#news Злоумышленники всё чаще используют SVG-вложения для фишинга. При этом растёт креативность: их используют для отображения HTML через <foreignObject> и для выполнения JS. В других случаях под видом кнопки скачивания PDF вложение подтягивает малварь, также в них встраивают редирект на фишинговые сайты. На скрине пример с собранной в SVG таблицей Excel и формой для стягивания данных доступа.
И за счёт того, что SVG изображениями сами по себе не являются, EDR-решения их по большей части пропускают. На VT имеющиеся образцы обнаруживают один-два движка. С другой стороны, SVG во вложениях — редкость. И всё вновь упирается в то, насколько хорошо сотрудников натаскали не кликать на что попало. Так что у нас фишинговые тренинги с SVG как тренд ИБ-сезона осень-зима 2024.
@tomhunter
И за счёт того, что SVG изображениями сами по себе не являются, EDR-решения их по большей части пропускают. На VT имеющиеся образцы обнаруживают один-два движка. С другой стороны, SVG во вложениях — редкость. И всё вновь упирается в то, насколько хорошо сотрудников натаскали не кликать на что попало. Так что у нас фишинговые тренинги с SVG как тренд ИБ-сезона осень-зима 2024.
@tomhunter
🔥5❤2👍2
#news В США предстал перед судом предполагаемый администратор рансомвари Phobos, россиянин Евгений Птицын, он же derxan и zimmermanx. Его недавно экстрадировали из Южной Кореи в Штаты, где ему предъявлен стандартный набор обвинений по таким делам.
Phobos — операция рангом пониже, чем условные Cl0p или Black Basta. Партнёры у операции соответствующие: вместо громких целевых атак идут массовые безадресные. Выкупы также просят небольшие — чаще всего, меньше $2000. Так что сумма ущерба в сравнении с крупными игроками рансомварь-сцены относительно невысокая: в деле фигурируют $16 миллионов, полученных Птицыным в качестве выплат от партнёров. Между тем число атак от Phobos за последнее время резко сократилось, а 8Base, сотрудничавшая с операцией, активность с её энкриптором свернула. Так что птичка в клетку по следам ареста, видимо, попала та самая.
@tomhunter
Phobos — операция рангом пониже, чем условные Cl0p или Black Basta. Партнёры у операции соответствующие: вместо громких целевых атак идут массовые безадресные. Выкупы также просят небольшие — чаще всего, меньше $2000. Так что сумма ущерба в сравнении с крупными игроками рансомварь-сцены относительно невысокая: в деле фигурируют $16 миллионов, полученных Птицыным в качестве выплат от партнёров. Между тем число атак от Phobos за последнее время резко сократилось, а 8Base, сотрудничавшая с операцией, активность с её энкриптором свернула. Так что птичка в клетку по следам ареста, видимо, попала та самая.
@tomhunter
🔥5😁3👍2🤬1🎉1
#news Если в сети есть ресурс, рано или поздно его приспособят под распространение вредоноса. На очередь Spotify: злоумышленники используют плейлисты и подкасты на платформе для продвижения ссылок на пиратский софт, читы и спам.
В название и описание плейлиста загоняют ключевые слова и ссылки на сайты. За счёт этого на последние идёт трафик — ссылки из веб-плеера Spotify индексируют поисковики, загоняя их в топ выдачи. Подкасты же продвигают сомнительные ресурсы с помощью синтезированной речи. В лучшем случае по ссылкам спам, в худшем — к нему быстро добавятся малварь и фишинговые сайты. При этом вредоносные плейлисты и подкасты загоняют на Spotify через сторонний сервис для их публикации — это позволяет обходить автоматические блокировки платформы. Сервис с фильтрацией пока не справляется, сам Spotify выдаёт дежурные отписки со ссылкой на ToS. Так что скорого решения проблемы ждать не приходится.
@tomhunter
В название и описание плейлиста загоняют ключевые слова и ссылки на сайты. За счёт этого на последние идёт трафик — ссылки из веб-плеера Spotify индексируют поисковики, загоняя их в топ выдачи. Подкасты же продвигают сомнительные ресурсы с помощью синтезированной речи. В лучшем случае по ссылкам спам, в худшем — к нему быстро добавятся малварь и фишинговые сайты. При этом вредоносные плейлисты и подкасты загоняют на Spotify через сторонний сервис для их публикации — это позволяет обходить автоматические блокировки платформы. Сервис с фильтрацией пока не справляется, сам Spotify выдаёт дежурные отписки со ссылкой на ToS. Так что скорого решения проблемы ждать не приходится.
