Я тут недавно рассказывал про рекордную крипто-атаку на 600 миллионов долларов. Тот хакер, кстати говоря, сейчас уже запутался в своём робингудстве и отказывается возвращать оставшуюся половину украденного, пока его заблокированные стейблкоины на $33 миллиона не разморозят. Страсти всё накаляются.
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
А вот теперь масштабы поменьше, но всё равно впечатляющие — у японского обменника Liquid украли 94 миллиона долларов. Около половины из этого приходится на ETH и Ethereum-токены. Всё это добро оперативно сконвертировали в другие валюты, чтобы украденное не заморозилось, как у упомянутого выше коллеги.
Примечательный момент: Liquid для защиты ключей использует MPC. Ключ генерируется коллективно множеством участников, каждый из которых не видит части, сгенерированные остальными. Кажется, эта механика и стала уязвимостью, которой воспользовались хакеры. При этом к MPC неровно дышит куча международных банков и голубых фишек, планирующих как-то связаться с криптой.
Я уверен, у меня есть читатели, держащие где-нибудь какой-нибудь эфир. Так вот, воспользуюсь случаем и напомню, что из горячих кошельков нужно всё убирать. Если, конечно, ещё не.
https://xakep.ru/2021/08/19/liquid/
XAKEP
У японской криптовалютной биржи Liquid украли 94 млн долларов
Японская криптовалютная биржа Liquid подверглась хакерской атаке. Неизвестные хакеры взломали ее серверы и похитили криптоактивы, чья стоимость по текущим курсам составляет около 94 000 000 долларов.
Ещё я недавно писал об уязвимостях в Microsoft Exchange, которые объединили под общим названием ProxyShell: они пропатчены и затрагивают только необновлённые сервера. Тогда мы остановились на том, что хакеры получали доступ к машине и ставили на неё ежедневную автоподгрузку файла с удалённого сервера. На тот момент с сервера тянулся обычный бинарник .NET, но было очевидно, что дело этим не закончится.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
Хакеры продолжают искать жертв, но вот и эксплойты активно посыпались. Замечены, например, ребята, которые комбинируют уязвимости ProxyShell с PetitPotam и заражают взломанные машины рансомварью LockFile.
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/
https://therecord.media/almost-2000-exchange-servers-hacked-using-proxyshell-exploit/
Начало печальное: на хакерском форуме услужливо опубликовали в открытом виде список из как минимум 100 тысяч серверов, уязвимых к ProxyShell и ProxyLogon. Microsoft пока молчит, а NSA напомнило в Твиттере про своё руководство по выявлению вебшеллов, которое публиковалось ещё в марте. Тогда прокатилась схожая волна атак ProxyLogon, затронувшая порядка 250 тысяч машин.
Про LockFile и масштабы атаки известно пока не очень много. Проанализировавшие его исследователи разве что замечают, что вирус крайне прожорлив до ресурсов, и от него периодически подвисает система. Ещё вот здесь можно посмотреть собранные индикаторы компрометации и подробнее прочитать про загружаемые на взломанные сервера вебшеллы.
BleepingComputer
Microsoft Exchange servers being hacked by new LockFile ransomware
A new ransomware gang known as LockFile encrypts Windows domains after hacking into Microsoft Exchange servers using the recently disclosed ProxyShell vulnerabilities.
Возвращаемся к нашим пегасусам. Надеюсь, ты ещё не успел соскучиться по этим ребятам.
CitizenLab опубликовали отчёт о том, как правительство Бахрейна использовало Пегасус для слежки за девятью активистами в период с июня 2020 до февраля 2021.
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
Некоторых из активистов взломали, используя известные iMessage-уязвимости KISMET и FORCEDENTRY, которые не требуют никаких действий со стороны жертвы. Во взломе как минимум четырёх подозревается LULU, ручная группировка бахрейнского правительства.
Троих заразили Пегасусом, когда они были в Лондоне. CitizenLab говорят, что шпионство от Бахрейна они замечали только внутри собственных границ или территориях Катара, а в Европе те никогда не активничали. Возможно, хакеры, взломавшие этих активистов, работают на какое-то другое правительство. А может, просто стали наглее.
CitizenLab поделились номерами этих активистов с Forbidden Stories, которые опубликовали изначально тот самый Список Потенциальных Жертв Пегасуса. Они подтвердили, что пять из девяти этих номеров есть в списке. Кажется, список всё же правдивый, но весьма хаотичный — включает потенциальных жертв и упускает некоторых действующих.
Бахрейн — давние любители и опытные (больше 10 лет) пользователи разнообразной спайвари, особенно активизировавшиеся в арабскую весну. В 2011 Bloomberg рассказывал, как они приобрели софт для слежки у Trovicor, который использовали для слежки за активистами. После ареста один активист оказался под пытками, а затем рассказал, что ему предъявляли в обвинениях копии его смс-переписок, перехваченные той самой спайварью.
