Дорогие друзья!
2020-й подходит к концу. Год, если честно, был хреновый. И мы говорим сейчас не только про коронавирус и все связанные с этим события. В уходящем году ситуация в индустрии информационной безопасности и в области сети вообще, по нашему скромному мнению, стала только хуже.
Вместе с эпидемией COVID-19 мы получили эпидемию ransomware, и если от короны лекарства появляются, то эффективного средства противодействия вымогателям пока не ожидается. Все более отчетливо видны очертания будущей структуры всемирной сети и это не розовые пони с обнимашками, а жестко разделенные кластеры, подчиняющиеся нескольким центрам силы. И все громче заявления сильных мира сего о том, что надо уже не стесняться, а разворачивать кибервойны в полный рост - и главной целью в это противостоянии, полагаем, станет критическая инфраструктура.
В российском инфосек тоже не все гладко. Если со стороны инфосек компаний все в целом на уровне, то понимания важности мер информационной безопасности у ответственных лиц в государственном и частном секторах за 2020 год не прибавилось. Так что частота инцидентов будет только возрастать.
Но, с другой стороны, в 2020 году фактически появился и начал развиваться наш канал. И мы полагаем, что смогли достичь неплохих результатов.
Поэтому в следующем году мы будем стараться не отходить от своей повестки и продолжать радовать вас интересными материалами. И периодически, конечно, поругивать отдельных функционеров и инфосек вендоров. Но, просим заметить, что делаем это исключительно в качестве дружеской критики. Так что мир, дружба, всем чмоки в этом чяте!
Мы со спокойной душой уходим на новогодние каникулы, потому что после такого 2020-го надо как следует отдохнуть.
С наступающим Новым Годом! Желаем всего! Ура, товарищи инфосек специалисты!
P.S. Мы помним про свой долг в виде обзора активности иранской APT MuddyWater. И нам очень стыдно, что мы не успели его доделать вовремя. С другой стороны, там Water действительно оказалась Muddy. Торжественно обещаем его закончить и выложить в ближайшее время.
2020-й подходит к концу. Год, если честно, был хреновый. И мы говорим сейчас не только про коронавирус и все связанные с этим события. В уходящем году ситуация в индустрии информационной безопасности и в области сети вообще, по нашему скромному мнению, стала только хуже.
Вместе с эпидемией COVID-19 мы получили эпидемию ransomware, и если от короны лекарства появляются, то эффективного средства противодействия вымогателям пока не ожидается. Все более отчетливо видны очертания будущей структуры всемирной сети и это не розовые пони с обнимашками, а жестко разделенные кластеры, подчиняющиеся нескольким центрам силы. И все громче заявления сильных мира сего о том, что надо уже не стесняться, а разворачивать кибервойны в полный рост - и главной целью в это противостоянии, полагаем, станет критическая инфраструктура.
В российском инфосек тоже не все гладко. Если со стороны инфосек компаний все в целом на уровне, то понимания важности мер информационной безопасности у ответственных лиц в государственном и частном секторах за 2020 год не прибавилось. Так что частота инцидентов будет только возрастать.
Но, с другой стороны, в 2020 году фактически появился и начал развиваться наш канал. И мы полагаем, что смогли достичь неплохих результатов.
Поэтому в следующем году мы будем стараться не отходить от своей повестки и продолжать радовать вас интересными материалами. И периодически, конечно, поругивать отдельных функционеров и инфосек вендоров. Но, просим заметить, что делаем это исключительно в качестве дружеской критики. Так что мир, дружба, всем чмоки в этом чяте!
Мы со спокойной душой уходим на новогодние каникулы, потому что после такого 2020-го надо как следует отдохнуть.
С наступающим Новым Годом! Желаем всего! Ура, товарищи инфосек специалисты!
P.S. Мы помним про свой долг в виде обзора активности иранской APT MuddyWater. И нам очень стыдно, что мы не успели его доделать вовремя. С другой стороны, там Water действительно оказалась Muddy. Торжественно обещаем его закончить и выложить в ближайшее время.
Ну что же, здравствуйте в 2021!
Год только начался, а уже произошла куча событий, которые кардинальным образом влияют на жизнь сети.
Подавляющее большинство западных социальных сетей (а что есть незападные? - еще как, посмотрите на Weibo и WeChat) заблокировало пока еще действующего президента США Трампа. При этом Twitter пошел еще дальше и пообещал бессрочно блокировать любого пользователя, который даст Трампу слово.
От такого проняло даже либерального Здольникова, хотя некоторые особо упоротые адепты святой демократии тут же переобулись в прыжке и стали рассказывать, что цензура со стороны коммерческих компаний это хорошо и легетимно, а вот государственная цензура - это отвратительно и Мордор.
Как нам видится, без разницы кто навязывает цензуру, от этого она цензурой быть не перестает. Рассказываем хинт - все магистральные российские провайдеры, включая Ростелеком, это коммерческие компании. С этой точки зрения блокировка ими трафика, например, YouTube - это ок? Полагаем, что нет.
Следующими нас порадовали AppStore и Google Play, которые выпилили мобильную версию соцсети Parler, в которую массово стали переходить американские республиканцы. Apple и Google не устроило отсутствие в Parler модерации контента, сиречь той же самой цензуры. Причем не просто цензуры, а угодной определенному кругу американского истеблишмента, к которому относятся руководители этих компаний.
