#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции.
Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас 118 исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте на Хабре!
@tomhunter
Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас 118 исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте на Хабре!
@tomhunter
❤5🔥1
#news У панелей управления веб-хостингом CyberPanel на днях произошёл мини-апокалипсис. Больше 22 тысяч инстансов с критической уязвимостью под RCE попали под массовую атаку рансомварью PSAUX. Почти все они ушли офлайн. На этих панелях висело управление более 152 тысячами доменов и баз.
Между тем PSAUX не так страшна, как её старшие братья по рансомварь-сцене: злоумышленники требуют 200 баксов за ключ, а из-за ошибок в энкрипторе под него написали скрипт для дешифрования. Вот только уязвимость эксплойтят ещё две рансомварь-группировки. Так что у нас новый редкий случай из серии «Файлы зашифрованы дважды». Кому повезло, к тем на панели первой зашла PSAUX и положила их в процессе. У вторых вариант на исходниках Babuk, к нему тоже сегодня подобрали декриптор. У третьих шифр на базе Conti. Им соболезнуем.
@tomhunter
Между тем PSAUX не так страшна, как её старшие братья по рансомварь-сцене: злоумышленники требуют 200 баксов за ключ, а из-за ошибок в энкрипторе под него написали скрипт для дешифрования. Вот только уязвимость эксплойтят ещё две рансомварь-группировки. Так что у нас новый редкий случай из серии «Файлы зашифрованы дважды». Кому повезло, к тем на панели первой зашла PSAUX и положила их в процессе. У вторых вариант на исходниках Babuk, к нему тоже сегодня подобрали декриптор. У третьих шифр на базе Conti. Им соболезнуем.
@tomhunter
😁7🔥3
#news Гугл рапортует о первом известном случае, когда языковая модель нашла уязвимость. Речь идёт о баге на недостаточное заполнение буфера в SQLite. Он был обнаружен проектом Гугла Big Sleep, заточенным под анализ уязвимостей с помощью LLM.
Что интересно, уязвимость не нашли с помощью фаззинга и иных тестов в рамках инфраструктуры, а вот Big Sleep её засёк. Эту модель начали разрабатывать в качестве ответа на тот факт, что больше 40% нулевых дней являются вариантами уже известных багов. Её натаскали на деталях ранее исправленных уязвимостей, и результаты выглядят многообещающе. Тем не менее, они пока чисто экспериментальные, и модель работает только по несложному софту. Так что время для горького «Вы что? И инфобезом за меня заниматься будете?» пока ещё не пришло. Обязательно будут. Всю ИБ в труху! Но потом.
@tomhunter
Что интересно, уязвимость не нашли с помощью фаззинга и иных тестов в рамках инфраструктуры, а вот Big Sleep её засёк. Эту модель начали разрабатывать в качестве ответа на тот факт, что больше 40% нулевых дней являются вариантами уже известных багов. Её натаскали на деталях ранее исправленных уязвимостей, и результаты выглядят многообещающе. Тем не менее, они пока чисто экспериментальные, и модель работает только по несложному софту. Так что время для горького «Вы что? И инфобезом за меня заниматься будете?» пока ещё не пришло. Обязательно будут. Всю ИБ в труху! Но потом.
@tomhunter
😁8👍4❤1
#news В сетевых дебрях появилась новая рансомварь-операция. И не простая, а с энкриптором под сервера FreeBSD. Ранее такой был в арсенале только у Hive, а их улей, как известно, разворошили почти два года назад.
Операция Interlock активна с сентября, на текущий момент злоумышленники заявили об атаке на шесть организаций, чьи данные слиты на сайте. Энкриптор под FreeBSD, очевидно, написали с оглядкой на всю крутящуюся на ней критическую инфраструктуру. В плане методов у группировки всё как у взрослых: двойное вымогательство, сайт для связи с жертвами через чаты, желаемые выкупы от сотен тысяч до миллионов долларов. Деталей об Interlock мало — группировка только попала на радары исследователей. Но с учётом атак по FreeBSD, возможно, у нас что-то интересное.
