Короче, мой прошлый тред про то как хуёво находится в процессе эмоционального выгорания набрал реакций с белкин-хуй (он был второй, поэтому это тоже мотивирует). Сейчас расскажу вам кое-что поинтереснее. Их сферы сайбер-секурити, садитесь поудобнее. Эт будет тред
Продолжая идти под уклон и добравшись до выходных наконец-то я сегодня решил клин вышибать клином и почитать про айтишнегов, которые проебывают покруче меня. Ну что свои проблемы казались мушиной какашечкой в сравнении с. Время сейчас для этого благодатное :)
Я думаю, все слышали, что кто-то хакнул дохера компаний по всему миру и Помпео уже заявил в эту Пт., что это рашка, а дедушка Дональд, как он это последовательно делал все 4 года своего президенства засунул язык в жопу. Так вот, это оно
Завертелась все история на первой неделе декабря, когда ведущий специалист в мире по сайбер-сесурити компания Fire Eye, внезапно призналась, что ее хакнули. Пикантно, да, но тут они молодчаги - не зассали и признали проблему, что у них взлом и утечка инструментов.
В процессе исследования своего собственного вскытия FireEye раскопал жопу невероятного, просто таки общепланетарного масштаба. Т.н. атаку через поставщика, которой вероятно поражены тысячи компьютерных систем от госучреждений США и до частных компаний по всему миру.
Неизвестные хакеры предположительно из рашки (а там по масштабам работать контора на сотни человек должна была и с бюджетами некислыми) как-то проникла в код популярного ПО для менеджемнта IT инфраструктур SolarWind Orion и сделала там на стороне разработчика закладку.
Т.е. в апдейте (секурити апдейте, конечно же ж) этого ПО в конце марта 2020 появился код открывающий ваш комп или сервер злоумышленникам. Этот апдейт был совершенно легальным, подписанным сертификатами SolarWind, и его конечно же поставили куча организаций.
При этом код был очень хитросделанным. Он замаскирован под легальный код. Он использует обфускацию - методику запутывания кода, чтобы было с первого (и второго и сто пятого) раза непонятно, что это за код и зачем он нужен. Этот код при запуске проверяет, где он запустился
чтобы не палиться - он контролировал не тестовое ли это окружение, не окружение ли это Solar Wind, не окружение связанное с неким списком доменов (нерасшифрованным), а главное - нет ли запущеных antimalware и подобного по широкому перечню. И далее он отключал разные дефендеры
Запускался, очень круто генерил уникальный идентификатор системы, где он запустился (фактически ее фингепринтил) и устаналвивал связь с внешним сервером, с которого скачивал ПО предоставляющее в системе злоумышленникам широкий доступ.
Представьте себе как ахуенно такую штуку найти у себя, при этом если ты лидер индустрии? Несмотря на все поледствия Fire Eye заявила об атаке, ее акции тут же некисло просели потянув за собой и вообще всю сайбер сесурити индустрию.
Вскорости появились и детали (часть из которых уже описана выше) и началась кропотливая работа по выяснению кого зааффектало. НА ДАННЫЙ МОМЕНТ ЕСТЬ ПОНИМАНИЕ, ЧТО ЭТО РЕКОРДНЫЙ МАСШТАБНЕЙШИЙ ХАК в истории. Американцы все на ушах, что ушло и кому ушло пока даже неизвестно.
Пораженных систем тысячи, для каждой системы создавался отдельный субдомен с сервером управления, черех который хакер делал, что угодно - от скачивания файлов, до получения доступа от имени этой системы в другие системы. Причем трафик с этими серверами маскировался под трафик
с системой "улучшения продукта" Solar Wind, ip были в стране атакуемого, что затрудняло детекцию. Просто жестяная жесть. И летело это все, напомню, с конца марта.
На данный момент атака получила название #Sunburst Прикидывая масштабы атаки - а это от департаментов Пентагона или Департмента Торговля США до всякой мелюзги - это даже не объявление войны, это реально кибер-война. Просто гляньте на скрин зааффектанных организаций в США: 
Я, конечно, пытаюсь представить атмосферу в офисах FireEye или Cybersecurity and Infrastructure Security Agency, или SolarWinds, посленее можно прикинуть, конечно, по цвету лица их СЕО:
https://twitter.com/solarwinds/status/1340062414549741569?s=20
В общем жуть, но вывод тут только один - получив по ебалу от жизни, надо все равно вставать, оправляться и идти дальше 😁
Если будет еще что-то интересное, я напишу
Если будет еще что-то интересное, я напишу
Сейчас понятно самое интересно, это как код был вписан в легальный популярный продукт Solar Winds Orion, был подписан их сертификатами и задеплоен. Но тут понятно, ничего кроме "мы все работаем над этим день и ночь и сотрудничаем, и вообще, пожалуйста не бейте ногами" пока нету
По политическому почерку похоже на русню, конечно. Получилось, что смачно харкнули в спину уходящему рыжему деду, который с таким пиитетом рассказывал, как он шикарно ладит с путлером. Ну шо, Дональд, как ты там, как прекрасные отношения с рашкой, обдристанный? 😁
Дедушка, кстати, 19-го (т.е. вчера) высказался, ну ничего неожиданного: "фейк-мидиа раздули, там ничо такова", "усьо под контролем", "ну че сразу рашка, может все-таки китайцы". Жалкий 😁
Прикольно, что в самих Штатах идет дискуссия: это военные действия или просто шпионаж? Реалисты понимают, это военные действия, остальным страшно и они твердят мантру по "просто шпионаж" - гибридные войны они да, такие. Давайте уже "ойтишнеги виноваты, не уследили, гнать их" 😁
А пригласим вот тех, кто взломал, из рашки, они ж профессионалы, чо 🙈 Пизда-пизда...
В продолжение треда, первое, не надо считать, что это просто утечка данных. SolarWinds Orion хранил и управлял кучей вещей связанных с безопасностью ИТ-инфраструктуры, от паролей админа до ключей, сертефикатов и креденшелаво самого разного толка
Мысль о том, что это скомпрометировано - это уже жуткий кошмар, а #SUNBURST давал доступ вообще ко всем, это полечить - равносильно все поднять на чистую. ЭТО. ОЧЕНЬ. ДОРОГО.
Как-то так совпало, что Ебнутый Рыжий Дед за последние месяцы просто расшматовал верхушку кибербезопасников США - в 2018 дедуля ликвидировал КБ координатора Белого Дома, CISA руководит и.о., в DHS тоже по КБ одни и.о. А тут надо брать лидерство и принимать сложные решения...
Еще одна пикантная деталь, но уже про SolarWinds, оказалось, что первый деплой кода хакерами в их DLL, типа proof of concepts, был еще в октябре 2019, и только потом хакеры начали прикупать домены и готовится к атаке... У них даже был период "тестирования". Серьезно...
Самое эффективное, что сделало руководство SolarWinds на момент - убрали с сайта перечень кастомеров и за пару дней до скандала слили на бирже акции на $47,5M, та ну еб вашу мать, гайз 🙈😁
Ёб, не ёб, попугайчик, а сидеть и хуй без соли доедать на пенсии ни один СЕО не хочет 🤷♂️
• • •
Missing some Tweet in this thread? You can try to
force a refresh
