Компания Citrix в своем официальном блоге сообщает о том, что с ними связалось ФБР и сообщило о некой международной хакерской группировке, которая получила доступ к внутренним сетевым ресурсам Citrix.

Citrix начала внутреннее расследование и установила, что было неавторизованное скачивание бизнес-документации. При этом, какие именно документы были скачены, компания не знает. 🤦‍♂️

По утверждениям ФБР, для взлома хакеры использовали перебор слабых паролей по словарю, пытаясь проникнуть в сеть под любым аккаунтом, а потом уже использовали другие техники для повышения привилегий.

Никакой другой информации не сообщается.

Что-то подсказывает нам – надо ждать обвинения русских хакеров в этом инциденте. Или китайских. Если у ФБР дела с расследованием пойдут совсем плохо, то обвинят северокорейских киберпреступников. 😂😂😂

«Магазины» в Twitter, которые торгуют прототипами (версии устройств, предназначенные исключительно для разработчиков Apple) iOS-устройств (iPhone и iPad):

✅ twitter.com/AppleInternalsh
✅ twitter.com/jin_store
✅ twitter.com/laobaiTD

У таких прототипов отключены многие функции защиты в Secure Enclave Processor (SEP), что позволяет исследователям находить новые возможности для jailbreak и взламывать уже релизные версии устройств.

Стоимость прототипов (примерно):

✅ iPhone 6 - $1300
✅ iPhone 8 Plus - $5000
✅ iPhone XR - $20000

Для использования данных устройств в режиме разработчика еще необходим специальный USB-кабель, который называется «kanzi» (ирония в том, что такое название имеет сорт бельгийских яблок). Стоимость такого кабеля около $2000.

Изначально эти устройства (и кабель «kanzi») были предназначены только для разработчиков Apple. Однако, благодаря усилиям инсайдеров из Foxcon, прототипы попадают на рынок электроники в китайском городе Шеньчжэнь, а оттуда уже расходятся по исследователям по всему миру.

Подробное расследование на англ. языке тут: https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days

Версии iOS-устройств для разработчиков, с отключенными функциями защиты.

На роутере Xiaomi Mi Router 3G, с открытым для всех FTP-сервером, зная его киевский IP-адрес (ищется в Shodan), можно найти базу данных избирателей Украины за 2014 год.

База в формате Cronos, содержит информацию о 35 млн. человек (35332133), включая ФИО, даты и места рождения, адреса проживания.

Данная база распространялась в начале 2018 года в виде торрент-раздачи, которая в настоящий момент не активна.

За информацию спасибо читателю канала ;)

История с «нападением» на Citrix (тут подробнее: https://news.1rj.ru/str/dataleak/814) получила небольшое, но интересное продолжение.

Некая компания Resecurity Inc (основана в 2017 году, до этого момента особо не известная) из Калифорнии распространила пресс релиз, в котором утверждает, что на Citrix напали иранские хакеры из группировки Iridium.

Разумеется, никаких доказательств не приводится. Поэтому мы считаем наш способ идентификации организатора атаки через голосование по прежнему актуальным: https://news.1rj.ru/str/dataleak/815 😂

Кроме «PR-атрибуции» Resecurity также говорит о конкретных объёмах похищенных данных. Утверждается, что было два скачивания данных из сети Citrix: 20-го декабря 2018 года было украдено 6 ТБ данных, а 4-го марта 2019 года хакеры украли 10 ТБ. Откуда эти цифры, как они получены, как вообще такое возможно, что Citrix об этом не знали, а в Resecurity знают – не сообщается. 👍


Еще в Resecurity оказывается знают, что именно скачали иранские хакеры – файлы с сетевых ресурсов, электронные письма и т.п., связаные с проектами в таких организациях, как ФБР, НАСА и даже Saudi Aramco (государственная нефтяная компания из Саудовской Аравии).

На этом подозрительно глубокие знания Resecurity об этом инциденте не заканчиваются. Коварные иранцы оказывается проникли в сеть Citrix 10 лет назад и с тех пор ждали удобного момента. 😱

У Iridium есть (разумеется мы об этом знаем от Resecurity) какая-то секретная технология обхода двухфакторной аутентификации, которую они и использовали для доступа к критичным сервисам и приложениям Citrix.

Будем следить за этой историей. Очень интересно… 😎

Исследователи обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов.

Были обнаружены более 90 компаний, у которых на сервисе Box находились свободно доступные файлы со сканами паспортов, номерами социального страхования (SSN), номерами банковских счетов, паролями, списками сотрудников и т.п.

Для поиска использовался скрипт, перебирающий аккаунты на Box.com, с применением словаря английских слов и набором шаблонов. URL для расшаренных файлов на Box имеет вид: https://<company>.app.box.com/v/<file/folder>, сначала по словарю подбирается имя компании, затем подбирается имя файла или папки.

