Недавно Apple тихо и скромно пропатчила баг, считавшийся досадной мелочью. Баг заключался в следующем: если подключиться с айфона к вай-фай сети, у которой в названии есть сочетания знака процента и букв, айфон в принципе разучится подключаться к вайфаю и забудет, что это. Придётся изрядно потанцевать с бубном, чтобы вернуть всё обратно.
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.
Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.
Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.
https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/
Threat Post
Unpatched iPhone Bug Allows Remote Device Takeover
A format-string bug believed to be a low-risk denial-of-service issue turns out to be much nastier than expected.
Я за всю эту неделю ничего не написал про Пегасус: решил повременить и отфильтровать шум.
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Думаю, основное ты слышал и так. У израильской компании NSO Group есть шпионский софт Pegasus, который продают правительственным агентствам. Пегасус селится на телефоне жертвы и передаёт с него всё, что нужно, включая фото и сообщения, плюс может записывать аудио и видео. Одним словом, тотальная слежка под светлыми лозунгами защиты от терроризма и поимки преступников. Бонусный пункт: отследить инициатора слежки невозможно.
За кем же следили? Больше всего в СМИ говорили о списке из 50 тысяч слитых номеров телефонов, среди которых мелькали персоналии вроде президента Франции, короля Морокко, Павла Дурова, жены громко убитого журналиста-критика Саудовской Аравии Джамаля Хашогги, а также дубайской принцессы Латифы. Про принцессу напомню, что в 2018 году она пыталась бежать в США и была поймана спецслужбами, откуда-то знавшими, на какой яхте она будет покидать Дубай и когда. Тогда это связали с ФБР.
Пожалуй, список номеров — одна из самых мутных частей всей этой истории. Сама NSO, ясное дело, от него мгновенно открестилась. Ещё бы, в списке полным-полно людей, слежка за которыми нарушала бы её же собственную политику использования. Слежку за той же женой Хашогги CEO NSO пламенно отрицал, как и роль Пегасуса в убийстве журналиста.
Кроме того, по словам миролюбивого CEO, NSO не хранит ни в каком виде номера целей. А если бы и хранила, их было бы гораздо меньше: мол, у Пегасуса 45 клиентов, каждый из которых держит около 100 целей в год.
Тут добавим в эту задачку два условия. Во-первых, NSO представляет крупные оптовые скидки: например, можно взломать 10 телефонов за $650,000 и взять ещё 100 уже за $800,000. Во-вторых, по её же утверждениям, у неё нет возможности узнать, за кем следят её клиенты. Итак, вопрос: откуда NSO вообще знает, что у каждого клиента всего-то навсего под 100 целей? Вопрос интересный, но со звёздочкой.
А как сочетаются слова о том, что компания не знает, за кем следят клиенты Пегасуса, и пламенные открещивания от слежки за тем или иным человеком? Вопрос с двумя звёздочками.
Возвращаемся к списку. Amnesty International проанализировала 67 телефонов, связанных с номерами из него. В как минимум 37 Пегасус каким-либо образом целился, а 23 успешно взломал. Совпадений многовато. Amnesty утверждает, что этот список включает или действующие, или потенциальные цели клиентов Пегасуса. Скорее всего, хозяева этих номеров представляют для клиентов NSO интерес, и некоторых из них действительно взломали.
Понятно, почему некоторым — главе NSO, например — так хочется доказать его фейковость. CEO утверждает, что он «глубоко обеспокоен» всем этим шумом и понимает, что «клиенты могут иногда использовать систему не по назначению». Если список подлинный, то само наличие у NSO каких-то условий о том, за кем следить можно, а за кем — нет, выглядит нелепо, особенно с учётом заданных выше вопросов под звёздочкой.
Больше, впрочем, в этой истории про список пока ничего не понять: откуда он вообще взялся, например, кто и как его составлял. Возможно, чуть яснее с этим станет дальше.
Лонгриды по теме:
https://www.theverge.com/22589942/nso-group-pegasus-project-amnesty-investigation-journalists-activists-targeted
https://forbiddenstories.org/the-rise-and-fall-of-nso-group/
Тут можно посмотреть на некоторых людей из списка: https://cdn.occrp.org/projects/project-p/#/
Внимание: Apple выпустила срочное обновление с очень важным фиксом безопасности! Исправили RCE-уязвимость IOMobileFramebuffer.
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
Про уязвимость в iMessage, которая позволяет заражать телефон Пегасусом через смску, без каких-либо действий со стороны жертвы, ничего нет. Впрочем, это вполне ожидаемо: сколь ни старайся обеспечить бронебойную безопасность, а обходящейся в миллионы долларов атаке на конкретных единичных людей едва ли что-то можно противопоставить.
Я тогда тоже помолчу на эту тему, пока не появится что-то интересное. Не рассказывать же вам всерьёз, что CEO NSO оправдывается в СМИ заявлениями-де «мы белые и пушистые, виноваты во всём наши бессовестные клиенты, и вообще, нечего скрывать — нечего бояться».
https://www.bleepingcomputer.com/news/apple/apple-fixes-zero-day-affecting-iphones-and-macs-exploited-in-the-wild/
BleepingComputer
Apple fixes zero-day affecting iPhones and Macs, exploited in the wild
Apple has released security updates to address a zero-day vulnerability exploited in the wild and impacting iPhones, iPads, and Macs.
Ага, кажется, это фикс для одной из тех самых уязвимостей и есть — речь об эксплойте, который NSO могла задействовать в своей цепочке атаки. Остаётся неизвестным, действительно ли патч именно под это и помешает ли он дальнейшей работе Пегасуса. Возможно, это только подорожник, приложенный к одному из звеньев цепи взлома.
