Deflect расширяет бесплатный сервис в ответ на COVID-19

Deflect расширяет бесплатный сервис в ответ на COVID-19

 

 

В солидарность с многочисленными ответными мерами, направленными на поддержу координации, коммуникации и предоставление помощи во время пандемии Covid-19, Deflect предлагает всем организациям и предпринимателям, которые участвуют в благотворительной работе, получить наш сервис по обеспечению безопасности сайтов и доставки контента совершенно бесплатно на период до шести месяцев. Сервис включает в себя:

  • Доступность: по мере роста спроса на контент вашего сайта наша глобальная инфраструктура обеспечит оперативность доставки данных пользователям и высокоскоростную работу сайта.
  • Безопасность: защита вашего сайта от вредоносных ботов и хакеров
  • Хостинг: для существующих или новых сайтов на WordPress
  • Аналитика: статистика и информация о трафике в реальном времени в Панели управления Deflect

Как и прежде, Deflect продолжает предоставлять услуги бесплатно для клиентов, которые отвечают соотвествующим критериям. Наше анти-кризисное предложение расширяет бесплатный сервис — теперь он досутпен для компаний и предпринимателей, которые предпринимают меры в ответ на последствия пандемии, включая медиа, государственные компании, онлайн магазины, гостиничные сервисы и т.д. Мы будем принимать финальные решения исходя из того, соотвествует ли заявитель Условиям использования.

Регистрация займет 15 минут, и мы обеспечим защиту вашего сайта в день обращения. Наша команда техподдержки говорит на английском, французском, китайском, испанском и русском языках. Если у вас есть какие-либо вопросы, пожалуйста, напишите нам.

 

 

 

Whatsapp
Read More

Обзор: Web Security Fellowship

 

Пилотный проект Web Security Fellowship (далее – WSF), запущенный в начале 2019 года, объединил профессионалов в сфере IT вокруг нескольких общественно-полезных организаций в России. В результате открытого конкурса были отобраны восемь будущих участников стажировки и соответствующее число хост-организаций: независимых медиа, общественных и правозащитных проектов. Внимательно проанализировав запросы, интересы и потребности всех участников, команда eQualitie запустила 6-месячную стажировку для победителей конкурса. WSF началась с 3-месячного образовательного интенсива и серии вебинаров, в ходе которых мы улучшали навыки и расширяли знания стипендиатов в области цифровой безопасности. Последующие три месяца участники, интенсивно работая вместе с принимающей организацией, реализовывали совместный проект или конкретные задачи, актуальные на сегодняшний день. В этом материале мы хотим коротко рассказать о результатах программы.

 

Программа вебинаров 

В течение 3 месяцев эксперты из Рунет индустрии читали стипендиатам лекции и предлагали интересные домашние задания. В число лекций входили:

  • Основные этапы аудита безопасности: матрица угроз, риски, уязвимости
  • Политика безопасности” и особенности ее внедрения в организации
  • Усиление защиты web-серверов
  • Cyber law, цифровое насилие и сопротивление
  • Современные технологии цензуры и ее обхода
  • Теоретические и практические аспекты пентестирования сайтов
  • Безопасность веб-сайтов: выбор хостинга, DNS, анализ производительности и нагрузочное тестирование, способы защиты от DDoS атак и их обхода
  • Методология OWASP TOP 10
  • Defensive programming
  • Принципы безопасного дизайна и архитектуры системы

 

Встречайте участников программы 

Александр, Москва

“С 2009 г. работаю системным администратором московского офиса общества “Мемориал”. Администрирую Windows Active Directory и персоналки на Linux, умею проектировать сети и настраивать сетевое оборудование на RouterOS и PfSense, верстать html/css. Могу стримить видео, обрабатывать и монтировать аудио, а еще обеспечить техническую поддержку массовых мероприятий (звуко- и видеорежиссуру). На базовом уровне умею администрировать веб-сервера на *nix. Не умею программировать (разве что простые скрипты Python/bash), администрировать веб-сервера на Windows.

В свободное от работы время работаю менеджером разного рода каникулярных школ (notably ЗПШ и ШМТБ), учусь играть на гитаре, играю в видеоигры, смотрю сериалы и, last but not least, ращу дочь”.

Организация: Международный Мемориал

Проект:  Аудит безопасности base.memo.ru, харденинг сервера, на котором он размещен, формирование рекомендаций по повышению защищенности разработчику проекта

Задачи: Провести аудит безопасности base.memo.ru: разработать модель угроз, проинтервьюировать веб-разработчика проекта, провести black box и white box-пентесты, проанализировать настройки хостинговой площадки, возможно, провести аудит кода сайта. По результатам аудита перенастроить ПО сервера, на котором размещен сайт, в целях повышения защищенности, сформировать рекомендации разработчику по доработке веб-приложения сайта.

Техническое описание проекта: Пентестирование на основные уязвимости с помощью burp/owasp zap, sqlmap, настройка сервисов мониторинга (zabbix или аналога), харденинг ОС и интерфейсов доступа к системе (ssh, https).

 

Артемий, Москва

“Более 10 лет разрабатываю приложения и сервисы к ним, нравится Kotlin, Java, Python, люблю рисовать дизайн в скетче и обожаю матéриал-стиль. В свободное от работы время перебираю двигатели, субару не едет, иногда переключаю коробку в спорт”.