@tomhunter
Операция Interlock активна с сентября, на текущий момент злоумышленники заявили об атаке на шесть организаций, чьи данные слиты на сайте. Энкриптор под FreeBSD, очевидно, написали с оглядкой на всю крутящуюся на ней критическую инфраструктуру. В плане методов у группировки всё как у взрослых: двойное вымогательство, сайт для связи с жертвами через чаты, желаемые выкупы от сотен тысяч до миллионов долларов. Деталей об Interlock мало — группировка только попала на радары исследователей. Но с учётом атак по FreeBSD, возможно, у нас что-то интересное.
@tomhunter
🔥7🤔1
#news Nokia расследует потенциальный взлом. Предположительно был взломан подрядчик, у которого стянули данные, связанные с разработкой внутренних инструментов компании.
Новости об утечке пришли от вездесущего IntelBroker. Как он утверждает, в сливе исходники, ключи SSH и RSA, захардкоженные данные доступа и прочее. Случай со взломом стороннего поставщика от IntelBroker не первый, но вектор атаки классический: сервер SonarQube, дефолтные данные доступа. Впрочем, как и с другими такими взломами всё сводится к тому, насколько плотно и по каким направлениям поставщик сотрудничал с пострадавшей компанией. Но заголовки для фарма репутации всегда удачные: «AMD/Apple/Nokia Data Breach»! Как тут пройти мимо.
@tomhunter
Новости об утечке пришли от вездесущего IntelBroker. Как он утверждает, в сливе исходники, ключи SSH и RSA, захардкоженные данные доступа и прочее. Случай со взломом стороннего поставщика от IntelBroker не первый, но вектор атаки классический: сервер SonarQube, дефолтные данные доступа. Впрочем, как и с другими такими взломами всё сводится к тому, насколько плотно и по каким направлениям поставщик сотрудничал с пострадавшей компанией. Но заголовки для фарма репутации всегда удачные: «AMD/Apple/Nokia Data Breach»! Как тут пройти мимо.
@tomhunter
🔥5🤔2
#digest Разбираем в нашем ежемесячном дайджесте ключевые новости октября. Так, взлому дважды подвергся The Internet Archive, нанеся серьёзный удар по проекту. Инфраструктура инфостилеров RedLine и Meta была перехвачена, а члены группировки AnonSudan, которых часть исследователей называли русскими хакерами под прикрытием, были арестованы.
В ушедшем месяце сюжет вокруг Recall от Microsoft продолжил закручиваться с поворотами в тревожную сторону на фоне очередного откладывания релиза функции. Месяц был богат и на новости, связанные с APT-группировками со всего мира, а OpenAI и Microsoft опубликовали крупные отчёты о состоянии ИБ. Об этом, а также других громких взломах, арестах и утечках октября, читайте на Хабре!
@tomhunter
В ушедшем месяце сюжет вокруг Recall от Microsoft продолжил закручиваться с поворотами в тревожную сторону на фоне очередного откладывания релиза функции. Месяц был богат и на новости, связанные с APT-группировками со всего мира, а OpenAI и Microsoft опубликовали крупные отчёты о состоянии ИБ. Об этом, а также других громких взломах, арестах и утечках октября, читайте на Хабре!
@tomhunter
❤3🔥3👍2🤝1
#news Злоумышленники ведут кампанию по распространению кроссплатформенного вредоноса на npm через тайпсквоттинг. И в то время как в этом нет ничего нового, метод контроля оригинальный: малварь подтягивает айпи C2-сервера через смарт-контракт на эфире. Год назад под такое эксплойтили BSC.
С учётом того, что здесь задействован блокчейн, избавиться от вредоносной инфраструктуры в сущности невозможно. А за счёт децентрализованной архитектуры блокировать стук по С2 тоже, мягко говоря, затруднительно. Кто стоит за кампанией, пока неизвестно, но сообщения об ошибках написаны на русском. Так что наши соотечественники или кто-то по соседству на острие эксплойта блокчейна в киберпреступных целях. Не для того Виталик Ethereum создавал, совсем не для того.
@tomhunter
С учётом того, что здесь задействован блокчейн, избавиться от вредоносной инфраструктуры в сущности невозможно. А за счёт децентрализованной архитектуры блокировать стук по С2 тоже, мягко говоря, затруднительно. Кто стоит за кампанией, пока неизвестно, но сообщения об ошибках написаны на русском. Так что наши соотечественники или кто-то по соседству на острие эксплойта блокчейна в киберпреступных целях. Не для того Виталик Ethereum создавал, совсем не для того.