Ещё через год Бахрейн решил попробовать продукты британско-немецкой FinFisher и начал рассылать желаемым жертвам письма с темами вроде «отчёт о пытках [известного активиста]». В них лежал rar-архив, представленный как «рассказ о пытках [известного активиста] от президента центра по борьбе за права человека». Разумеется, скачавший и открывший архив активист получал на своё устройство спайварь. Отдельная история — взлом юриста, выступавшего для активистов как правозащитник. Он получил диск, на котором был ультиматум: или он перестаёт защищать активистов, или содержащееся на диске видео станет публичным. Юрист посмотрел видео на своём компьютере — это была откровенная запись его с женой, снятая со скрытой камеры на потолке его дома. Этот самый диск заодно заразил его устройство спайварью.
А ещё через год была история о том, как анонимным активистам присылали в соцсетях IP-логгеры. Все кликнувшие или арестовывались, или теряли работу. Один семнадцатилетний старшеклассник кликнул по такой ссылке, отправленной с аккаунта арестованного активиста: там предлагались услуги перевода. Кликнул и сел на год — обвинили в публикации твитов с оскорблениями в адрес короля Бахрейна.
В общем, едва ли кого-то удивило, что Бахрейн оказался одним из самых активных клиентов NSO и любителей Пегасуса. Для таких и стараются, в конце концов.
CitizenLab опубликовали отчёт о том, как правительство Бахрейна использовало Пегасус для слежки за девятью активистами в период с июня 2020 до февраля 2021.
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
Некоторых из активистов взломали, используя известные iMessage-уязвимости KISMET и FORCEDENTRY, которые не требуют никаких действий со стороны жертвы. Во взломе как минимум четырёх подозревается LULU, ручная группировка бахрейнского правительства.
Троих заразили Пегасусом, когда они были в Лондоне. CitizenLab говорят, что шпионство от Бахрейна они замечали только внутри собственных границ или территориях Катара, а в Европе те никогда не активничали. Возможно, хакеры, взломавшие этих активистов, работают на какое-то другое правительство. А может, просто стали наглее.
CitizenLab поделились номерами этих активистов с Forbidden Stories, которые опубликовали изначально тот самый Список Потенциальных Жертв Пегасуса. Они подтвердили, что пять из девяти этих номеров есть в списке. Кажется, список всё же правдивый, но весьма хаотичный — включает потенциальных жертв и упускает некоторых действующих.
Бахрейн — давние любители и опытные (больше 10 лет) пользователи разнообразной спайвари, особенно активизировавшиеся в арабскую весну. В 2011 Bloomberg рассказывал, как они приобрели софт для слежки у Trovicor, который использовали для слежки за активистами. После ареста один активист оказался под пытками, а затем рассказал, что ему предъявляли в обвинениях копии его смс-переписок, перехваченные той самой спайварью.
Ещё через год Бахрейн решил попробовать продукты британско-немецкой FinFisher и начал рассылать желаемым жертвам письма с темами вроде «отчёт о пытках [известного активиста]». В них лежал rar-архив, представленный как «рассказ о пытках [известного активиста] от президента центра по борьбе за права человека». Разумеется, скачавший и открывший архив активист получал на своё устройство спайварь. Отдельная история — взлом юриста, выступавшего для активистов как правозащитник. Он получил диск, на котором был ультиматум: или он перестаёт защищать активистов, или содержащееся на диске видео станет публичным. Юрист посмотрел видео на своём компьютере — это была откровенная запись его с женой, снятая со скрытой камеры на потолке его дома. Этот самый диск заодно заразил его устройство спайварью.
А ещё через год была история о том, как анонимным активистам присылали в соцсетях IP-логгеры. Все кликнувшие или арестовывались, или теряли работу. Один семнадцатилетний старшеклассник кликнул по такой ссылке, отправленной с аккаунта арестованного активиста: там предлагались услуги перевода. Кликнул и сел на год — обвинили в публикации твитов с оскорблениями в адрес короля Бахрейна.
В общем, едва ли кого-то удивило, что Бахрейн оказался одним из самых активных клиентов NSO и любителей Пегасуса. Для таких и стараются, в конце концов.
The Citizen Lab
From Pearl to Pegasus
We identified nine Bahraini activists whose iPhones were successfully hacked with NSO Group’s Pegasus spyware between June 2020 and February 2021. The hacked activists included three members of Waad (a secular Bahraini political society), three members of…
Авторы шифровальщика Ragnarok/Asnarök решили последовать примеру коллег из REvil, а также Avaddon и SynAck. В январе 2020 они прославились серией атак на сервера Citrix с устаревшим ПО. В коде того вируса было зашито избегание целей из Китая, Латвии и некоторых стран СНГ, в том числе России. Сочетание занятное.
Теперь сайт хакеров, где ранее красовались список жертв и украденные у особо несговорчивых данные, превратился в голую страницу со ссылкой на бесплатный дешифровщик и краткой инструкцией к нему. Никаких комментариев не оставили.
https://xakep.ru/2021/08/27/ragnarok-down/
Изучившие дешифровщик эксперты сошлись в том, что он действительно работает, но предложили подождать гарантированно безопасного варианта. Тот не заставил себя долго ждать: Emsisoft его уже выпустили.
Что ж, ребята из Ragnarok оказались куда благороднее REvil. Те, напоминаю, удалились ребрендиться молча, ничего не оставив ещё не успевшим от них отплатиться жертвам.