PS: https://www.youtube.com/watch?v=zIL7Jh-kVXk

Организация: пожелала сохранить анонимность

Проект: Усложнение блокировки контуров приложений

Задачи: Написать прототип библиотеки который позволит вычислить блокирующего и заблокировать его.

Техническое описание проекта: Роскомнадзор в блокировке Телеграма использовал блокировку IP-адресов приложения через систему Android, прослушиванием адресов к которому пытается подключиться приложение, свое реальное присутствие скрывал за счет VPN сетей провайдеров. Задача этого проекта, вычислить того кто блокирует через описанный способ выше, так как в ближайшем будущем ничего не меняется судя по новостям о намерении блокировки приложений через DPI, задача которого длится уже больше пяти лет. Реализация этого прототипа подразумевает что раздача и получение ip-адресов будет проводится на одном и тоже устройстве, поиск и блокировка тоже, чтобы упростить логику, так как это прототип. Боевая версия этого проекта планирует вести раздачу адресов с бекэнда, по разным контурам и с другими технологиями обхода блокировок.

Github: github.com/art2limit/Offenbarung

 

Никита, Москва

“Работаю в области ИБ-экспертизы корпоративного ПО  — занимаюсь поддержкой SIEM-системы. За время работы прочитал и перебрал несметное количество логов и научился черпать из них максимум информации, имел дело с самыми разнообразными IT-системами (FW, DLP, антивирусы, гипервизоры, DNS, DHCP, прокси-серверы и прочие) и обычно представляю, что в них происходит и куда копать, чтобы выкопать то что нужно. Обладаю хорошими навыками поиска и устранения проблем и люблю оптимизировать волокиту при помощи Python. Мне интересны многие направления безопасности, но ещё больше я люблю разнообразное хорошее музло и кино как от Carbon Based Lifeforms до Angerfist через Pearl Jam, так и от Клерков до Sharknado через The Good, the Bad and the Ugly”.

Организация: Центр защиты прав СМИ

Проект: Объединенная web-платформа

Цель проекта: Избавить организацию от зоопарка тяжело поддерживаемых и в т.ч. устаревающих инструментов, подготовив универсальную и легко поддерживаемую платформу, позволяющую разместить на ней все текущие информационные ресурсы и расширяемую для возможных будущих ресурсов, а также повысить надежность доступа к информации. Обезопасить доступ организации к внешней сети и обеспечить стабильность этого доступа.

Задачи:

  • Спроектировать и разработать на базе современных инструментов веб-платформу, на которой можно будет разместить любой из сайтов организации, продумать и реализовать схему повышения доступности информации (борьба с возможными атаками и блокировками).
  • Привести в порядок техническую сторону сетевых коммуникаций внутри организации.

 

Оксана, Санкт-Петербург

“Занималась разработкой сайтов на WordPress, писала приложения на чистом javascript и с использованием различных фреймворков. Подробнее о проектах можно почитать здесь: http://o.web-corner.net/ А еще я создавала приложение для НКО с базой данных, содержащей чувствительную информацию (в паре с бэкенд-разработчиком). Бэкенд на Java, фронтенд на VueJS”.

Организация: Ночлежка 

Проект: Безопасный веб-хостинг

Цель проекта: Повышение защищенности веб-ресурсов организации

Задачи:

  • Ограничить свободный доступ на основной сайт организации для волонтеров и прочих не сотрудников организации;
  • Проверить, насколько много критической информации о ресурсах доступно из внешнего мира;
  • Разработать систему хранения логинов и паролей для сотрудников организации;
  • Настроить бэкапов основного сайта;
  • Настроить на сервере приложения для отражения брутфорс атак;
  • Настроить мониторинг;
  • Внести правки в приложение МКС;
  • Обновить php.

 

Антон, Ярославль

“Системный администратор Linux, Windows; ERP и CRM системы (Microsoft Sharepoint, Dynamics). В основном имел дело с корпоративными информационными системами, развернутыми on demand и в гибридных средах. Имею богатый опыт настройки линуксовых vps под различные веб задачи с обеспечением из базовой безопасности (fail2ban, настройки доступа по ssh и так далее), а также обслуживания стеков /apache/mysql/php, nginx/mysql/php. Активист и координатор движения “Голос” в Ярославле”.

Организация: пожелала сохранить анонимность

Проект: Закрыть основные “дыры” в безопасности организации, внедрить механизмы и политики хранения данных, сделать бэкапы.

Задачи:

  • Сделать общий доступ к ресурсам организации, прежде всего, админке сайта только через VPN.
  • Создать единое место хранения рабочих материалов с разделением прав доступа и шифрованием данных. Решение должно быть пригодным для хранения разнотипной информации и медиафайлов. Данные должны хранится в нейтральной юрисдикции.
  • Настроить рабочий процесс и технический механизм периодических бэкапов базы данных веб-приложения.
  • Тестирование приложения на наличие критических уязвимостей из перечня OWASP-10, устранение/принятие рисков.
  • Решение проблем физической сетевой инфраструктуры – замена роутера, перенос его в периметр арендованного помещения, настройка локальной сети, firewall, общего доступа к ресурсам. Выделение “гостевого” wi-fi доступа в интернет.

 

Константин, Оренбург

White hacker, software engineer, fullstack developer.