@tomhunter
🔥6💯1
Директор департамента информационно-аналитических исследований T.Hunter Игорь Бедеров принял участие в конференции Profi to Profi. Темой доклада стал поиск и нейтрализация угроз в сетях, связанных с утечками информации.
Тренды последних лет, смешение компетенций ИБ-отдела и службы безопасности, основы инфобеза для бизнеса в условиях восьмидесятикратного роста технологических преступлений за последние десять лет и многое другое. Когда мы получим итоговую концепцию уголовной ответственности за незаконную обработку персональных данных? Обо всём этом в записи выступления с конференции.
@tomhunter
Тренды последних лет, смешение компетенций ИБ-отдела и службы безопасности, основы инфобеза для бизнеса в условиях восьмидесятикратного роста технологических преступлений за последние десять лет и многое другое. Когда мы получим итоговую концепцию уголовной ответственности за незаконную обработку персональных данных? Обо всём этом в записи выступления с конференции.
@tomhunter
😁12🤡12👍7❤3👎2🔥1
#news В новостях гремит очередная история с повреждёнными подводными кабелями. На этот раз досталось Балтийскому морю: 17-18 ноября два кабеля вышли из строя, линии Финляндия-Германия и Литва-Готланд. Ремонт займёт до нескольких недель.
Между тем вблизи кабелей в момент их поломки заметили китайское грузовое судно; как утверждают, с отключённым за пару часов до аварии передатчиком. Германия заявляет о возможном саботаже, Швеция, Финляндия и Литва тревожатся и требуют решительных мер. Пропускная способность в последней просела на 20%, финны пустили трафик в обход. Увы, такие новости в ближайшие годы, скорее всего, мы застанем ещё неоднократно. И с учётом зависимости мирового трафика от морских кабелей, и мировой экономики — от триллионов идущих по ним платежей, последствия могут быть, мягко говоря, катастрофическими. А пока у нас относительно безобидный пролог перед возможной бурей.
@tomhunter
Между тем вблизи кабелей в момент их поломки заметили китайское грузовое судно; как утверждают, с отключённым за пару часов до аварии передатчиком. Германия заявляет о возможном саботаже, Швеция, Финляндия и Литва тревожатся и требуют решительных мер. Пропускная способность в последней просела на 20%, финны пустили трафик в обход. Увы, такие новости в ближайшие годы, скорее всего, мы застанем ещё неоднократно. И с учётом зависимости мирового трафика от морских кабелей, и мировой экономики — от триллионов идущих по ним платежей, последствия могут быть, мягко говоря, катастрофическими. А пока у нас относительно безобидный пролог перед возможной бурей.
@tomhunter
🔥8❤1👎1😢1💯1
#news Вместе с релизами новых версий мобильных ОС продолжается закулисная борьба производителей с условно легальным софтом для цифровой экспертизы. Пока полиция скрипит зубами на фичу с ребутом iOS 18 формата «GrapheneOS на минималках», подоспел слив документов из Magnet Forensics — конкурента Cellebrite.
Судя по документации, цикл у их софта GrayKey тот же, что и у Cellebrite: разработка методов взлома идёт с небольшим лагом от выхода свежих версий iOS. Так, у компании уже есть частичный доступ — то есть к мета- и незашифрованным данным — к вышедшей 3 октября iOS 18.0.1. А вот бета-версии 18.1 для взлома пока недоступны. Так что либо компания не спешит реверсить бета-релизы, либо Apple успешно поработала над защитой свежей iOS. Так или иначе, пока есть рынок под цифровую экспертизу, статус-кво сохранится: одни ломают, вторые закрывают эксплойты на опережение. Утёкшие таблицы GrayKey по устройствам на iOS здесь, на Android — здесь.
@tomhunter
Судя по документации, цикл у их софта GrayKey тот же, что и у Cellebrite: разработка методов взлома идёт с небольшим лагом от выхода свежих версий iOS. Так, у компании уже есть частичный доступ — то есть к мета- и незашифрованным данным — к вышедшей 3 октября iOS 18.0.1. А вот бета-версии 18.1 для взлома пока недоступны. Так что либо компания не спешит реверсить бета-релизы, либо Apple успешно поработала над защитой свежей iOS. Так или иначе, пока есть рынок под цифровую экспертизу, статус-кво сохранится: одни ломают, вторые закрывают эксплойты на опережение. Утёкшие таблицы GrayKey по устройствам на iOS здесь, на Android — здесь.