И если на Android есть еще хоть какая-то возможность поставить приложение в обход официального магазина Google, то пользователи яблочных устройств этого лишены. По этому поводу возбудился даже Дуров, который призвал всех переходить на Android, а также признал, что Telegram разрабатывает версию под Siri.
Ну и WhatsApp выдал изменение политики конфиденциальности, обязав всех пользователей безальтернативно согласиться с передачей данных мессенджера в Facebook. Не то что бы мы уверены, что раньше такого не было, но теперь ведь даже не стесняются, гады. На этом фоне товарищ Эрдоган демонстративно призвал всех неравнодушных турецкоподданых переходить на единственно верный турецкий мессенджер BiP (ждем выступления Мишустина по поводу ТамТама).
Помните мы частенько предупреждали про наступление эры Кластернета. Так вот же она, приближается семимильными шагами.
UPD. Telegram разрабатывает версию конечно-же под Safari, а не под Siri. Это мы описались. Спасибо внимательному подписчику.
Год только начался, а уже произошла куча событий, которые кардинальным образом влияют на жизнь сети.
Подавляющее большинство западных социальных сетей (а что есть незападные? - еще как, посмотрите на Weibo и WeChat) заблокировало пока еще действующего президента США Трампа. При этом Twitter пошел еще дальше и пообещал бессрочно блокировать любого пользователя, который даст Трампу слово.
От такого проняло даже либерального Здольникова, хотя некоторые особо упоротые адепты святой демократии тут же переобулись в прыжке и стали рассказывать, что цензура со стороны коммерческих компаний это хорошо и легетимно, а вот государственная цензура - это отвратительно и Мордор.
Как нам видится, без разницы кто навязывает цензуру, от этого она цензурой быть не перестает. Рассказываем хинт - все магистральные российские провайдеры, включая Ростелеком, это коммерческие компании. С этой точки зрения блокировка ими трафика, например, YouTube - это ок? Полагаем, что нет.
Следующими нас порадовали AppStore и Google Play, которые выпилили мобильную версию соцсети Parler, в которую массово стали переходить американские республиканцы. Apple и Google не устроило отсутствие в Parler модерации контента, сиречь той же самой цензуры. Причем не просто цензуры, а угодной определенному кругу американского истеблишмента, к которому относятся руководители этих компаний.
И если на Android есть еще хоть какая-то возможность поставить приложение в обход официального магазина Google, то пользователи яблочных устройств этого лишены. По этому поводу возбудился даже Дуров, который призвал всех переходить на Android, а также признал, что Telegram разрабатывает версию под Siri.
Ну и WhatsApp выдал изменение политики конфиденциальности, обязав всех пользователей безальтернативно согласиться с передачей данных мессенджера в Facebook. Не то что бы мы уверены, что раньше такого не было, но теперь ведь даже не стесняются, гады. На этом фоне товарищ Эрдоган демонстративно призвал всех неравнодушных турецкоподданых переходить на единственно верный турецкий мессенджер BiP (ждем выступления Мишустина по поводу ТамТама).
Помните мы частенько предупреждали про наступление эры Кластернета. Так вот же она, приближается семимильными шагами.
UPD. Telegram разрабатывает версию конечно-же под Safari, а не под Siri. Это мы описались. Спасибо внимательному подписчику.
В прошедший четверг Nvidia выпустила очередное обновление безопасности своего ПО исправляющее 16 уязвимостей, среди которых есть и критические.
Радует то, что среди уязвимостей нет приводящих к удаленному выполнению кода (RCE). Но и имеющихся CVE, эксплуатация которых позволит хакеру провести атаку на отказ в обслуживании или повысить локальные привилегии достаточно для того, чтобы не откладывая в долгий ящик провести обновление своего ПО.
Радует то, что среди уязвимостей нет приводящих к удаленному выполнению кода (RCE). Но и имеющихся CVE, эксплуатация которых позволит хакеру провести атаку на отказ в обслуживании или повысить локальные привилегии достаточно для того, чтобы не откладывая в долгий ящик провести обновление своего ПО.
За время каникул появились и новости в отношении ransomware, владельцы и операторы которых, закатав рукава, зарабатывали нетрудовые доходы.
ZDNet со ссылкой на одну из компаний-жертв ransomware Clop сообщают, что оператор вымогателя использовал в процессе рансома новую тактику. Первичной целью злоумышленников являлись рабочие станции топ-менеджмента, который может участвовать в принятии решений о выплате выкупа.
Таким образом среди информации, которую хакеры собираются опубликовать, могут быть не только рабочие сведения, но и принадлежащие этим самым топ-менеджерам данные личного характера. Безусловно это может существенно повлиять на процесс принятия решения о выплате выкупа. По крайней мере, компания, от сотрудников которой журналисты узнали новость, в итоге выплатила многомиллионный выкуп.
