#news Хакеры из Lorenz заразили рансомварью британские сети немецкого оборонного подрядчика Hendsoldt.
Важная деталь: Hendsoldt работает с США, в том числе имея доступ к секретным госконтрактам. Её продукцию — в числе прочего вертолётные платформы и прибрежные боевые корабли (LCS) — используют Вооружённые силы, Корпус морской пехоты и Национальная гвардия.
Компания пока не выпустила официального заявления, но подтвердила журналистам произошедшее. А вот Lorenz уже гордо взяли на себя ответственность за атаку, заявив, что украли некий массив файлов. 95% украденных файлов хакеры опубликовали на своём сайте для сливов, защитив архивы с ними паролем.
@tomhunter
Важная деталь: Hendsoldt работает с США, в том числе имея доступ к секретным госконтрактам. Её продукцию — в числе прочего вертолётные платформы и прибрежные боевые корабли (LCS) — используют Вооружённые силы, Корпус морской пехоты и Национальная гвардия.
Компания пока не выпустила официального заявления, но подтвердила журналистам произошедшее. А вот Lorenz уже гордо взяли на себя ответственность за атаку, заявив, что украли некий массив файлов. 95% украденных файлов хакеры опубликовали на своём сайте для сливов, защитив архивы с ними паролем.
@tomhunter
#news В Safari 15 есть баг, сливающий браузерную историю и ID Google-аккаунта.
Баг касается ошибки в реализации IndexedDB API в движке Safari, WebKit. Обычно IndexedDB используется для кэширования, но модули и расширения могут хранить там ценные данные. Чтобы предотвращать XSS-атаки, соблюдается правило ограничения домена (same-origin policy).
Соблюдается, да не в яблочном браузере. Same-origin policy в Safari игнорируется, поэтому любой сайт может увидеть названия баз данных, созданных в рамках сессии. База обычно создаётся под каждый сайт, так что это всё равно что показать браузерную историю. Для гугловских сервисов сливается ещё и ID Google-аккаунта.
Демо тут — смотреть, естественно, нужно в Safari.
@tomhunter
Баг касается ошибки в реализации IndexedDB API в движке Safari, WebKit. Обычно IndexedDB используется для кэширования, но модули и расширения могут хранить там ценные данные. Чтобы предотвращать XSS-атаки, соблюдается правило ограничения домена (same-origin policy).
Соблюдается, да не в яблочном браузере. Same-origin policy в Safari игнорируется, поэтому любой сайт может увидеть названия баз данных, созданных в рамках сессии. База обычно создаётся под каждый сайт, так что это всё равно что показать браузерную историю. Для гугловских сервисов сливается ещё и ID Google-аккаунта.
Демо тут — смотреть, естественно, нужно в Safari.
@tomhunter
#news #OSINT Школота минирует Россию... Продолжаю рассказ про виртуальное минирование. Вполне ожидаемо оказалось, что им занимаются не только спецслужбы, но и разнообразные пубертаты. Мы провели исследование четырех новых сообществ "минеров" в Telegram (в дополнение к 20-ти сообществам ранее) и пришли к выводу, что минирование (swatting) - особенно популярно на Украине. По крайней мере, именно там логируется порядка 90% админов подобных сообществ. Стоимость минирования начинается от 250 RUR за объект. Для интересующихся темой - есть обучающие курсы, которые ведут не менее прыщавые школьники. Сообществ минеров очень много, не только в Telegram. Они есть и в ВК. Приятно, что парни любят хвастаться в них своими "операциями", а также рассказывают о минированиях "на будущее".
P.S. Я специально размыл граф с данными. Заинтересованные лица могут обратиться за получением сведений в официальном порядке. Остальным они без надобности.
@tomhunter
P.S. Я специально размыл граф с данными. Заинтересованные лица могут обратиться за получением сведений в официальном порядке. Остальным они без надобности.
@tomhunter
Написал для вас на Хабр небольшой обзор всего, чем 2021 год одарил наш уютный инфосек. Начали за здрав… с последствий SolarWinds, закончили за Log4j.
Не обошлось и без легендарной летающей спайвари — она, увы, так и не похвасталась за весь год ни одним пойманным с её помощью террористом.
Приятного чтения!
Не обошлось и без легендарной летающей спайвари — она, увы, так и не похвасталась за весь год ни одним пойманным с её помощью террористом.
Приятного чтения!
