#news Насчёт недавней рассылки: ФБР говорит, что она случилась из-за некой ошибки в настройке внутреннего софта. Эта ошибка и позволила разослать фейковые письма.
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
#anon #phone Поговорим об... анонимности. Сегодня речь пойдет о безопасности наших мобильников. Начнем с железа...
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
#news Данные примерно 7 миллионов клиентов Robinhood, украденных в результате недавней утечки данных, продаются на популярном хакерском форуме. Данные включают следующую информацию:
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
Адреса электронной почты для 5 миллионов клиентов
Полные имена для 2 миллионов других клиентов
Имя, дата рождения и почтовый индекс на 300 человек
Более обширная информация о счете для десяти человек
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
#news Биткоин получил первый апдейт за 4 года. Цель обновления, названного Taproot, — сделать транзакции более конфиденциальными и эффективными.
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
#news Intel выявила три уязвимости (CVE-2021-0157, CVE-2021-0158 и CVE-2021-0146) с высокой степенью опасности, которые затрагивают широкий спектр семейств процессоров Intel, что позволяет злоумышленникам и вредоносным программам получать более высокие уровни привилегий на устройстве.
@tomhunter
@tomhunter
#news Исследователи разработали новую технику, основанную на фаззинге, под названием «Blacksmith», которая возрождает атаки уязвимости Rowhammer на современные устройства DRAM в обход существующих средств защиты. Эта уязвимость обходит программные механизмы безопасности, что приводит к повышению привилегий, повреждению памяти и многому другому.
@tomhunter
Rowhammer - это средство защиты, основанное на утечке электрических зарядов между соседними ячейками памяти, что позволяет злоумышленнику переключать единицы и нули и изменять содержимое в памяти.▶️ https://youtu.be/7IQi2mJ9mek
@tomhunter
#anon #os Продолжаем говорить об анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Тема нашего сегодняшнего поста - альтернативные операционные системы (ОС). Вы удивитесь, но их достаточно много...
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
#event 1 декабря в Москве пройдет конференция КРЭБ (Конкурентная разведка & Экономическая безопасность), на которой будет обсуждаться как эффективно обеспечить корпоративную безопасность в 2022 году.
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
#news В продолжение эпопеи: Гитхаб (родительская компания npm) рассказал о двух критических уязвимостях, которые недавно устранил.
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
#news Microsoft представила управляемую искусственным интеллектом систему обнаружения атак программ-вымогателей для клиентов Microsoft Defender, которая дополняет существующую облачную защиту, оценивая риски и блокируя участников по периметру. В отличие от облачной защиты, которую администраторы настраивают вручную, новая система является адаптивной, что означает, что она может автоматически повышать или понижать агрессивность решений о блокировке, доставляемых через облако, на основе данных в реальном времени и прогнозов машинного обучения.
@tomhunter
@tomhunter
#anon #serf Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части - альтернативные ОС для смартфонов. Тема нашего сегодняшнего поста - браузеры с повышенной анонимностью и поисковые системы им под стать...
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
💩1
#news Криптомиксеры всегда были в эпицентре киберпреступности, позволяя хакерам «очищать» криптовалюту, украденную у жертв, и усложняли правоохранительным органам их отслеживание. Когда злоумышленники крадут криптовалюту или получают ее в качестве выкупа, правоохранительные органы или исследователи могут увидеть, на какой кошелек криптовалюты были отправлены средства. Микшеры позволяют злоумышленникам вносить незаконно полученную криптовалюту, а затем смешивать ее с большим пулом «случайных» транзакций. Таким образом, исходная криптовалюта запутывается в большом количестве сумм из множества разных и неизвестных источников. Сегодня хакеры используют четыре популярных сервиса криптомикширования, а именно Absolutio, AudiA6, Blender и Mix-btc. За исключением Mix-btc, все платформы работают в сети Tor. Они поддерживают Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero и Tether. Avaddon, DarkSide 2.0 (или BlackMatter) и REvil, вероятно, используют миксер BitMix.
@tomhunter
@tomhunter
#news Волна атак, начавшаяся в конце прошлой недели, взломала уже около 300 сайтов WordPress для отображения на них поддельных уведомлений о шифровании. Таким образом, преступники пытаются заставить владельцев сайтов заплатить 0,1 биткойна. Исследователи обнаружили, что веб-сайты не были зашифрованы, а скорее злоумышленники изменили установленный плагин WordPress, чтобы отображать записку о выкупе и обратный отсчет. В дополнение к отображению примечания о выкупе, плагин изменял бы все сообщения блога WordPress и устанавливал их 'post_status' в 'null', заставляя их переходить в неопубликованное состояние. Большинство обнаруженных сайтов просило перевести им биткоины на криптокошелек с адресом 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDE. Публикуем рекомендации по защите WordPress.