✅ Скрипт для перебора можно найти тут: https://github.com/Adversis/PandorasBox

✅ Словарь: https://github.com/Adversis/PandorasBox/blob/master/wordlist.txt

✅ Список (около 3 тыс.) некоторых аккаунтов на Box: https://gist.github.com/random-robbie/9b29cdfb017da53e92bad11cb47bbe68

Почти таким же способом обнаруживают открытые облачные хранилища Amazon, про это мы писали тут: https://www.devicelock.com/ru/blog/kak-obnaruzhivayut-otkrytye-oblachnye-hranilischa-amazon.html

Стоит отметить, что в отличии от случаев, когда на AWS оставляют открытыми целые репозитории (buckets), неправильно выставляя права доступа к ним, в случае с Box найденные файлы были намеренно расшарены для обмена и отсутствие неавторизованного доступа к ним должно было гарантироваться невозможностью узнать URL. 🤦🏻‍♂️

Компании, в чьих Box-аккаунтах были найдены чувствительные данные:

✅ Apple
✅ Система бронирования авиабилетов Amadeus
✅ Телеканал Discovery
✅ Американская PR-компания Edelman
✅ Herbalife
✅ Schneider Electric
✅ Собственно, сама компания Box

Современные DLP-системы умеют распознавать в потоке передаваемых данных документы, удостоверяющие личность. Причем перехватить попытку передачи такого документа за периметр можно даже в том случае, если речь идет об отправке по электронной почте скан-копии или печати документа на принтере.


Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента. Встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

http://www.cnews.ru/articles/2019-03-12_dlpsistemy_nauchilis_predotvrashchat_krazhu_pasportov

Мобильное приложение для сторонников Дональда Трампа 63Red Safe допустило утечку данных пользователей. Приложение под iOS и Android предназначено для поиска безопасных мест (ресторанов, баров, магазинов и т.п.) для «консерваторов», которые носят символику «Make America Great Again» (MAGA).

В ходе независимого анализа приложения было обнаружено, что прямо в коде, в открытом виде, содержатся учетные записи для доступа к данным приложения.

Исследователю удалось извлечь данные 4466 пользователей: имена, адреса электронной почты и т.п.

В октябре прошлого года из приложения Donald Daters, предназначенного для знакомства сторонников американского президента Дональда Трампа, утекла вся база данных пользователей, включая имена, фотографии профилей, приватные сообщения и т.п.

Бывший сотрудник отдела технической защиты информации администрации города Курган, продавал персональные данные жителей города и области.

В силу своего служебного положения мужчина имел доступ к базе данных, куда вносятся сведения из УФМС, ЗАГС, избирательных комиссий, военкоматов, УФСИН, других и учреждений.

Бывший сотрудник создал свою собственную программно-информационную систему, содержащую адреса, ИНН, СНИЛС, водительские удостоверения, паспорта, информацию о наличии кредитов в банках и задолженности в сфере ЖКХ и т.п.

За денежное вознаграждение 1,5-2 тысячи рублей злоумышленник продавал ‘эти сведения третьим лицам – банкам и коллекторским агентствам. Покупатели переводили деньги на карту его родственников.

За нарушение неприкосновенности частной жизни суд назначил виновному наказание в виде штрафа в размере 200 тыс. рублей.

Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными мы писали тут: https://www.devicelock.com/ru/blog/kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi.html

Еще один бывший сотрудник компании Tesla Motors (ее подразделения «Гигафабрика») заявил о слежке за коммуникациями сотрудников на заводе.

Про первого сотрудника, заявившего о тотальном прослушивании телефонов на «Гигафабрике» мы писали тут: https://news.1rj.ru/str/dataleak/517. Tesla Motors подала на него в суд, обвиняя в краже гигабайтов коммерческих секретов компании: https://news.1rj.ru/str/dataleak/426.

Теперь туже самую информацию подтверждает и второй уволенный из Теслы сотрудник.

В свободном доступе на специализированных форумах появилась база данных госслужащих Украины за 2018 год. Всего в базе 1430497 записей, содержащих: ФИО, место жительства, должность и место работы.

На прошлой неделе мы писали, что в открытом доступе нашлась база данных избирателей Украины за 2014 год: https://news.1rj.ru/str/dataleak/821

Продолжаем следить за историей с кражей информации из сети компании Citrix.

✅ Первая часть тут: https://news.1rj.ru/str/dataleak/814
✅ Вторая часть тут: https://news.1rj.ru/str/dataleak/822

Компания Resecurity Inc продолжает сливать, не понятно откуда взявшиеся у них, «доказательства» причастности к инциденту иранских хакеров, а также некоторые подробности самого инцидента.

Во-первых, Resecurity опубликовали список IP-адресов, с которых работали хакеры:

178.131.21*.19* – Иран
5.115.23*.11* – Иран
5.52.14*.23* – Иран

И список прокси серверов, которые они использовали:

23.237.104.90 – Канада (VPN)
194.59.251.12 – США (VPN)
185.244.214.198 – Польша
138.201.142.113 – Германия
92.222.252.193 – Франция (29 ноября 2018)
51.15.240.100 – Франция (7 декабря 2018) x 3 раза
185.220.70.135 – Германия (7 декабря 2018) x 5 раз

Во-вторых, Resecurity утверждают, что у них есть список из 31,738 аккаунтов сотрудников Citrix, которые были атакованы (перебор слабых паролей) и именно через эти аккаунты хакеры и проникли в сеть.

Ну и самое удивительное – у Resecurity есть скриншоты RDP-сессий, на которых видно, как хакеры (так утверждается) копируют файлы с серверов Citrix на удаленные диски. 😱

31,738 аккаунтов сотрудников Citrix, через которые хакеры проникли в сеть.

Скриншоты RDP-сессий, на которых видно, как копируются файлы с серверов Citrix на удаленные диски.

Хакеры сдампили базы вебсайта Министерства иностранных дел и культа Коста-Рики: https://ghostbin.com/paste/bwd7k/raw

В самой большой базе (SEGWEB), можно найти 731 записей, содержащие адреса электронной почты (на правительственном домене go.cr), имена, номера телефонов и хешированные пароли.