Теперь сайт хакеров, где ранее красовались список жертв и украденные у особо несговорчивых данные, превратился в голую страницу со ссылкой на бесплатный дешифровщик и краткой инструкцией к нему. Никаких комментариев не оставили.
https://xakep.ru/2021/08/27/ragnarok-down/
Изучившие дешифровщик эксперты сошлись в том, что он действительно работает, но предложили подождать гарантированно безопасного варианта. Тот не заставил себя долго ждать: Emsisoft его уже выпустили.
Что ж, ребята из Ragnarok оказались куда благороднее REvil. Те, напоминаю, удалились ребрендиться молча, ничего не оставив ещё не успевшим от них отплатиться жертвам.
XAKEP
Шифровальщик Ragnarok закрылся. Выпущена утилита для дешифровки файлов
Операторы шифровальщика Ragnarok (он же Asnarök) сообщили о прекращении всех операций и выпустили бесплатную утилиту для дешифровки файлов.
Пишут, что Clearview AI предлагала бесплатные пробные версии своего софта для распознавания лиц правохранительным органам и правительственным агентствам по меньшей мере 24 стран. России в опубликованном списке нет. Есть ОАЭ, Канада, Франция, Британия, Австралия: карту скину ниже, чтобы в гости не ходить.
https://www.securitylab.ru/news/523835.php
С Clearview можно сделать фото подозреваемого, прогнать через эту софтину и через пару секунд получить варианты его предположительной личности. Компания говорит, что софтину обучали на более чем 3 миллиардах фото, собранных из Фейсбука, Инстаграма, Линкедина и Твиттера, поэтому она гораздо точнее других похожих. Впрочем, авторы исследования утверждают, что ошибки периодически случаются (что не особо удивительно).
Некоторые из стран-клиентов уже отказались от сотрудничества с компанией. Например, уполномоченный по защите приватности данных Канады в феврале этого года потребовал, чтобы Clearview перестала предлагать свои продукты канадским организациям и собирать фотографии канадцев. Уже собранные фото и биометрию компания должна удалить из своей базы.
Большая часть обвиняемых агентств утверждает, что корова не их: Clearview не использовали, а ещё это было давно, не в целях ловли преступников и неправда. Многие и вовсе отказываются что-либо говорить на этот счёт.
Табличку со списком агентств и их комментариями можно посмотреть здесь.
https://www.securitylab.ru/news/523835.php
С Clearview можно сделать фото подозреваемого, прогнать через эту софтину и через пару секунд получить варианты его предположительной личности. Компания говорит, что софтину обучали на более чем 3 миллиардах фото, собранных из Фейсбука, Инстаграма, Линкедина и Твиттера, поэтому она гораздо точнее других похожих. Впрочем, авторы исследования утверждают, что ошибки периодически случаются (что не особо удивительно).
Некоторые из стран-клиентов уже отказались от сотрудничества с компанией. Например, уполномоченный по защите приватности данных Канады в феврале этого года потребовал, чтобы Clearview перестала предлагать свои продукты канадским организациям и собирать фотографии канадцев. Уже собранные фото и биометрию компания должна удалить из своей базы.
Большая часть обвиняемых агентств утверждает, что корова не их: Clearview не использовали, а ещё это было давно, не в целях ловли преступников и неправда. Многие и вовсе отказываются что-либо говорить на этот счёт.
Табличку со списком агентств и их комментариями можно посмотреть здесь.
SecurityLab.ru
Систему распознавания лиц Clearview AI использовали правоохранительные органы по всему миру
Полицейские управления, прокуратуры, университеты и министерства внутренних дел со всего мира выполнили почти 14000 поисковых запросов с помощью Clearview AI.
Несу вечерний экшон тебе в телеграм-вкладочки, продолжаем с T-Mobile. Напоминаю, недавно инфраструктуру одного из крупнейших мобильных операторов США взломали, утащив из баз данные десятков миллионов клиентов. Всё украденне затем оказалось на продаже в дарквебе.
Теперь же 21-летний Джон Биннс, гражданин США наполовину турецкого происхождения, заявил, что он и есть хакер. Говорит, что взломал T-Mobile, чтобы отомстить США за его похищение и пытки агентами ЦРУ и турецкой разведки.
Летом 2020 года Биннс подавал в суд на ЦРУ: оно сначала попыталось его завербовать, а затем преследовало и даже пытало. Биннс утверждал, что ЦРУ солгало турецкой разведке о том, что он — сторонник и член ИГИЛ, а также призвало эту разведку его убить. Затем его похитили и пытали в Германии. Дело тогда сочли несостоятельным и отклонили.
Биннс давно общается с Wall Street Journal в Телеграме и поделился с ними доказательствами того, что T-Mobile взломал именно он. Ещё сообщил WSJ, что у него нет причин выдумывать небылицы про ЦРУ, и он очень надеется, что кто-нибудь в ФБР сольёт больше деталей об этом всём.
Доступ к серверам T-Mobile Биннс получил в июле — после некоторых поисков обнаружил незащищённый маршрутизатор, через который и проник в один из дата-центров. До 4 августа Биннс успел выгрузить оттуда миллионы файлов с личными данными клиентов. За это он говорит спасибо просто ужасному уровню защиты системы: хакеру прямо не по себе было из-за того, что у него есть доступ к чему-то настолько огромному, ещё и доставшийся так просто.
