Карта из источника выше, показывающая, какие страны пробовали Clearview.

Несу вечерний экшон тебе в телеграм-вкладочки, продолжаем с T-Mobile. Напоминаю, недавно инфраструктуру одного из крупнейших мобильных операторов США взломали, утащив из баз данные десятков миллионов клиентов. Всё украденне затем оказалось на продаже в дарквебе.

Теперь же 21-летний Джон Биннс, гражданин США наполовину турецкого происхождения, заявил, что он и есть хакер. Говорит, что взломал T-Mobile, чтобы отомстить США за его похищение и пытки агентами ЦРУ и турецкой разведки.

Летом 2020 года Биннс подавал в суд на ЦРУ: оно сначала попыталось его завербовать, а затем преследовало и даже пытало. Биннс утверждал, что ЦРУ солгало турецкой разведке о том, что он — сторонник и член ИГИЛ, а также призвало эту разведку его убить. Затем его похитили и пытали в Германии. Дело тогда сочли несостоятельным и отклонили.

Биннс давно общается с Wall Street Journal в Телеграме и поделился с ними доказательствами того, что T-Mobile взломал именно он. Ещё сообщил WSJ, что у него нет причин выдумывать небылицы про ЦРУ, и он очень надеется, что кто-нибудь в ФБР сольёт больше деталей об этом всём.

Доступ к серверам T-Mobile Биннс получил в июле — после некоторых поисков обнаружил незащищённый маршрутизатор, через который и проник в один из дата-центров. До 4 августа Биннс успел выгрузить оттуда миллионы файлов с личными данными клиентов. За это он говорит спасибо просто ужасному уровню защиты системы: хакеру прямо не по себе было из-за того, что у него есть доступ к чему-то настолько огромному, ещё и доставшийся так просто.

В слитых данных обнаружились как потенциальные клиенты, так и давным-давно переставшие ими быть. Что ж, грамотному обращению с данными T-Mobile и правда стоило бы поучиться — тут с хакером и не поспоришь.

https://threatpost.com/t-mobile-security-awful-thief/169011/

Сингапурские исследователи рассказали о 16 уязвимостях BrakTooth, обнаруженных в широко используемом стеке Bluetooth Classic. В основном эти уязвимости допускают DoS-атаки, а одна — исполнение произвольного кода.

Потенциальные жертвы — миллиарды устройств, использующих Wi-Fi модули из исследованного списка. Его прикреплю чуть ниже, но выглядит не очень. Чего стоит уже первый в списке Intel AX200, бюджетный адаптер, присутствующий в куче ноутбуков. Ноутам и смартфонам на нём и Qualcomm WCN3990 угрожают DoS-атаки, способные ронять ПО.

Да что уж там, даже портативным колонкам может потенциально достаться.

Самая критичная уязвимость затрагивает микроконтроллеры, обычно используемые для различных умных домашних устройств: она позволяет загрузить на устройство до 8 байт произвольных данных. Через это можно, например, чистить память устройств и отключать Wi-Fi с Bluetooth. Наконец, можно просто-напросто ввод-вывод контролировать, включая и выключая всё, что заблагорассудится.

В общем, как кто-то однажды удачно подметил, влюблённый в девайсы техногик напичкает свой дом всякими умными штуками. А айтишник, в умственность уже не верящий, не пустит под свою крышу ничего сложнее чугунной сковороды без блютуса.

https://threatpost.com/bluetooth-bugs-dos-code-execution/169159/

Том Хантер: только хорошие новости! Роскомнадзор заблокировал ещё партию VPN-сервисов: Hola VPN, Express VPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN.

Ранее, напоминаю, блокировали VyprVPN и ВПН-сервис Оперы. Опера после этого убрала встроенный ВПН для российских пользователей, хоть его, насколько знаю, и можно вернуть несложным пританцовыванием с бубном.