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Ещё напомню, что Андроиды — не панацея: их Пегасус ломал с той же лёгкостью и даже по той же стоимости для клиента.
https://9to5mac.com/2021/07/27/ios-security-fix-14-7-1/
Анонимный сотрудник NSO рассказал National Public Radio, что компания ограничила нескольким клиентам — правительственным агентствам ряда стран — доступ к Пегасусу и изучает их деятельность. Видимо, это те самые, которые, по мнению CEO компании, во всём и виноваты, и незаслуженно втянули доброе имя компании в медиа-шумиху.
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
Сотрудник ничего не сказал о том, сколько клиентов ограничено и к каким странам они принадлежат, и отказался как-либо комментировать это дальше. Ещё он добавил, что компания прошлась по Тому Самому Списку и не нашла почти у всех номеров никакой связи с Пегасусом. Впрочем, едва ли это удивительный комментарий.
https://www.npr.org/2021/07/29/1022409865/nso-suspended-govvernment-contracts-spyware-pegasus-project?t=1627634529619
А вот теперь немного не про нашумевшую крылатую спайварь. Я совсем недавно писал об исследователе, который заметил и зарепортил RCE-уязвимость в коде Cloudflare. Если бы он был не внимательным изучателем уязвимостей, а злоумышленником, писал бы я тогда уже о массовых атаках на десятую с хвостиком часть интернета.
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
Теперь он же изучил код PyPI — Python Package Index. Нашёл, помимо мелочей вроде возможности удалять в чужих проектах пользовательские роли и документацию, и критическую дыру: в кодовой базе PyPI можно было запускать bash-команды через Github Actions. Пространство для творчества там прекрасное, от развлечений с главной страницей pypi.org до редактирования самих пакетов. Всё, к счастью, уже прикрыли.
Ещё из базы удалили 8 вредоносных библиотек, из которых 6 таскали пароли и коды от карточек с машины жертвы. Две оставшиеся либы позволяли выполнять на ней любой код на Питоне. У всей этой радости было больше 30 тысяч загрузок.
Похожая история была в декабре у RubyGems, где вредоносный пакет воровал у жертвы крипту, и недавно с вором паролей в npm, пусть и в меньших масштабах. Что ж, едва ли мы от всего этого куда-нибудь пока можем деться: сама система располагает.
https://xakep.ru/2021/07/30/pypi-flaws/
Репорт JFrog о вредоносных пакетах: https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
Отчёт исследователя об уязвимостях PyPI тут: https://blog.ryotak.me/post/pypi-potential-remote-code-execution-en/
XAKEP
Из PyPI удалили восемь библиотек, воровавших токены Discord и номера банковских карт
На этой неделе операторы официального репозитория Python Package Index (PyPI) избавились от восьми библиотек, содержавших вредоносный код. Кроме того, в PyPI были исправлены три уязвимости, одна из которых позволяла злоумышленнику получить полный контроль…
Тут выкатили новые правила сбора биометрии, которые должны вступить в силу с января 2022.
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Запрашивать и использовать биометрию россиян будет запрещено всем компаниям, у которых иностранное юрлицо или иностранный капитал составляет более 49% уставного. Кроме того, даже у подходящей под эти условия компании должны быть специальная лицензия и капитал в минимум 500 миллионов рублей: последнее условие помогает крупным корпорациям и вежливо отталкивает остальных.
К биометрии, на секундочку, относятся в том числе и сканы паспорта.
Затронет это многих, от известной нидерландской корпорации Яндекс до кипрского Тинькова, которому придётся каким-то образом здесь выкручиваться. Туда же все прочие, кому нужен паспорт для верификации личности, например Букинг и Авито.
Неловко вышло.
https://www.kommersant.ru/doc/4928909
Коммерсантъ
Российские паспорта мало кому покажутся
Новые правила использования биометрии оказались жесткими
В апреле Amazon пропатчила баг, который позволял превращать электронки Kindle в ботов и воровать с них персональные данные. Заразить устройство можно было вредоносной книгой. Поскольку антивирей для электронок нет, распознать зловредность такой книжки было бы нечем, а вот к публикации её бы приняли в любой онлайн-библиотеке, включая собственную амазоновскую.
Обнаружившие уязвимость исследователи смогли собрать книжку, которая, если её открыть на Киндл, могла бы до патча исполнить любой код с рут-правами. Книжка подключалась к удалённому серверу, блокировала экран, получала рут-права и передавала хакеру полный доступ к устройству. Сюда входит и доступ к Амазон-аккаунту, в который залогинена книжка, кукам и приватным ключам.
Исследователи заметили занятную фичу у такого вредоноса — лёгкость в прицеливании на определённую аудиторию. Нужны румыны? Публикуем «перевод» популярной книжки на румынский, и вуаля.
Детали: https://threatpost.com/amazon-kindle-malicious-ebooks/168454/
Рассказ исследователей, обнаруживших и зарепортивших Амазону эту уязвимость: https://research.checkpoint.com/2021/i-can-take-over-your-kindle/
Вообще говоря, они тут не первые: в конце января этого года Амазон пропатчил KindleDrip, похожую RCE-уязвимость с вредоносной книжкой. Там исследователь обнаружил, что можно присылать вредоносные книжки пользователям на почты, пользуясь фичей Send to Kindle. Почты пользователей внутри системы довольно просто забрутфорсить, а остальное — дело техники. Подробнее про технические детали той истории рассказано вот тут: по идее, эти уязвимости лежали где-то рядом.