В слитых данных обнаружились как потенциальные клиенты, так и давным-давно переставшие ими быть. Что ж, грамотному обращению с данными T-Mobile и правда стоило бы поучиться — тут с хакером и не поспоришь.
https://threatpost.com/t-mobile-security-awful-thief/169011/
Теперь же 21-летний Джон Биннс, гражданин США наполовину турецкого происхождения, заявил, что он и есть хакер. Говорит, что взломал T-Mobile, чтобы отомстить США за его похищение и пытки агентами ЦРУ и турецкой разведки.
Летом 2020 года Биннс подавал в суд на ЦРУ: оно сначала попыталось его завербовать, а затем преследовало и даже пытало. Биннс утверждал, что ЦРУ солгало турецкой разведке о том, что он — сторонник и член ИГИЛ, а также призвало эту разведку его убить. Затем его похитили и пытали в Германии. Дело тогда сочли несостоятельным и отклонили.
Биннс давно общается с Wall Street Journal в Телеграме и поделился с ними доказательствами того, что T-Mobile взломал именно он. Ещё сообщил WSJ, что у него нет причин выдумывать небылицы про ЦРУ, и он очень надеется, что кто-нибудь в ФБР сольёт больше деталей об этом всём.
Доступ к серверам T-Mobile Биннс получил в июле — после некоторых поисков обнаружил незащищённый маршрутизатор, через который и проник в один из дата-центров. До 4 августа Биннс успел выгрузить оттуда миллионы файлов с личными данными клиентов. За это он говорит спасибо просто ужасному уровню защиты системы: хакеру прямо не по себе было из-за того, что у него есть доступ к чему-то настолько огромному, ещё и доставшийся так просто.
В слитых данных обнаружились как потенциальные клиенты, так и давным-давно переставшие ими быть. Что ж, грамотному обращению с данными T-Mobile и правда стоило бы поучиться — тут с хакером и не поспоришь.
https://threatpost.com/t-mobile-security-awful-thief/169011/
Threat Post
T-Mobile’s Security Is ‘Awful,’ Says Purported Thief
John Binns, claiming to be behind the massive T-Mobile theft of >50M customer records, dissed the security measures of the US's No. 2 wireless biggest carrier. T-Mobile is "humbled," it said.
Сингапурские исследователи рассказали о 16 уязвимостях BrakTooth, обнаруженных в широко используемом стеке Bluetooth Classic. В основном эти уязвимости допускают DoS-атаки, а одна — исполнение произвольного кода.
Потенциальные жертвы — миллиарды устройств, использующих Wi-Fi модули из исследованного списка. Его прикреплю чуть ниже, но выглядит не очень. Чего стоит уже первый в списке Intel AX200, бюджетный адаптер, присутствующий в куче ноутбуков. Ноутам и смартфонам на нём и Qualcomm WCN3990 угрожают DoS-атаки, способные ронять ПО.
Да что уж там, даже портативным колонкам может потенциально достаться.
Самая критичная уязвимость затрагивает микроконтроллеры, обычно используемые для различных умных домашних устройств: она позволяет загрузить на устройство до 8 байт произвольных данных. Через это можно, например, чистить память устройств и отключать Wi-Fi с Bluetooth. Наконец, можно просто-напросто ввод-вывод контролировать, включая и выключая всё, что заблагорассудится.
В общем, как кто-то однажды удачно подметил, влюблённый в девайсы техногик напичкает свой дом всякими умными штуками. А айтишник, в умственность уже не верящий, не пустит под свою крышу ничего сложнее чугунной сковороды без блютуса.
https://threatpost.com/bluetooth-bugs-dos-code-execution/169159/
Потенциальные жертвы — миллиарды устройств, использующих Wi-Fi модули из исследованного списка. Его прикреплю чуть ниже, но выглядит не очень. Чего стоит уже первый в списке Intel AX200, бюджетный адаптер, присутствующий в куче ноутбуков. Ноутам и смартфонам на нём и Qualcomm WCN3990 угрожают DoS-атаки, способные ронять ПО.
Да что уж там, даже портативным колонкам может потенциально достаться.
Самая критичная уязвимость затрагивает микроконтроллеры, обычно используемые для различных умных домашних устройств: она позволяет загрузить на устройство до 8 байт произвольных данных. Через это можно, например, чистить память устройств и отключать Wi-Fi с Bluetooth. Наконец, можно просто-напросто ввод-вывод контролировать, включая и выключая всё, что заблагорассудится.
В общем, как кто-то однажды удачно подметил, влюблённый в девайсы техногик напичкает свой дом всякими умными штуками. А айтишник, в умственность уже не верящий, не пустит под свою крышу ничего сложнее чугунной сковороды без блютуса.
https://threatpost.com/bluetooth-bugs-dos-code-execution/169159/
Threat Post
Bluetooth Bugs Open Billions of Devices to DoS, Code Execution
The BrakTooth set of security vulnerabilities impacts at least 11 vendors' chipsets.
Том Хантер: только хорошие новости! Роскомнадзор заблокировал ещё партию VPN-сервисов: Hola VPN, Express VPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN.
Ранее, напоминаю, блокировали VyprVPN и ВПН-сервис Оперы. Опера после этого убрала встроенный ВПН для российских пользователей, хоть его, насколько знаю, и можно вернуть несложным пританцовыванием с бубном.