“Умею: Python, JavaScript,  C++, видеостриминг, высоконагруженные системы, Django, Linux, телекоммуникации, React Native, Smart tv. Создал технологическую компанию в сфере разработки программных продуктов для IPTV/OTT-операторов и предоставление OTT-сервиса для абонентов (компания Microimpuls, работаю СТО). По специальности математик-программист”.

Организация: Межрегиональный интернет-журнал 7х7 

Проект: Pentest нового движка сайта

Цель проекта: Выявить и устранить проблемы с безопасностью нового самописного движка сайта, снизить угрозу взлома.

Задачи:

  • Изучить архитектуру нового сайта и всех его подсистем;
  • Изучить исходный код движка и модулей;
  • Выявить возможные векторы взлома;
  • Выявить существующие и потенциальные уязвимости сайта, протестировать на взлом;
  • Предложить практические варианты устранения уязвимостей/устранить уязвимости;
  • Предложить варианты снижения риска взлома/внедрить их;
  • Провести харденинг сервера с сайтом;
  • Наладить процессы мониторинга безопасности сайта и настроить средства обнаружения вторжений;
  • Разработать регламент написания кода и регламент проведения регулярного аудита для поддержания безопасности сайта в актуальном состоянии.

 

К., Москва

“10 лет профессионально занимаюсь разработкой и продюсированием web-проектов – верстка, дизайн, программирование (как сейчас принято говорить full-stack). Верстаю средствами js, jquery, html, css. Программирую в основном на drupal, php. В данный момент осваиваю python. Свои умения главным образом стараюсь применять для интересных мне проектов в области науки, творчества (музыка, театр, живопись, фотография) и правозащиты”.

Организация: ОВД-инфо 

Проект: Подготовительный этап разработки технического задания для базы мониторинга задержаний

Цель проекта: Разработка UX-матрицы, User Stories. Исследование, анализ и выбор программных средств для разработки базы.

Задачи: Для каждой роли в штабе разработать сценарии и интерфейс. Создать UX-матрицу. Определить движок, который будет использоваться для разработки, технологии,обновляющиеся и поддерживаемые системы, которые будут использоваться в проекте. Необходимо пообщаться с каждой группой пользователей базы задержаний (юристы, мониторщики, аналитики), чтобы лучше понять проблемы существующих интерфейсов и учесть это при составлении технического задания.

 

Борис, Москва

“В период с 2006 по 2008 года проработал web-верстальщиком  и разработчиком в крупной компании, занимающейся дистанционным образованием в России. Более 10 лет профессионально занимаюсь ремонтом, сборкой и настройкой компьютеров, компьютерной периферии, а также организацией и наладкой компьютерных сетей.

Ну и, конечно, установка и настройка всевозможного программного обеспечения. Имею опыт преподавания информатики в школе. Не раз был IT-волонтером в ОВД-Инфо. Около года занимался техническим обслуживанием в правозащитной организации”.

Организация: Правозащитный центр Мемориал

Проект: Создание плана миграции ПЦ Мемориал в облако

Цель проекта: Создать проект перехода ПЦ Мемориал в облачный сервис: описать обоснование и этапы перехода. Разработать план, сформировать облачную инфраструктуру, протестировать её, перенести данные и запустить.

Задачи:

  • Обоснование необходимости перехода в облако для сотрудников ПЦ, презентация этапов перехода;
  • Выбор облачного провайдера;
  • Создание политики безопасности для использования облака;
  • Обеспечение единого входа пользователей в приложения в любой среде;
  • Защита удостоверений в локальных и облачных средах;
  • Интегрированные средства управления облаком и безопасности;
  • Настройка использования облачных сервисов для резервного копирования и и аварийного восстановления локальной среды;
  • Создание согласованной платформы данных;
  • Реализация преимуществ общей базы данных в локальной среде и в облаке;
  • Сокращение затрат за счет переноса локальных данных в облако;
  • Использование согласованных сервисов хранения, анализа и визуализации данных;
  • Выполнение современных приложений в локальной и облачной среде;
  • Для работы с облачными сервисами нужен безупречный Интернет, поэтому одна из задач: настройка внутренней сети и покупка роутеров.

 

Whatsapp
Read More

Deflect Labs Report #6: Фишинг и веб-атаки в кампании против правозащитников и независимых СМИ Узбекистана

Основные положения

    • Мы обнаружили скрытую кампанию с применением фишинга и веб-атак, мишенью которой стали в первую очередь независимые СМИ и активисты Узбекистана.
    • Эта кампания ведется с начала 2016 года; как мы выявили, веб-атаки применяются с декабря 2017, а фишинг – с марта 2018.
    • В данном отчете мы подробно опишем, как применяются веб-атаки и фишинг и какую инфраструктуру используют злоумышленники
    •  Мы не располагаем данными о том, кто стоит за этой кампанией, но список ее мишеней позволяет предположить, что она направлена против активистов и СМИ Узбекистана.

Введение

Cервис Deflect был создан для защиты сайтов гражданского общества после публикации Центром Беркмана​ “​Интернет​ и ​ общество​” отчета “DDoS против независимых СМИ и сайтов по защите прав человека”. ​На протяжении нескольких лет мы изучали атаки на веб-сайты, защищенные сервисом Deflect; итогом этих наблюдений стало несколько отчетов.

