Ministry Hacking

Последние 4 дня наша команда находится в гуще событий связанных с атакой на гос организации Украины, известная как «Ministry hack»

Со своей стороны специалисты компании CQR на протяжении 96 часов оказывали помощь гос. организациям в урегулировании проблем связанных с данной ситуацией и предоставили свою экспертизу большому количеству пострадавших гос. организаций, количество которых идет в десятках. Наши выходные прошли в режиме работы нон-стоп и мы вложили огромное количество сил, экспертизы и времени в помощь для решения данного инцидента.

Штаб в Киеве, Одессе и Днепре:

Развернув штабы в Киеве, Одессе и Днепре мы помогаем различным гос организациям и компания хотела бы сообщить, что после анализа большого количества пораженных систем есть уже конкретные результаты и список рекомендаций, как и мысли о том как сделать так, чтобы данная ситуация не повторялась.

Детали об инциденте:

Представители компании CQR заявляют что большой объем работы по консалтингу, экспертизе, анализу данных и многому другому было сделано и все данные ушли в соответствующие органы и там была представлена конкретика по тому как мы видим это произошло. В свою очередь можем сказать что ситуация не выглядит тривиально, но экспертиза атакующих также под сомнением.

«Атакующие оставили следы своей деятельности, хотя могли этого не делать»

Мы не до конца понимаем, это сделано было намеренно или же это слабая экспертиза атакующих в заметании следов.

Компания CQR заявляет, что не имеет отношения к любым политическим или не политическим заявлениям о причастности какой-либо из сторон/стран к атакам, так как не имеют такой доказательной базы и по их мнению долгосрочное расследование должно быть сделано.

Политические заявления или доказательная база должна быть детально исследована и с нашей стороны мы открыты к продолжению помощи нашему государству в решении данного кризиса и призываем всем кто еще к нам не обратился за помощью — мы вас ждем 24 часа 7 дней в неделю.

Наши Специалисты из США и других стран прибыли в ночь на 16 как и было обещано и уже помогают в решении некоторых вопросов ребятам на месте. В течении этой недели также будут проведены тренинги различным гос организациям и помощь по указанным ниже рекомендациям.

Мы не уполномочены выкладывать какие-либо данные об инциденте, но подготовили ряд рекомендаций и общее обсуждение по данной ситуации.

Про CVE и уязвимости в безопасности OctoberCMS

Известные CVE 2021 по OctoberCMS + список проблем которые еще не являются CVE но уже опубликованы на гитхаб в Security разделе.


CVE-2021-29487

CVE-2021-32648

CVE-2021-21264

CVE-2021-21265

CVE-2021-41126

www.cvedetails.com/...​_id-15615/Octobercms.html

Захват админского аккаунта используя социальную инженерию

github.com/...​ories/GHSA-mxr5-mc97-63rc

Выполнение произвольных команд в шаблонах ( под админом)

github.com/...​ories/GHSA-5hfj-r725-wpc4

Выполнение произвольных команд в шаблонах ( под админом)

github.com/...​ories/GHSA-wv23-pfj7-2mjj

Фикс:

Обновление до самой актуальной версии OctoberCMS

Бэкдоры

Исходя из наших данных злоумышленники оставили не самые тривиальные бэкдоры которые можно без проблем закрыть.

Бэкдор также являются SSH пользователи созданные в системах, украденные ssh ключи и так далее.

Рекомендация:

Прогнать систему на наличие PHP шелов

github.com/...​HackingEnVivo/ShellFinder

github.com/emposha/Shell-Detector и их аналоги

Украденные данные

Мы не можем и не уполномочены точно утверждать о том были ли утечки с конкретных серверов или нет, так как это требует более глубокого анализа, но исходя из контента серверов которые мы осматривали мы бы хотели сообщить следующие рекомендации:

Общие Конкретные рекомендации

  • Сменить ssh ключи на всех серверах которые
  • Сменить github токены
  • Сменить пароли в .env и перегенерировать все токены
  • Установить IDS/IPS и следить за трафиком который выходит в вашей организации
  • Посмотреть наличие новых пользователей в системе и устранить их
  • Изучить открытые соединения которыеили попытки соединений на сторонние, неизвестные. Для этого можно использовать www.nirsoft.net/utils/cports.html или www.anvir.com
  • Не у всех организаций есть SIEM и мы предлагаем проанализировать логи используя одно из наших бесплатных продуктов github.com/vulnz/facts система сразу покажет когда и откуда была атака. Возможность анализировать логи Apache, IIS, Nginx, Jboss и другие логи серверов. Там есть 2 базы, одна ligh вторая github.com/...​b9ba6/assets/Database.sql более расширенная, но рекомендуется использовать первую для оперативного поиска.
  • Перегенерировать SSL приватные сертификаты
  • Обновить OS, библиотеки и CMS
  • Проверить все файлы все пакеты зависимостей github.com/visma-prodsec/confused и альтернативами
  • Сменить все пароли в Active directory, перегенерировать Kerberos пароль