Аналогичная тактика была замечена исследователями компании Arete IR у одного из операторов ransomware Sodinokibi (REvil). Правда, есть предположение, что в обоих случаях выступала одна и та же хакерская группа, которая работает с владельцами сразу нескольких ransomware. Тем не менее, наверняка новый подход к уламыванию несговорчивых жертв будет широко распространен в ближайшее время. Ведь, в отличие от неповоротливого руководства крупных компаний, неспособного оперативно реагировать на постоянно изменяющийся ландшафт киберугроз, хакерские группы моментально меняют свое поведение если речь идет о возможности заработать больше денег.
Тем временем инфосек компании Advanced Intelligence и HYAS выпустили отчет по результатам исследования деятельности владельцев ransomware Ryuk, в котором проанализировали движения по используемым ими кошелькам. Поскольку Ryuk требуют выкуп в BTC, то это оказалось возможно. В отличие, кстати, от криптовалюты Monero, которую любят, к примеру, владельцы Sodinokibi.
По результатам анализа движений средств 61 криптокошелька, принадлежащих Ryuk, исследователи установили, что большая часть полученных битков обналичиваются через азиатские биржи Huobi и Binance. Кроме того, вымогатели использовали закрытые криминальные обменники.
Общую сумму выкупа Ryuk за 2020 год ресерчеры оценивают в 150 млн. долларов. Причем это консервативная оценка и конечная сумма наверняка существенно выше. Правда тут надо учитывать, что, поскольку Ryuk работает по схеме RaaS, то эти деньги разделяются между владельцем и оператором ransomware.
И напоследок, свежие новости от ransomware Conti. Вымогатели взломали американскую дочку всемирно известного производителя кофемашин и прочей кухонной техники DeLonghi. Но не договорились о выкупе и сегодня выкинули на своем DLS около 40 Гб украденной информации. Не знаем как американская компания, а итальянская голова DeLonghi имеет годовой доход более 2 млрд. долларов. В котором, видимо, не нашлось денег на усиление мер информационной безопасности.
ZDNet со ссылкой на одну из компаний-жертв ransomware Clop сообщают, что оператор вымогателя использовал в процессе рансома новую тактику. Первичной целью злоумышленников являлись рабочие станции топ-менеджмента, который может участвовать в принятии решений о выплате выкупа.
Таким образом среди информации, которую хакеры собираются опубликовать, могут быть не только рабочие сведения, но и принадлежащие этим самым топ-менеджерам данные личного характера. Безусловно это может существенно повлиять на процесс принятия решения о выплате выкупа. По крайней мере, компания, от сотрудников которой журналисты узнали новость, в итоге выплатила многомиллионный выкуп.
Аналогичная тактика была замечена исследователями компании Arete IR у одного из операторов ransomware Sodinokibi (REvil). Правда, есть предположение, что в обоих случаях выступала одна и та же хакерская группа, которая работает с владельцами сразу нескольких ransomware. Тем не менее, наверняка новый подход к уламыванию несговорчивых жертв будет широко распространен в ближайшее время. Ведь, в отличие от неповоротливого руководства крупных компаний, неспособного оперативно реагировать на постоянно изменяющийся ландшафт киберугроз, хакерские группы моментально меняют свое поведение если речь идет о возможности заработать больше денег.
Тем временем инфосек компании Advanced Intelligence и HYAS выпустили отчет по результатам исследования деятельности владельцев ransomware Ryuk, в котором проанализировали движения по используемым ими кошелькам. Поскольку Ryuk требуют выкуп в BTC, то это оказалось возможно. В отличие, кстати, от криптовалюты Monero, которую любят, к примеру, владельцы Sodinokibi.
По результатам анализа движений средств 61 криптокошелька, принадлежащих Ryuk, исследователи установили, что большая часть полученных битков обналичиваются через азиатские биржи Huobi и Binance. Кроме того, вымогатели использовали закрытые криминальные обменники.
Общую сумму выкупа Ryuk за 2020 год ресерчеры оценивают в 150 млн. долларов. Причем это консервативная оценка и конечная сумма наверняка существенно выше. Правда тут надо учитывать, что, поскольку Ryuk работает по схеме RaaS, то эти деньги разделяются между владельцем и оператором ransomware.
И напоследок, свежие новости от ransomware Conti. Вымогатели взломали американскую дочку всемирно известного производителя кофемашин и прочей кухонной техники DeLonghi. Но не договорились о выкупе и сегодня выкинули на своем DLS около 40 Гб украденной информации. Не знаем как американская компания, а итальянская голова DeLonghi имеет годовой доход более 2 млрд. долларов. В котором, видимо, не нашлось денег на усиление мер информационной безопасности.
ZDNet
Some ransomware gangs are going after top execs to pressure companies into paying
Ransomware gangs are prioritizing stealing data from workstations used by executives in the hopes of finding and using valuable information to use in the extortion process.
Почти месяц прошел с тех пор, как американцы из инфосек компании FireEye сообщили о вскрытии кибероперации Sunburst, в ходе которой неустановленная хакерская группа скомпрометировала американского разработчика ПО SolarWinds и засунула троян в его NMS Orion, который затем попал к тысячам клиентов. Эта киберкампания без сомнения претендует на звание года, а то и десятилетия (хотя тут нарисовался на днях другой кандидат, но об этом в конце поста).
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью - они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWinds, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором мы сказали в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно мы поговорим завтра.