Обнаружившие уязвимость исследователи смогли собрать книжку, которая, если её открыть на Киндл, могла бы до патча исполнить любой код с рут-правами. Книжка подключалась к удалённому серверу, блокировала экран, получала рут-права и передавала хакеру полный доступ к устройству. Сюда входит и доступ к Амазон-аккаунту, в который залогинена книжка, кукам и приватным ключам.
Исследователи заметили занятную фичу у такого вредоноса — лёгкость в прицеливании на определённую аудиторию. Нужны румыны? Публикуем «перевод» популярной книжки на румынский, и вуаля.
Детали: https://threatpost.com/amazon-kindle-malicious-ebooks/168454/
Рассказ исследователей, обнаруживших и зарепортивших Амазону эту уязвимость: https://research.checkpoint.com/2021/i-can-take-over-your-kindle/
Вообще говоря, они тут не первые: в конце января этого года Амазон пропатчил KindleDrip, похожую RCE-уязвимость с вредоносной книжкой. Там исследователь обнаружил, что можно присылать вредоносные книжки пользователям на почты, пользуясь фичей Send to Kindle. Почты пользователей внутри системы довольно просто забрутфорсить, а остальное — дело техники. Подробнее про технические детали той истории рассказано вот тут: по идее, эти уязвимости лежали где-то рядом.
Threat Post
Amazon Kindle Vulnerable to Malicious EBooks
Prior to a patch, a serious bug could have allowed attackers to take over Kindles and steal personal data.
На днях Apple объявила о том, что теперь будет проверять фото в iCloud на предмет детской откровенности.
Как это выглядит? Хэши фотографий будут сопоставляться с материалами из базы CSAM (child sexual abuse materials), которую компания получает от правозащитных организаций. Всякое совпадение ставит пользователя на карандаш. Если совпадений набирается слишком много, аккаунт блокируется, а информация о нём отправляется правоохранительным органам.
Понятно, почему все из-за этого всполошились. Ровно тем же самым давным-давно занимаются все крупные корпорации и продукты, от Фейсбука и Твиттера до Реддита с Дискордом и иже с ними. Но для Apple, которая каждые пять минут без устали напоминает о том, как ценит приватность пользователей, такая история выглядит странно.
Флёр «всё ради защиты детей» — это, конечно, отличный карт-бланш на реализацию чего угодно. Любой, кто возмутится, будет встречен хитрыми шуточками или ответным возмущением о том, что посмел быть недовольным «защитой детей». Вполне очевидно, однако, что от такого безобидного анализа хэшей под благородными флагами легко прийти к чему-то куда менее однозначному.
Вопрос: если у нас есть система, которая — исключительно на стороне пользователя, конечно же — анализирует отправляемые и получаемые фото, можно ли вообще гарантировать, что она всегда будет использоваться только для защиты детей от откровенного контента?
Как справедливо заметили исследователи из Electronic Frontier Foundation, отсюда достаточно сделать пару шагов, чтобы протянуть руку местным требованиям различных авторитарных режимов. Недавно, например, в Индии обязали все платформы проверять содержание и происхождение сообщений. Чем наша система, в которой есть такой бэкдор «для защиты», может открутиться от этого, и почему бы ей не сделать исключение и здесь? Дорожка ой как скользковата.
https://xakep.ru/2021/08/06/apple-neuralhashes/
Как это выглядит? Хэши фотографий будут сопоставляться с материалами из базы CSAM (child sexual abuse materials), которую компания получает от правозащитных организаций. Всякое совпадение ставит пользователя на карандаш. Если совпадений набирается слишком много, аккаунт блокируется, а информация о нём отправляется правоохранительным органам.
Понятно, почему все из-за этого всполошились. Ровно тем же самым давным-давно занимаются все крупные корпорации и продукты, от Фейсбука и Твиттера до Реддита с Дискордом и иже с ними. Но для Apple, которая каждые пять минут без устали напоминает о том, как ценит приватность пользователей, такая история выглядит странно.
Флёр «всё ради защиты детей» — это, конечно, отличный карт-бланш на реализацию чего угодно. Любой, кто возмутится, будет встречен хитрыми шуточками или ответным возмущением о том, что посмел быть недовольным «защитой детей». Вполне очевидно, однако, что от такого безобидного анализа хэшей под благородными флагами легко прийти к чему-то куда менее однозначному.
Вопрос: если у нас есть система, которая — исключительно на стороне пользователя, конечно же — анализирует отправляемые и получаемые фото, можно ли вообще гарантировать, что она всегда будет использоваться только для защиты детей от откровенного контента?
Как справедливо заметили исследователи из Electronic Frontier Foundation, отсюда достаточно сделать пару шагов, чтобы протянуть руку местным требованиям различных авторитарных режимов. Недавно, например, в Индии обязали все платформы проверять содержание и происхождение сообщений. Чем наша система, в которой есть такой бэкдор «для защиты», может открутиться от этого, и почему бы ей не сделать исключение и здесь? Дорожка ой как скользковата.
https://xakep.ru/2021/08/06/apple-neuralhashes/
XAKEP
Apple будет искать детское порно среди фотографий пользователей
Компания Apple будет искать среди пользовательских изображений признаки сексуального насилия над детьми. В компании уверяют, что заботятся о приватности пользователей, однако многие эксперты встревожены.
А вот у нас ещё хорошие новости для пользователей Телеграма под macOS (сам такой). Новости касаются секретных чатов — тех, которые хранят всё на пользовательских устройствах и могут самоудаляться через какое-то время. Таймер на самоуничтожение запускается, как только собеседник открывает файл или читает сообщение.