@tomhunter
🔥6👍5
#news Таргетированная реклама как огромный риск нацбезопасности — к такому выводу пришли исследователи, изучив данные инфоброкеров. В частности, с телефонов военных. Устройства пинговались на секретных объектах, базах и хранилищах ядерного оружия, компрометируя все нормы безопасности.
Проблема в рекламных идентификаторах — они собирают в том числе координаты вплоть до миллисекунд. Их анализ позволяет не только выявить перемещения военных, но и, скажем, уязвимые места в охране военных объектов. Или маршруты до засекреченных баз в Сирии. Тем временем купить данные может кто угодно вплоть до того, что инфоброкеры предлагают обойти KYC за отдельную плату. Пентагон угрозу признаёт, но с 2016-го в этом плане ничего не изменилось. Какая уж там нацбезопасность, когда речь идёт о многомиллиардном рыночке. С такими оборотами возможностей для лоббирования у индустрии больше, чем у желающих прикрыть лавочку в Конгрессе.
@tomhunter
Проблема в рекламных идентификаторах — они собирают в том числе координаты вплоть до миллисекунд. Их анализ позволяет не только выявить перемещения военных, но и, скажем, уязвимые места в охране военных объектов. Или маршруты до засекреченных баз в Сирии. Тем временем купить данные может кто угодно вплоть до того, что инфоброкеры предлагают обойти KYC за отдельную плату. Пентагон угрозу признаёт, но с 2016-го в этом плане ничего не изменилось. Какая уж там нацбезопасность, когда речь идёт о многомиллиардном рыночке. С такими оборотами возможностей для лоббирования у индустрии больше, чем у желающих прикрыть лавочку в Конгрессе.
@tomhunter
💯4🤯3🔥1🤡1
#news MITRE опубликовала свой традиционный топ-25 категорий уязвимостей. Он основан на анализе больше 31 тысячи CVE за прошлый год согласно частоте и серьёзности их эксплойта.
В топ-3 без изменений: межсайтовый скриптинг, запись вне границ буфера и внедрение SQL. Внедрение кода как таковое прибавило 12 позиций за год. Что интересно, сразу на 13 поднялась CWE-200 — раскрытие чувствительной информации неавторизированным лицам. Между прочим это многое говорит о нашем девелоперском сообществе! С другой стороны, из топ-25 вылетела CWE-276 — неверные дефолтные разрешения, опустившись сразу на 11 позиций. Что можно записать разработчикам в плюс. В остальном всё как всегда на фоне CISA, мечтающем о «Secure by Design» софте, и вендоров, которые всё не могут избавиться от дефолтных паролей в своих продуктах. Покой нам только снится, в общем.
@tomhunter
В топ-3 без изменений: межсайтовый скриптинг, запись вне границ буфера и внедрение SQL. Внедрение кода как таковое прибавило 12 позиций за год. Что интересно, сразу на 13 поднялась CWE-200 — раскрытие чувствительной информации неавторизированным лицам. Между прочим это многое говорит о нашем девелоперском сообществе! С другой стороны, из топ-25 вылетела CWE-276 — неверные дефолтные разрешения, опустившись сразу на 11 позиций. Что можно записать разработчикам в плюс. В остальном всё как всегда на фоне CISA, мечтающем о «Secure by Design» софте, и вендоров, которые всё не могут избавиться от дефолтных паролей в своих продуктах. Покой нам только снится, в общем.
@tomhunter
😁5👍3
#news Ещё один пример судебного дела против NSO Group, на этот раз развалившегося. В Таиланде суд закрыл дело по иску против компании. Доказательств взлома телефонов оппозиционных активистов гуманный тайский суд не нашёл.
Дело могло стать серьёзным испытанием для NSO Group, но, как водится, под суд покупатели Pegasus идут только после их выноса из высоких кабинетов. Разработчик спайвари доволен исходом и «отсутствием подтверждения претензий в адрес компании». Между тем подтверждений из документов по иску WhatsApp хватает. Так, из показаний топ-менеджмента следует, что компания активно вовлечена в работу спайвари после деплоя, что сводит на нет заявления «А мы не знаем, чем там наши клиенты занимаются после покупки». Всё они, конечно, прекрасно знают. И вручную обслуживают режимы, которые следят совсем не за преступниками и террористами. Кто бы мог подумать!