С самого начала этой истории в американских СМИ и среди представителей различного уровня госучреждений США циркулировала информация о причастности русских хакеров к операции Sunburst. Но, как водится, никаких технических подтверждений этой версии за прошедший месяц представлено не было. Впрочем, это в последнее время становится фирменным стилем американского инфосека - неси что хочешь, доказательства для слабаков.
И вот сегодня появились первые TTPs, с помощью которых можно попробовать провести атрибуцию атаки Sunburst. И дали их исследователи Лаборатории Касперского.
Они обнаружили совпадения в используемых в бэкдоре Sunburst трех алгоритмах - генерации UID жертвы, ожидания и хэширования - с алгоритмами в старом RAT Kazuar.
Kazuar был впервые обнаружен исследователями команды Unit42 компании Palo Alto Networks в 2017 году, которые предположили, что вредонос принадлежит российской APT Turla aka Uroburos. При этом то, что это именно предположение, американцы подчеркнули отдельно.
Уже в этом году исследователи Cyber Threat Intelligence компании Accenture сообщили, что в период с июня по октябрь 2020 года наблюдали кибероперацию, направленную на одну из европейских правительственных организаций, в ходе которой Kazuar использовался совместно с другими принадлежащими Turla вредоносными инструментами - HyperStack, Carbon и др.
А уже Carbon - это с большой вероятностью вредонос, используемый российской APT, поскольку еще в 2014 году те же Касперские находили в его коде пояснения на русском языке. Группа Turla же известна, например, тем, что еще в 2008 году взломала одну из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя, зараженного червем Agent.BTZ.
Что же в сухом остатке. С большой вероятностью RAT Kazuar принадлежит APT Turla. Касательно же совпадений между Kazuar и Sunburst о принадлежности этих двух вредоносов одному актору говорить пока рано. Как минимум часть алгоритмов есть в открытом доступе и для полной уверенности необходимо подтверждение отсутствия пересечений всех трех алгоритмов с другими вредоносами. Если кто-то возьмется за такую проверку, то, полагаем, через 2-3 недели мы узнаем результаты.
Сами Касперские говорят о возможной принадлежности Sunburst группе Turla с крайней осторожностью - они допускают и версию об одном поставщике вредоносов для двух независимых акторов и вероятность использования хакерской группой, стоящей за атакой на SolarWinds, чужих флагов. Последнее в наше время уже не является экзотикой.
Что же касается другого кандидата на взлом десятилетия, о котором мы сказали в начале поста, то это свежевcкрытая атака на JetBrains, разработчика инструментов для разработки. Эдакая атака на цепочку поставок в квадрате. Про нее более подробно мы поговорим завтра.
Securelist
Sunburst backdoor – code overlaps with Kazuar
While looking at the Sunburst backdoor, we discovered several features that overlap with a previously identified .NET backdoor known as Kazuar.
Румынские исследователи из инфосек вендора Bitdefender выпустили бесплатный декриптор для файлов, зашифрованных ransomware Darkside.
Darkside вышел на широкий рынок путем использования схемы Ransomware-as-a-Service в ноябре прошлого года. До этого появившийся в августе 2020-го вымогатель использовался исключительно создателями. Основная цель - крупные корпоративные сети.
Это тот самый вымогатель, владельцы которого пожертвовали осенью 2020 года по 10 тыс. долларов двум благотворительным организациям.
Румыны - молодцы.
Darkside вышел на широкий рынок путем использования схемы Ransomware-as-a-Service в ноябре прошлого года. До этого появившийся в августе 2020-го вымогатель использовался исключительно создателями. Основная цель - крупные корпоративные сети.
Это тот самый вымогатель, владельцы которого пожертвовали осенью 2020 года по 10 тыс. долларов двум благотворительным организациям.
Румыны - молодцы.
Bitdefender Labs
Daily source of cyber-threat information. Established 2001.
Когда мы вчера писали про то, что цензура, введенная ведущими западными соцсетями и сервисами против Трампа и его сторонников, является штукой обоюдоострой и может быть использована в обе стороны, то не думали, что так быстро начнется.
Вчера провайдер Your T1 WIFI из Северного Айдахо заблокировал доступ к Facebook и Twitter из-за проводимой ими цензуры.
Понятно, что это пока лишь жалкое начало, но слово сказано. Теперь у нас будут "цензура государственная", "цензура коммерческая", "цензура за цензуру", "цензура за признание цензуры", "цензура за отрицание цензуры" и пр. и пр.
Похоже американские демократы таки выбили сливную пробку, пошло по трубам.
Вчера провайдер Your T1 WIFI из Северного Айдахо заблокировал доступ к Facebook и Twitter из-за проводимой ими цензуры.
Понятно, что это пока лишь жалкое начало, но слово сказано. Теперь у нас будут "цензура государственная", "цензура коммерческая", "цензура за цензуру", "цензура за признание цензуры", "цензура за отрицание цензуры" и пр. и пр.
Похоже американские демократы таки выбили сливную пробку, пошло по трубам.
CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.
Американские исследователи,участвующие в расследованиии кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
Американские исследователи,участвующие в расследованиии кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
CrowdStrike.com
SUNSPOT Malware: A Technical Analysis | CrowdStrike
In this blog, we offer a technical analysis of SUNSPOT, malware that was deployed into the build environment to inject this backdoor into the SolarWinds Orion platform.