Атаки, которые будут описаны в данном отчете, значительно отличались от привычных действий злоумышленников, которым противостоит Deflect, так как при веб-атаках использовались профессиональные программы, такие как Acunetix. В тот момент, как мы обнаружили, что в начале веб-атак создавались поддельные домены gmail, привязанные к определенному серверу, мы поняли, что тут происходит нечто более важное.

В данном отчете мы дадим описание всех собранных нами фрагментов одной общей картины этой кампании, чтобы предать гласности факты об атаках, направленных на гражданское общество, и стимулировать обсуждение этого сложного явления.

Контекст: права человека и цифровое наблюдение в Узбекистане

Многие правозащитные организации считают Узбекистан авторитарным государством, которое на протяжении длительного периода подавляло развитие гражданского общества и ограничивало независимость СМИ. С момента распада Советского Союза два президента руководили системой, которая
институционализировала пытки и запрещала свободу слова, что документально подтверждено Human Rights Watch, Amnesty International, Front Line, а также многими другими. Репрессии широко распространились на СМИ и правозащитников, многим из которых пришлось покинуть страну и продолжить свою работу в диаспоре.

Узбекистан был одним из первых государств, которое создало широкую инфраструктуру интернет-цензуры, заблокировав доступ к СМИ и сайтам по правам человека. Если же говорить о цифровом наблюдении, то факт наличия серверов компании Hacking Team в Узбекистане был установлен специалистами the Citizen Lab уже в 2014 году. Позже пользователи Интернета получили доступ к электронной переписке Hacking Team , которая показывала, что Служба государственной безопасности Узбекистана пользовалась услугами этой компании. В отчете организации Privacy International за 2015 год говорится о том, что в Узбекистане было создано несколько центров мониторинга, оснащенных средствами для массового наблюдения; их поставщиком было израильское ответвление американской компании Verint Systems и израильской компании NICE Systems. В 2017 году вышел отчет Amnesty International под заголовком «Мы найдем тебя везде», где подробнее говорится о применении этих средств: тут речь идет о цифровом наблюдении и целевых атаках, направленных на узбекских журналистов и правозащитников. В частности, история независимой информационной службы Uznews.net показывает, как широко правительство Узбекистана использовало направленные атаки для подавления независимых СМИ. Служба Uznews.net была создана вслед за тем, как в 2005 году, после Андижанской бойни, главный редактор службы Галима Бухарбаева покинула Узбекистан. В 2014 году она обнаружила, что ее электронная почта была взломана с помощью фишинга, после чего злоумышленники опубликовали в Сети информацию, включая имена и персональные данные журналистов. Галима сейчас представляет редакцию независимой медийной площадки Centre1, сайт которой защищен сервисом Deflect и является одной из мишеней хакерских атак, о которых идет речь в этом исследовании.

Новая кампания фишинга и веб-атак

16 ноября 2018 года мы выявили массированную атаку, мишенью которой стали некоторые веб-сайты, защищенные сервисом Deflect. При этом использовались профессиональные средства аудита безопасности, такие как NetSparker и WPScan, для сканирования сайтов eltuz.com и centre1.com.
Пик траффика во время атаки (16 ноября 2018):


Пик трафика во время атаки (16 ноября 2018)

Эта атака проводилась с IP-адреса 51.15.94.245 (AS12876 – Online AS, но в диапазоне IP-адресов, принадлежащих серверам Scaleway). Изучая историю траффика с того же IP-адреса, мы установили, что он использовался для нескольких других атак на веб-сайты, защищенные Deflect, а также обнаружили привязанные к этому IP-адресу домены, имитирующие google и gmail, такие как auth.login.google.email-service.host или auth.login.googlemail.com.mail-auth.top. Мы изучили «пассивные» данные DNS (используя PassiveTotal Community Edition и другие инструменты, такие как RobTex) и сопоставили полученную информацию со сведениями об атаках на веб-сайты, защищенные сервисом Deflect, где велся журнал событий. Так мы обнаружили масштабную кампанию атак, направленных на СМИ и активистов. Мы обнаружили, что эта группа злоумышленников активизировалась в феврале 2016 года, а первые атаки осуществлялись с декабря 2017.

Список веб-сайтов, ставших мишенями этих атак, дает представление о контексте данной кампании. Мы выявили четыре таких веб-сайта:

  • Fergana News ведущий независимый русскоязычный новостной сайт, освещающий события в странах Центральной Азии и бывшего СССР
  • Eltuz независимый узбекский сайт
  • Centre1 независимая информационная служба, специализирующаяся на новостях из Центральной Азии
  • Palestine Chronicle сайт некоммерческой организации, которая занимается защитой прав человека в Палестине

Все эти ресурсы освещают актуальный проблемы в Узбекистане. Мы связались с главными редакторами этих СМИ и несколькими другими узбекскими активистами, чтобы узнать, получали ли они фишинговые электронные письма в рамках этой кампании. Некоторые из них смогли подтвердить получение таких сообщений и переслали их нам для дальнейшего расследования. Мы также смогли получить подтверждение фишинговых атак от некоторых узбекских активистов, которые не были связаны с сайтами, защищенными Deflect.

Любопытно, что среди мишеней мы находим и сайт Palestine Chronicle, который кажется тут исключением из правила. У нас нет убедительной гипотезы о том, почему подверглась атаке данная организация.