@tomhunter
Дело могло стать серьёзным испытанием для NSO Group, но, как водится, под суд покупатели Pegasus идут только после их выноса из высоких кабинетов. Разработчик спайвари доволен исходом и «отсутствием подтверждения претензий в адрес компании». Между тем подтверждений из документов по иску WhatsApp хватает. Так, из показаний топ-менеджмента следует, что компания активно вовлечена в работу спайвари после деплоя, что сводит на нет заявления «А мы не знаем, чем там наши клиенты занимаются после покупки». Всё они, конечно, прекрасно знают. И вручную обслуживают режимы, которые следят совсем не за преступниками и террористами. Кто бы мог подумать!
@tomhunter
😁4🤡3👍2
#news Пятничные новости ИБ от японской бюрократии. Там гражданам предложили задуматься о смерти. Точнее, о своём цифровом следе после неё. И внести в завещание данные доступа от устройств и аккаунтов. «Завещаю лучшему другу Сатоши мои пароли, чтобы он удалил мою историю поиска».
В список рекомендаций вошли разблокировка устройств, ведение списка подписок и аккаунтов, внесение в завещание этих данных и использование сервисов для передачи кому-нибудь доступа после ухода из жизни. Идея разумная, рынок под приложения формата «Dead Man's Switch» уже есть, так как самостоятельно этим заниматься никто, конечно, не будет. Осталось интегрировать с Госуслугами и запитать от блокчейна. Как только на последний приходит свидетельство о смерти, смарт-контракт отменяет привязанные подписки, сбрасывает устройства, форматирует архивы, удаляет аккаунты и выдаёт доступ к паре приличных исключительно с семейными фото потомкам. Современные проблемы, современные решения!
@tomhunter
В список рекомендаций вошли разблокировка устройств, ведение списка подписок и аккаунтов, внесение в завещание этих данных и использование сервисов для передачи кому-нибудь доступа после ухода из жизни. Идея разумная, рынок под приложения формата «Dead Man's Switch» уже есть, так как самостоятельно этим заниматься никто, конечно, не будет. Осталось интегрировать с Госуслугами и запитать от блокчейна. Как только на последний приходит свидетельство о смерти, смарт-контракт отменяет привязанные подписки, сбрасывает устройства, форматирует архивы, удаляет аккаунты и выдаёт доступ к паре приличных исключительно с семейными фото потомкам. Современные проблемы, современные решения!
@tomhunter
👍10😁8🔥3🤡2
#tools Всем любителям и профессионалам #OSINT напоминаю о том, что нашим отделом расследований сделана собственная версия браузера OPERA для Windows, предназначенная для проведения расследований по открытым источникам информации.
Браузер бесплатный и портативный, т.е. вы можете брать его с собой на флешке. На борту имеется тонна ссылок на полезный софт и онлайн-сервисы. Все разбито по направлениям исследований: Telegram, веб-ресурсы, криптовалюты, электронная почта, телефонные номера и т.п. Отдельная рубрика сделана специально для сотрудников служб безопасности.
@tomhunter
Браузер бесплатный и портативный, т.е. вы можете брать его с собой на флешке. На борту имеется тонна ссылок на полезный софт и онлайн-сервисы. Все разбито по направлениям исследований: Telegram, веб-ресурсы, криптовалюты, электронная почта, телефонные номера и т.п. Отдельная рубрика сделана специально для сотрудников служб безопасности.
@tomhunter
🤡33🔥30👍7🤔3😱2🎉2❤1
#news По следам взлома операторов связи США органы нацбезопасности подводят промежуточные итоги. Результаты удручающие: у китайцев был доступ к звонкам и сообщениям с телефонов ~150 ключевых политиков. Включая Трампа и его вице-президента. С учётом того, что они звонили и писали многим людям, охват операции впечатляющий.
В США уже успели окрестить произошедшее «самым крупным взломом телекоммуникационных сетей в истории». Его масштабы ещё только предстоить оценить. В общем, с цифровым суверенитетом и национальным инфобезом по ту сторону океана тоже как-то не складывается. И пока Штаты имеют очень смутное представление о внутренней кухне компартии Китая, его разведка прослушивает высших должностных лиц США. Так что инфобез уровня AT&T по сути изрядно портит репутацию всей американской ИБ-индустрии. Да и контрразведки как таковой — уважаемых партнёров по блоку НАТО вряд ли интересует вектор атаки. Главное, результат. А вот за него уже как-то стыдно.