А вы в курсе, кстати, что ЦРУ на днях провело ребрендинг?
И пока пользователи сети во всю упражняются в остроумии, проводя параллели между новым логотипом и техно-музыкой, мы, в силу своей профдеформации, наблюдаем в нем аллюзии на сферу высоких технологий, а именно - на информационные войны.
Означает ли это, что маски окончательно сброшены и APT Longhorn расчехляют свои эксплойт-киты?
И пока пользователи сети во всю упражняются в остроумии, проводя параллели между новым логотипом и техно-музыкой, мы, в силу своей профдеформации, наблюдаем в нем аллюзии на сферу высоких технологий, а именно - на информационные войны.
Означает ли это, что маски окончательно сброшены и APT Longhorn расчехляют свои эксплойт-киты?
Creative Bloq
The new CIA logo is being brutally mocked
We spy memes. Lots of memes.
Вчера обещали написать пост про возможный взлом JetBrains и вот пишем.
6 января New York Times выпустили статью, в которой в свойственной им манере расписали, что (согласно источникам, конечно) американские спецслужбы и инфосек исследователи изучают возможность использования хакерами предварительно компрометации чешской компании JetBrains в ходе дальнейшего проникновения в сеть SolarWinds.
Мы не зря сравнили такой взлом с "атакой на цепочку поставок в квадрате" - JetBrains это разработчик инструментов для разработки программного обеспечения. В частности, Team City, которую упоминали NYT, является инструментом обеспечения непрерывной интеграции, который выпускается с 2006 года и используется тысячами разработчиков по всему миру. Особенно Team City популярен у разработчиков приложений под Android.
В случае удачной атаки на внутреннюю инфраструктуру JetBrains хакеры получают возможность компрометации большей части использующих их инструменты разработчиков, а далее - взлома уже их клиентов. Потенциальные последствия - катастрофические.
Но поскольку журналисты NYT не изменяют своим привычкам, то материал они подали крайне претенциозно и без какой-либо приличной фактуры. За что были тут же подвергнуты остракизму со стороны инфосек сообщества - им указали и на отсутствие доказательств, и на расплывчатость формулировок, и даже на "беспочвенные передергивания".
Сами же JetBrains в лице генерального директора Максима Шафирова оперативно дали несколько комментариев, в которых отрицали какие-либо обращения к ним в связи с компрометацией Team City.
Офигевание инфосек сообщества можно понять. Team City и другие инструменты JetBrains используются разработчиками повсеместно и возможная их компрометация хакерами выглядела бы как если бы белорусские партизаны развернули свою оперативную базу во дворе личного штаба рейхсфюрера СС, насадили бы картошки и периодически переманивали бы эсэсовцев (естественно, эта аллегория приведена нами безотносительно сравнений плохой-хороший).
Однако, не все так просто. Материалы про расследование со стороны ФБР возможной компрометации JetBrains дали не только журналисты NYT, но и другие авторитетные американские издания. Например, Reuters, которая, кстати, первой написала про взлом SolarWinds.
Поэтому вполне возможен вариант, что это был целенаправленный слив информации со стороны американских следователей в случае, когда официального заявления сделать они не могут по тем или иным причинам. И если компрометация JetBrains действительно была осуществлена хакерами, то это спокойно может потянуть на ту самую плашку "взлом десятилетия".
6 января New York Times выпустили статью, в которой в свойственной им манере расписали, что (согласно источникам, конечно) американские спецслужбы и инфосек исследователи изучают возможность использования хакерами предварительно компрометации чешской компании JetBrains в ходе дальнейшего проникновения в сеть SolarWinds.
Мы не зря сравнили такой взлом с "атакой на цепочку поставок в квадрате" - JetBrains это разработчик инструментов для разработки программного обеспечения. В частности, Team City, которую упоминали NYT, является инструментом обеспечения непрерывной интеграции, который выпускается с 2006 года и используется тысячами разработчиков по всему миру. Особенно Team City популярен у разработчиков приложений под Android.
В случае удачной атаки на внутреннюю инфраструктуру JetBrains хакеры получают возможность компрометации большей части использующих их инструменты разработчиков, а далее - взлома уже их клиентов. Потенциальные последствия - катастрофические.
Но поскольку журналисты NYT не изменяют своим привычкам, то материал они подали крайне претенциозно и без какой-либо приличной фактуры. За что были тут же подвергнуты остракизму со стороны инфосек сообщества - им указали и на отсутствие доказательств, и на расплывчатость формулировок, и даже на "беспочвенные передергивания".
Сами же JetBrains в лице генерального директора Максима Шафирова оперативно дали несколько комментариев, в которых отрицали какие-либо обращения к ним в связи с компрометацией Team City.
Офигевание инфосек сообщества можно понять. Team City и другие инструменты JetBrains используются разработчиками повсеместно и возможная их компрометация хакерами выглядела бы как если бы белорусские партизаны развернули свою оперативную базу во дворе личного штаба рейхсфюрера СС, насадили бы картошки и периодически переманивали бы эсэсовцев (естественно, эта аллегория приведена нами безотносительно сравнений плохой-хороший).