Норду о блокировке не рассказали, похоже: штатно работает, никаких изменений не заметил. Думаю, пользователи остальных сервисов из списка и Vypr меня тоже читают — даже интересно, заметите ли что-то вы. Не могут же они публиковать списки и ничего не делать, верно?..

https://vc.ru/legal/289451-roskomnadzor-zablokiroval-hola-vpn-express-vpn-i-eshche-chetyre-vpn-servisa

Несусь к тебе в ночи с ещё одним чтивом на тему того, почему не стоит пускать в жилище разнообразные не в меру умные штуки и пихать в свои устройства что попало.

ИБ-компания MG сделала новую версию кабеля, который выглядит как обычный провод, но на самом деле может собирать всё, что вводится на клавиатуре, и тотчас же удалённо — на расстоянии до примерно 1.5 км — отправлять всё хакеру. Пароли, конечно, собирать тоже можно. Создатели провода язвят: кто-то, мол, заявлял, что в Type C-кабели такие зловреды не засунешь, места мало. Им, разумеется, нужно было доказать, что это вовсе не так.

Вредоносная часть провода, как говорят исследователи, занимает примерно его половинку. Кабели создают Wi-Fi точку, к которой хакер может подключиться и начать логировать данные с клавиатуры. В новых версиях можно и вовсе «обезвредить» кабель на основе геолокации через тот же интерфейс: злоумышленник может так сделать, если жертва и кабель вышли из-под контроля.

В общем, будь начеку и помни, что безопасности слишком много не бывает.

https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning

Какой-то год киберпреступных стахановцев выдался — то крипты на 600 с хвостиком миллионов долларов украдут, то вот теперь это. На минувших выходных инфраструктура Яндекса подверглась крупнейшему ДДоСу за всю историю рунета. Атака продолжается до сих пор; компания её сдерживает, хоть и с большим трудом.

Неделей ранее Сбер выдержал похожую атаку, ставшую крупнейшей в истории финансового сектора. Через пару дней напали на ВК, который всё-таки свалился на некоторое время.

Гендиректор Qrator Labs говорит, что они уже несколько недель исследуют ботнет, использовавшийся для этих атак. Ботнет распространяется через некую уязвимость в прошивках и включает около сотни тысяч заражённых устройств. Судя по всему, он базируется на роутерах латвийской MikroTik: в 2018 году у них была уязвимость, которую своевременно устранили, но множество устройств всё ещё работает на древнем ПО.

Qrator Labs говорят, что ботнет амбициозный: орудует по всему миру, не только в РФ. Добрался и до Европы, и до США, и до Индии с Ближним Востоком, и куда только не. Успел наделать ущерба уже на миллиарды рублей, а по числу запросов в секунду — десятки миллионов — ставит абсолютные рекорды. Атаки при этом совсем не топорно-неотёсанные: ботовый трафик маскируется под обычных пользователей, да так, что многие противоДДоСные решения его спокойно пропускают.

https://www.vedomosti.ru/technology/articles/2021/09/07/885664-yandeks-ddos-atake

Тот самый ботнет, названный Meris, всё продолжает свирепствовать по всему миру. Яндекс, Cloudflare, Хабр, теперь вот KrebsOnSecurity: один из крупнейших западных блогов про ИБ, который ведёт Брайан Кребс.

Ранее Cloudflare рассказывали, что Meris посылал им 17 миллионов запросов в секунду. Для оценки, обычно Cloudflare обрабатывает суммарно 25 миллионов в секунду. С Яндексом прямо разошлись — там под 20-21 миллион ежесекундно приходило.

На Кребса напали с меньшими мощностями — ботнет кидал всего-то навсего 2 миллиона запросов в секунду. Он вспомнил, как в 2016 его блог уронил на четыре дня легендарный ботнет Mirai, атаковавший раза в четыре легче. Исходники Mirai, тогдашнего рекордсмена, позднее были слиты авторами и подхвачены кучей ботнетов-последователей. Похоже, новый Meris отдаёт честь своему прародителю: он начал свирепствовать ровно на пять лет позже.

