Опасности 5G
Европейское агентство по кибербезопасности ENISA подготовило методический документ [1] по оценке рисков использования технологий мобильной связи пятого поколения. Он был составлен по результатам опроса государственных ведомств стран Евросоюза, отвечающих за информационную безопасность. Документ опирается на методологию оценки рисков ISO 27005. В нем документе определяются пять ключевых элементов методологии: типы новых угроз, создаваемых сетями 5G; участники рынка; ресурсы и степень их критичности; уязвимости архитектуры сетей 5G; риски и сценарии их реализации. В документе указывается, что наиболее опасные движущие силы – хакерские группировки, спонсируемые государствами (под этим термином обычно подразумевают спецслужбы), инсайдеры телеком-операторов и организованная преступность. Критичными элементами архитектуры 5G являются ядро сети и функции сетевой виртуализации NFV. В документе рассматриваются пять сценариев возникновения рисков: недостаточные меры безопасности’ уязвимости в цепочке поставок; внешние угрозы; влияние сетей 5G на другие критические системы; уязвимости оконечных устройств. Документ является высокоуровневой стратегией, которая, скорее всего, будет учитываться при построении европейских сетей 5G.
Дыра в Android
В октябре разработчики Android выпустили исправления для уязвимости [2], которая была обнаружена на черном рынке. Эксперты инициативы Project Zero зафиксировали признаки того, что эксплойт уязвимости CVE-2019-2215 предлагается израильской компаниtй NSO Group, которая ранее была замечена в продаже эксплойтов неизвестных уязвимостей спецслужбам разных стран. На этот раз уязвимость в драйверах дает возможность вредоносному программному обеспечению нарушить защиту «песочницы» SELinux, которая отделяет в Android одно приложение от другого, и внедрить код в саму ОС. Это позволяет создать вредонос, который будет захватывать устройство, если заменить его пользователя вредоносным ресурсом. Сейчас подтверждена уязвимость отдельных устройств таких производителей, как Google, Huawei, Xiaomi, Oppo, Moto, Oreo LG и Samsung. Исправления уязвимости были выпущены разработчиком Android в октябрьском обновлении, но теперь все производители устройств должны установить их на свои аппараты. Если на момент выпуска вредоносного кода, который использует данную уязвимость, будет достаточно много уязвимых устройств, то эпидемия может оказаться очень обширной.
Не только русские хакеры
Национальный центр кибербезопасности иВеликобритании и АНБ выпустили совместный отчет [3] по анализу вредоносных имплантов Neuron и Nautilus, разработка которых были приписана кибергруппировке Turla – ранее она была атрибутирована как русскоговорящая. Однако теперь оказалось, что сами импланты, скорее всего, имеют иранское происхождение. Чтобы «не запятнать честь русских хакеров» из Turla в отчете приводится версия, что группировка якобы использовала эти импланты «втемную», сканируя необходимые ей ресурсы на наличие иранских имплантов и проникая через них в целевую систему. Поскольку указанные иранские импланты взаимодействовали со своими командными центрами по защищенным протоколам, то спецслужбы предположили, что «русские хакеры» Turla настолько суровы, что взломали всю инфраструктуру иранских хакеров и уже от их имени командовали имплантами. А нельзя ли допустить, что вся история с Turla изначально была иранской?- Просто они использовали русскоговорящих программистов для своих ранних разработок и операций. При этом атрибуция по времени не работает, поскольку Москва и Тегеран находятся в одинаковых часовых поясах.
Facebook подала в суд на NSO Group
Компания Facebook подала иск [4] в суд США на израильскую NSO Group, которая разработала инструменты для слежки за пользователями WhatsApp и продала его неназванным правительственным структурам. Ранее NSO Group заявляла, что не была вовлечена в использование собственных технологий, а разработка вредоносного ПО в некоторых странах, в том числе Израиле, не является преступлением. В результате израильский рынок разработки вредоносов стал достаточно прибыльный и оценивается в 1 млрд долл. NSO Group специализируется на взломе смартфонов и является одним из лидеров, но есть и другие игроки. Тем не менее, Facebook уверяет, что майская атака на пользователей WhatsApp – журналистов, политиков и правозащитников – была совершена с использованием инфраструктуры, принадлежащей NSO Group. Будет интересно понаблюдать за результатами.
Взломать АСУ ТП
Организаторы конкурса по взлому Pwn2Own Miami объявили [5], что в нем могут участвовать и уязвимости для систем АСУ ТП. Принимаются эксплойты ошибок в работе контроллеров PLC, протоколах взаимодействия OPC и DNP3, управляющем интерфейсе рабочих станций операторов АСУ ТП и инженерного ПО, которое программирует контроллеры. Предполагается, что за организацию DoS-атаки на компонент будут выдавать по 5 тыс. долл., за эксплойт для утечки ценной информации – 10 тыс. долл., за удаленное исполнение кода – 20 тыс. долл. Суммарный бюджет конкурса составляет 250 тыс. долл. Организаторы обещают предупредить всех производителей уязвимых компонент, которые будут выставлены на конкурс для исправления обнаруженных и доказанных уязвимостей.
[1] https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=62132
[2] https://threatpost.com/google-warns-of-zero-day/148924/
[3] https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-coverage-of-victims
[4] https://www.washingtonpost.com/opinions/2019/10/29/why-whatsapp-is-pushing-back-nso-group-hacking/
[5] https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/