Год веб-атак на гражданское общество

Исследуя «пассивные» DNS, мы выделили три IP-адреса, которыми пользовались злоумышленники в ходе этой операции:

  • 46.45.137.74 использовался в 2016 и 2017 годах (точная хронология неясна, Istanbul DC, AS197328)
  • 139.60.163.29 использовался между октябрем 2017 и августом 2018 (HostKey, AS395839)
  • 51.15.94.245 использовался между сентябрем 2018 и февралем 2019 (Scaleway, AS12876)

Мы выявили 15 атак на веб-сайты, защищенные сервисом Deflect, с IP-адресов 139.60.163.29 и 51.15.94.245 с декабря 2017:

Date IP Target Tools used
2017/12/17 139.60.163.29 eltuz.com WPScan
2018/04/12 139.60.163.29 eltuz.com Acunetix
2018/09/15 51.15.94.245 www.palestinechronicle.com eltuz.com www.fergana.info and uzbek.fergananews.com Acunetix and WebCruiser
2018/09/16 51.15.94.245 www.fergana.info Acunetix
2018/09/17 51.15.94.245 www.fergana.info Acunetix
2018/09/18 51.15.94.245 www.fergana.info NetSparker and Acunetix
2018/09/19 51.15.94.245 eltuz.com NetSparker
2018/09/20 51.15.94.245 www.fergana.info Acunetix
2018/09/21 51.15.94.245 www.fergana.info Acunetix
2018/10/08 51.15.94.245 eltuz.com, www.fergananews.com and news.fergananews.com Unknown
2018/11/16 51.15.94.245 eltuz.com, centre1.com and en.eltuz.com NetSparker and WPScan
2019/01/18 51.15.94.245 eltuz.com WPScan
2019/01/19 51.15.94.245 fergana.info www.fergana.info and fergana.agency Unknown
2019/01/30 51.15.94.245 eltuz.com and en.eltuz.com Unknown
2019/02/05 51.15.94.245 fergana.info Acunetix

Кроме распространенных инструментов с открытым кодом вроде WPScan, для этих атак использовались разнообразные коммерческие средства аудита безопасности, такие как NetSparker или Acunetix. Если у Acunetix существует пробная версия, которая могла тут применяться, NetSparker пробной версии не предлагает; это значит, что злоумышленники обладали немалыми денежными средствами (стандартная оплата тут $4995 в год, могла также использоваться взломанная версия).

Кроме того, удивительно, что сервер применял множество различных инструментов, при том что многие из них требуют Graphical User Interface. Когда мы просканировали IP 51.15.94.245, то обнаружили, что на нем расположен squid-прокси на порте 3128; мы предполагаем, что этот прокси использовался для переадресации траффика с компьютера злоумышленника.

Фрагменты nmap-скана IP 51.15.94.245 в декабре 2018:

3128/tcp  open     http-proxy Squid http proxy 3.5.23
|_http-server-header: squid/3.5.23
|_http-title: ERROR: The requested URL could not be retrieved

Масштабная кампания фишинговых атак

Обнаружив множество фишинговых доменов, мы предположили, что в ходе кампании также широко применялся фишинг. Мы связались с владельцами сайтов, ставших мишенями атак, и с несколькими узбекскими правозащитниками и выявили 14 разных фишинговых электронных писем, полученных двумя из них между мартом 2018 и февралем 2019:

Date Sender Subject Link
12th of March g.corp.sender[@]gmail.com У Вас 2 недоставленное сообщение (You have 2 undelivered message) http://mail.gmal.con.my-id[.]top/
13th of June 2018 service.deamon2018[@]gmail.com Прекращение предоставления доступа к сервису (Termination of access to the service) http://e.mail.gmall.con.my-id[.]top/
18th of June 2018 id.warning.users[@]gmail.com Ваш новый адрес в Gmail: (Your new email address in Gmail: ) http://e.mail.users.emall.com[.]my-id.top/
10th of July 2018 id.warning.daemons[@]gmail.com Прекращение предоставления доступа к сервису (Termination of access to the service) hxxp://gmallls.con-537d7.my-id[.]top/
10th of July 2018 id.warning.daemons[@]gmail.com Прекращение предоставления доступа к сервису (Termination of access to the service) http://gmallls.con-4f137.my-id[.]top/
18th of July 2018 service.deamon2018[@]gmail.com [Ticket#2011031810000512] – 3 undelivered messages http://login-auth-goglemail-com-7c94e3a1597325b849e26a0b45f0f068.my-id[.]top/
2nd of August 2018 id.warning.daemon.service[@]gmail.com [Important Reminder] Review your data retention settings None
16th of October 2018 lolapup.75[@]gmail.com Экс-хоким Ташкента (Ex-hokim of Tashkent) http://office-online-sessions-3959c138e8b8078e683849795e156f98.email-service[.]host/
23rd of October 2018 noreply.user.info.id[@]gmail.com Ваш аккаунт будет заблокировано (Your account will be blocked.) http://gmail-accounts-cb66d53c8c9c1b7c622d915322804cdf.email-service[.]host/
25th of October 2018 warning.service.suspended[@]gmail.com Ваш аккаунт будет заблокировано. (Your account will be blocked.) http://gmail-accounts-bb6f2dfcec87551e99f9cf331c990617.email-service[.]host/
18th of February 2019 service.users.blocked[@]gmail.com Важное оповещение системы безопасности (Important Security Alert) http://id-accounts-blocked-ac5a75e4c0a77cc16fe90cddc01c2499.myconnection[.]website/
18th of February 2019 mail.suspend.service[@]gmail.com Оповещения системы безопасности (Security Alerts) http://id-accounts-blocked-326e88561ded6371be008af61bf9594d.myconnection[.]website/
21st of February 2019 service.users.blocked[@]gmail.com Ваш аккаунт будет заблокирован. (Your account will be blocked.) http://id-accounts-blocked-ffb67f7dd7427b9e4fc4e5571247e812.myconnection[.]website/
22nd of February 2019 service.users.blocked[@]gmail.com Прекращение предоставления доступа к сервису (Termination of access to the service) http://id-accounts-blocked-c23102b28e1ae0f24c9614024628e650.myconnection[.]website/