Кребс считает, что ДДоСу за эти пять лет научились противостоять получше, но IoT-ботнеты мы продолжим видеть и дальше. Плодятся они, в сущности, в основном благодаря тому, что куча производителей сетевого оборудования просто лепит свои логотипы на устройства с сомнительной безопасностью, сделанные кем-то там кое-где, а потом софт на этом всём никто не обновляет. Дешевле выходит, понимать надо.

https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/

На подъёме новый банковский троян S.O.V.A. Разработка и улучшения пока ведутся, но от открытой, так сказать, беты уже пострадали банковские приложения, криптокошельки и приложения интернет-магазинов из США и Испании.

Примечателен троян тем, что это настоящий швейцарский нож: он и кейлоггер, и персональные данные через оверлеи ворует, и уведомления прячет, и в буфер обмена втихую подставляет адреса мошенников, как только пользователь заходит в криптокошелёк и пытается кому-то перевести деньги. Планы у разработчиков амбициозные: планируют дополнить эту машину перехватом кодов для двухфакторки, ДДоСом и атакой Man-in-the-Middle.

Пока, кажется, эта штука в основном перекрывает легитимные приложения своими оверлеями. Через оверлеи уже ворует куки с идентификаторами сессии или просто фишингом выманивает логин-пароль из пользователя. Неприятно, но бывает. А вот планы мощные, конечно. Если всё сделают, получится один из самых продвинутых ботов на рынке: такие швейцарские ножики не каждый день попадаются. Пока что разработчики набирают тестеров на свою бету, а мы готовимся, куда деваться.

https://threatpost.com/sova-sophisticated-android-trojan/169366/

Добрейшего тебе утра! У нас тут новости воскресного отечественного активизма. Анонимные хакеры, назвавшиеся группой пентестеров из СНГ, взломали всю инфраструктуру хостинга MskHost. Говорят, устали от того, что МскХост никак не реагировал на жалобы о мошеннических сайтах, которые у него размещали: там и кардинг, и ботнеты, и фишинг, и чего только не было. После взлома хакеры обнаружили почтовый ящик abuse@msk.host с сотней непрочитанных писем с теми самыми жалобами.

https://www.securitylab.ru/news/524339.php

На сайте провайдера была ссылка на Телеграм-канал хакеров, в котором они рассказывают, что и почему сделали. В канал уже слит список клиентов, больше всех отличившихся в публикации незаконного контента. Скоро хотят выложить тот самый ящик с жалобами, которые МскХост игнорировал.

Сейчас хакеры подчистую снесли большую часть чёрных серверов, а содержимое одного даже выложили для наглядности на свой канал. Говорят, что копии всех удалённых серверов с чернухой, айпи входов и прочие данные скоро передадут в правоохранительные органы. То же сделают и для данных сотрудников хостинга, который обвиняют в покровительстве мошенникам.

Хостинг сначала объявил о закрытии, но очень быстро передумал и решил всё восстанавливать «назло хакерам». Будут в ближайшую пару дней возвращать клиентам образы серверов.

Сегодня СМИ обсуждают уязвимость на портале госуслуг, связанную с Covert Redirect (скрытой переадресацией). Отметим, что Covert Redirect не является особенно значимой уязвимостью, хотя и позволяет воровать пользовательские данные, а также закачивать им вредоносное программное обеспечение. Скорее речь тут идет о способе мошенничества, использующем изначальные ограничения OAuth и OpenID. Ссылке, по которой пользователя еще необходимо перейти. Возможно, по этой причине Госуслуги отреагировали на новость сдержанно, закрыв возможность редиректа через несколько часов после ее появления.

Впрочем, некоторые популярные российские онлайн-сервисы все еще позволяют делать редирект. Хотите пример? Щелкните на ссылку https://vk.com/ и попадете на мой сайт.

@tomhunter

Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров прокомментировал Российской Газете новость о том, что Apple выпустила очередное обновление iOS, которое должно защитить пользователей от слежки при помощи программы Pegasus, разработанной израильской NSO Group.