Однако, не все так просто. Материалы про расследование со стороны ФБР возможной компрометации JetBrains дали не только журналисты NYT, но и другие авторитетные американские издания. Например, Reuters, которая, кстати, первой написала про взлом SolarWinds.
Поэтому вполне возможен вариант, что это был целенаправленный слив информации со стороны американских следователей в случае, когда официального заявления сделать они не могут по тем или иным причинам. И если компрометация JetBrains действительно была осуществлена хакерами, то это спокойно может потянуть на ту самую плашку "взлом десятилетия".
NY Times
Widely Used Software Company May Be Entry Point for Huge U.S. Hacking
Russian hackers may have piggybacked on a tool developed by JetBrains, which is based in the Czech Republic, to gain access to federal government and private sector systems in the United States.
Microsoft выпустили январское обновление безопасности для своих продуктов. Исправлены 83 уязвимости, десять из которых являются критическими.
Самое важное - это устранение 0-day уязвимости в антивирусном продукте Microsoft Defender, эксплуатация которой приводила к удаленному выполнению кода (RCE). По имеющимся данным, она активно использовалась в дикой природе.
Ошибка, получившая название CVE-2021-1647, сидела в движке Malware Protection. Microsoft, как обычно, технических подробностей не дает, поэтому точных данных о тонкостях эксплуатации уязвимости нет. И в то время пока одни говорят, что для эксплуатации ошибки пользователь должен открыть специальным образом созданный вредоносный документ, другие эксперты сообщают, что эксплойт на самом деле является 0-click и не требует никакой активности со стороны пользователя, достаточно просто доставить документ в систему.
Так что если вы используете Microsoft Defender - срочно обновитесь. А лучше используйте более качественные антивирусные продукты.
Самое важное - это устранение 0-day уязвимости в антивирусном продукте Microsoft Defender, эксплуатация которой приводила к удаленному выполнению кода (RCE). По имеющимся данным, она активно использовалась в дикой природе.
Ошибка, получившая название CVE-2021-1647, сидела в движке Malware Protection. Microsoft, как обычно, технических подробностей не дает, поэтому точных данных о тонкостях эксплуатации уязвимости нет. И в то время пока одни говорят, что для эксплуатации ошибки пользователь должен открыть специальным образом созданный вредоносный документ, другие эксперты сообщают, что эксплойт на самом деле является 0-click и не требует никакой активности со стороны пользователя, достаточно просто доставить документ в систему.
Так что если вы используете Microsoft Defender - срочно обновитесь. А лучше используйте более качественные антивирусные продукты.
Команда Google Project Zero начала публиковать материалы серии "В дикой природе", в которой рассказывает про свою новую программу выявления эксплуатации 0-day уязвимостей, как логично предположить, в дикой природе.
В рамках цикла из шести статей исследователи рассказывают про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Напомним, что этот вид атаки означает компрометацию сторонних ресурсов для последующего заражения посещающих их конечных пользователей.
Исследователи сообщают про два обнаруженных сервера, с которых распространялись цепочки эксплойтов направленные на пользователей Windows и Android соответственно.
Среди использовавшихся первым сервером эксплойтов было четыре 0-day - одна эксплуатируемая уязвимость была в движке JavaScript Chrome и три в Windows (все были исправлены весной 2020 года). При этом, отследив хронологию заражений с 2015 года, исследователи сделали вывод, что как минимум эксплойты еще двух уязвимостей использовались в тот момент, когда они были 0-day.
Среди эксплуатировавшихся уязвимостей под Android не было ни одной новой и неизвестной. Вместе с тем, Google Project Zero полагают, что это связано не с недостаточным техническим оснащением хакерской группы, а с тем, что найденный сервер был предназначен именно для случаев, когда старых уязвимостей хватало. Потому что качество используемых другим сервером эксплойтов под Windows и общий уровень организации процесса заражения свидетельствовал о крайне высокой степени подготовки актора. Поэтому ресерчеры предположили, что есть как минимум еще один сервер с 0-day эксплойтами под Android, который они просто не смогли найти.
Более того, хакеры настроили сложную систему таргетинга, когда для разных жертв использовались различные комбинации эксплойтов, причем принципы этого ранжирования жертв исследователи определить не смогли.
Project Zero резюмирует, что обнаруженные сервера являются частью хорошо спроектированной системы с множеством новых методов эксплуатации, продуманным логированием, сложными методами постэксплуатации, а также с большим объемом проверок, направленных на избежание обнаружения вредоносной деятельности.
Переводя на русский - Google нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но, судя по отсутствию каких-либо упоминаний в отношении возможной атрибуции этой активности, исследователи получили лишь небольшую часть информации, не позволившей сделать им хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
В рамках цикла из шести статей исследователи рассказывают про обнаруженную в рамках этой программы в первом квартале 2020 года киберкампанию по заражению пользователей Windows и Android через атаку на водопой. Напомним, что этот вид атаки означает компрометацию сторонних ресурсов для последующего заражения посещающих их конечных пользователей.
Исследователи сообщают про два обнаруженных сервера, с которых распространялись цепочки эксплойтов направленные на пользователей Windows и Android соответственно.
