От AMX
К nicoljaus
Дата 09.03.2021 11:59:59
Рубрики Спецслужбы; Локальные конфликты;

Re: вообше-то грядет...

>Вы, видимо, не понимаете что такое "хакерская атака". Это не какой-то петросян зашел по паролю solarwinds123 и написал "Обама Чмо! Путин и Трамп крутые!" это специально написанный malicious code, который внедрили в софт компании.

А что это меняет? Нашли сканирующим ботом пароль на счет раз-два-три к серверу обновлений.
А дальше, в если это какой-то стандартный сервис обновлений, а это на 99.99999% так, положили туда установщик троянов, кейлогеров и прочих интересных вещей. Которые их же софт и установил.
Или заразили этим исполняемый файл или библиотеку. А все остальное сделал их же софт, успешно обновив.

Задача посильная для малолетних "петросянов" аля "скрипт-кидди" и ничем не отличается от стандартных для них способов заражения компьютеров домохозяек и им достаточно готовых инструментов, которые они привыкли использовать.

Когда внедряется "специально написанный", то вы так быстро это не найдете. Хотя бы потому что к тому времени, когда вы найдете уязвимость простого пароля сервера обновлений, ничего стремного на нем уже не будет, также как и на компьютерах пользователей.
От nicoljaus
К AMX (09.03.2021 11:59:59)
Дата 09.03.2021 12:28:07

Re: вообше-то грядет...

>А что это меняет?

Для тех, кто в курсе истории - ничего. Для тех, кто поверил, что никакой атаки не было, а был просто плохой пароль - сильно меняет.

>Нашли сканирующим ботом пароль на счет раз-два-три к серверу обновлений.

Да, возможно и так.

>А дальше, в если это какой-то стандартный сервис обновлений, а это на 99.99999% так, положили туда установщик троянов, кейлогеров и прочих интересных вещей. Которые их же софт и установил.
>Или заразили этим исполняемый файл или библиотеку. А все остальное сделал их же софт, успешно обновив.

Я свечку не держал, но пока речь идет не о готовом стандартном трояне/кейлоггере.

>Когда внедряется "специально написанный", то вы так быстро это не найдете.

Так именно что долго не могли найти: the hackers were able to spy on the companies and federal agencies for months.
От AMX
К nicoljaus (09.03.2021 12:28:07)
Дата 09.03.2021 13:29:25

Re: вообше-то грядет...

>Я свечку не держал, но пока речь идет не о готовом стандартном трояне/кейлоггере.

Вот заставили полезть глубже и почитать.

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Трояна с стандартным ботнетом на Beacon им повесили. Последнее можно считать подтверждением "петросянов".
А не заметили их сразу потому что сама SolarWinds заставляла пользователей вносить свой софт в исключения для антивирусов. Иначе говоря обычный антивирус засек бы зловреда, если бы гениальные товарищи из SolarWinds заранее не позаботились чтобы антивирус не смотрел на их файлы.

https://www.real-sec.com/2020/12/fireeye-breach-leveraged-solarwinds-orion-software/
От nicoljaus
К AMX (09.03.2021 13:29:25)
Дата 09.03.2021 13:40:21

Re: вообше-то грядет...

>Вот заставили полезть глубже и почитать.Трояна с стандартным ботнетом на Beacon им повесили. Последнее можно считать подтверждением "петросянов".

Вы как-то избирательно читате: Multiple SUNBURST samples have been recovered, delivering different payloads. In at least one instance the attackers deployed a previously unseen memory-only dropper we’ve dubbed TEARDROP to deploy Cobalt Strike BEACON.

>А не заметили их сразу потому что сама SolarWinds заставляла пользователей вносить свой софт в исключения для антивирусов.

Вы так пишите, как будто это что-то неслыханное. Так-то регулярно приходится антивирь вырубать. Ну и попалили далеко не только SolarWinds, Микрософт тоже неплохо так поучаствовала.
От AMX
К nicoljaus (09.03.2021 13:40:21)
Дата 09.03.2021 14:14:13

Re: вообше-то грядет...

>Вы как-то избирательно читате: Multiple SUNBURST samples have been recovered, delivering different payloads. In at least one instance the attackers deployed a previously unseen memory-only dropper we’ve dubbed TEARDROP to deploy Cobalt Strike BEACON.

Это индустрия. Создание различных инструментов, новых троянов, создание крипторов и других инструментов, маскирующих известных зловредов, пущено на поток и доступно по прайсу. А Beаcon им поставили, определяемый антивирусом, т.е. не срытого зловреда. Загрузчик новый и что? )))) Работают ребята над написанием загрузчиков.

Ботнет то зачем? А обнаружил их "огненный глаз" активность как? Когда применили ботсеть по назначению и трафик вырос до небес? )))

Это детские игрушки, которые видны в списке процессов и на диске невооруженным глазом.

>Вы так пишите, как будто это что-то неслыханное. Так-то регулярно приходится антивирь вырубать. Ну и попалили далеко не только SolarWinds, Микрософт тоже неплохо так поучаствовала.