Сначала другие исследователи обнаружили, что все самоуничтожающиеся материалы честно удалялись из самого приложения, как только пробивал таймер, но оставались в папке, в которую Телеграм всё кэширует. Из папки, разумеется, всё можно было уже перетащить куда угодно. Телеграм этот баг оперативно поправил, теперь всё удаляется по тому же таймеру.
Но остался ещё один. Впрочем, Телеграм пожал плечами и сказал, что не может его исправить, так что это, видимо, скорее фича.
Работает так. Отправляем человеку любой медиа-файл, от голосового сообщения до картинки. Человек предусмотрительно не читает сообщение с файлом в Телеграме, чтобы не запускать таймер. Вместо этого он идёт во всё ту же кэш-папку и забирает файл прямо оттуда. Само сообщение можно и не открывать: собеседник уже даже не поймёт, прочитано ли оно.
В Телеграме говорят, что не могут как-либо ограничить в системе доступ к этой папке, ищущий в любом случае обрящет. Обнаруживший баг исследователь с ними не согласен: считает, что можно просто-напросто не скачивать самоуничтожающиеся файлы в эту папку.
https://www.bleepingcomputer.com/news/security/telegram-for-mac-bug-lets-you-save-self-destructing-messages-forever/
Сначала другие исследователи обнаружили, что все самоуничтожающиеся материалы честно удалялись из самого приложения, как только пробивал таймер, но оставались в папке, в которую Телеграм всё кэширует. Из папки, разумеется, всё можно было уже перетащить куда угодно. Телеграм этот баг оперативно поправил, теперь всё удаляется по тому же таймеру.
Но остался ещё один. Впрочем, Телеграм пожал плечами и сказал, что не может его исправить, так что это, видимо, скорее фича.
Работает так. Отправляем человеку любой медиа-файл, от голосового сообщения до картинки. Человек предусмотрительно не читает сообщение с файлом в Телеграме, чтобы не запускать таймер. Вместо этого он идёт во всё ту же кэш-папку и забирает файл прямо оттуда. Само сообщение можно и не открывать: собеседник уже даже не поймёт, прочитано ли оно.
В Телеграме говорят, что не могут как-либо ограничить в системе доступ к этой папке, ищущий в любом случае обрящет. Обнаруживший баг исследователь с ними не согласен: считает, что можно просто-напросто не скачивать самоуничтожающиеся файлы в эту папку.
https://www.bleepingcomputer.com/news/security/telegram-for-mac-bug-lets-you-save-self-destructing-messages-forever/
BleepingComputer
Telegram for Mac bug lets you save self-destructing messages forever
Researchers have discovered a way for users on Telegram for Mac to keep specific self-destructing messages forever or view them without the sender ever knowing.
Кажется, я ничего тут вообще не писал про крипту, но здесь само просится. Новый рекорд в истории криптовалютной преступности! Хакер (или всё-таки хакеры?) похитил у китайской Poly Network крипты на сумму больше 600 миллионов долларов. В основном это самые разные токены на Ethereum, BSC и Polygon Network.
Компания рассказала, что хакер воспользовался уязвимостью в функции _executeCrossChainTx. Он изменил владельца контракта EthCrossChainData, получив возможность захватывать любую валюту, которая проходит через платформу. Всю крипту он далее вывел на свои кошельки.
Poly попросила хакера пойти на мировую, а также обратилась к майнерам и обменникам с просьбой следить за перемещением средств с этих адресов и замораживать их. Некоторые обменники, включая крупнейший Binance, на просьбу отреагировали, но вышла всё равно капля в море.
В комментариях к Ethereum-транзакциям общительный хакер оставил немало посланий. Заметил, например, что атака могла потянуть на весь миллиард, если бы он забрал все остальные щиткоины. Да и деньги, говорит, не то чтобы ему нужны: может, часть вернёт, а может, просто оставит всё лежать на тех адресах.
https://xakep.ru/2021/08/11/poly-network-hack/
Компания рассказала, что хакер воспользовался уязвимостью в функции _executeCrossChainTx. Он изменил владельца контракта EthCrossChainData, получив возможность захватывать любую валюту, которая проходит через платформу. Всю крипту он далее вывел на свои кошельки.
Poly попросила хакера пойти на мировую, а также обратилась к майнерам и обменникам с просьбой следить за перемещением средств с этих адресов и замораживать их. Некоторые обменники, включая крупнейший Binance, на просьбу отреагировали, но вышла всё равно капля в море.
В комментариях к Ethereum-транзакциям общительный хакер оставил немало посланий. Заметил, например, что атака могла потянуть на весь миллиард, если бы он забрал все остальные щиткоины. Да и деньги, говорит, не то чтобы ему нужны: может, часть вернёт, а может, просто оставит всё лежать на тех адресах.
https://xakep.ru/2021/08/11/poly-network-hack/
XAKEP
У китайской DeFi-платформы Poly Network похитили 600 млн долларов
Похоже, в области криптовалютных ограблений установлен новый рекорд: неизвестные хакеры похитили у DeFi-платформы Poly Network криптовалюту на сумму более 600 000 000 долларов. Администраторы Poly Network просят преступников вернуть средства.
Хакер-рекордсмен начал возвращать украденное: пока отправил обратно около половины. Ещё открыл сбор донатов.
https://www.securitylab.ru/news/523318.php
В этом Твиттер-треде можно почитать составленное самим хакером Q&A, прописанное в Ethereum-транзакциях. Он утверждает, что эта атака для него — просто способ развлечься и привлечь внимание к критической уязвимости, которой могли бы воспользоваться инсайдеры, если бы он о ней просто сообщил. Что ж, справедливо: если бы он хотел обогатиться, вряд ли бы беззаботно забрал 600 миллионов одной пачкой.