@tomhunter
В США уже успели окрестить произошедшее «самым крупным взломом телекоммуникационных сетей в истории». Его масштабы ещё только предстоить оценить. В общем, с цифровым суверенитетом и национальным инфобезом по ту сторону океана тоже как-то не складывается. И пока Штаты имеют очень смутное представление о внутренней кухне компартии Китая, его разведка прослушивает высших должностных лиц США. Так что инфобез уровня AT&T по сути изрядно портит репутацию всей американской ИБ-индустрии. Да и контрразведки как таковой — уважаемых партнёров по блоку НАТО вряд ли интересует вектор атаки. Главное, результат. А вот за него уже как-то стыдно.
@tomhunter
👍8😁2💯2
#news В США в порядке эксперимента отдали на аутсорс инфобез водной инфраструктуры: белошляпочники с DEF CON взялись за пентест традиционно не блещущих защищённостью систем. Коллаборация должна помочь защитить критические ресурсы от кибератак, которым те регулярно подвергаются в последние годы.
Между тем задача нетривиальная: у волонтёров доступ к системам шести компаний водоснабжения. Всего их в стране 50 тысяч. И все крутятся на разном софте, часть которого видела обновления, когда с конвейера сходили последние югославские холодильники. Кроме того, трудно назвать управленцев из этих компаний «открытыми новому» и «заинтересованными в ИБ. Так что если к делу не подключат регуляторов, благие намерения белошляпочников разобьются о «Сынок, я тридцать лет снабжаю Индиану водой, проклятые китайцы не остановят мои насосы». Но эксперимент любопытный. Наше богатое на таланты киберсообщество бы под такие цели запрячь. Вот только у них скиллсет и мотивации заточены в основном под другое.
@tomhunter
Между тем задача нетривиальная: у волонтёров доступ к системам шести компаний водоснабжения. Всего их в стране 50 тысяч. И все крутятся на разном софте, часть которого видела обновления, когда с конвейера сходили последние югославские холодильники. Кроме того, трудно назвать управленцев из этих компаний «открытыми новому» и «заинтересованными в ИБ. Так что если к делу не подключат регуляторов, благие намерения белошляпочников разобьются о «Сынок, я тридцать лет снабжаю Индиану водой, проклятые китайцы не остановят мои насосы». Но эксперимент любопытный. Наше богатое на таланты киберсообщество бы под такие цели запрячь. Вот только у них скиллсет и мотивации заточены в основном под другое.
@tomhunter
😁7👍3❤2🔥2
#news Любопытное выступление вице-президента Niantic, разработчика Pokemon Go, на конференции Bellingcat. Представляя проект по созданию трёхмерной модели физического пространства, МакКлендон мимоходом сообщил, что формируется карта на основе сканов игроков.
Модель учитывает особенности ландшафта, географию, архитектуру и прочие детали. Сотни изображений создают реалистичную цифровую копию пространства. И всё это за счёт игр компании и тысяч леммингов со смартфонами, выполнящих задания по скану. На вопрос о военном применении МакКлендон дипломатично ответил, что правительство может купить доступ к технологии только в гражданских целях. Но может ведь и не только, особенно за правильный прайс. В базе проекта 10 миллионов локаций, ежедневно в неё поступают ~миллион сканов. Где-то между строк скрывается захватывающий киберпанковый сюжет о любителях покемонов, собирающих данные для иностранной разведки. На деле же его раскрывают будничным тоном на тематической конференции.
@tomhunter
Модель учитывает особенности ландшафта, географию, архитектуру и прочие детали. Сотни изображений создают реалистичную цифровую копию пространства. И всё это за счёт игр компании и тысяч леммингов со смартфонами, выполнящих задания по скану. На вопрос о военном применении МакКлендон дипломатично ответил, что правительство может купить доступ к технологии только в гражданских целях. Но может ведь и не только, особенно за правильный прайс. В базе проекта 10 миллионов локаций, ежедневно в неё поступают ~миллион сканов. Где-то между строк скрывается захватывающий киберпанковый сюжет о любителях покемонов, собирающих данные для иностранной разведки. На деле же его раскрывают будничным тоном на тематической конференции.