Норду о блокировке не рассказали, похоже: штатно работает, никаких изменений не заметил. Думаю, пользователи остальных сервисов из списка и Vypr меня тоже читают — даже интересно, заметите ли что-то вы. Не могут же они публиковать списки и ничего не делать, верно?..
https://vc.ru/legal/289451-roskomnadzor-zablokiroval-hola-vpn-express-vpn-i-eshche-chetyre-vpn-servisa
Ранее, напоминаю, блокировали VyprVPN и ВПН-сервис Оперы. Опера после этого убрала встроенный ВПН для российских пользователей, хоть его, насколько знаю, и можно вернуть несложным пританцовыванием с бубном.
Норду о блокировке не рассказали, похоже: штатно работает, никаких изменений не заметил. Думаю, пользователи остальных сервисов из списка и Vypr меня тоже читают — даже интересно, заметите ли что-то вы. Не могут же они публиковать списки и ничего не делать, верно?..
https://vc.ru/legal/289451-roskomnadzor-zablokiroval-hola-vpn-express-vpn-i-eshche-chetyre-vpn-servisa
vc.ru
Роскомнадзор заблокировал Hola VPN, Express VPN и ещё четыре VPN-сервиса — Право на vc.ru
Регулятор составил «белые списки» сервисов — компании из него ограничения не затронут.
Несусь к тебе в ночи с ещё одним чтивом на тему того, почему не стоит пускать в жилище разнообразные не в меру умные штуки и пихать в свои устройства что попало.
ИБ-компания MG сделала новую версию кабеля, который выглядит как обычный провод, но на самом деле может собирать всё, что вводится на клавиатуре, и тотчас же удалённо — на расстоянии до примерно 1.5 км — отправлять всё хакеру. Пароли, конечно, собирать тоже можно. Создатели провода язвят: кто-то, мол, заявлял, что в Type C-кабели такие зловреды не засунешь, места мало. Им, разумеется, нужно было доказать, что это вовсе не так.
Вредоносная часть провода, как говорят исследователи, занимает примерно его половинку. Кабели создают Wi-Fi точку, к которой хакер может подключиться и начать логировать данные с клавиатуры. В новых версиях можно и вовсе «обезвредить» кабель на основе геолокации через тот же интерфейс: злоумышленник может так сделать, если жертва и кабель вышли из-под контроля.
В общем, будь начеку и помни, что безопасности слишком много не бывает.
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
ИБ-компания MG сделала новую версию кабеля, который выглядит как обычный провод, но на самом деле может собирать всё, что вводится на клавиатуре, и тотчас же удалённо — на расстоянии до примерно 1.5 км — отправлять всё хакеру. Пароли, конечно, собирать тоже можно. Создатели провода язвят: кто-то, мол, заявлял, что в Type C-кабели такие зловреды не засунешь, места мало. Им, разумеется, нужно было доказать, что это вовсе не так.
Вредоносная часть провода, как говорят исследователи, занимает примерно его половинку. Кабели создают Wi-Fi точку, к которой хакер может подключиться и начать логировать данные с клавиатуры. В новых версиях можно и вовсе «обезвредить» кабель на основе геолокации через тот же интерфейс: злоумышленник может так сделать, если жертва и кабель вышли из-под контроля.
В общем, будь начеку и помни, что безопасности слишком много не бывает.
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
VICE
This Seemingly Normal Lightning Cable Will Leak Everything You Type
A new version of the OMG Cable is a USB-C to Lightning Cable that hackers can use to steal your passwords or other data.
Какой-то год киберпреступных стахановцев выдался — то крипты на 600 с хвостиком миллионов долларов украдут, то вот теперь это. На минувших выходных инфраструктура Яндекса подверглась крупнейшему ДДоСу за всю историю рунета. Атака продолжается до сих пор; компания её сдерживает, хоть и с большим трудом.
Неделей ранее Сбер выдержал похожую атаку, ставшую крупнейшей в истории финансового сектора. Через пару дней напали на ВК, который всё-таки свалился на некоторое время.
Гендиректор Qrator Labs говорит, что они уже несколько недель исследуют ботнет, использовавшийся для этих атак. Ботнет распространяется через некую уязвимость в прошивках и включает около сотни тысяч заражённых устройств. Судя по всему, он базируется на роутерах латвийской MikroTik: в 2018 году у них была уязвимость, которую своевременно устранили, но множество устройств всё ещё работает на древнем ПО.
Qrator Labs говорят, что ботнет амбициозный: орудует по всему миру, не только в РФ. Добрался и до Европы, и до США, и до Индии с Ближним Востоком, и куда только не. Успел наделать ущерба уже на миллиарды рублей, а по числу запросов в секунду — десятки миллионов — ставит абсолютные рекорды. Атаки при этом совсем не топорно-неотёсанные: ботовый трафик маскируется под обычных пользователей, да так, что многие противоДДоСные решения его спокойно пропускают.
https://www.vedomosti.ru/technology/articles/2021/09/07/885664-yandeks-ddos-atake
Неделей ранее Сбер выдержал похожую атаку, ставшую крупнейшей в истории финансового сектора. Через пару дней напали на ВК, который всё-таки свалился на некоторое время.