#news Правоохранительные органы из 10 стран заблокировали VPNLab.net, поставщика услуг VPN, используемого операторами программ-вымогателей. Совместная разрушительная акция координировалась Европолом и состоялась 17 января 2022 года. Правоохранители захватили 15 серверов, используемых сервисом VPNLab.net, и отключили его основной сайт, поэтому платформа больше недоступна. Известно, что сервис использовался как минимум в 150 атаках программ-вымогателей.
@tomhunter
@tomhunter
#news Киберпреступники все чаще используют Telegram для создания подпольных каналов для продажи украденных банковских данных. Поскольку платформа следует подходу свободной модерации, подвергая цензуре только экстремистский контент, киберпреступникам достаточно легко злоупотреблять ею в своих целях.
@tomhunter
@tomhunter
#news В ноябре 2021 года следователи DEA потребовали от принадлежащей Facebook компании WhatsApp отследить семь пользователей из Китая и Макао. Facebook, разумеется, взял под козырек. Вопрос юрисдикции, да и правомочности американских наркополицейских в других странах компания не взволновал. Неприятный, но показательный прецедент. И далеко не первый, если верить СМИ... https://www.forbes.com/sites/thomasbrewster/2022/01/17/whatsapp-ordered-to-spy-on-chinese-phones-by-america-no-explanation-given/
@tomhunter
@tomhunter
🤯2
#news Центробанк впервые запросил у банков данные о сотрудничестве с криптообменниками в части проведения платежей между гражданами (p2p), в том числе на карты подставных лиц.
В запросе фигурировали следующие сервисы: btc-obmennik.com, cleanbtc.ru, 100bitcoins.com, ultrachange.biz, 1wn.kz, cryptex24.com/ru/, openchange.cash, xchange.cash, vexel.com, betatransfer.org. Как думаете, дадут?
@tomhunter
В запросе фигурировали следующие сервисы: btc-obmennik.com, cleanbtc.ru, 100bitcoins.com, ultrachange.biz, 1wn.kz, cryptex24.com/ru/, openchange.cash, xchange.cash, vexel.com, betatransfer.org. Как думаете, дадут?
@tomhunter
#news Ломающие новости: оказывается, власти Израиля использовали Pegasus для слежки за собственными же гражданами, которые не вписались в линию партии. Тот самый Pegasus, который сделала израильская же NSO Group.
Среди целей приметили местных мэров, бывших госслужащих и противников нынешнего премьера, Биньямина Нитаньяху. Судя по документам, израильская полиция заплатила NSO Group за лицензию 2.7 млн шекелей (около $864 млн по нынешнему курсу) в 2013 году.
NSO Group привычно открещивается: захардкожена, мол, в наш Пегасус невозможность атаковать израильские и американские номера. Видимо, местной полиции на всякий случай лицензию продали — вдруг те иностранной разведкой после работы балуются.
@tomhunter
Среди целей приметили местных мэров, бывших госслужащих и противников нынешнего премьера, Биньямина Нитаньяху. Судя по документам, израильская полиция заплатила NSO Group за лицензию 2.7 млн шекелей (около $864 млн по нынешнему курсу) в 2013 году.
NSO Group привычно открещивается: захардкожена, мол, в наш Пегасус невозможность атаковать израильские и американские номера. Видимо, местной полиции на всякий случай лицензию продали — вдруг те иностранной разведкой после работы балуются.
@tomhunter
#news Кибермошенники научились обходить защиту кредитных карты 3D Secure. Напомню, что 3D Secure предполагает направление владельцу кредитной карты SMS-сообщения кода подтверждения транзакции. Чтобы обойти защиту, злоумышленники распространяют ссылки на фейки интернет-магазинов. При заказе на них товаров, пользователь вводит данные кредитки и получает код подтверждения...
Только этот код не от его покупки в фейковом магазине. Это код для подтверждения платежа при переводе с карты на карту с помощью внешнего сервиса. Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.
@tomhunter
Только этот код не от его покупки в фейковом магазине. Это код для подтверждения платежа при переводе с карты на карту с помощью внешнего сервиса. Процесс оплаты для пользователя выглядит так, как процесс оплаты на обычном ресурсе.
@tomhunter
#news Неизвестные хакеры украли данные 515 тысяч людей, участвующих в программе Restoring Family Links от Красного Креста — она помогает воссоединять семьи, разделенные из-за войны, катастроф и миграции.