Почти все эти письма имитировали предупреждения от Gmail, в которых адресату предлагали кликнуть определенную ссылку. Так, например, одно письмо, полученное 23 октября 2018, сообщает, что ее аккаунт скоро будет закрыт, при этом используется изображение текста, размещенное на imgur, чтобы избежать распознания со стороны Gmail:

Единственным исключением было электронное письмо от 16 октября 2018, содержащее якобы конфиденциальную информацию о бывшем хокиме Ташкента:

Некоторые электронные письма маскировались, чтобы избежать выявления, либо с помощью сервиса для получения коротких ссылок drw.sh (инструмента российской компании Doctor Web), либо некоторых инструментов Google для открытого перенаправления.

Каждое электронное письмо использовало свой субдомен, включая письма с одного и того же аккаунта Gmail и с той же темой. Так, два разных письма с темой «Прекращение предоставления доступа к сервису», отправленные с одного и того же адреса, использовали, соответственно, фишинговые домены hxxp://gmallls.con-537d7.my-id[.]top/ и http://gmallls.con-4f137.my-id[.]top/. Мы предполагаем, что злоумышленники применяли разные субдомены, чтобы не попасть в черный список доменов Gmail. Этим объясняется большое число субдоменов, которые можно идентифицировать с помощью «пассивных» DNS. Мы выявили 74 субдомена для 26 доменов второго уровня, используемых в данной кампании (см. приложение с полным списком индикаторов компрометации, IOC).

Мы предполагаем, что фишинговая страничка работала онлайн лишь в течение короткого времени после получения письма, чтобы помешать аналитикам изучать кампанию. Мы получили доступ к фишинговым страничкам некоторых электронных писем. Мы можем подтвердить, что фишинговый инструментарий проверял правильность пароля, и предполагаем, что он мог работать с двухфакторной аутентификацией с помощью текстовых сообщений или двухфакторных приложений, хотя не можем этого доказать.

Хронология кампании

Мы нашли первые признаки активности злоумышленников: 21 февраля 2016 года они зарегистрировали домен auth-login.com. Поскольку мы лишь недавно обнаружили, что идет такая кампания, у нас немного информации об атаках на протяжении 2016 и 2017 годов, но дата регистрации домена указывает на его активность в июле и декабре 2016, а затем в августе и октябре 2017. Вероятнее всего кампания началась в 2016 году и продолжалась в 2017, о чем пользователи ничего не знали.

Вот первая хронология кампании, созданная нами на основании дат регистрации домена и дат веб-атак и рассылки фишинговых электронных писем:

Чтобы доказать, что данная группа злоумышленников была активна на протяжении 2016 и 2017 годов, мы собрали сертификаты этих доменов и субдоменов с помощью базы данных crt.sh Certificate Transparency Database. Мы обнаружили 230 сертификатов, созданных для этих доменов по большей части с помощью сервиса Cloudfare. Вот новая хронология кампании, которая опирается также и на данные создания TLS-сертификатов:

Как мы можем видеть, многие сертификаты были созданы после декабря 2016 и на протяжении 2017 года, а это значит, что группа в тот период осуществляла какие-то действия. Значительное число доменов на протяжении 2017 и 2018 годов появлялось на свет при помощи сервиса Cloudfare, создававшего краткосрочные сертификаты и в то же время защищавшего веб-сайт.

Любопытно также, что кампания была начата в феврале 2016, а особая активность наблюдалась летом 2016, то есть тем летом, когда умер прежний президент Узбекистана Ислам Каримов, о чем первым известил публику сайт Fergana News, ставший главной мишенью атак в ходе этой кампании.

Анализ сетевой инфраструктуры

Мы выявили домены и субдомены данной кампании с помощью анализа данных о «пассивных» DNS, используя преимущественно общий доступ PassiveTotal. Многие домены в 2016-2017 годах применяли один и тот же контактный e-mail домена – b.adan1@walla.co.il, – что помогло нам выявить другие домены, связанные с этой кампанией:

Этот список позволил нам идентифицировать субдомены и IP-адреса, связанные с ними, и выявить три IP-адреса, используемые в ходе кампании. Мы применяли Shodan для поиска данных о временных параметрах и информацию о «пассивных» DNS, чтобы воссоздать хронологию применения разных серверов:

  • 46.45.137.74 использовался в 2016 и 2017
  • 139.60.163.29 использовался между октябрем 2017 и августом 2018
  • 51.15.94.245 использовался между сентябрем 2018 и февралем 2019