Ещё хакер рассказывает, что очень обиделся на Poly, которая призвала к бойкотированию адресов, не дав ему и слова сказать. Поэтому часть монет, чей курс привязан к доллару один к одному, он продал или обменял.
И нельзя не упомянуть презабавный момент в беседах с аудиторией. Один пользователь сообщил хакеру, что его USDT теперь в чёрном списке, и посоветовал этот токен не использовать. В ответ тронутый заботой хакер выслал ему 13.37 ETH — это больше 40 тысяч долларов. Сразу после этого толпы сочувствующих прямо-таки завалили хакера транзакциями с самыми разными сообщениями, надеясь, что и им что-нибудь на чай перепадёт. Увы, увы.
https://www.securitylab.ru/news/523318.php
В этом Твиттер-треде можно почитать составленное самим хакером Q&A, прописанное в Ethereum-транзакциях. Он утверждает, что эта атака для него — просто способ развлечься и привлечь внимание к критической уязвимости, которой могли бы воспользоваться инсайдеры, если бы он о ней просто сообщил. Что ж, справедливо: если бы он хотел обогатиться, вряд ли бы беззаботно забрал 600 миллионов одной пачкой.
Ещё хакер рассказывает, что очень обиделся на Poly, которая призвала к бойкотированию адресов, не дав ему и слова сказать. Поэтому часть монет, чей курс привязан к доллару один к одному, он продал или обменял.
И нельзя не упомянуть презабавный момент в беседах с аудиторией. Один пользователь сообщил хакеру, что его USDT теперь в чёрном списке, и посоветовал этот токен не использовать. В ответ тронутый заботой хакер выслал ему 13.37 ETH — это больше 40 тысяч долларов. Сразу после этого толпы сочувствующих прямо-таки завалили хакера транзакциями с самыми разными сообщениями, надеясь, что и им что-нибудь на чай перепадёт. Увы, увы.
SecurityLab.ru
Хакеры вернули почти половину средств, украденные у Poly Network
Один из злоумышленников уже начал возвращать украденные деньги после того, как специалисты по кибербезопасности из SlowMist обнаружили некие маркеры, позволяющие его идентифицировать.
В Microsoft Exchange активно экслуатируется набор уязвимостей, получивших название ProxyShell: хакеры постоянно ищут новых жертв. Жертвы находятся среди локальных установок Exchange, которые давно не обновляли.
ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.
Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.
Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32 — createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.
ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник .NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/
В начале этого года были похожие атаки, получившие название ProxyLogon (можно почитать больше тут). Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.
ProxyShell включает три уязвимости. Одна позволяет обходить ACL, вторая — повышать привилегии в Exchange PowerShell Backend, а третья — записывать произвольные файлы и разворачивать RCE-атаки. В апреле исследователи из Devcore показали все эти уязвимости на конференции Pwn2Own, и Microsoft их оперативно пропатчила. Конечно, хакеры не менее оперативно начали искать уязвимые системы.
Исследователи из NCC Group развернули специальный сервер-приманку, до которого хакеры добрались, наглядно продемонстрировав, что и как они делают. Говорится о волне атак, в которой пострадало как минимум 30 тысяч машин.
Выглядит всё это дело так. Сначала хакеры кладут в папку /aspnet_client/ веб-шелл на С#, позволяющий грузить на сервер любые файлы. Через него уже загружают второй шелл и кладут два файла в C:\Windows\System32 — createhidetask.exe и ApplicationUpdate.exe. Второй шелл запускает createhidetask.exe, который создаёт задачу: каждую ночь запускать ApplicationUpdate.exe.
ApplicationUpdate.exe пока что просто тянет с удалённого сервера обычный бинарник .NET. Ожидается, естественно, что он начнёт тянуть что-то куда более неприятное, как только хакеры заразят достаточно машин.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/
В начале этого года были похожие атаки, получившие название ProxyLogon (можно почитать больше тут). Тогда хакеры крали с заражённых серверов данные и заражали их рансомварью. Скорее всего, сейчас будет что-то похожее.
BleepingComputer
Microsoft Exchange servers are getting hacked via ProxyShell exploits
Threat actors are actively exploiting Microsoft Exchange servers using the ProxyShell vulnerability to install backdoors for later access.
Тут хакер выложил на продажу за 6 биткоинов (около 285 тысяч долларов) треть базы данных пользователей T-Mobile, одного из крупнейших мобильных операторов США. Продавец говорит, что во всей базе в целом собраны данные около 100 миллионов клиентов: даты рождения, номера водительских лицензий и номера социального страхования. Возможно, там ещё есть имена, телефонные номера, IMSI и IMEI. Продажу оставшейся части базы, по словам продавца, он обсуждает с кем-то частно.
Данные появились якобы в результате взлома. Хакеры рассказывают, что им уже перекрыли доступы, но до этого они успели выгрузить все данные и надёжно их забэкапить.
Чем это страшно? Если у злоумышленника есть номер соцстрахования жертвы, этого достаточно, чтобы взять на её имя кредит и потратить медицинскую страховку. Если преступника потом арестуют, он может оставить полицейским этот номер и втянуть жертву в разбирательства, де-факто лишая её заодно шансов получить работу в сфере, где перед наймом проверяют, не был ли человек замешан в чём-то противозаконном.
С водительской лицензией схожая история. Злоумышленник может выпустить поддельную лицензию, например, или подать от имени владельца лицензии заявку на пособие по безработице.