@tomhunter
🔥6😁3🤔1🤡1
#news К изобретательным методам доставки малвари: злоумышленники засылают фишинговыми письмами установочники Linux-виртуалок на QEMU. Потому что зачем взламывать корпоративные сети под заход с VM, когда юзер может сделать это за тебя.
Вектор атаки — ZIP-архив почти на 300 MB с ярлыком для установки и папкой с виртуалкой. В ней развёрнут кастомный TinyCore Linux с Chisel для туннелирования и стука по C2. Это не первый случай, когда QEMU используют в таких атаках: ранее под них приспособили Kali, крутившийся всего на метре оперативки для обхода мониторинга её потребления. EDR виртуалки не вскрывают, так что основное решение — блокировка виртуализации как таковой. Впрочем, если в компании сотрудники суют нос в полгига непонятно чего архивированного в приложении к неизвестному письму, содержимое архива здесь — явно не главная проблема.
@tomhunter
Вектор атаки — ZIP-архив почти на 300 MB с ярлыком для установки и папкой с виртуалкой. В ней развёрнут кастомный TinyCore Linux с Chisel для туннелирования и стука по C2. Это не первый случай, когда QEMU используют в таких атаках: ранее под них приспособили Kali, крутившийся всего на метре оперативки для обхода мониторинга её потребления. EDR виртуалки не вскрывают, так что основное решение — блокировка виртуализации как таковой. Впрочем, если в компании сотрудники суют нос в полгига непонятно чего архивированного в приложении к неизвестному письму, содержимое архива здесь — явно не главная проблема.
@tomhunter
😁6💯2🔥1
#news «Сбер» делится своими оценками утечек персональных данных в России: в открытом доступе в той или иной форме данные около 90% взрослых россиян. Или примерно 3,5 миллиарда строк.
Рекордсмены по утечкам давно известны: маркетплейсы и медучреждения (да, «Гемотест», это про тебя). В 2024-м число сливов по сравнению с прошлым годом снизилось, но на фоне имеющихся результатов это слабое утешение. Зато выросло число мошеннических звонков: в этом году в феврале-марте был пик в 20 миллионов в сутки. Сейчас их около 6 миллионов в день, но сценарии от мошенников стали изощреннее. Суммарный же ущерб от кибератак по итогам двух лет может достичь триллиона рублей. Из сомнительных плюсов, поставить новые рекорды в 2025-м и далее будет затруднительно. Потолок-то по всем показателям, мягко говоря, зашкаливает.
@tomhunter
Рекордсмены по утечкам давно известны: маркетплейсы и медучреждения (да, «Гемотест», это про тебя). В 2024-м число сливов по сравнению с прошлым годом снизилось, но на фоне имеющихся результатов это слабое утешение. Зато выросло число мошеннических звонков: в этом году в феврале-марте был пик в 20 миллионов в сутки. Сейчас их около 6 миллионов в день, но сценарии от мошенников стали изощреннее. Суммарный же ущерб от кибератак по итогам двух лет может достичь триллиона рублей. Из сомнительных плюсов, поставить новые рекорды в 2025-м и далее будет затруднительно. Потолок-то по всем показателям, мягко говоря, зашкаливает.
@tomhunter
😢8🔥5🎉4
#news В копилку оригинальных случаев целевого фишинга: злоумышленники создали сайты под запрос «Легально ли владеть бенгальскими кошками в Австралии» и вывели в топ отравлением поисковой выдачи. На вредоносных страницах потенциальные владельцы элитных котов получают инфостилер Goatloader.
Операторы Goatloader активно используют абьюз поисковиков для его распространения, так что здесь ничего нового. Но вот поднимать порталы под потенциальных владельцев бенгальских — логику сумрачного киберпреступного гения здесь проследить затруднительно. Персональная вендетта против любителей экзотических кошек, целевая операция со шпионским душком или просто один из пунктов в широкой сетке специализированных сайтов под доставку вредоноса? Так или иначе, термин кетфишинг обзавёлся дополнительным смыслом.
@tomhunter
Операторы Goatloader активно используют абьюз поисковиков для его распространения, так что здесь ничего нового. Но вот поднимать порталы под потенциальных владельцев бенгальских — логику сумрачного киберпреступного гения здесь проследить затруднительно. Персональная вендетта против любителей экзотических кошек, целевая операция со шпионским душком или просто один из пунктов в широкой сетке специализированных сайтов под доставку вредоноса? Так или иначе, термин кетфишинг обзавёлся дополнительным смыслом.