Эксперт отметил, что в начале августа Apple уже выпускала обновление 14.7.1, которое якобы устранило эксплойт, используемый Pegasus для слежки за пользователями iPhone. В новом обновлении компания исправляет уязвимости во фреймворке CoreGraphics и браузерном движке WebKit, которые также применялись при внедрения Pegasus.

Очевидно, что Apple пошла по пути постепенного выпуска заплаток, закрывающих дырки в программном обеспечении, эксплуатируемые Pegasus. Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.

@tomhunter

#news #decoder Вечер в киберхату... В начале сентября хакерская группа REvil опять взялась за старое. Спустя почти два месяца после своего исчезновения, группировка возобновила свое присутствие в сети. Начались атаки шифровальщиков. Зато теперь жертвы программы-вымогателя REvil могут загрузить дешифратор, а также инструкцию к нему, чтобы расшифровать свои компьютеры. Правда работает этот дешифратор только на машинах, которые были зашифрованы до 13 июля, т.е. на момент исчезновения REvil.

@tomhunter

#news На этой неделе оказалось, что APT-группировки активнее стали применять критическую уязвимость в решении для единого входа и управления паролями Zoho. Причем, отрабатывают они ее на американских клиентах компании, в число которых входят «три из пяти компаний из списка Fortune 500», включая Apple, Intel, Nike, PayPal, HBO и многие другие. Уязвимость, отслеживаемая как CVE-2021-40539, была обнаружена в программном обеспечении Zoho ManageEngine ADSelfService Plus и позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации.

Поспешите скачать обновление ManageEngine ADSelfService Plus, которое устраняет уязвимость CVE-2021-40539. Кроме того, рекомендуется сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), если будет обнаружено какое-либо указание на то, что файл NTDS.dit был скомпрометирован - предлагают в ФБР.

@tomhunter

#news MikroTik таки созналась во взломе своих роутеров, который произошел аж в 2018 году. Разумеется, компания долго распиналась в своем блоге на тему того, как сложно уговорить клиентов обновить роутер, а то и просто сменить на нем пароль. Впрочем, уже неважно...

За последние пять лет практически не было глобальных атак на уровне приложений. И именно роутеры MikroTik "прославились" тем, что стали основой того мощнейшего ботнета, который атаковал Яндекс в начале сентября. Атака достигала 21,8 млн. обращений в секунду, но Яндекс выдержал.

Счастливым обладателям роутеров MikroTik могу посоветовать почитать рекомендации по устранению уязвимостей своих устройств, а также проверить, участвовал ли ваш ip-адрес в хакерской атаке.

@tomhunter

#news В прошлом году на нескольких правительственных сайтах США, с доменами .gov и .mil, был размещен контент, содержащий порнографию или спам. Причина крылась в уязвимости одного из государственных подрядчиков - компании Laserfiche, которая оказывала услуги ФБР, ЦРУ, Казначейству США и военным.

"Эта уязвимость создавала фишинговые приманки для доменов .gov и .mil, которые подталкивали посетителей к злонамеренным перенаправлениям и потенциально нацеливали этих жертв с помощью других эксплойтов" - сообщают исследователи. В результате посторонние могли использовать Laserfiche Forms для временного размещения загруженных файлов. Laserfiche выпустила исправления для своих клиентов, но осадочек остался...

@tomhunter

#news #ransomware На днях исследователи составили список уязвимостей, которые используются шифровальщиками для доступа к сетям и компьютерам своих жертв. Я поместил его на слайде выше. Шифровальщики фактически признаны американцами общемировым бедствием. CISA США выпустило сервис оценки готовности к атаке шифровальщиков (RRA), являющийся дополнением CSET. Организация также предлагает свои рекомендации относительно предупреждения рисков, связанных с шифровальщиками, а также специальный Ransomware FAQ. Мне, однако, больше всего понравились рекомендации CERT Новой Зеландии.

@tomhunter

#news Исследователи из Lumen Black Lotus Labs обнаружили Linux-бинарники с эксплойтами для Windows Subsystem for Linux.