Гендиректор Qrator Labs говорит, что они уже несколько недель исследуют ботнет, использовавшийся для этих атак. Ботнет распространяется через некую уязвимость в прошивках и включает около сотни тысяч заражённых устройств. Судя по всему, он базируется на роутерах латвийской MikroTik: в 2018 году у них была уязвимость, которую своевременно устранили, но множество устройств всё ещё работает на древнем ПО.
Qrator Labs говорят, что ботнет амбициозный: орудует по всему миру, не только в РФ. Добрался и до Европы, и до США, и до Индии с Ближним Востоком, и куда только не. Успел наделать ущерба уже на миллиарды рублей, а по числу запросов в секунду — десятки миллионов — ставит абсолютные рекорды. Атаки при этом совсем не топорно-неотёсанные: ботовый трафик маскируется под обычных пользователей, да так, что многие противоДДоСные решения его спокойно пропускают.
https://www.vedomosti.ru/technology/articles/2021/09/07/885664-yandeks-ddos-atake
Ведомости
«Яндекс» подвергся крупнейшей в истории рунета DDoS-атаке
Нападение реализовано через новый ботнет, маскирующийся под обычных пользователей
Тот самый ботнет, названный Meris, всё продолжает свирепствовать по всему миру. Яндекс, Cloudflare, Хабр, теперь вот KrebsOnSecurity: один из крупнейших западных блогов про ИБ, который ведёт Брайан Кребс.
Ранее Cloudflare рассказывали, что Meris посылал им 17 миллионов запросов в секунду. Для оценки, обычно Cloudflare обрабатывает суммарно 25 миллионов в секунду. С Яндексом прямо разошлись — там под 20-21 миллион ежесекундно приходило.
На Кребса напали с меньшими мощностями — ботнет кидал всего-то навсего 2 миллиона запросов в секунду. Он вспомнил, как в 2016 его блог уронил на четыре дня легендарный ботнет Mirai, атаковавший раза в четыре легче. Исходники Mirai, тогдашнего рекордсмена, позднее были слиты авторами и подхвачены кучей ботнетов-последователей. Похоже, новый Meris отдаёт честь своему прародителю: он начал свирепствовать ровно на пять лет позже.
Кребс считает, что ДДоСу за эти пять лет научились противостоять получше, но IoT-ботнеты мы продолжим видеть и дальше. Плодятся они, в сущности, в основном благодаря тому, что куча производителей сетевого оборудования просто лепит свои логотипы на устройства с сомнительной безопасностью, сделанные кем-то там кое-где, а потом софт на этом всём никто не обновляет. Дешевле выходит, понимать надо.
https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/
Ранее Cloudflare рассказывали, что Meris посылал им 17 миллионов запросов в секунду. Для оценки, обычно Cloudflare обрабатывает суммарно 25 миллионов в секунду. С Яндексом прямо разошлись — там под 20-21 миллион ежесекундно приходило.
На Кребса напали с меньшими мощностями — ботнет кидал всего-то навсего 2 миллиона запросов в секунду. Он вспомнил, как в 2016 его блог уронил на четыре дня легендарный ботнет Mirai, атаковавший раза в четыре легче. Исходники Mirai, тогдашнего рекордсмена, позднее были слиты авторами и подхвачены кучей ботнетов-последователей. Похоже, новый Meris отдаёт честь своему прародителю: он начал свирепствовать ровно на пять лет позже.
Кребс считает, что ДДоСу за эти пять лет научились противостоять получше, но IoT-ботнеты мы продолжим видеть и дальше. Плодятся они, в сущности, в основном благодаря тому, что куча производителей сетевого оборудования просто лепит свои логотипы на устройства с сомнительной безопасностью, сделанные кем-то там кое-где, а потом софт на этом всём никто не обновляет. Дешевле выходит, понимать надо.
https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/
Krebs on Security
KrebsOnSecurity Hit By Huge New IoT Botnet “Meris”
On Thursday evening, KrebsOnSecurity was the subject of a rather massive (and mercifully brief) distributed denial-of-service (DDoS) attack. The assault came from "Meris," the same new "Internet of Things" (IoT) botnet behind record-shattering attacks against…
На подъёме новый банковский троян S.O.V.A. Разработка и улучшения пока ведутся, но от открытой, так сказать, беты уже пострадали банковские приложения, криптокошельки и приложения интернет-магазинов из США и Испании.
Примечателен троян тем, что это настоящий швейцарский нож: он и кейлоггер, и персональные данные через оверлеи ворует, и уведомления прячет, и в буфер обмена втихую подставляет адреса мошенников, как только пользователь заходит в криптокошелёк и пытается кому-то перевести деньги. Планы у разработчиков амбициозные: планируют дополнить эту машину перехватом кодов для двухфакторки, ДДоСом и атакой Man-in-the-Middle.