@tomhunter
🔥6🤔5😁4🤯2
#news Американцы перенимают знакомые политтехнологии: сторонники Трампа подняли сайт с информацией о голосовавших на выборах. Официально эти данные являются публичными, но на деле получить их можно только индивидуально по запросу в госорганы штата. А на сайте они в одном клике.
Поиск по имени позволяет найти адрес, предоставленный при регистрации на выборы, возраст и партийную принадлежность человека. Создатели сайта утверждают, что их целью является «Побудить людей участвовать в выборах» — каким образом публикация данных служит этой цели, не уточняется. На деле же с учётом поляризованности американского общества сайт может стать удобным инструментом для доксинга и преследования людей по политической принадлежности. Да и в сущности это очередной инфоброкер с данными десятков миллионов людей в открытом доступе, и воспользоваться этим могут далеко не только одержимые выборным психозом персонажи. Иными словами, хорошего мало.
@tomhunter
Поиск по имени позволяет найти адрес, предоставленный при регистрации на выборы, возраст и партийную принадлежность человека. Создатели сайта утверждают, что их целью является «Побудить людей участвовать в выборах» — каким образом публикация данных служит этой цели, не уточняется. На деле же с учётом поляризованности американского общества сайт может стать удобным инструментом для доксинга и преследования людей по политической принадлежности. Да и в сущности это очередной инфоброкер с данными десятков миллионов людей в открытом доступе, и воспользоваться этим могут далеко не только одержимые выборным психозом персонажи. Иными словами, хорошего мало.
@tomhunter
😁10💯3❤2🤔1
#news К вопросу о взломе сторонних подрядчиков и ценности таких утечек. Nokia поделилась результатами внутреннего расследования инцидента. Масштабы и последствия взлома сложно назвать впечатляющими.
Как утверждает компания, опасности для их систем и данных нет, исходники самой Nokia не затронуты, клиентам также опасаться нечего. Утечка затронула исходники стороннего приложения, разработанного подрядчиком. Более того, оно написано под нужды сети одного конкретного клиента Nokia и вне её ценности не представляет. Компонентов самой Nokia в слитом коде нет. Иными словами, всё как мы и писали про инциденты такого рода. Между тем IntelBroker выложил стянутые данные в открытый доступ. Так что особо любознательные безопасники могут сами проверить заявления Nokia на правдивость. Исключительно в рамках здорового исследовательского интереса, само собой.
@tomhunter
Как утверждает компания, опасности для их систем и данных нет, исходники самой Nokia не затронуты, клиентам также опасаться нечего. Утечка затронула исходники стороннего приложения, разработанного подрядчиком. Более того, оно написано под нужды сети одного конкретного клиента Nokia и вне её ценности не представляет. Компонентов самой Nokia в слитом коде нет. Иными словами, всё как мы и писали про инциденты такого рода. Между тем IntelBroker выложил стянутые данные в открытый доступ. Так что особо любознательные безопасники могут сами проверить заявления Nokia на правдивость. Исключительно в рамках здорового исследовательского интереса, само собой.
@tomhunter
😁6❤2👎1🤡1💯1
#news Пятнично добиваем остатки ещё не слитых данных россиян и не только вместе с одной известной букмекерской конторкой 1WIN. На даркнет-форуме вчера всплыли актуальные SQL-дампы части пользователей. 29 GB на ~100 миллионов человек. Бонусом инфа по админам и разработчикам.
Имена, почты, телефоны, даты рождения, страны, айпишники, хеши паролей и прочее. При этом заявление по взлому от основателя — как отдельное слово в жанре реакций на утечки такого масштаба. Вкратце, «Ну вот мы наш отдел ИБ усиляли, молились, чтобы взломы нас обошли стороной, но не сложилось. IT-отдел мы, конечно, не виним, ребята — молодцы, а вот взломщики — шантажисты и нехорошие люди. Ошибки случаются, всем спасибо». Не то чтобы от шарашки такого плана ждёшь многого, но читается всё равно с лёгким удивлением на лице. Впрочем, казино всегда в выигрыше, так что чего им стесняться. Ну слили и слили, дальше-то что? Вы нам деньги заносить перестанете, что ли?