@tomhunter
@tomhunter
#news Агентство по кибербезопасности США (CISA) выпустило новые планы реагирования на кибербезопасность (известные как учебные пособия) для федеральных органов гражданской исполнительной власти (FCEB).
@tomhunter
@tomhunter
#news Идет война за IPv4... Генеральный директор технологической фирмы из Южной Каролины признал себя виновным по 20 пунктам обвинения в мошенничестве с использованием электронных средств связи в связи со сложной сетью фальшивых компаний, созданных для получения более 735 000 IP-адресов. В то время один IP-адрес мог приносить от 15 до 25 долларов.
@tomhunter
@tomhunter
#news На русскоязычных форумах по борьбе с киберпреступностью назревает некоторая необычная активность, где хакеры, похоже, обращаются к китайским коллегам для сотрудничества. Эти попытки привлечь китайских злоумышленников в основном видны на хакерском форуме RAMP. Исследователи предполагают, что наиболее вероятная причина заключается в том, что российские банды программ-вымогателей стремятся создать альянсы с китайскими игроками для проведения кибератак против целей в США, обмена уязвимостями или даже привлечения новых специалистов для своих операций по программе-вымогателю как услуге (RaaS).
@tomhunter
@tomhunter
#news Считаете, что TOR безопасен? Оцените возможные векторы атак, о существовании которых было известно еще год назад.
@tomhunter
@tomhunter
#news Тут Robinhood деликатно добавил, что во время недавнего взлома утекли ещё и телефонные номера. Взлом, напомню, случился из-за телефонной социнженерной атаки на сотрудника поддержки.
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
Представитель хакеров поделился с журналистами Motherboard копией украденных данных: слитых номеров там оказалось около 4400.
В слив ещё что-то угодило, похоже, но Robinhood пока изучает ситуацию. Компания продолжает заверять, что все финансовые данные в безопасности.
@tomhunter
#news 24 ноября 2021 состоится онлайн-конференция AM Live «Безопасность рабочих станций в сетях АСУ ТП».
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
От компании T.Hunter в мероприятии примет участие Сергей Матвеев, архитектор информационной безопасности, кандидат технических наук. Вместе с экспертами Positive Technologies, Лаборатории Касперского, Trend Micro и Ростелеком-Солар состоится обсуждение проблематики защиты рабочих станций и контроллеров в промышленных сетях, российской специфики и отраслевых особенностей этого рынка.
Эксперты дадут рекомендации, на что следует обратить внимание при выборе средств мониторинга и защиты промышленных сетей. Дадут свои оценки по применимости активной безопасности и автоматизированного реагирования в
АСУ ТП. А также расскажут о тенденциях на этом рынке и прогнозах его развития.
Присоединяйтесь, бесплатно зарегистрироваться можно тут: https://live.anti-malware.ru/ics-workstation-security
#news Изобретательные хакеры приспособили платформу Glitch для массовой штамповки фишинговых сайтов-однодневок, нацеленных на сотрудников крупных ближневосточных компаний.
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
Фишка в том, что в бесплатной версии Glitch можно на 5 минут сделать сайт публичным, используя предоставленный платформой домен — он будет состоять из трёх случайных слов. Через 5 минут карета превратится в тыкву, но можно нажать кнопочку ещё раз и получить новые три слова.
Для хакеров схема оказалась идеальной. Сама атака простецкая: хакеры присылали жертве письма с PDFкой. PDFка уводила человека на фишинговое Glitch-приложение, сделанное под SharePoint; жертва пыталась залогиниться и передавала тем самым данные от корпоративного аккаунта хакерам.
@tomhunter
#news Вредоносное ПО для Android BrazKing вернулось в качестве скрытого банковского трояна. Вредонос был обнаружен вне пределов Play Store, на сайтах, куда люди попадают после получения smishing-сообщений (SMS). Эти сайты предупреждают жертву о том, что она использует устаревшую версию Android, и предлагают APK, который обновит ее до последней версии. При этом, новая версия BrazKing защищает внутренние ресурсы, применяя операцию XOR с использованием жестко запрограммированного ключа, а затем также кодирует их с помощью Base64.
@tomhunter
@tomhunter