Мы выявили 74 субдомена для 26 доменов второго уровня, используемых в кампании (см. приложение с полным списком индикаторов компрометации, IOC). Большинство этих доменов имитировало Gmail, но некоторые также имитировали Yandex (auth.yandex.ru.my-id.top), mail.ru (mail.ru.my-id.top), qip.ru (account.qip.ru.mail-help-support.info), yahoo (auth.yahoo.com.mail-help-support.info), Live (login.live.com.mail-help-support.info) или rambler.ru (mail.rambler.ru.mail-help-support.info). Большинство из этих доменов являлись субдоменами доменов второго уровня (таких как auth-mail.com), но встречались и некоторые специфические домены второго уровня, представляющие особый интерес:

  • bit-ly[.]host имитирующий bit.ly
  • m-youtube[.]top и m-youtube[.]org вместо Youtube
  • ecoit[.]email который, возможно, имитировал https://www.ecoi.net
  • pochta[.]top вероятно, имитация https://www.pochta.ru/, Почты России
  • Мы не нашли какой-либо информации относительноvzlom[.]top и fixerman[.]top. Судя по значению русского слова «взлом», vzlom.top – антивирусный сайт или его имитация.

Таинственная сеть киберпреступников

Обычно мы не находим связей между целенаправленными атаками и киберпреступностью, но в процессе данного расследования мы обнаружили два вида взаимодействия между этой кампанией и группами киберпреступников.

Во-первых, 7 декабря 2016 года через контактный адрес b.adan1@walla.co.il был зарегистрирован домен msoffice365[.]win (как и многие другие домены в ходе кампании). Как выяснилось, к этому домену был привязан C2-сервер для кражи криптовалюты под названием Quant, о чем говорится в отчете Forcepoint, опубликованном в декабре 2017 года. Сервис Virus Total подтверждает тот факт, что в ноябре 2017, в период его регистрации (он был зарегистрирован на год), этот домен содержал вредоносные программы. Мы не могли наблюдать какой-либо преступной деятельности, связанной с доменом, в ходе кампании атак, но, как уже было сказано, мы мало чего знаем о деятельности этой группы в 2017 году.

Во-вторых, мы выявили связь между доменом auth-login.com и группами, стоящими за трояном Bedep и инструментом Angler exploit kit. Они связаны с доменом auth-login.com через субдомен login.yandex.ru.auth-login.com – похоже, это типичный домен с длинным именем, имитирующий Yandex в ходе кампании атак, и он был привязан к тому же IP-аресу 46.45.137.74 в марте и апреле 2016 года (по данным компании RiskIQ). Этот домен был зарегистрирован в феврале 2016 года с адреса yingw90@yahoo.com (принадлежащего, по данным whois, Дэвиду Бауэрсу из Гровтауна, штат Джорджия, США). Тот же электронный адрес использовался для регистрации сотни доменов, задействованных в кампании Bedep в феврале 2016, по данным Talos (что подтверждает и несколько других отчетов). Angler exploit kit – один из самых печально известных инструментов киберпреступников в период между 2013 и 2016 годами. Bedep – бэкдор, выявленный в 2015 году, который применялся почти исключительно с инструментом Angler exploit kit. Нужно отметить что, по данным Trustwave, в 2015 году Bedep использовался для увеличения количества просмотров пропагандистских пророссийских видеороликов.

У нас нет свидетельств о том, чтобы два этих домена использовались в ходе кампании атак, тем не менее такого рода связи с миром киберпреступности слишком сильны, чтобы считать их простой случайностью. Они говорят о том, что группы киберпреступников взаимодействуют с группами или службами, поддерживаемыми правительством. Любопытно вспомнить о том, что, как утверждает Amnesty international, в 2014 году российские хакеры участвовали в атаках на редактора Uznews.net. Это позволяет предположить, что подобные группы участвовали и в данной кампании атак.

Серверы нелегко обрушить

Когда мы выявили атаку, то решили расследовать происходящее, не подавая жалобы, пока у нас не будет ясного представления об идущей кампании. В январе мы поняли, что собрали достаточно сведений, и стали посылать жалобы на на нелегитимное использование сервисов. Мы послали жалобы по поводу Gmail-адресов в Google, а по поводу сервиса сокращения url – в Doctor Web. Мы не получили ответа, но могли увидеть, что компания Doctor Web несколько дней спустя приняла надлежащие меры.

В случае же сервера Scaleway мы неожиданно столкнулись с неразрешимой проблемой в связи с нелегитимным использованием инфраструктуры. Обычно Scaleway отсылает жалобу на абьюз непосредственно потребителю, а затем убеждается в том, что потребитель исправил нарушения. Такой подход прекрасно работает в случае скомпрометированного сервера, но не тогда, когда сервер умышленно арендуется для злонамеренной деятельности. В нашем случае мы не хотели посылать отчет о ненадлежащем  использовании, потому что тогда нам пришлось бы открыть злоумышленникам то, что нам известно, без какой-либо пользы для дела. Мы связались непосредственно со Scaleway, и прошло какое-то время, прежде чем мы нашли нужного человека из числа ответственных за безопасность. Сотрудники Scaleway признали, что их сервер замешан в абьюзе, и, получив версию нашего отчета, в которой были скрыты некоторые имена, с приложенными доказательствами в виде фишинговых страничек, привязанных к их серверу, они около 25 января 2019 года закрыли сервер.