@tomhunter
Имена, почты, телефоны, даты рождения, страны, айпишники, хеши паролей и прочее. При этом заявление по взлому от основателя — как отдельное слово в жанре реакций на утечки такого масштаба. Вкратце, «Ну вот мы наш отдел ИБ усиляли, молились, чтобы взломы нас обошли стороной, но не сложилось. IT-отдел мы, конечно, не виним, ребята — молодцы, а вот взломщики — шантажисты и нехорошие люди. Ошибки случаются, всем спасибо». Не то чтобы от шарашки такого плана ждёшь многого, но читается всё равно с лёгким удивлением на лице. Впрочем, казино всегда в выигрыше, так что чего им стесняться. Ну слили и слили, дальше-то что? Вы нам деньги заносить перестанете, что ли?
@tomhunter
😁13❤1🔥1💯1
#news В конце октября по сети Tor прошла интересная атака. С помощью IP-спуфинга злоумышленники начали под видом узлов сети массово сканировать порты по ханипотам и другим сетям с обнаружением атак. В результате провайдерам полетели жалобы на айпишники, часть попали в чёрные списки или под блок.
При этом целью атаки были критические выходные узлы, так что направлена она была на нарушение работы сети. По итогам ущерб минимальный: оффлайн временно ушли несколько мостов, заблокированных провайдерами, вопрос решают. Подробностей админы не приводят, только упоминают, что 7 ноября источник подменённых пакетов нашли и положили. Хотя здесь вопрос скорее не в том, кто устроил атаку — желающих хватает, а почему в 2024-м IP-спуфинг всё ещё проблема. Подробнее о произошедшем здесь.
@tomhunter
При этом целью атаки были критические выходные узлы, так что направлена она была на нарушение работы сети. По итогам ущерб минимальный: оффлайн временно ушли несколько мостов, заблокированных провайдерами, вопрос решают. Подробностей админы не приводят, только упоминают, что 7 ноября источник подменённых пакетов нашли и положили. Хотя здесь вопрос скорее не в том, кто устроил атаку — желающих хватает, а почему в 2024-м IP-спуфинг всё ещё проблема. Подробнее о произошедшем здесь.
@tomhunter
❤4🔥3
#news Закономерный финал долгоиграющего криптомиксера 2010-х, старичка Bitcoin Fog: проходящий по его делу как владелец Роман Стерлингов получил 12,5 лет тюрьмы. Суд также постановил выплатить $400 миллионов ущерба и лишил осуждённого кошелька с 1345 биткоинами.
Согласно приговору, Стерлингов помог отмыть те самые $400 миллионов наркомаркетам, киберпреступникам и прочим обитателям даркнета. Его адвокаты настаивали на том, что обвиняемый — простой честный пользователь Bitcoin Fog и при его создании просто рядом постоял, доказательств, что он был создателем миксера, недостаточно, а анализ блокчейна ненадёжен. Так или иначе, появления более надёжных технологий, как было с анализом ДНК, способных доказать его предполагаемую невиновность против 3 TB доказательств в деле, Стерлингов будет дожидаться за решёткой.
@tomhunter
Согласно приговору, Стерлингов помог отмыть те самые $400 миллионов наркомаркетам, киберпреступникам и прочим обитателям даркнета. Его адвокаты настаивали на том, что обвиняемый — простой честный пользователь Bitcoin Fog и при его создании просто рядом постоял, доказательств, что он был создателем миксера, недостаточно, а анализ блокчейна ненадёжен. Так или иначе, появления более надёжных технологий, как было с анализом ДНК, способных доказать его предполагаемую невиновность против 3 TB доказательств в деле, Стерлингов будет дожидаться за решёткой.
@tomhunter
🔥6😁5❤1💯1
#news Однажды американец с говорящим именем Уилл Фриман начал что-то замечать. И не засилье фамилий с подозрительными окончаниями, а камеры на дорогах. Фриману не понравилось их количество, и он решил создать карту считывателей номерных знаков. Из этого вырос проект DeFlock.
DeFlock — это опенсорс-карта на основе OSM. Юзеры начали охотно собирать на ней камеры слежения со всех США, а затем проект вышел и на международный уровень. Цель начинающего борца за приватность Фримана — привлечь внимание к идее, что не вся слежка одинаково полезна и, возможно, надо бы поставить её под контроль. Заодно по расположению камер и их направлению можно изучать стратегии вешающих их компаний и их клиентов. Полистать карту проекта можно здесь. В основном в деле Америка и Европа, но есть и одинокие пометки с наших необъятных просторов.