Среди использовавшихся первым сервером эксплойтов было четыре 0-day - одна эксплуатируемая уязвимость была в движке JavaScript Chrome и три в Windows (все были исправлены весной 2020 года). При этом, отследив хронологию заражений с 2015 года, исследователи сделали вывод, что как минимум эксплойты еще двух уязвимостей использовались в тот момент, когда они были 0-day.
Среди эксплуатировавшихся уязвимостей под Android не было ни одной новой и неизвестной. Вместе с тем, Google Project Zero полагают, что это связано не с недостаточным техническим оснащением хакерской группы, а с тем, что найденный сервер был предназначен именно для случаев, когда старых уязвимостей хватало. Потому что качество используемых другим сервером эксплойтов под Windows и общий уровень организации процесса заражения свидетельствовал о крайне высокой степени подготовки актора. Поэтому ресерчеры предположили, что есть как минимум еще один сервер с 0-day эксплойтами под Android, который они просто не смогли найти.
Более того, хакеры настроили сложную систему таргетинга, когда для разных жертв использовались различные комбинации эксплойтов, причем принципы этого ранжирования жертв исследователи определить не смогли.
Project Zero резюмирует, что обнаруженные сервера являются частью хорошо спроектированной системы с множеством новых методов эксплуатации, продуманным логированием, сложными методами постэксплуатации, а также с большим объемом проверок, направленных на избежание обнаружения вредоносной деятельности.
Переводя на русский - Google нашли кусок активности какой-то крутой и хорошо обеспеченной хакерской группы, вероятнее всего прогосударственной APT. Но, судя по отсутствию каких-либо упоминаний в отношении возможной атрибуции этой активности, исследователи получили лишь небольшую часть информации, не позволившей сделать им хоть какие-то выводы относительно источника и целей вскрытой киберкампании.
Blogspot
Introducing the In-the-Wild Series
This is part 1 of a 6-part series detailing a set of vulnerabilities found by Project Zero being exploited in the wild. To read the other p...
Сериал "Взлом SolarWinds и все-все-все" продолжается.
В сети появился сайт solarleaks .net, на котором якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. Сайт имеет зеркало в Даркнет.
На сайте объявляется о продаже:
- части исходных кодов Windows и различных репозиториев Microsoft за 600 тыс. долларов (ранее Microsoft признали утечку части своего кода);
- исходников продуктов Cisco за 500 тыс. долларов;
- исходников продуктов SolarWinds и дампа их клиентского портала за 250 тыс. долларов;
- redteam инструментария, исходных кодов и документации FireEye всего за полсотни тысяч долларов (ранее FireEye также признали факт утечки).
Все вместе стоит 1 млн. долларов. На следующей неделе обещают продолжить выкладывать украденную информацию.
Пока окончательно непонятно, мошенники ли это или настоящая хакерская группа, стоящая за взломом SolarWinds. Хотя указанный для связи адрес электронной почты недоступен, некоторые инфосек эксперты полагают, что характер продаваемой информации, а именно отсутствие каких-либо данных государственных органов, может указывать на подлинность сайта.
В сети появился сайт solarleaks .net, на котором якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. Сайт имеет зеркало в Даркнет.
На сайте объявляется о продаже:
- части исходных кодов Windows и различных репозиториев Microsoft за 600 тыс. долларов (ранее Microsoft признали утечку части своего кода);
- исходников продуктов Cisco за 500 тыс. долларов;
- исходников продуктов SolarWinds и дампа их клиентского портала за 250 тыс. долларов;
- redteam инструментария, исходных кодов и документации FireEye всего за полсотни тысяч долларов (ранее FireEye также признали факт утечки).
Все вместе стоит 1 млн. долларов. На следующей неделе обещают продолжить выкладывать украденную информацию.
Пока окончательно непонятно, мошенники ли это или настоящая хакерская группа, стоящая за взломом SolarWinds. Хотя указанный для связи адрес электронной почты недоступен, некоторые инфосек эксперты полагают, что характер продаваемой информации, а именно отсутствие каких-либо данных государственных органов, может указывать на подлинность сайта.
Журналисты ZDNet на фоне скандала с изменением политики конфиденциальности WhatsApp и последовавшим за этим массовым исходом пользователей в сторону Signal и Telegram, решили сравнить какую информацию собирают эти мессенджеры, а также Facebook. Благо новые правила Apple для разработчиков приложений позволяют получить такие данные.
С полной информацией можно ознакомиться по ссылке, но кратко можно сказать так. Facebook тащит вообще все до чего можно дотянуться, WhatsApp скромнее, но объем собираемых сведений все равно велик, Telegram собирает только имя, телефонный номер, контакты и идентификатор пользователя, а Signal интересуется исключительно телефонным номером.
По нашему мнению, в этих условиях выбор очевиден, хоть и вариативен.
С полной информацией можно ознакомиться по ссылке, но кратко можно сказать так. Facebook тащит вообще все до чего можно дотянуться, WhatsApp скромнее, но объем собираемых сведений все равно велик, Telegram собирает только имя, телефонный номер, контакты и идентификатор пользователя, а Signal интересуется исключительно телефонным номером.
По нашему мнению, в этих условиях выбор очевиден, хоть и вариативен.
ZDNET
WhatsApp vs. Signal vs. Telegram vs. Facebook: What data do they have about you?
