Беларусь
  • 935
  • Киберкозлы в беларуском огороде


    Фото не из копипасты

    16.3.2019. Telegra.ph, DiableBoiteuxMarch

    Рассказываем, как ФСБ достаёт информацию беларуских гос. и частных структур


    В небольшой матчасти (https://t.me/diableboiteux/193) мы уже поясняли, что информационная безопасность — это не только борьба за умы. Это ещё и сохранность big data — данных служб, ведомств, а также гражданских банков, сотовых операторов, магазинов, провайдеров в тд., всё это описывается в КИБ РБ.

    Какая в них ценность? Ну смотря для кого. На уровне опера это работает так:

    Вот ваша жена, например, не знает, что в том месяце вы закупались в "Царском золоте" дамскими украшениями и проговорили с абонентом +375 29 (*** ** **) четыре часа короткими перезвонами. Номер, кстати, зарегистрирован на Анастасию Любовскую 2001 года рождения, которая дважды заказывала пиццу на адрес офисного здания напротив вашей работы. Хммм… История транзакций карты расскажет, что после одного такого звонка вы здорово потратились в развлекательном центре крупной сети и, наверняка, видео с камер наблюдения за этот день ещё лежат на серваках. Короче, мы вас не пугаем, и жизнь вам ломать не хотим, а просто просим услугу за молчание — расскажите нам, а что там с [интересуемым]?

    Информация данных хоть и не позволяет манипулировать стадом, но в умелых руках есть лярд способов использовать её как угодно во вред. Пример логики опера примитивно-приземлённый и доступен пониманию большинства, на самом деле всё сложней и идёт гораздо дальше бытовых спецслужбистских компроматов.

    Короче, как украсть big data, если вам очень надо (может и не очень, но лучше, чтобы было)?

    Самый популярный вариант предлагает нам хакнуть систему. Но хак привлекает внимание, оставляет следы, и вообще — это преступление, тебя найдут и накажут.

    Но можно ли так хакнуть систему, чтобы жертва ещё заплатила бабки и осталась довольна, нихуя не поняв? В ФСБ вот такую схему придумали.

    Но начнём с предыстории.

    Был в Беларуси один такой расследователь преступлений в сфере высоких технологий, начальник отдела СК Александр Сушко.


    Он самый

    Хотя там и хватает интересного, но в детали службы углубляться не будем, сократим для нужной в контексте сути — из органов его ушли. Адвокаты многих подследственных, кстати, не раз высказывали подозрения, что доказательная база выглядит поддельной, но ведь кто тут у нас понимает в неясных терминах VPS, DNS, IP etc? Ну да ладно.

    Через некоторое время после его ухода из органов в Минске под него открылся филиал российской фирмы Group-IB, где Сушко стал руководителем.

    Group-IB это контора-дублёр "Лаборатории Касперского", которая в значительной ступени состоит из работников силовых ведомств, имеет допуск к гос. секретам РФ, её работники принимают участие в задержаниях вместе с ФСБ, и всё в таком духе. Как и "Касперский", Group-IB курируется Центром информационной безопасности ФСБ.

    В России эта кибер-дочка ФСБ занимается реальным расследованием преступлений и тд., имеет лицензию на свою деятельность от упомянутого ведомства...


    … не только от него :) Слева — начальник Group-IB.

    И регулярно пробует объяснить логику наличия чекистов в штате.


    Скриншот.

    Словом, тут понятно: чуваки работают на благо своей Родины, называясь коммерческой фирмой, всё как всегда. В Америке тоже так.

    Но чем интерес конторы в Беларуси?

    А вот тут очень занимательно: они предлагают гос. и частным организациям проверить их цифровую безопасность за очень привлекательную цену, с милостью альтруиста не жалея скидок. Клиентов выбирают потенциально интересных ФСБ: вроде банков и операторов.

    Какой механизм "проверки"? Это когда тебе дают легально хакнуть систему, чтобы увидеть в ней дыры.

    Чиновники и управляющие доверяют Сушко в связи с его офицерским прошлым, поэтому он легко убеждает гос.структуры и банки заказывать проверку безопасности у Group-IB, уверяя их в самой важности такого подхода.

    А вот что происходит с данными после санкционированного взлома заказчик знать не может никак и полагается только на честность проверяющих.

    Есть ли там на что полагаться вы уже поняли. Да и в принципе, полагаться на честность ФСБшников — это не те категории, в которых нужно мыслить о информационной безопасности Беларуси, ведь правда?

    Вот, например, в Центре информационной безопасности ФСБ напрямую говорят, что иностранным компаниям, да и некоторым своим тоже, в таком тонком деле они не доверяют. Более того, признаются, что, "при необходимости" запрашивают данные (!!!) только у проверенных контор, например — у Group-IB :)))))


    Скриншот РБК.

    Есть ли среди этих "данных по небходимости" беларуские вопрос риторический, адресованный тем, кто уже пустил спецслужбы чужой страны в свои системы, и тем, кто это проворонил.

    Ну и, наверное, сейчас вы прочитаете этот текст и ломанётесь на сайт Group-IB, чтобы глянуть, а что это за контора.