Пока, кажется, эта штука в основном перекрывает легитимные приложения своими оверлеями. Через оверлеи уже ворует куки с идентификаторами сессии или просто фишингом выманивает логин-пароль из пользователя. Неприятно, но бывает. А вот планы мощные, конечно. Если всё сделают, получится один из самых продвинутых ботов на рынке: такие швейцарские ножики не каждый день попадаются. Пока что разработчики набирают тестеров на свою бету, а мы готовимся, куда деваться.
https://threatpost.com/sova-sophisticated-android-trojan/169366/
Примечателен троян тем, что это настоящий швейцарский нож: он и кейлоггер, и персональные данные через оверлеи ворует, и уведомления прячет, и в буфер обмена втихую подставляет адреса мошенников, как только пользователь заходит в криптокошелёк и пытается кому-то перевести деньги. Планы у разработчиков амбициозные: планируют дополнить эту машину перехватом кодов для двухфакторки, ДДоСом и атакой Man-in-the-Middle.
Пока, кажется, эта штука в основном перекрывает легитимные приложения своими оверлеями. Через оверлеи уже ворует куки с идентификаторами сессии или просто фишингом выманивает логин-пароль из пользователя. Неприятно, но бывает. А вот планы мощные, конечно. Если всё сделают, получится один из самых продвинутых ботов на рынке: такие швейцарские ножики не каждый день попадаются. Пока что разработчики набирают тестеров на свою бету, а мы готовимся, куда деваться.
https://threatpost.com/sova-sophisticated-android-trojan/169366/
Threat Post
SOVA, Worryingly Sophisticated Android Trojan, Takes Flight
The malware appeared in August with an ambitious roadmap (think ransomware, DDoS) that could make it 'the most feature-rich Android malware on the market.'
Добрейшего тебе утра! У нас тут новости воскресного отечественного активизма. Анонимные хакеры, назвавшиеся группой пентестеров из СНГ, взломали всю инфраструктуру хостинга MskHost. Говорят, устали от того, что МскХост никак не реагировал на жалобы о мошеннических сайтах, которые у него размещали: там и кардинг, и ботнеты, и фишинг, и чего только не было. После взлома хакеры обнаружили почтовый ящик abuse@msk.host с сотней непрочитанных писем с теми самыми жалобами.
https://www.securitylab.ru/news/524339.php
На сайте провайдера была ссылка на Телеграм-канал хакеров, в котором они рассказывают, что и почему сделали. В канал уже слит список клиентов, больше всех отличившихся в публикации незаконного контента. Скоро хотят выложить тот самый ящик с жалобами, которые МскХост игнорировал.
Сейчас хакеры подчистую снесли большую часть чёрных серверов, а содержимое одного даже выложили для наглядности на свой канал. Говорят, что копии всех удалённых серверов с чернухой, айпи входов и прочие данные скоро передадут в правоохранительные органы. То же сделают и для данных сотрудников хостинга, который обвиняют в покровительстве мошенникам.
Хостинг сначала объявил о закрытии, но очень быстро передумал и решил всё восстанавливать «назло хакерам». Будут в ближайшую пару дней возвращать клиентам образы серверов.
https://www.securitylab.ru/news/524339.php
На сайте провайдера была ссылка на Телеграм-канал хакеров, в котором они рассказывают, что и почему сделали. В канал уже слит список клиентов, больше всех отличившихся в публикации незаконного контента. Скоро хотят выложить тот самый ящик с жалобами, которые МскХост игнорировал.
Сейчас хакеры подчистую снесли большую часть чёрных серверов, а содержимое одного даже выложили для наглядности на свой канал. Говорят, что копии всех удалённых серверов с чернухой, айпи входов и прочие данные скоро передадут в правоохранительные органы. То же сделают и для данных сотрудников хостинга, который обвиняют в покровительстве мошенникам.
Хостинг сначала объявил о закрытии, но очень быстро передумал и решил всё восстанавливать «назло хакерам». Будут в ближайшую пару дней возвращать клиентам образы серверов.
SecurityLab.ru
Хактивисты взломали крупный российский хостинг
Хостинг-провайдер MskHost был взломан хактивистами, желающими “очистить Рунет от такого масштабного хостера черни”.
Сегодня СМИ обсуждают уязвимость на портале госуслуг, связанную с Covert Redirect (скрытой переадресацией). Отметим, что Covert Redirect не является особенно значимой уязвимостью, хотя и позволяет воровать пользовательские данные, а также закачивать им вредоносное программное обеспечение. Скорее речь тут идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. Ссылке, по которой пользователя еще необходимо перейти. Возможно, по этой причине Госуслуги отреагировали на новость сдержанно, закрыв возможность редиректа через несколько часов после ее появления.
Впрочем, некоторые популярные российские онлайн-сервисы все еще позволяют делать редирект. Хотите пример? Щелкните на ссылку https://vk.com/ и попадете на мой сайт.
@tomhunter
Впрочем, некоторые популярные российские онлайн-сервисы все еще позволяют делать редирект. Хотите пример? Щелкните на ссылку https://vk.com/ и попадете на мой сайт.
@tomhunter
Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров прокомментировал Российской Газете новость о том, что Apple выпустила очередное обновление iOS, которое должно защитить пользователей от слежки при помощи программы Pegasus, разработанной израильской NSO Group.
Эксперт отметил, что в начале августа Apple уже выпускала обновление 14.7.1, которое якобы устранило эксплойт, используемый Pegasus для слежки за пользователями iPhone. В новом обновлении компания исправляет уязвимости во фреймворке CoreGraphics и браузерном движке WebKit, которые также применялись при внедрения Pegasus.