October CMS рекомендации и проблемы которые есть сейчас:

По вопросу того, что уязвимость в October CMS давала только доступ к админ части ничего не говорит.

Мы бы хотели уточнить, что любой доступ уровня админа на практически любой CMS обычно дает возможность через сторонний плагин или через внутренний функционал, или через эксплоит по типу:

www.exploit-db.com/exploits/49045 в особенности,

если речь идет о PHP веб сайтах или же явный пример

github.com/...​ories/GHSA-5hfj-r725-wpc4

в котором атакующий может в шаблон поставить исполняемый PHP code дающий практически полный доступ к системе.

Будучи авторизованным прочитать ключи ssh или же другие файлы конфигураций/хранения паролей на сервере и без проблем авторизироваться на сервере с другим уровнем доступа, не говоря уже о том, что админ сайта в состоянии изменить любой

www.exploit-db.com/exploits/49045 в особенности,если речь идет о PHP веб сайтах или же явный пример

Возможность запуска PHP используемого кода будучи авторизованным юзером ( админом)

github.com/...​ories/GHSA-5hfj-r725-wpc4

Возможность овладеть аккаунтом админа

github.com/...​ories/GHSA-mxr5-mc97-63rc

Будучи авторизованным прочитать ключи ssh или же другие файлы конфигураций/хранения паролей на сервере и без проблем авторизироваться на сервере с другим уровнем доступа, не говоря уже о том, что админ сайта в состоянии изменить любой.

Важно понимать что все системы между собой связаны в различные локальные сети, в которых также может не безопасно передаваться трафик, который в себе может хранить данные любого уровня важности, не говоря уже о контенте самого сервера.

Рекомендации по OctoberCMS:

  • Обновляйте OS и OctoberCMS до последней версии
  • Используйте WAF
  • Используйте систему двухфакторной аутентификации
  • Измените стандартный путь к админ панели
  • Сменить пароли на пользователей в CMS
  • Удалить неизвестных пользователей в CMS
  • Следить за логов входов в CMS

Общая проблема

«Без IDS/IPS, SIEM, Exploit Мониторинга, Постоянных аудитов безопасности по типу «Пентест», Тренингов кадров, SOC/NOC, Анализа исходных кодов, работы с поиском утечек и других систем Security контроля, также высококвалифицированных специалистов ситуации будут повторяться постоянно.

«Мы рекомендуем принять конкретный закон, который бы регулировал ответственность за несоблюдение конкретных методологий по информационной безопасносности на гос уровне. Такая практика имеется во всех Европейский и не только Европейских странах.»

С уважением, Команда CQR

Контактная информация по вопросу помощи с данным инцидентом:

Ответственное лицо:

Виктор

+380503165101

[email protected]

👍ПодобаєтьсяСподобалось5
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Це якийсь... позор. А ви не пробували хоча б вичитати свою «статтю» перед тим, як постити сюда тексти перекладені гугл-перекладачем? :)

А что же CERT-UA ? Проморгали?

Так то все ж капець, як на мене то тим мавпам не варто давати повноцінні ОС для користування.
Пересадіть їх на щось типу ChromeOS реально, усі держустанови де реально повноцінних Windows/Linux і не потрібно (як от ці ж з веб-мордами), (бо навідміну від таких ОС, оці дві потрібно все-таки серйозно адмініструвати).
Вивчіть кейс з мережею готелей (Nordic Choice Hotels).
Це панацеєю теж не буде (для більших результатів треба виробити єдині правила для всіх хто адмініструє ресурси, як от зобов’язати ще й 2FA), але заміна ОС на більш прості і не маючі зайвого функціоналу теж повинна значно покращити безпеку.

мавпам не варто давати повноцінні ОС для користування.