@tomhunter
🔥10
#news Blue Yonder, один из крупнейших поставщиков софта для управления цепочками поставок, попал под рансомварь-атаку 21 ноября. С учётом того, что у компании 3,000 клиентов, включая DHL, Renault, Nestle и прочих, последствия на себе многие прочувствовали глобально.
В Великобритании нарушена работу двух крупнейших сетей супермаркетов — отвалился софт для управления складами, что сказалось на поставках. В Штатах атака затронула 11 тысяч точек Starbucks: без ПО для менеджмента смен расчёты ведут на бумаге. Сроков восстановления нет, информации об утечках данных тоже, ответственность за атаку пока никто на себя не взял. В сухом остатке у нас очередной пример в копилку «До вепонизации рансомвари один шаг», пускай и не такой яркий, как взлом Colonial Pipeline и Change Healthcare. Отсутствие аромата переоценённого кофе по утру — это не так страшно, а вот последствия глобального нарушения поставок в супермаркеты представить нетрудно.
@tomhunter
В Великобритании нарушена работу двух крупнейших сетей супермаркетов — отвалился софт для управления складами, что сказалось на поставках. В Штатах атака затронула 11 тысяч точек Starbucks: без ПО для менеджмента смен расчёты ведут на бумаге. Сроков восстановления нет, информации об утечках данных тоже, ответственность за атаку пока никто на себя не взял. В сухом остатке у нас очередной пример в копилку «До вепонизации рансомвари один шаг», пускай и не такой яркий, как взлом Colonial Pipeline и Change Healthcare. Отсутствие аромата переоценённого кофе по утру — это не так страшно, а вот последствия глобального нарушения поставок в супермаркеты представить нетрудно.
@tomhunter
👍5🔥4💯2
#news В Штатах предъявили обвинения безопаснику за чересчур творческий подход к рекламе своих услуг. Николас Клостер проник в здания нескольких организаций, взломал сети и немного пошалил.
В одной товарищ сменил пароли на учётках, в фитнес-клубе выписал себе абонемент за доллар и украл бейдж сотрудника. Попутно он писал письма владельцу, рекламируя свои услуги, и делал это с почты компании, ранее уволившей Клостера за растрату средств с корпоративной кредитки. Позже он также выложил в соцсети снимок экрана с системами видеонаблюдения клуба и подписью «Как продвинуть свои ИБ-услуги». На деле, конечно, это пример того, как их продвигать не надо — агрессивный пентест вышел креативщику боком. Теперь его будут судить минимум по трём инцидентам, включая несанкционированный доступ и причинение ущерба. И вместо головокружительной инфобез-карьеры есть неплохие шансы оказаться за решёткой.
@tomhunter
В одной товарищ сменил пароли на учётках, в фитнес-клубе выписал себе абонемент за доллар и украл бейдж сотрудника. Попутно он писал письма владельцу, рекламируя свои услуги, и делал это с почты компании, ранее уволившей Клостера за растрату средств с корпоративной кредитки. Позже он также выложил в соцсети снимок экрана с системами видеонаблюдения клуба и подписью «Как продвинуть свои ИБ-услуги». На деле, конечно, это пример того, как их продвигать не надо — агрессивный пентест вышел креативщику боком. Теперь его будут судить минимум по трём инцидентам, включая несанкционированный доступ и причинение ущерба. И вместо головокружительной инфобез-карьеры есть неплохие шансы оказаться за решёткой.
@tomhunter
😁9👍1
#news Великобритания сообщила о создании новой программы реагирования на кибератаки, Cyber Incident Response Capability. По задумке она будет доступна союзникам через цифровую платформу. К реагированию на инциденты привлекут подрядчика из частного сектора.
Подробностей программы нет, но бюджет в миллион фунтов не особо впечатляет — госхакерские атаки по критической инфраструктуре самые затратные в плане ликвидации и расследования. Между тем программу представили на фоне речи британского министра на конференции НАТО по киберобороне: в понедельник он заявил, что «Россия может оставить миллионы людей без света». Выступление раскритиковали как паникёрское, но логика понятная: если русские хакеры являются столь серьёзной угрозой, скромным миллионом фунтов здесь явно не отделаешься. Традиционные политические игрища в выбивание бюджетов за счёт российской угрозы, в общем. Люди работают.