@tomhunter
DeFlock — это опенсорс-карта на основе OSM. Юзеры начали охотно собирать на ней камеры слежения со всех США, а затем проект вышел и на международный уровень. Цель начинающего борца за приватность Фримана — привлечь внимание к идее, что не вся слежка одинаково полезна и, возможно, надо бы поставить её под контроль. Заодно по расположению камер и их направлению можно изучать стратегии вешающих их компаний и их клиентов. Полистать карту проекта можно здесь. В основном в деле Америка и Европа, но есть и одинокие пометки с наших необъятных просторов.
@tomhunter
👍8😁6🔥4❤1
#news В сетевых дебрях замечена новая рансомварь, получившая название Ymir. Операция активна с июля. Из интересного, злоумышленники используют функции управления памятью, такие как malloc, memmove и memcmp, для выполнения кода непосредственно в памяти. Что в свою очередь помогает обходить обнаружение.
Помимо этого, есть предположение, что операторы сами же закинули в сети одной из жертв RustyStealer, а позже зашли на доставку рансомвари с украденных данных доступа. Иными словами, традиционная связка «брокер — рансомварь-группировка» слегка нарушена. У нас криминал, возможно, новый тренд на оптимизацию киберпреступной деятельности с инфостилерами в качестве начального доступа. Подробнее о Ymir читайте в отчёте.
@tomhunter
Помимо этого, есть предположение, что операторы сами же закинули в сети одной из жертв RustyStealer, а позже зашли на доставку рансомвари с украденных данных доступа. Иными словами, традиционная связка «брокер — рансомварь-группировка» слегка нарушена. У нас криминал, возможно, новый тренд на оптимизацию киберпреступной деятельности с инфостилерами в качестве начального доступа. Подробнее о Ymir читайте в отчёте.
@tomhunter
🔥4🤔3🤯1😱1
#news В Штатах получил суровый приговор Джек Тейшейра, безопасник ВВС Нацгвардии США. По нарушению закона о шпионаже он получил 15 лет тюрьмы. Тейшейра был ответственен за утечки секретных документов НАТО в прошлом году, которые он публиковал на своём игровом сервере в Discord.
В свободное от работы время Тейшейра ковырялся в документах выше его уровня доступа. Сначала он выписывал их от руки и выносил с базы, а позже печатал на принтере, которым редко пользовались. Пикантности делу добавило то, что малолетний безопасник 2001-го года выпуска крал данные просто для хвастовства перед друзяшками по серверу с говорящим названием Thug Shaker Central. На скольких уровнях здесь провалился военный инфобез, сосчитать трудно. Позор международного уровня разведка США ему не простила, отсюда и приговор, отдельно товарища ждёт военный суд.
@tomhunter
В свободное от работы время Тейшейра ковырялся в документах выше его уровня доступа. Сначала он выписывал их от руки и выносил с базы, а позже печатал на принтере, которым редко пользовались. Пикантности делу добавило то, что малолетний безопасник 2001-го года выпуска крал данные просто для хвастовства перед друзяшками по серверу с говорящим названием Thug Shaker Central. На скольких уровнях здесь провалился военный инфобез, сосчитать трудно. Позор международного уровня разведка США ему не простила, отсюда и приговор, отдельно товарища ждёт военный суд.
@tomhunter
😁7👍2🔥2❤1🤯1
#news Китайские умельцы из Volt Typhoon начали пересобирать ботнет, который ФБР положило в начале года. Госхакеры использовали KV-Botnet для обхода обнаружения для атак, а с сентября возвращают его в дело. И всего за 37 дней они скомпрометировали треть доступных в сети роутеров Cisco RV320/325. Снова.
Какие уязвимости используют в свежей атаке, неизвестно, но устройства устаревшие, так что вариантов хватает. В основном взломанные устройства стоят в Азии, и на фоне этого забавно звучит новость от D-Link: компания как обычно не будет исправлять полдюжины CVE, включая критические, в одном из роутеров, который больше не обслуживается. Сюжетный поворот: модель была в основном для внутреннего рынка, и почти все ~60 тысяч уязвимых устройств стоят дома. На Тайване. Но политика D-Link тверда как всегда: сдавайте EoS-устройства в утиль и покупайте новые. А пока трудолюбивым тайфунам есть с чем работать.