Подход новаторский — о теоретической возможности грузить в систему пейлоады через WSL раньше рассуждали, но в бою это что-то новенькое. Да и этот вариант малвари пока только в разработке: используется он очень ограниченно. Самые первые версии были замечены в начале мая и раз в пару недель давали о себе знать всё лето. Судя по изученным образцам, разработчики старались сделать их максимально незаметными и сложными для обнаружения привычными средствами.

А ещё в одном из файлов исследователи нашли тестовый код, выдававший «Пивет Саня». Что ж, передаём п[р]ивет загадочному Сане.

@tomhunter

#OSINT #Skype Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования (не путать со взломом!) пользовательского профиля в Skype:

├login (Restore Access)
├skypli (User Info)
├SkypeSearch (User Info)
├maigret (Find Nickname)
├whatsmyname (Find Nickname)
├search4faces (Find Photo)
├findclone (Find Photo)
├intelx (Google Dorks)
├dorksdb (Google Dorks)
├epieos (Check Phone/Email)
├cyberhubarchive (Find IP)
├webresolver (Find IP)
├vedbex (Find IP)
├canarytokens (Check IP)
└iplogger (Check IP)

@tomhunter

#news Лавры Pegasus и NSO Group не дают покоя "следильщикам" по всему миру. На этой неделе отметились американцы, опубликовав один прелюбопытный приговор. Пакистанец Мухаммад Фахд подкупил нескольких сотрудников AT&T, которые предоставили ему возможность разблокировать телефоны, получать данные пользователей и загружать на устройства приложения удаленного контроля. Причем делал он это начиная с 2012 года. В итоге заговорщики незаконно разблокировали 1 900 033 сотовых телефона, что привело к убыткам для AT&T в размере 201 497 430,94 $ из-за потерянных платежей. А вы говорите, что в России - бардак!

@tomhunter

#OSINT #Geolocation Сегодня я разберу основные источники данных, которыми пользуюсь при проведении OSINT-исследования данных геолокации.

├Jeffrey's (Metadata Viewer)
├pic2map (Metadata Viewer)
├exiftool (Metadata Viewer)
├mattw (YouTube)
├meedan (YouTube)
├skylens (Twitter, Youtube, Instagram, Flickr, VK и Weibu)
├vk (VK)
├photo-map (VK)
├snradar (VK)
├twitter (ex: geocode:13.08,80.27,100km)
├tigmint (Twitter)
├onemilliontweetmap (Twitter)
├birdhunt (Twitter)
├twimap (Twitter)
├geOSINT (Twitter, FourSquare, Flickr)
├geo-lens (Twitter, Facebook, Instagram)
├osintcombine (Instagram)
├explore (Instagram)
├instahunt (Instagram)
├instmap (Instagram)
├instaloctrack (Instagram)
├whopostedwhat (Facebook)
├snapchat (SnapChat)
├@locatortlrm_bot (Telegram)
├telegram-nearby (Telegram)
├geocreepy (Framework)
├@UniversalSearchRobot (Framework)
├quickgeolocationsearch (Maps Services)
└intelx (Maps Services)

@tomhunter

#news Пока в мире безнаказанно буйствует да ДДоСит ботнет-рекордсмен Meris, суд Калифорнии признал виновным Мэтью Гатрела, администратора сервисов DownThem и Ampnode. Первый сервис предлагал своим клиентам DDoS на конкурентов по подписке, второй — пуленепробиваемый хостинг с серверами, на которых лежат готовые скрипты для DDoS-атак.

У DownThem было несколько вариантов подписки, предполагавших разные продолжительность и силу атаки. Сервисом на протяжении 10 лет воспользовалось около двух тысяч клиентов, которые в сумме заказали 200 тысяч ДДоСов. Цели самые разные, от школ и университетов до местных органов власти.

Помощник Гатрела, в отличие от него, уже признал себя виновным, ему грозит до 10 лет заключения. Сам Гатрел может получить до 35: приговор выясним в январе.

@tomhunter