    Там вас встретит сайт, который сообщает, что всё по-международному серьёзно: Group-IB сотрудничает даже с Майкрософтом (!), Киви, куча ссылок на всякого рода рейтинги (самый поздний из которых составлен в 2015-м, за два года до того, как в мире раздуплили, что Касперский — это инструмент ФСБ, запретив его)

    Объясняем: всё это пыль в глаза, а в условный Майкрософт их бы в жизни никто не пустил. По факту всё их сотрудничество с международными системами заключается в выбивании ковриков для мышек на аутсорсе, а конкретно: в отслеживании и блокировке сайтов с палёной виндой или фишинговых копий платёжных систем в России.

    Да и как пустить к себе контору, которая прямо признаётся, что "защищает (российское) государство"?


    Снова скриншот Медузы, которая всё сделала за нас.

    Иронично, что на сайте упоминают только старые публикации Форбс, а про новые — где говорят про связи с ФСБ, забывают.


    Скриншот Форбс.

    Ну и в завершении портрета ещё один скрин с Медузы, который раскрывает нам руководство Group-IB.


    Скриншот Медуза.

    Получается, к Спутнику на конференции мы не ходим, но вот сливать инфу киберСпутнику — легко?)

    Так же напоминаем всем читателям, что если вы осилили это до конца, следующий ваш шаг — удалить нах с компа Касперский, если он у вас вдруг установлен. Как он крадёт ваши данные в свою "лабораторию" под видом "вредных файлов" первой просекла израильская разведка, взломав самого Касперского. Важно это потому, что если IB-Group приходит за вашими данными как-бы не к вам, то эти — прямо в ваш комп. Структуры связаны.

    P.S. Про профиты, извлекаемые упомянутым, наверное, может рассказать и он сам. Но если задумается, то мы подскажем — смотреть нужно в сторону Италии, в небольшой городок Ostia возле Рима ;)

    2 комментария

    avatar
    А тем временем…

    СМИ: В Чехии обезврежен российский центр кибератак
    19.03.2019, graniru.org/Politics/World/Europe/m.275594.html

    Российские спецслужбы создали и использовали для кибератак две компьютерные фирмы в Праге, сообщается в расследовании чешского журнала Respekt.

    Как утверждается, чешские силы безопасности раскрыли деятельность центра кибератак еще в начале 2018 года. В ходе операции были задержаны как несколько российских граждан, так и граждане Чехии — выходцы из России. Итоги и детали операции до сих пор не раскрывались.

    Формально две фирмы, которые попали в поле зрения чешских спецслужб, занимались продажей компьютерного оборудования и программного обеспечения, однако в действительности их сотрудники также готовили хакерские атаки, используя свои компьютеры.

    Часть техники для фирм в Чехию привозили из России через третьи страны на автомобилях российского посольства с дипломатическими номерами. В фирмы эта техника также попадала через дипмиссию.

    По сведениям Respekt, в хакерскую ячейку входили как чехи, так и россияне, получившие чешское гражданство. Группа могла сотрудничать с несколькими аналогичными российскими ячейками, действующими в других странах, говорится в расследовании.
    0
    avatar
    … сервер обновлений ASUS на протяжении примерно полугода (с июня по ноябрь 2018 года) раздавал модифицированную злоумышленниками, но подписанную сертификатом компании утилиту ASUS Live Update, используемую для обновления компьютеров ASUS. Motherboard отмечает со ссылкой на представителя «Лаборатории Касперского», что злоумышленники использовали версию утилиты 2015 года, в которую был добавлен вредоносный код. Специалист отметил, что, по-видимому, у злоумышленников был доступ к серверу подписи программного обеспечения ASUS. Модифицированная утилита была установлена на компьютерах как минимум 57 тысяч пользователей программ «Лаборатории Касперского» и 13 тысяч пользователей программ Symantec.

    Самая интересная часть выводов расследования специалистов заключается в том, что, судя по всему, целью авторов трояна были не обычные пользователи. Дело в том, что при анализе кода программы исследователи обнаружили в нем 600 хэшей MAC-адресов сетевых карт компьютеров. При запуске программа сверяет MAC-адрес компьютера со списком и, если находит его в списке, приступает к скачиванию другой вредоносной программы, правда, уже не с официального сервера ASUS, а с имитирующего его.

    nplus1.ru/news/2019/03/26/asus


    Сколько раз вредоносная версия программы была загружена пользователями, в «Лаборатории Касперского» не уточняют. По их данным, ASUS Live Update с бэкдором установили более 57 тыс. пользователей продуктов ЛК. Общее число заражений может достигать миллиона, считают эксперты.

    Атаки на цепочку поставок являются одним из самых опасных и эффективных векторов заражения, предупреждают специалисты «Лаборатории Касперского». Напомним, в сентябре 2017 года злоумышленники внедрили бэкдор в CCleaner от компании Avast. Вредоносную версию утилиты загрузили несколько миллионов пользователей.

    Обновлено: Во вторник, 26 марта, компания Asus выпустила обновление, призванное защитить пользователей от кибератак через модифицированную версию утилиты.

    www.securitylab.ru/news/498504.php
    0
    У нас вот как принято: только зарегистрированные и авторизованные пользователи могут делиться своим мнением, извините.