Отчитался на Kaspersky Кибер Кэмп. Вот какой токен дали. В темноте светится. 🙂
Записи от оргов не будет, но т.к. у меня ничего секретного нет, могу записать вам отдельное видео 🎦. Если интересно, поставьте посту реакцию с китом 🐳, за 20+ запишу. 🙂
Ну и если вы тоже тут, на Кибер Кэмпе, то поставьте оценку моему докладу в сами знаете каком боте. Дело пары секунд, а мне приятненько. 😉
Заехал на Kaspersky Кибер Кэмп, зарегался. Сегодня вечер для нетворкинга и репетиции, само мероприятие завтра. Выступаю в 11:20. Трансляции-записи не будет, всё секретно. 🤫 Но про свой доклад я тут напишу конечно.
Зацените какой аватар мне нейросеточка нагенерила. Похож или не особо? 😅 Подарили толстовку без капюшона. Прикольная такая, тяжеленькая, добротная. Буду носить. Спасибо! 😊
На следующей неделе собираюсь выступить на Kaspersky Cyber Camp 2023. Отправил сегодня предфинальную версию презентации. Она будет про те вопросы, которые я в майский AM Live по VM‑у закидывал и ответы на которые я разбирал в серии постов (про доступность баз знаний для анализа, про эталонный сканер, про поддержку методик ФСТЭК). Учитывая, что Kaspersky это тоже в определенной степени VM-вендор, думаю будет интересно обсудить это и в рамках выступления, и в кулуарах. 🙂
Что в итоге делать с Триангуляцией? Имхо, это зависит от вашего отношения к утверждению, что Apple намеренно добавили уязвимость в iMessage.
1. Если это действительно так, то Apple это откровенно враждебный вендор и от всех их продуктов нужно планомерно и оперативно избавляться. Не только от айфонов, но и от mac-ов и т.д. Начиная, естественно с наиболее критичных мест.
2. Если же у вас есть основания полагать, что Apple здесь ни при чём, то тогда действуем как в любом кейсе с малварями. Мониторим подключения к C&C, проверяем iOS устройства с помощью утилиты от Kaspersky, если заражены, то вайпаем их, iMessage от греха отключаем, ждём и форсим обновления Apple, сотрудникам выдаём общие рекомендации по кибергигиене.
У меня нет оснований не доверять тому, что было написано в пресс-релизе. Поэтому я, в целом, за первый вариант. Но, конечно же, хотелось бы видеть прямую рекомендацию от регуляторов. В бюллетене НКЦКИ такой рекомендации пока не было.
Здесь в ТГ у нас связь односторонняя, а в ВКшечке комменты открытые и там иногда кипят страсти. 🙂 Я в друзьяшки аппрувлю всех, кто на реальных людей похож, добавляйтесь! Если вдруг кому-то тоже интересно какой у меня телефон, то вот. С ним один раз были проблемки, но вообще всем пока устраивает. Хотя хотелось бы смартфон для физиков на Авроре, ROSA MOBILE или мобильной KasperskyOS. Ну или хотя бы на российском AOSP от VK, Сбера и Яндекса. Ждем.
Согласен с Алексеем Лукацким, что если бы не было реакции со стороны государства на кейс с малварью для iPhone, инфоповод был бы меньше. НО реакция есть! Можно к этому относиться как "ах, наговаривают наверное на вендора, докажите, что Apple намеренно эту уязвимость добавили", а можно поприветствовать какие-то практические шаги по девестернизации российского IT. Я о необходимости девестернизации с самого первого поста в этом ТГ канале пишу, поэтому позиция у меня здесь вполне очевидная. 🙂
Upd. У него iPhone.
Евгений Касперский аргументирует почему Apple iPhone зло в русскоязычном посте про Triangulation.
"Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «черным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создает для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чем мы только что убедились."
И как бы это всё правильно. И здорово, что KUMA зараженные устройства продетектила. Но вопрос в том, а как так получилось, что сотрудники Kaspersky, в значительной части специалисты по ИБ, пользуются на работе iOS устройствами? Теми самыми, которые представляют "идеальное убежище для шпионских программ". Может вводить требования, чтобы устройства Apple не тащили в корпоративный wifi, не использовали их для работы, а ТОПы возможно не использовали их вовсе?
PS: Это, конечно очень чувствительная и непопулярная тема, понимаю. Даже в этом канале, на который далеко не случайные люди подписаны, где-то больше трети с айфонами. 🙂
PPS: НКЦКИ в своём бюллетене связали утренний пресс-релиз и "операцию триангуляцию", так что можно считать это одним кейсом.
И вот сегодня же Kaspersky выпускают пост "Операция «Триангуляция»: iOS-устройства атакованы ранее неизвестным вредоносным ПО".
Компрометацию тоже по трафику нашли:
"При мониторинге сетевого трафика собственной корпоративной сети Wi-Fi, выделенной для мобильных устройств, с помощью Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы заметили подозрительную активность, исходившую от нескольких телефонов на базе iOS."
Раскопали это:
"…мы смогли определить конкретные артефакты, указывающие на компрометацию. Это позволило продвинуть исследование вперед и реконструировать общую последовательность заражения:
- Целевое устройство iOS получает сообщение через службу iMessage с вложением, содержащим эксплойт.
- Без какого-либо взаимодействия с пользователем сообщение триггерит уязвимость, которая приводит к выполнению кода.
…"
В статье есть список C&C доменов для мониторинга.
Случайное совпадение с тем, что было в пресс-релизе? Не думаю. 🙂