Очевидно, что Apple пошла по пути постепенного выпуска заплаток, закрывающих дырки в программном обеспечении, эксплуатируемые Pegasus. Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
@tomhunter
Эксперт отметил, что в начале августа Apple уже выпускала обновление 14.7.1, которое якобы устранило эксплойт, используемый Pegasus для слежки за пользователями iPhone. В новом обновлении компания исправляет уязвимости во фреймворке CoreGraphics и браузерном движке WebKit, которые также применялись при внедрения Pegasus.
Очевидно, что Apple пошла по пути постепенного выпуска заплаток, закрывающих дырки в программном обеспечении, эксплуатируемые Pegasus. Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
@tomhunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news #decoder Вечер в киберхату... В начале сентября хакерская группа REvil опять взялась за старое. Спустя почти два месяца после своего исчезновения, группировка возобновила свое присутствие в сети. Начались атаки шифровальщиков. Зато теперь жертвы программы-вымогателя REvil могут загрузить дешифратор, а также инструкцию к нему, чтобы расшифровать свои компьютеры. Правда работает этот дешифратор только на машинах, которые были зашифрованы до 13 июля, т.е. на момент исчезновения REvil.
@tomhunter
@tomhunter
#news На этой неделе оказалось, что APT-группировки активнее стали применять критическую уязвимость в решении для единого входа и управления паролями Zoho. Причем, отрабатывают они ее на американских клиентах компании, в число которых входят «три из пяти компаний из списка Fortune 500», включая Apple, Intel, Nike, PayPal, HBO и многие другие. Уязвимость, отслеживаемая как CVE-2021-40539, была обнаружена в программном обеспечении Zoho ManageEngine ADSelfService Plus и позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации.
Поспешите скачать обновление ManageEngine ADSelfService Plus, которое устраняет уязвимость CVE-2021-40539. Кроме того, рекомендуется сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), если будет обнаружено какое-либо указание на то, что файл NTDS.dit был скомпрометирован - предлагают в ФБР.
@tomhunter
Поспешите скачать обновление ManageEngine ADSelfService Plus, которое устраняет уязвимость CVE-2021-40539. Кроме того, рекомендуется сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), если будет обнаружено какое-либо указание на то, что файл NTDS.dit был скомпрометирован - предлагают в ФБР.
@tomhunter
#news MikroTik таки созналась во взломе своих роутеров, который произошел аж в 2018 году. Разумеется, компания долго распиналась в своем блоге на тему того, как сложно уговорить клиентов обновить роутер, а то и просто сменить на нем пароль. Впрочем, уже неважно...
За последние пять лет практически не было глобальных атак на уровне приложений. И именно роутеры MikroTik "прославились" тем, что стали основой того мощнейшего ботнета, который атаковал Яндекс в начале сентября. Атака достигала 21,8 млн. обращений в секунду, но Яндекс выдержал.
Счастливым обладателям роутеров MikroTik могу посоветовать почитать рекомендации по устранению уязвимостей своих устройств, а также проверить, участвовал ли ваш ip-адрес в хакерской атаке.
@tomhunter
За последние пять лет практически не было глобальных атак на уровне приложений. И именно роутеры MikroTik "прославились" тем, что стали основой того мощнейшего ботнета, который атаковал Яндекс в начале сентября. Атака достигала 21,8 млн. обращений в секунду, но Яндекс выдержал.
Счастливым обладателям роутеров MikroTik могу посоветовать почитать рекомендации по устранению уязвимостей своих устройств, а также проверить, участвовал ли ваш ip-адрес в хакерской атаке.
@tomhunter
#news В прошлом году на нескольких правительственных сайтах США, с доменами .gov и .mil, был размещен контент, содержащий порнографию или спам. Причина крылась в уязвимости одного из государственных подрядчиков - компании Laserfiche, которая оказывала услуги ФБР, ЦРУ, Казначейству США и военным.
"Эта уязвимость создавала фишинговые приманки для доменов .gov и .mil, которые подталкивали посетителей к злонамеренным перенаправлениям и потенциально нацеливали этих жертв с помощью других эксплойтов" - сообщают исследователи. В результате посторонние могли использовать Laserfiche Forms для временного размещения загруженных файлов. Laserfiche выпустила исправления для своих клиентов, но осадочек остался...
@tomhunter
"Эта уязвимость создавала фишинговые приманки для доменов .gov и .mil, которые подталкивали посетителей к злонамеренным перенаправлениям и потенциально нацеливали этих жертв с помощью других эксплойтов" - сообщают исследователи. В результате посторонние могли использовать Laserfiche Forms для временного размещения загруженных файлов. Laserfiche выпустила исправления для своих клиентов, но осадочек остался...
@tomhunter
#news #ransomware На днях исследователи составили список уязвимостей, которые используются шифровальщиками для доступа к сетям и компьютерам своих жертв. Я поместил его на слайде выше. Шифровальщики фактически признаны американцами общемировым бедствием. CISA США выпустило сервис оценки готовности к атаке шифровальщиков (RRA), являющийся дополнением CSET. Организация также предлагает свои рекомендации относительно предупреждения рисков, связанных с шифровальщиками, а также специальный Ransomware FAQ. Мне, однако, больше всего понравились рекомендации CERT Новой Зеландии.
@tomhunter
@tomhunter