@tomhunter
Какие уязвимости используют в свежей атаке, неизвестно, но устройства устаревшие, так что вариантов хватает. В основном взломанные устройства стоят в Азии, и на фоне этого забавно звучит новость от D-Link: компания как обычно не будет исправлять полдюжины CVE, включая критические, в одном из роутеров, который больше не обслуживается. Сюжетный поворот: модель была в основном для внутреннего рынка, и почти все ~60 тысяч уязвимых устройств стоят дома. На Тайване. Но политика D-Link тверда как всегда: сдавайте EoS-устройства в утиль и покупайте новые. А пока трудолюбивым тайфунам есть с чем работать.
@tomhunter
😁6🔥2😢1
#news ФСТЭК решила вести рейтинг объектов критической информационной инфраструктуры по уровню ИБ. В него попадут компании с низким уровнем защиты и утечками данных. В тестовом формате служба провела анализ ~100 объектов КИИ. Как у них обстоят дела? Спойлер: не очень. Минимальному уровню защищённости соответствуют 10% компаний.
Что в это входит, не раскрывают. Наличие ИБ-отдела и EDR-решений? Неизвестная технология резервного копирования? Отсутствие ломаного софта и облаков без пароля с единственной копией базы? Вопросы, вопросы... Рейтинг будет иметь рекомендательный характер: без давления, аудитов и прочих мер. Как развивалась ИБ без внешнего давления последних лет, мы знаем: в основном цвело направление несанкционированного пентеста на западный рынок. Так что для повышения низкой культуры информационной безопасности в Восточной Европе нужны предельно креативные решения. Допустим, вложения в те самые внешние воздействия. Как показывает пример СДЭК, работает на отлично.
@tomhunter
Что в это входит, не раскрывают. Наличие ИБ-отдела и EDR-решений? Неизвестная технология резервного копирования? Отсутствие ломаного софта и облаков без пароля с единственной копией базы? Вопросы, вопросы... Рейтинг будет иметь рекомендательный характер: без давления, аудитов и прочих мер. Как развивалась ИБ без внешнего давления последних лет, мы знаем: в основном цвело направление несанкционированного пентеста на западный рынок. Так что для повышения низкой культуры информационной безопасности в Восточной Европе нужны предельно креативные решения. Допустим, вложения в те самые внешние воздействия. Как показывает пример СДЭК, работает на отлично.
@tomhunter
😁7🤯2
#news Судя по утечкам данных инфоброкеров и агрегаторов, 2024-й — это новый 2018-й: циркулирующую с февраля базу бизнес-контактов на 122 миллиона записей стянули у брокера DemandScience. В августе утечка шла на продажу за символические 8 кредитов.
Изначально DemandScience отрицала слив, но когда с ней связался один из счастливчиков с данными в базе, компания разродилась довольно прозрачным ответом. Но отдел коммуникаций продолжает отрабатывать бонусы топ-менеджменту и доверительно сообщает, что собирают данные они только из открытых источников, ничего приватного там нет. И вообще утечка из систем, которые списали два года назад. Проще говоря, забыли про старый уязвимый сервер. В базе ФИО и связанная с B2B информация — адрес, почта, телефон, должность и соцсети. Ковыряясь в базе, Трой Хант вышел на самого себя, обнаружив контакты со старой работы. И по итогам ещё одна крупная утечка пополнила нижний интернет и Have I Been Pwned.
@tomhunter
Изначально DemandScience отрицала слив, но когда с ней связался один из счастливчиков с данными в базе, компания разродилась довольно прозрачным ответом. Но отдел коммуникаций продолжает отрабатывать бонусы топ-менеджменту и доверительно сообщает, что собирают данные они только из открытых источников, ничего приватного там нет. И вообще утечка из систем, которые списали два года назад. Проще говоря, забыли про старый уязвимый сервер. В базе ФИО и связанная с B2B информация — адрес, почта, телефон, должность и соцсети. Ковыряясь в базе, Трой Хант вышел на самого себя, обнаружив контакты со старой работы. И по итогам ещё одна крупная утечка пополнила нижний интернет и Have I Been Pwned.
@tomhunter
🔥3👍2😁2