Вариантов много, в общем, если датасет настоящий. Увы, очень на то похоже.
https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million
Данные появились якобы в результате взлома. Хакеры рассказывают, что им уже перекрыли доступы, но до этого они успели выгрузить все данные и надёжно их забэкапить.
Чем это страшно? Если у злоумышленника есть номер соцстрахования жертвы, этого достаточно, чтобы взять на её имя кредит и потратить медицинскую страховку. Если преступника потом арестуют, он может оставить полицейским этот номер и втянуть жертву в разбирательства, де-факто лишая её заодно шансов получить работу в сфере, где перед наймом проверяют, не был ли человек замешан в чём-то противозаконном.
С водительской лицензией схожая история. Злоумышленник может выпустить поддельную лицензию, например, или подать от имени владельца лицензии заявку на пособие по безработице.
Вариантов много, в общем, если датасет настоящий. Увы, очень на то похоже.
https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million
VICE
T-Mobile Investigating Claims of Massive Customer Data Breach
Hackers selling the data are claiming it affects 100 million users.
Я тут недавно рассказывал про рекордную крипто-атаку на 600 миллионов долларов. Тот хакер, кстати говоря, сейчас уже запутался в своём робингудстве и отказывается возвращать оставшуюся половину украденного, пока его заблокированные стейблкоины на $33 миллиона не разморозят. Страсти всё накаляются.
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
XAKEP
У японской криптовалютной биржи Liquid украли 94 млн долларов
Японская криптовалютная биржа Liquid подверглась хакерской атаке. Неизвестные хакеры взломали ее серверы и похитили криптоактивы, чья стоимость по текущим курсам составляет около 94 000 000 долларов.
Ещё я недавно писал об уязвимостях в Microsoft Exchange, которые объединили под общим названием ProxyShell: они пропатчены и затрагивают только необновлённые сервера. Тогда мы остановились на том, что хакеры получали доступ к машине и ставили на неё ежедневную автоподгрузку файла с удалённого сервера. На тот момент с сервера тянулся обычный бинарник .NET, но было очевидно, что дело этим не закончится.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
BleepingComputer
Microsoft Exchange servers being hacked by new LockFile ransomware
A new ransomware gang known as LockFile encrypts Windows domains after hacking into Microsoft Exchange servers using the recently disclosed ProxyShell vulnerabilities.
Возвращаемся к нашим пегасусам. Надеюсь, ты ещё не успел соскучиться по этим ребятам.
CitizenLab опубликовали отчёт о том, как правительство Бахрейна использовало Пегасус для слежки за девятью активистами в период с июня 2020 до февраля 2021.
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
Некоторых из активистов взломали, используя известные iMessage-уязвимости KISMET и FORCEDENTRY, которые не требуют никаких действий со стороны жертвы. Во взломе как минимум четырёх подозревается LULU, ручная группировка бахрейнского правительства.
Троих заразили Пегасусом, когда они были в Лондоне. CitizenLab говорят, что шпионство от Бахрейна они замечали только внутри собственных границ или территориях Катара, а в Европе те никогда не активничали. Возможно, хакеры, взломавшие этих активистов, работают на какое-то другое правительство. А может, просто стали наглее.
CitizenLab поделились номерами этих активистов с Forbidden Stories, которые опубликовали изначально тот самый Список Потенциальных Жертв Пегасуса. Они подтвердили, что пять из девяти этих номеров есть в списке. Кажется, список всё же правдивый, но весьма хаотичный — включает потенциальных жертв и упускает некоторых действующих.
Бахрейн — давние любители и опытные (больше 10 лет) пользователи разнообразной спайвари, особенно активизировавшиеся в арабскую весну. В 2011 Bloomberg рассказывал, как они приобрели софт для слежки у Trovicor, который использовали для слежки за активистами. После ареста один активист оказался под пытками, а затем рассказал, что ему предъявляли в обвинениях копии его смс-переписок, перехваченные той самой спайварью.
Ещё через год Бахрейн решил попробовать продукты британско-немецкой FinFisher и начал рассылать желаемым жертвам письма с темами вроде «отчёт о пытках [известного активиста]». В них лежал rar-архив, представленный как «рассказ о пытках [известного активиста] от президента центра по борьбе за права человека». Разумеется, скачавший и открывший архив активист получал на своё устройство спайварь. Отдельная история — взлом юриста, выступавшего для активистов как правозащитник. Он получил диск, на котором был ультиматум: или он перестаёт защищать активистов, или содержащееся на диске видео станет публичным. Юрист посмотрел видео на своём компьютере — это была откровенная запись его с женой, снятая со скрытой камеры на потолке его дома. Этот самый диск заодно заразил его устройство спайварью.
А ещё через год была история о том, как анонимным активистам присылали в соцсетях IP-логгеры. Все кликнувшие или арестовывались, или теряли работу. Один семнадцатилетний старшеклассник кликнул по такой ссылке, отправленной с аккаунта арестованного активиста: там предлагались услуги перевода. Кликнул и сел на год — обвинили в публикации твитов с оскорблениями в адрес короля Бахрейна.
В общем, едва ли кого-то удивило, что Бахрейн оказался одним из самых активных клиентов NSO и любителей Пегасуса. Для таких и стараются, в конце концов.
CitizenLab опубликовали отчёт о том, как правительство Бахрейна использовало Пегасус для слежки за девятью активистами в период с июня 2020 до февраля 2021.
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
Некоторых из активистов взломали, используя известные iMessage-уязвимости KISMET и FORCEDENTRY, которые не требуют никаких действий со стороны жертвы. Во взломе как минимум четырёх подозревается LULU, ручная группировка бахрейнского правительства.