Взломали компанию, которая по контракту с Красным Крестом хранила эти данные. Представители организации пока не знают, кто и с какими целями организовал взлом, но ищут с хакерами переговоров — всё надеются, что данные и без того уязвимых людей удастся сберечь от продажи или слива в даркнете.
@tomhunter
Взломали компанию, которая по контракту с Красным Крестом хранила эти данные. Представители организации пока не знают, кто и с какими целями организовал взлом, но ищут с хакерами переговоров — всё надеются, что данные и без того уязвимых людей удастся сберечь от продажи или слива в даркнете.
@tomhunter
#news Австрийский новостной сайт NetDoktor катализировал конфликт между США и ЕС о защите персональных данных. Дело в том, что сайт пользовался Google Analytics, и данные европейских пользователей в итоге попадали на американские сервера.
ЕС давно пытается ограничить такие путешествия личных данных европейцев через Атлантику, и в использовании GA Австрия нашла нарушение европейского Общего регламента по защите данных. Решение ещё не финальное, но использование GA в Австрии думают запретить.
Главная проблема: данные иностранцев в США не защищены от американских спецслужб.
В 2020 ЕС отменил «Щит конфиденциальности», позволявший «вывозить» данные европейцев в США с определёнными условиями. Новых регуляций с тех пор не было, и дело затягивается. Если так продолжится и дальше, принятое Австрией решение вполне может иметь эффект домино: одна страна за другой запретит Amazon, Facebook и прочим Гуглам увозить в США данные своих граждан. Сейчас подобные дела рассматривают в 30 странах ЕС.
@tomhunter
ЕС давно пытается ограничить такие путешествия личных данных европейцев через Атлантику, и в использовании GA Австрия нашла нарушение европейского Общего регламента по защите данных. Решение ещё не финальное, но использование GA в Австрии думают запретить.
Главная проблема: данные иностранцев в США не защищены от американских спецслужб.
В 2020 ЕС отменил «Щит конфиденциальности», позволявший «вывозить» данные европейцев в США с определёнными условиями. Новых регуляций с тех пор не было, и дело затягивается. Если так продолжится и дальше, принятое Австрией решение вполне может иметь эффект домино: одна страна за другой запретит Amazon, Facebook и прочим Гуглам увозить в США данные своих граждан. Сейчас подобные дела рассматривают в 30 странах ЕС.
@tomhunter
#news А вот про обсуждаемый запрет крипты в России. От предположений о том, что это ФСБ убедило ЦБ задуматься о таком запрете, ожидаемо открестились — мол, ЦБ сам по себе всегда был настроен к криптовалютам негативно.
В вышедшем сегодня докладе ЦБ говорит, что предлагает:
⋅ ввести ограничения для обменников и бирж на территории РФ;
⋅ запретить финансовым организациям инвестировать в крипту;
⋅ запретить операции с криптой на российской инфрастуктуре;
⋅ ввести некую ответственность за использование крипты для платежей.
Иными словами, вашу покупку биткоинов на Binance банк сможет заблокировать. А вот что они собираются делать с P2P с сообщением «подарок» — это пока большая загадка.
@tomhunter
В вышедшем сегодня докладе ЦБ говорит, что предлагает:
⋅ ввести ограничения для обменников и бирж на территории РФ;
⋅ запретить финансовым организациям инвестировать в крипту;
⋅ запретить операции с криптой на российской инфрастуктуре;
⋅ ввести некую ответственность за использование крипты для платежей.
Иными словами, вашу покупку биткоинов на Binance банк сможет заблокировать. А вот что они собираются делать с P2P с сообщением «подарок» — это пока большая загадка.
@tomhunter
#news Crypto.com официально рассказали о взломе, который произошёл 17 января. Некие хакеры взломали 483 аккаунта, обойдя 2FA, и украли около $34.6 миллионов.
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошелькии косячьте гордо сами.
@tomhunter
Часть транзакций на вывод платформа заблокировала, а у части пользователей деньги всё-таки увели — к счастью, Crypto.com всё компенсировала за свой счёт. Ещё решила постепенно заменять 2FA на мультифакторную авторизацию (ура!).