Как это происходит обычно в подобных органах:

Настраиваешь всякие актив-дайректори, с патчами и данугрейдами, чтобы работало с разрешенными по нормативкам версиями ОС (только относительно недавно стали хоронить Win ХР sp2 в угоду 7-ки, но можно было бы и 10-ку, но наявные там тазики ее не вытягивают). Делаешь политики на смену паролей и прочих плюшек с входом в домен. А потом у какой-нибудь «важной птицы» экспайрится пароль, которая она не запомнила, и начинается «Мальчик, ты хоть представляешь сколько я тут работаю? Ты еще тогда под стол пешком ходил, давай быстренько снимай пароль/чтобы его больше было/можно сделать по нормальному.» И хорошо если на тебя не накатают докладную и не снимут премию под влиянием кризиса среднего возраста, сдобренного подбирающимся климаксом.

Жах звісно якщо навіть зараз щось таке буває. Та і таке можна легко вирішити, щоправда то більш політичний і організаційний напрямок, ніж технічний (окрім питань з ОС і ПЗ).

Гарна пр стаття, і шейм на міністерство кібербезпеки!

Це просто компіляція того, що й так було відомо з інших джерел+самопіар.

Не можна шеймити те, чого не існує :-)

міністерство кібербезпеки

а это откуда такое взялось?) Как я помню, проблемами кибер-... у нас занимается киберполиция и служба держспецзвязку, в лице CERT-UA. Но из последней все толковые свалили в 2014-2015, а кого набирали в первую даже не знаю.

Представители компании CQR заявляют что большой объем работы по консалтингу, экспертизе,

написанию статей на DOU,

и многому другому было сделано и все данные ушли в соответствующие органы

пиар-службы

Та от подобных штук решение только одно, собственное железо, свои процессоры, с свой дистрибутив линукс или бсд, свой софт чтобы было минимальное количество шансов залезть из вне. Но это дорого, и пилить деньги сложно.

Чем поможет свой софт, если будет такой же дырявый?
А клепать свои процессоры вообще очень дорого и бессмысленно, даже страна поребриков не осиливает и недалеко ушла от asicов, которые тебе наклепают китайцы заплати ты им нормально.

Дырявый софт со своей локальной закрытой системой имеет меньше шансов быть взломаным, чем системы, которые может купить любой.

Имеет ровным счётом такие же шансы, ну не работает security through obscurity. И это уже неоднократно бывало продемонстрировано, начиная от взлома криптографии во времена второй мировой без доступа к шифромашинам вообще.
Впрочем людей с вашей логикой любят в Аяксе.

Угу, как правило PHP шные пионерские поделки ломаются через введение в поле пароля or == 1. От туда уводятся базы с паролями в открытом виде и т.д. Кибер безопасность это комплексная мера которой нужно заниматься, подготавливать людей, делать сканирование и т.д. Где то отписался админ что: он один, не платят и вообще это все на чистом интузиазме.

Свое железо это очень долго, дорого и все-равно оно будет дырявое.

и пилить деньги сложно.

Пилить можно бесконечно долго, поскольку это монополия, а значит купят и так.

Вот вам статья с (прости господе) Хабра: habr.com/ru/post/599671

Отечественный компонент, в среднем, стоит в 20-100 раз (!!!) дороже качественного импортного аналога именитой фирмы. Да, я не ошибся, именно в 20-100 (прописью: двадцать — сто).

Ну и про качество «железа» там тоже написано, хотя в эту индустрию РФ вливает огромное бабло, на фоне того что в любой момент могут прикрыть импорт.

В целом это максимально глупая идея, всё выбросить и делать заново.

Тупість. Це дорого і ніяк не допоможе, ще й буде гірше (особливо в довгостроковій перспективі) ніж те що існує в умовах відкритого ринку і його конкуренції.

Мне просто очень хочеЦЦЦА применить свои знания в микроэлектронике, на реальной практике, и с неограниченным бюджетом, а не клепать на заказ разные бесполезные схемы. Я готов работать даже за минималку, но только на государство Украина.

Ну хотіти-то можна чого завгодно)
А шо заважає і так влаштуватись в одну з українських компаній що клеять зовсім не прості і не безтолкові схемки? Різні там розумні головки самонаведення по російському біоматеріалу і ще багато явно нескучної логіки.

Все подобные компании работают на Европу. Это я знаю точно, бесполезные, это если сравнивать с созданием чего-то монументального. Моя команда участвовала в создании материнских плат для ШВЛ, и для томографов (кстати их нигде не используют, насколько я знаю). Но где апарат ШВЛ, а где собственные процессоры, кардинально разные уровни.