Троих заразили Пегасусом, когда они были в Лондоне. CitizenLab говорят, что шпионство от Бахрейна они замечали только внутри собственных границ или территориях Катара, а в Европе те никогда не активничали. Возможно, хакеры, взломавшие этих активистов, работают на какое-то другое правительство. А может, просто стали наглее.
CitizenLab поделились номерами этих активистов с Forbidden Stories, которые опубликовали изначально тот самый Список Потенциальных Жертв Пегасуса. Они подтвердили, что пять из девяти этих номеров есть в списке. Кажется, список всё же правдивый, но весьма хаотичный — включает потенциальных жертв и упускает некоторых действующих.
Бахрейн — давние любители и опытные (больше 10 лет) пользователи разнообразной спайвари, особенно активизировавшиеся в арабскую весну. В 2011 Bloomberg рассказывал, как они приобрели софт для слежки у Trovicor, который использовали для слежки за активистами. После ареста один активист оказался под пытками, а затем рассказал, что ему предъявляли в обвинениях копии его смс-переписок, перехваченные той самой спайварью.
Ещё через год Бахрейн решил попробовать продукты британско-немецкой FinFisher и начал рассылать желаемым жертвам письма с темами вроде «отчёт о пытках [известного активиста]». В них лежал rar-архив, представленный как «рассказ о пытках [известного активиста] от президента центра по борьбе за права человека». Разумеется, скачавший и открывший архив активист получал на своё устройство спайварь. Отдельная история — взлом юриста, выступавшего для активистов как правозащитник. Он получил диск, на котором был ультиматум: или он перестаёт защищать активистов, или содержащееся на диске видео станет публичным. Юрист посмотрел видео на своём компьютере — это была откровенная запись его с женой, снятая со скрытой камеры на потолке его дома. Этот самый диск заодно заразил его устройство спайварью.
А ещё через год была история о том, как анонимным активистам присылали в соцсетях IP-логгеры. Все кликнувшие или арестовывались, или теряли работу. Один семнадцатилетний старшеклассник кликнул по такой ссылке, отправленной с аккаунта арестованного активиста: там предлагались услуги перевода. Кликнул и сел на год — обвинили в публикации твитов с оскорблениями в адрес короля Бахрейна.
В общем, едва ли кого-то удивило, что Бахрейн оказался одним из самых активных клиентов NSO и любителей Пегасуса. Для таких и стараются, в конце концов.
The Citizen Lab
From Pearl to Pegasus
We identified nine Bahraini activists whose iPhones were successfully hacked with NSO Group’s Pegasus spyware between June 2020 and February 2021. The hacked activists included three members of Waad (a secular Bahraini political society), three members of…
Авторы шифровальщика Ragnarok/Asnarök решили последовать примеру коллег из REvil, а также Avaddon и SynAck. В январе 2020 они прославились серией атак на сервера Citrix с устаревшим ПО. В коде того вируса было зашито избегание целей из Китая, Латвии и некоторых стран СНГ, в том числе России. Сочетание занятное.
Теперь сайт хакеров, где ранее красовались список жертв и украденные у особо несговорчивых данные, превратился в голую страницу со ссылкой на бесплатный дешифровщик и краткой инструкцией к нему. Никаких комментариев не оставили.
https://xakep.ru/2021/08/27/ragnarok-down/
Изучившие дешифровщик эксперты сошлись в том, что он действительно работает, но предложили подождать гарантированно безопасного варианта. Тот не заставил себя долго ждать: Emsisoft его уже выпустили.
Что ж, ребята из Ragnarok оказались куда благороднее REvil. Те, напоминаю, удалились ребрендиться молча, ничего не оставив ещё не успевшим от них отплатиться жертвам.
Теперь сайт хакеров, где ранее красовались список жертв и украденные у особо несговорчивых данные, превратился в голую страницу со ссылкой на бесплатный дешифровщик и краткой инструкцией к нему. Никаких комментариев не оставили.
https://xakep.ru/2021/08/27/ragnarok-down/
Изучившие дешифровщик эксперты сошлись в том, что он действительно работает, но предложили подождать гарантированно безопасного варианта. Тот не заставил себя долго ждать: Emsisoft его уже выпустили.
Что ж, ребята из Ragnarok оказались куда благороднее REvil. Те, напоминаю, удалились ребрендиться молча, ничего не оставив ещё не успевшим от них отплатиться жертвам.
XAKEP
Шифровальщик Ragnarok закрылся. Выпущена утилита для дешифровки файлов
Операторы шифровальщика Ragnarok (он же Asnarök) сообщили о прекращении всех операций и выпустили бесплатную утилиту для дешифровки файлов.
Пишут, что Clearview AI предлагала бесплатные пробные версии своего софта для распознавания лиц правохранительным органам и правительственным агентствам по меньшей мере 24 стран. России в опубликованном списке нет. Есть ОАЭ, Канада, Франция, Британия, Австралия: карту скину ниже, чтобы в гости не ходить.
https://www.securitylab.ru/news/523835.php
С Clearview можно сделать фото подозреваемого, прогнать через эту софтину и через пару секунд получить варианты его предположительной личности. Компания говорит, что софтину обучали на более чем 3 миллиардах фото, собранных из Фейсбука, Инстаграма, Линкедина и Твиттера, поэтому она гораздо точнее других похожих. Впрочем, авторы исследования утверждают, что ошибки периодически случаются (что не особо удивительно).
Некоторые из стран-клиентов уже отказались от сотрудничества с компанией. Например, уполномоченный по защите приватности данных Канады в феврале этого года потребовал, чтобы Clearview перестала предлагать свои продукты канадским организациям и собирать фотографии канадцев. Уже собранные фото и биометрию компания должна удалить из своей базы.