Это неслыханное даже в рамках небольшой российской коммерческой организации, у которой вы что-то можете украсть через интернет. СБ и админы не дадут добро на такой софт.
А у более-менее крупной, вы можете заражать всё что угодно, вы или не выйдете наружу с данными, потому что невозможно с компьютера сотрудника выйти в интернет, как и перенести что-то с этого компьютера на другой физически, или вы заразите виртуалку на которой нет ничего кроме браузера, чтобы сотрудник мог по служебной надобности ходить в "интернеты".
От nicoljaus
К AMX (09.03.2021 14:14:13)
Дата 09.03.2021 15:23:42

Re: вообше-то грядет...

>Это индустрия.

Так я и говорю - нормальная такая хакерская атака. И теперь люди очень хотят добраться до капитанов этой индустрии.

>Ботнет то зачем? А обнаружил их "огненный глаз" активность как? Когда применили ботсеть по назначению и трафик вырос до небес? )))

Я так глубоко не копался. "Огненный глаз" присел на измену, когда обнаружил, что у их "красной команды" попёрли тулкит для моделируемого взлома.

>А у более-менее крупной, вы можете заражать всё что угодно, вы или не выйдете наружу с данными

Я более чем уверен, в США айтишники так же рассуждали на тему "да у нас все схвачено". А вот вишь ты как получилось.
От AMX
К nicoljaus (09.03.2021 15:23:42)
Дата 09.03.2021 15:49:15

Re: вообше-то грядет...

>Так я и говорю - нормальная такая хакерская атака. И теперь люди очень хотят добраться до капитанов этой индустрии.

Вы просто "нормальных" никогда не видели )))
Клиент ботсети в качестве бэкдура это или клиент ботсети и преследовалась цель создать ботсеть, или это "я тебя слепила, из того, что было".
От nicoljaus
К AMX (09.03.2021 15:49:15)
Дата 09.03.2021 16:07:01

Re: вообше-то грядет...

>Вы просто "нормальных" никогда не видели )))
>Клиент ботсети в качестве бэкдура это или клиент ботсети и преследовалась цель создать ботсеть, или это "я тебя слепила, из того, что было".

Сам я не специалист, но вижу что специалисты оценивают работу довольно высоко.

"Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием. В резуль­тате множес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети. Сре­ди пос­тра­дав­ших чис­лятся такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Как ранее стало известно из отчетов ИБ-экспертов, сначала атакующие развернули в сети SolarWinds малварь Sunspot. Аналитики компании CrowdStrike писали, что этот вредонос использовался для внедрения в код Orion бэкдора Sunburst. Зараженные версии Orion оставались незамеченными и были активны в период с марта по июнь 2020 года, а компании-пользователи Orion оказались скомпрометированы. Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия плат­формы была уста­нов­лена при­мер­но у 18 000 кли­ентов. При этом хакеры развивали свою атаку далее лишь в редких случаях, тщательно выбирая среди пострадавших крупные цели.

Sunburst сам по себе не был особенно сложным, он лишь собирал информацию о зараженной сети и передавал эти данные на удаленный сервер. Если в итоге операторы малвари решали, что жертва является перспективной целью для развития атаки, они удаляли Sunburst и заменяли его на более мощный бэкдор-троян Teardrop.

Но как теперь сообщает компания Symantec, в некоторых случаях атакующие предпочитали использовать малварь Raindrop, а не Teardrop. Оба бэкдора имеют схожую функциональность и характеризуются исследователями как «загрузчик для маяка Cobalt Strike», то есть они применялись злоумышленниками для расширения доступа внутри взломанной сети"
От AMX
К nicoljaus (09.03.2021 16:07:01)
Дата 09.03.2021 17:17:03

Re: вообше-то грядет...

>Сам я не специалист, но вижу что специалисты оценивают работу довольно высоко.

Специалист не может оценить это высоко. Специалист может только удивиться как можно при помощи не выдающегося инструментария и мозгов, которые пишут зловреды на .Net, залезть так далеко и с таким результатом.

Они не пользовались неизвестными уязвимостями, нахождение которых можно было бы приписать им. Они никакими не пользовались. Они не использовали ничего, что не может использовать дите, решившее поиграть в хакеров.

Но это не заслуга хакеров, а уровень сотрудников атакованной компании.
От nicoljaus
К AMX (09.03.2021 17:17:03)
Дата 09.03.2021 17:30:48

Re: вообше-то грядет...

>Специалист не может оценить это высоко.

Ну, я прям не знаю, думал что у "Касперского" специалисты. А к кому тогда за антивирусом идти?

>Они не пользовались неизвестными уязвимостями, нахождение которых можно было бы приписать им. Они никакими не пользовались.

Нэ так все было. Они пользовались много чем, занятно было на слушаниях в сенате, когда Микрософту начали выговаривать за архаичную архитектуру.

>Они не использовали ничего, что не может использовать дите, решившее поиграть в хакеров.

Ну тогда не о чем переживать - скоро детей, решивших поиграть в хакеров, найдут и отберут игрушки.
От AMX
К nicoljaus (09.03.2021 17:30:48)
Дата 09.03.2021 17:46:09

Re: вообше-то грядет...

>Ну тогда не о чем переживать - скоро детей, решивших поиграть в хакеров, найдут и отберут игрушки.

Они "Неуловимый Джо"
От nicoljaus
К AMX (09.03.2021 17:46:09)
Дата 09.03.2021 17:48:45

Re: вообше-то грядет...

>Они "Неуловимый Джо"

А, ну т.е. опять "Боинг" наполненный несвежими трупами. Сами себя взломали, потому и не ищут.