Ясно, знач просто не беруть в «монументальні» компанії що працюють з тими ж військовими складними штуками. Ну можливо через то що забагато їш російської пропаганди (це помітно). А можливо просто не старався.

Ну і щодо власних процесорів, Україна все ж не настільки втратила зв’язок з реальністю і не настільки усіх дістала щоб доводилось кидати мільярди на хворобливе «імпортозаміщення» котре йде врозріз з економікою і здоровим глуздом (хоча то смішно якщо говорити про росію — як найближчий приклад «своїх процесорів», бо там таке заміщення що слів нема, куплені у британців ядра ARM, куплене у АМД застаріле обладнання, крадений софт, перемальовані надписи на електронних компонентах і так далі, а наверху цього плавають витягнуті з СССР і перероблені розробки що подаються як щось дійсно круте своє, усе це по ціні в десятки разів вище за пристойні ринкові пропозиції, ну і не котується і не буде котуватись ніде певне крім росіянських структур «маломізкових медведів»).

І якби ти реально був в цій темі то певне б знав і про такі моменти.
І більш того, ти би навіть не фантазував про розробку свого general-purpose процесора чи архітектури тим більш повністю з 0, тому що це задача настільки ресурсозатратна що в принципі ні 1 з країн не потягнула би її успішно в нинішніх умовах (а якщо й потягне то результат все одно буде збитковим, відносно успіхів тих компаній що вже займають ринок і мають сильні розробки і здатні проводити нові).
І ще, смішно взагалі пробувати створювати нові традиційні процесори в час коли вже якщо й створювати, то це має бути квантове або ще щось інших порядків.

Ну а загалом то звісно впусту з тобою спорити бо сходу видно що рівень обізнаності ніякий (ну або гірше того взагалі якийсь бот котрий тільки то і робить шо пише дич про все підряд), але от 15 хвилин від нічого робити кращого.

Ну і якщо ти все ж не бот а справді спец в цій області, то не варто часом думати що я в цьому професіонал, я просто цікавлюсь більш-менш цим деколи в цілому, а на практиці сам нічого складніше не робив ніж копирсання у всяких там «домашніх» схемках.
Нуу і знову, ж якщо ти реальний спец в області (мікро)електроніки, то я не претендую на то щоб тебе саме в цьому реально критикувати якось і т.д. (просто так от різко відповів трохи бо лінь розводити якусь демагогію, а мені здалось що ти все ж схожий на бота і будеш її розводити).

а не клепать на заказ разные бесполезные схемы

Если за это платят, значит это кому-то надо. Даже если клиент хочет какую-то дикую дичь, нужно высказать свое мнение, но если клиент будет настаивать, сделать дикую дичь с максимальным качеством. В этом состоит работа инженера, решать прикладные задачи.

А бесконечный бюджет, это больше применимо к научной деятельности, где отсутствие результата тоже результат.

готов работать даже за минималку, но только на государство Украина.

Нужно работать на себя. Богатые люди живут в богатой стране.

«Без IDS/IPS, SIEM, Exploit Мониторинга, Постоянных аудитов безопасности по типу «Пентест», Тренингов кадров, SOC/NOC, Анализа исходных кодов, работы с поиском утечек и других систем Security контрол, также высококвалифицированных специалистов ситуации будут повторяться постоянно.

Ситуация будет повторяться, если не накажут людей которые должны были за все за это отвечать (начальство). Если же людей набирают по принципу лояльности (он мой лучший друг), то лучшего друга никто увольнять не станет и когда ситуация повторится, это вопрос времени.

Со своей стороны специалисты компании CQR на протяжении 96 часов оказывали помощь гос. организациям в урегулировании проблем связанных с данной ситуацией и предоставили свою экспертизу большому количеству пострадавших гос. организаций количество которых идет в десятках. Наши выходные прошли в режиме работы нон-стоп и мы вложили огромное количество сил, экспертизы и времени в помощь решении данного инцидента.

Угадай с одного раза кого назначат виноватым в следующем взломе?

Вот же ж гад! А чё не вычислят по IP — стопудово ж из Кремля взламывал. 127.0.0.1

Там ужо Microsoft всем написала что это все хакеры из СВР РФ. Хотя в общем у них анализ по делу надо признать.

Я про это:
dou.ua/...​ukrainian-cyber-alliance

Дела на них уже шить перестали за помощь?

Підписатись на коментарі