Большая часть обвиняемых агентств утверждает, что корова не их: Clearview не использовали, а ещё это было давно, не в целях ловли преступников и неправда. Многие и вовсе отказываются что-либо говорить на этот счёт.
Табличку со списком агентств и их комментариями можно посмотреть здесь.
https://www.securitylab.ru/news/523835.php
С Clearview можно сделать фото подозреваемого, прогнать через эту софтину и через пару секунд получить варианты его предположительной личности. Компания говорит, что софтину обучали на более чем 3 миллиардах фото, собранных из Фейсбука, Инстаграма, Линкедина и Твиттера, поэтому она гораздо точнее других похожих. Впрочем, авторы исследования утверждают, что ошибки периодически случаются (что не особо удивительно).
Некоторые из стран-клиентов уже отказались от сотрудничества с компанией. Например, уполномоченный по защите приватности данных Канады в феврале этого года потребовал, чтобы Clearview перестала предлагать свои продукты канадским организациям и собирать фотографии канадцев. Уже собранные фото и биометрию компания должна удалить из своей базы.
Большая часть обвиняемых агентств утверждает, что корова не их: Clearview не использовали, а ещё это было давно, не в целях ловли преступников и неправда. Многие и вовсе отказываются что-либо говорить на этот счёт.
Табличку со списком агентств и их комментариями можно посмотреть здесь.
SecurityLab.ru
Систему распознавания лиц Clearview AI использовали правоохранительные органы по всему миру
Полицейские управления, прокуратуры, университеты и министерства внутренних дел со всего мира выполнили почти 14000 поисковых запросов с помощью Clearview AI.
Несу вечерний экшон тебе в телеграм-вкладочки, продолжаем с T-Mobile. Напоминаю, недавно инфраструктуру одного из крупнейших мобильных операторов США взломали, утащив из баз данные десятков миллионов клиентов. Всё украденне затем оказалось на продаже в дарквебе.
Теперь же 21-летний Джон Биннс, гражданин США наполовину турецкого происхождения, заявил, что он и есть хакер. Говорит, что взломал T-Mobile, чтобы отомстить США за его похищение и пытки агентами ЦРУ и турецкой разведки.
Летом 2020 года Биннс подавал в суд на ЦРУ: оно сначала попыталось его завербовать, а затем преследовало и даже пытало. Биннс утверждал, что ЦРУ солгало турецкой разведке о том, что он — сторонник и член ИГИЛ, а также призвало эту разведку его убить. Затем его похитили и пытали в Германии. Дело тогда сочли несостоятельным и отклонили.
Биннс давно общается с Wall Street Journal в Телеграме и поделился с ними доказательствами того, что T-Mobile взломал именно он. Ещё сообщил WSJ, что у него нет причин выдумывать небылицы про ЦРУ, и он очень надеется, что кто-нибудь в ФБР сольёт больше деталей об этом всём.
Доступ к серверам T-Mobile Биннс получил в июле — после некоторых поисков обнаружил незащищённый маршрутизатор, через который и проник в один из дата-центров. До 4 августа Биннс успел выгрузить оттуда миллионы файлов с личными данными клиентов. За это он говорит спасибо просто ужасному уровню защиты системы: хакеру прямо не по себе было из-за того, что у него есть доступ к чему-то настолько огромному, ещё и доставшийся так просто.
В слитых данных обнаружились как потенциальные клиенты, так и давным-давно переставшие ими быть. Что ж, грамотному обращению с данными T-Mobile и правда стоило бы поучиться — тут с хакером и не поспоришь.
https://threatpost.com/t-mobile-security-awful-thief/169011/
Теперь же 21-летний Джон Биннс, гражданин США наполовину турецкого происхождения, заявил, что он и есть хакер. Говорит, что взломал T-Mobile, чтобы отомстить США за его похищение и пытки агентами ЦРУ и турецкой разведки.
Летом 2020 года Биннс подавал в суд на ЦРУ: оно сначала попыталось его завербовать, а затем преследовало и даже пытало. Биннс утверждал, что ЦРУ солгало турецкой разведке о том, что он — сторонник и член ИГИЛ, а также призвало эту разведку его убить. Затем его похитили и пытали в Германии. Дело тогда сочли несостоятельным и отклонили.
Биннс давно общается с Wall Street Journal в Телеграме и поделился с ними доказательствами того, что T-Mobile взломал именно он. Ещё сообщил WSJ, что у него нет причин выдумывать небылицы про ЦРУ, и он очень надеется, что кто-нибудь в ФБР сольёт больше деталей об этом всём.
Доступ к серверам T-Mobile Биннс получил в июле — после некоторых поисков обнаружил незащищённый маршрутизатор, через который и проник в один из дата-центров. До 4 августа Биннс успел выгрузить оттуда миллионы файлов с личными данными клиентов. За это он говорит спасибо просто ужасному уровню защиты системы: хакеру прямо не по себе было из-за того, что у него есть доступ к чему-то настолько огромному, ещё и доставшийся так просто.
В слитых данных обнаружились как потенциальные клиенты, так и давным-давно переставшие ими быть. Что ж, грамотному обращению с данными T-Mobile и правда стоило бы поучиться — тут с хакером и не поспоришь.
https://threatpost.com/t-mobile-security-awful-thief/169011/
Threat Post
T-Mobile’s Security Is ‘Awful,’ Says Purported Thief
John Binns, claiming to be behind the massive T-Mobile theft of >50M customer records, dissed the security measures of the US's No. 2 wireless biggest carrier. T-Mobile is "humbled," it said.