@tomhunter
Подробностей программы нет, но бюджет в миллион фунтов не особо впечатляет — госхакерские атаки по критической инфраструктуре самые затратные в плане ликвидации и расследования. Между тем программу представили на фоне речи британского министра на конференции НАТО по киберобороне: в понедельник он заявил, что «Россия может оставить миллионы людей без света». Выступление раскритиковали как паникёрское, но логика понятная: если русские хакеры являются столь серьёзной угрозой, скромным миллионом фунтов здесь явно не отделаешься. Традиционные политические игрища в выбивание бюджетов за счёт российской угрозы, в общем. Люди работают.
@tomhunter
😁5💯4🤝1
#news Google обвинила бывшего сотрудника в разглашении коммерческих тайн. Инженер из Индии был пойман за фотографированием конфиденциальных данных, удалил всё под честное слово и проработал в техгиганте ещё несколько месяцев. Затем он уволился, но корпоративный ноутбук не вернул.
Паджит под вопросом участвовал в разработке устройств Pixel, с ними связана и утечка. В начале ноября он опубликовал 158 фотографий с детальной информацией о чипах и уязвимостях, многостраничные документы со схемами и об обработке видео, руководство по архитектуре и её дорожной карте... Бунтарь отказался идти на мировое и сопроводил слив глубокомысленными изречениями в духе «Империи пали, падёшь и ты» и «Дело без защиты не считается победой. Увидимся в суде». Такая вот рабочая этика уровня индусский кодер. Закладывают ли её издержки в бюджеты компании, выводящие целые процессы на аутсорс в Индию? Вопрос на миллион[ы долларов] к Google, CrowdStrike и многим другим.
@tomhunter
Паджит под вопросом участвовал в разработке устройств Pixel, с ними связана и утечка. В начале ноября он опубликовал 158 фотографий с детальной информацией о чипах и уязвимостях, многостраничные документы со схемами и об обработке видео, руководство по архитектуре и её дорожной карте... Бунтарь отказался идти на мировое и сопроводил слив глубокомысленными изречениями в духе «Империи пали, падёшь и ты» и «Дело без защиты не считается победой. Увидимся в суде». Такая вот рабочая этика уровня индусский кодер. Закладывают ли её издержки в бюджеты компании, выводящие целые процессы на аутсорс в Индию? Вопрос на миллион[ы долларов] к Google, CrowdStrike и многим другим.
@tomhunter
😁11👍3🔥2🤯2😱1
#news Чего у киберпреступников не отнять, так это неиссякаемой фантазии в отношении векторов атаки. На этот раз под доставку малвари приспособили игровой движок. Вредоносный код выполняет GDScript на Godot Gaming Engine.
Опенсорс, гибкость, широкий набор инструментов — всё при нём. В том числе фреймворк под атаки. На языке движка написали мультиплатформенный загрузчик GodLoader, за три месяца заражены 17 тысяч устройств геймеров и разрабов. Потенциальный охват — 1,2 миллиона игроков. Вредонос встроен в файлы с игровыми ресурсами .pck, за счёт этого идёт обход обнаружения. Распространяют GodLoader под видом легитимных GitHub-репозиториев. Разработчики движка отметили, что их язык — просто инструмент, как и любой другой. В общем-то, справедливо. Особенно с учётом того, что вредонос пакуют вместе со средой, и юзер запускает его ручками. Подробнее об атаке в отчёте.
@tomhunter
Опенсорс, гибкость, широкий набор инструментов — всё при нём. В том числе фреймворк под атаки. На языке движка написали мультиплатформенный загрузчик GodLoader, за три месяца заражены 17 тысяч устройств геймеров и разрабов. Потенциальный охват — 1,2 миллиона игроков. Вредонос встроен в файлы с игровыми ресурсами .pck, за счёт этого идёт обход обнаружения. Распространяют GodLoader под видом легитимных GitHub-репозиториев. Разработчики движка отметили, что их язык — просто инструмент, как и любой другой. В общем-то, справедливо. Особенно с учётом того, что вредонос пакуют вместе со средой, и юзер запускает его ручками. Подробнее об атаке в отчёте.
@tomhunter
🔥5❤2👍2🤯2
#news Исследователи обнаружили первый UEFI-буткит под Линукс. Названный Bootkitty, он всплыл в ноябре на VT. Сырой, забагованный, на самоподписанном сертификате и работающий на отдельных версиях GRUB и ядра. Но он есть, и звоночек тревожный.
Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий. Подробнее о Bootkitty в отчёте.
@tomhunter
Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий. Подробнее о Bootkitty в отчёте.
@tomhunter
🔥13👍1🤝1