматическое распространение, Израиль же в корне был не согласен с этой тактикой.

 Представьте себе: рядом с вами набирает мощь весьма агрессивный сосед, который глядишь и применит ядерное оружие и именно по вам!

 В результате код вируса был модифицирован Израилем, был дан старт бесконтрольному распространению для достижения цели любой ценой. Массовый запуск новой более агрессивной версий Stuxnet на компанию Behpajooh Co. Elec & Comp. Engineering состоялся без согласования с АНБ. И понеслось…. из этой компании прямо в Интернет!
 В результате лавинообразного распространения по сетям, эпидемия Stuxnet накрыла весь мир и уже не могла оставаться незамеченной. Хоть Stuxnet и старался не проявлять себя до обнаружения центрифуг, 17 июня 2010 года он был обнаружен антивирусным экспертом белорусской компании «ВирусБлокАда» Сергеем Уласенем. Тут даже не будет шуток про картошку и Белорусь, парень просто красавчик! Сразу после этого все антивирусное комьюнити начало детектировать вирус по всему миру.
 Как и ожидалось наиболее массовым было заражение в Иране (кто бы мог подумать!), Индонезии и Индии. Совпадения первых двух букв в названия стран случайны)
 Брайан Кербс известный журналист опубликовал 15 июля первый подробный отчет о Stuxnet, указав на множественные признаки не просто вируса, а “кибероружия”, чем и привлек дополнительное внимание общественности.
В тот момент экспертам антивирусного сообщества стало уже понятно, что застали они этот вирус уже “на спаде”, что распространение уже случилось, и вероятно цели своей он достиг.

Последствия вируса.

 Сразу же после обнаружения версии Stuxnet подписанной сертификатом компании Jmicro, сертификат был отозван и подпись перестала действовать. Второй же сертификат от Realtek отзывать было опасно, т.к. из-за распространенности ПО от Realtek на сетевом оборудовании, сетевые устройства могли просто перестать работать из-за некорректной подписи. Никто не хотел уложить добрую половину Интернета. Его просто убрали из белого списка антивирусного ПО.
 Ну а что с заводом в Натанзе? Stuxnet достиг своей цели, Иран сделал несколько заявлений, в которых обвинил США и Израиль в ведении кибервойны против страны. Также руководством страны было заявлено, что “они создали нам проблемы с несколькими центрифугами”. В то же время журналистам один из высокопоставленных чиновников, курировавший информационную политику внутри Ирана, заявил: инфицировано несколько десятков тысяч компьютеров в промышленных системах.
 Но по настоящему оценить масштаб ущерба помог отчет МАГАТЭ (Международного агентства по атомной энергии) который зафиксировал сокращение количества центрифуг в Натанзе на 800, Карл, единиц! Думаю, был тот еще хаос, когда все они одновременно начали разлетаться вдребезги...
 Начались спекулятивные слухи по поводу АЭС в Иране, которые строились Россией, однако по словам чиновников Ирана там не использовались контроллеры Siemens, поэтому и угрозы не существовало. Китай отрапортовал о заражении тысяч промышленных объектов, но также без ущерба, т.к. и тут Stuxnet не нашел центрифуг.
                                           Однозначно, свою задачу Stuxnet выполнил.
Последствия первого применения кибероружия
 Спецслужбы не только успешно применили первое в мире кибероружие, но и продемонстрировали остальным, что новое поле боя открыто! С этого момента это стало очевидно для всех стран, причем правил на этом поле боя нет. В этом главное “достижение” этого вируса.

 Впоследствии были обнаружены и другие вирусы сходные со Stuxnet. Duqu - использовавшийся для сетевой разведки и постройки топологии сети. Flame с еще более сложная структурой, обнаруженный гораздо позднее в мае 2012 года. Он использовался для сбора всех действий пользователя и отправкой данных на сервера распространителей. А обнаружили его на нефтедобывающих и нефтеперерабатывающих предприятиях Ирана (опять?!), где, судя по всему, он собирал информацию для последующих атак на инфраструктуру. Его код во многом был связан со Stuxnet, даже использовал заимствования и одинаковые части кода, но его развитие продолжалось независимо от Stuxnet.

 Правительство США, в лице на тот момент Хилари Клинтон косвенно признали, что Stuxnet был разработан в США. Множественные источники журналистов из АНБ и ЦРУ, также подтверждали работу над Stuxnet, они же и рассказали о названии операции - “Олимпийские игры”.
 И лишь в 2015 году появилось очередное подтверждение:
 Хакерская группировка Shadow Brokers осуществила взлом группировки Equation Group, которая предположительно работала на АНБ. В результате все разработки Equation Group оказались в свободном доступе в Интернете, и было замечено серьезное сходство между частями их вредоносного ПО и теми, что были использованы в Stuxnet.
 А еще позднее, после утечки данных из АНБ, организованной Эдвадом Сноуденом, было обнаружено что название множественных инструментов, используемых АНБ и инструментов, разработанных Equation Group также совпадают. Вот построилась и еще одна цепочка “совпадений” до АНБ.

Итог

 Действуя по принципу “цель оправдывает средства” спецслужбы Израиля и США успешно применили первое в мире кибероружие, продемонстрировав всему миру новое поле боя.
 Цель была выполнена, завод в Натанзе поражен и отброшен в развитии назад, хоть и ценой мировой огласки.
 Сейчас же продолжается гонка кибервооружений и постоянные бои на этом, только формирующемся, поле боя.
_________________________
Автор: 4bidden World

Здесь мы собираем самые интересные картинки, арты, комиксы, мемасики по теме выложили в сеть хакеры (+1000 постов - выложили в сеть хакеры)