Дежурное для канала напоминание: деньги, лежащие в Crypto.com и прочих Binance, вам на самом деле не принадлежат. Один настойчивый хакер или одно неудачное решение команды, и вот очередная новость из извечной рубрики. Не зависьте от чужих косяков с безопасностью — уносите всё после покупок-обменов в холодные кошельки
@tomhunter
#news Ну и пока мы о криптофейлах, вот совершенно эпичный в копилку: платформа Multichain объявила об активной уязвимости до того, как её устранить. Естественно, хакеры ею сразу же воспользовались.
Один из них украл $1.4 миллиона. К счастью, он оказался белошляпочным и не против почти всё вернуть, оставив себе только 20% на чай за то, что спас деньги.
Пользователи всё ходят и спрашивают у компании, собирается ли она компенсировать им деньги. Хороший вопрос.
@tomhunter
Один из них украл $1.4 миллиона. К счастью, он оказался белошляпочным и не против почти всё вернуть, оставив себе только 20% на чай за то, что спас деньги.
Пользователи всё ходят и спрашивают у компании, собирается ли она компенсировать им деньги. Хороший вопрос.
@tomhunter
#news ProtonMail анонсирует «расширенную защиту от слежки». Сервис будет блокировать пиксели-трекеры, которые сочтет опасными, а также будет скрывать IP-адрес пользователя, чтобы его местоположение не стало известно третьим лицам.
Ранее ProtonMail анонсировал «расширенное сотрудничество с силовиками». Сервис передавал правоохранительным органам следующую информацию: дату создания аккаунта, IP-адрес и данные о пользовательском устройстве. При этом на сайте сервиса было указано, что логирование IP-адресов в постоянном режиме не ведется.
@tomhunter
Ранее ProtonMail анонсировал «расширенное сотрудничество с силовиками». Сервис передавал правоохранительным органам следующую информацию: дату создания аккаунта, IP-адрес и данные о пользовательском устройстве. При этом на сайте сервиса было указано, что логирование IP-адресов в постоянном режиме не ведется.
@tomhunter
#news Исследователи обнаружили несколько шпионских кампаний, нацеленных на промышленные предприятия и направленных на кражу учетных данных электронной почты и финансовое мошенничество. Количество атакованных систем в этих кампаниях всегда меньше сотни, половина из которых — это машины АСУ (интегрированные компьютерные системы), развернутые в промышленных средах. Злоумышленники используют украденные учетные данные сотрудников, которые они получают с помощью целевого фишинга, для более глубокого проникновения и перемещения в сети компании. Многие учетные записи электронной почты RDP, SMTP, SSH, cPanel и VPN, украденные в ходе этих кампаний, размещаются на торговых площадках даркнета и в конечном итоге продаются другим злоумышленникам.
@tomhunter
@tomhunter
#news ФБР официально связало программу-вымогатель Diavol с группой TrickBot. TrickBot наиболее известна своим одноименным банковским трояном TrickBot, но также стоит за разработкой бэкдоров BazarBackdoor и Anchor. Другое название программы-вымогателя Diavol — программа-вымогатель Enigma, которую использовала команда TrickBot до ребрендинга Diavol. ФБР, вероятно, смогло официально связать Diavol с бандой TrickBot после ареста Аллы Витте, латвийки, участвовавшей в разработке программы-вымогателя для банды вредоносных программ.
@tomhunter
@tomhunter
#news Log4j все еще находится в активной эксплуатации. Уже 4 января злоумышленники начали использовать уязвимость CVE-2021-44228 в системах с выходом в Интернет, работающих под управлением VMware Horizon. Это привело к развертыванию программы-вымогателя NightSky. Ожидается, что злоумышленники продолжат искать Log4j-уязвимые системы и проводить целевые атаки в будущем.
@tomhunter
@tomhunter
#OSINT #Maltego Давно не обсуждали Maltego... Итак, у нас есть очередное бесплатное дополнение программного обеспечения от НЦБ Интерпола. Скачать можно по ссылке.
@tomhunter
@tomhunter
#news Киберпреступники подделывают QR-коды, чтобы перенаправить жертв на вредоносные сайты, которые крадут авторизацию и финансовую информацию - "открыли сегодня истину" в ФБР. ФБР заявило, что мошенники меняют законные QR-коды, используемые предприятиями для целей оплаты, чтобы перенаправить потенциальных жертв на вредоносные веб-сайты, предназначенные для кражи их личной и финансовой информации, установки вредоносных программ на их устройства или перенаправления их платежей на счета, находящиеся под их контролем.
@tomhunter
@tomhunter