Мы понимаем, что провайдеру инфраструктуры нелегко реагировать на подобные жалобы. Для многих хостинг-провайдеров критерием остроты той или иной проблемы является количество жалоб, но в случае гражданского общества мы имеем дело со злоумышленниками, которые действуют целенаправленно и скрытно, так что иногда их мишенями становятся лишь несколько людей, а при этом они изо всех сил стараются оставаться незаметными. Стандартные процедуры в таких случаях часто не работают, и, как мы считаем, хостинг-провайдеры должны заниматься подобными случаями абьюза. Мы призываем хостинг-провайдеров принимать во внимание целенаправленные атаки на гражданское общество и теснее взаимодействовать с организациями, которые его защищают, устанавливать отношения взаимного доверия с ними, что позволит быстро ограничивать масштаб подобных кампаний.

Заключение

В данном отчете мы приводим данные о продолжительной кампании фишинга и веб-атак, направленных на СМИ, освещающие жизнь в Узбекистане, и на узбекских правозащитников. Наш отчет в очередной раз указывает на то, что цифровые атаки представляют угрозу для защитников прав человека и независимых СМИ. На протяжении многих лет мы могли видеть, как группы злоумышленников используют и фишинг, и веб-атаки (подобно связанной с Вьетнамом группе Ocean Lotus), но данная кампания делает своими мишенями одновременно как сайты гражданского общества, так и их руководителей, используя при этом одни и те же серверы.

У нас нет доказательств того, что в этой кампании участвует правительство, но это, несомненно, целенаправленные атаки политического характера, а список ее мишеней указывает на то, что она направлена на гражданское общество Узбекистана. Кроме того, она во многом сходна с атаками на Uznews.net в 2014 году, когда главный редактор получила фишинговое электронное письмо, имитирующее уведомление Google о том, что ее аккаунт участвует в распространении незаконной порнографии.

На протяжении последних 10 лет такие организации, как Citizen Lab или Amnesty International, потратили немало времени и усилий на то, чтобы выявить факты применения цифрового наблюдения и целенаправленных атак против гражданского общества. Изучая эту кампанию, мы увидели, что и 2019 году те же самые инструменты представляют угрозу для журналистов и активистов, которые – нередко в крайне тяжелых обстоятельствах – сражаются за гражданские права и свободное распространение информации.

Мы надеемся, что данный отчет внесет вклад в это общее дело и поможет понять, что сегодня более, чем когда-либо, нам нужно продолжать бороться и поддерживать гражданское общество в его противостоянии цифровому наблюдению.

Как защищаться от подобных атак

Если вы подозреваете, что можете стать мишенью подобных кампаний, есть ряд мер, которые помогут вам себя защитить.

Для защиты от фишинга вам важно научиться распознавать классические фишинговые электронные письма. Мы привели некоторые образцы в данном отчете, но вы можете почитать другие подобные отчеты, созданные the Citizen Lab. Вы можете также прочесть это прекрасное разъяснение от NetAlert и проверить себя с помощью теста Google Jigsaw. Во-вторых, важно убедиться в том, что вы настроили двухфакторную аутентификацию для аккаунтов вашей почты и социальных сетей. Это значит, что для аутентификации при входе в аккаунт используется и пароль, и что-то еще дополнительно. В качестве второго фактора чаще всего применяют текстовые сообщения, приложения, создающие временные пароли, или аппаратные ключи защиты. Мы советуем не полагаться на текстовые сообщения, которые не слишком надежны, но вместо этого пользоваться либо приложениями для создания временных паролей (такими как Google Authenticator или FreeOTP), либо аппаратными ключами (такими как YubiKeys). Аппаратные ключи защиты считаются наиболее надежными, так что это предпочтительная защита в том случае, если вы активист или журналист, рискующий стать мишенью злоумышленников. В последний годы мы видели случаи, когда фишинговые атаки преодолевали другие типы двухфакторной защиты (тут об этом говорится подробнее).

В случае же веб-атак, если вы используете такие системы управления содержимым (CMS), как WordPress или Drupal, очень важно постоянно обновлять как саму CMS, так и ее плагины, и отказаться от уязвимых плагинов (очень часто именно устаревшие плагины были причиной компрометации веб-сайтов). Мы также рекомендуем, если это возможно, применять Web Application Firewalls, настроив его так, чтобы оно распознавало атаки на вашу CMS. Если вы используете «самодельный» сайт, вам, быть может, следует провести аудит безопасности применяемого программного кода.

Приложение

Благодарность

Мы хотим поблагодарить Defenders и Scaleway за оказанную помощь. Мы также признательны ipinfo.io и passive total, снабдившим нас теми инструментами, которые помогли нам провести данное расследование.

Индикаторы компрометации (Indicator of Compromise, IOC)

Top level domains :

email-service.host
email-session.host
support-email.site
support-email.host
email-support.host
myconnection.website
ecoit.email
my-cabinet.com
my-id.top
msoffice365-online.org
secretonline.top
m-youtube.top
auth-mail.com
mail-help-support.info
mail-support.info
auth-mail.me
auth-login.com
email-x.com
auth-mail.ru
mail-auth.top
msoffice365.win
bit-ly.host
m-youtube.org
vzlom.top
pochta.top
fixerman.top

Полный список индикаторов можно найти на github: https://github.com/equalitie/deflect_labs_6_indicators

Статья переведена с английского: Phishing and Web Attacks Targeting Uzbek Human Right Activists and Independent Media .

Whatsapp
Read More