Some apps collect and hold a lot of data about you, some the bare minimum.
Сейчас мы выступим, пожалуй, в несвойственной нам роли, но тем не менее рискнем.
Говорим мы про следующую новость - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и полностью поддерживает уголовное преследование в отношении причастных к этому лиц.
При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено.
И вот тут мы выступим в роли адвоката дьявола.
Если в ходе утечки данных были засвечены личные сведения, например, добровольцев, участвовавших в клинических испытаниях вакцин, - это однозначно плохо и должно быть наказано. А вот если этого не было и утекла исключительно информация в отношении тех или иных аспектов разработки, производства или проверки вакцин и лекарств от COVID-19, то, как говорят в Одессе, "это две большие разницы".
Потому что получается, что закон и принятые в инфосек отрасли нормы морали в данном случае по сути защищают интересы владельцев фармы, и так купающихся в деньгах, за счет здоровья и жизни других представителей человеческого рода, населяющих земной шар. Пусть и не столь привилегированных.
Можно ли преследовать хакера, если он украл и обнародовал тщательно скрываемые данные о вакцине, способные помочь в ее производстве третьими странами и спасти в результате миллионы жизней? Или dura Lex, sed Lex? И чем мы тогда отличаемся от обезьян из байки про "Потому что тут так заведено"?
Говорим мы про следующую новость - Европейское медицинское агентство (ЕМА) признало факт утечки в сеть некоторых данных в отношении лекарств и вакцин от COVID-19, полученных хакерами в результате компрометации ее сети, и полностью поддерживает уголовное преследование в отношении причастных к этому лиц.
При этом ЕМА сообщает, что на ее работу и работу европейской сети регулирования лекарственных средств инцидент никак не повлиял, утверждение и распространение вакцин не нарушено.
И вот тут мы выступим в роли адвоката дьявола.
Если в ходе утечки данных были засвечены личные сведения, например, добровольцев, участвовавших в клинических испытаниях вакцин, - это однозначно плохо и должно быть наказано. А вот если этого не было и утекла исключительно информация в отношении тех или иных аспектов разработки, производства или проверки вакцин и лекарств от COVID-19, то, как говорят в Одессе, "это две большие разницы".
Потому что получается, что закон и принятые в инфосек отрасли нормы морали в данном случае по сути защищают интересы владельцев фармы, и так купающихся в деньгах, за счет здоровья и жизни других представителей человеческого рода, населяющих земной шар. Пусть и не столь привилегированных.
Можно ли преследовать хакера, если он украл и обнародовал тщательно скрываемые данные о вакцине, способные помочь в ее производстве третьими странами и спасти в результате миллионы жизней? Или dura Lex, sed Lex? И чем мы тогда отличаемся от обезьян из байки про "Потому что тут так заведено"?
ZDNET
Hackers have leaked the COVID-19 vaccine data they stole in a cyberattack
European Union medical agency reveals that information about coronavirus medicine was leaked in a data breach first disclosed last month.
Как говорят в сети, согласно теории струн должно существовать 10 в 50 степени вселенных.
Интересно, среди них есть хоть одна, в которой в России надлежащим образом занимаются вопросами информационной безопасности?
Интересно, среди них есть хоть одна, в которой в России надлежащим образом занимаются вопросами информационной безопасности?
Twitter
Latest in space
According to string theory, this is how many universes should exist, roughly 10^500.
Касаемо вчерашней истории с абсолютно незащищенной сетью РЖД можем сказать только одно - пока причастные топ-менеджеры не начнут нести за такое раздолбайство персональную ответственность, ничего не изменится.
В данном случае, КНК, директор по ИТ и директор по ИБ РЖД должны быть отправлены с голой жопой на мороз, а их куратор из числа руководителей компании получить неполное служебное. И это тот минимум, который необходим.
В данном случае, КНК, директор по ИТ и директор по ИБ РЖД должны быть отправлены с голой жопой на мороз, а их куратор из числа руководителей компании получить неполное служебное. И это тот минимум, который необходим.
Хабр
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
{UPD 10.02.2021} Евгений Чаркин дал интервью на эту тему gudok.ru/newspaper/?ID=1552569 Под катом мои комментарии на некоторые тезисы. {/UPD} Больше года назад хабравчанин keklick1337 опубликовал свой...
Forwarded from Эксплойт | Live
Популярность Signal выросла на 4200% после изменения политики WhatsApp
С 6 по 10 января мессенджер Signal скачали почти 7,5 млн раз. Это на 4200% больше, чем на предыдущей неделе.
Причиной этому стало изменение политики конфиденциальности WhatsApp.
Самым крупным источником загрузок для Signal стала индия — в этой стране приложение скачали более 2,3 млн раз.
На втором месте для роста Signal стали США, от части благодаря твиту Илону Маска.
К слову, Telegram тоже начинает набирать популярность в этих странах.
С 6 по 10 января мессенджер Signal скачали почти 7,5 млн раз. Это на 4200% больше, чем на предыдущей неделе.
Причиной этому стало изменение политики конфиденциальности WhatsApp.
Самым крупным источником загрузок для Signal стала индия — в этой стране приложение скачали более 2,3 млн раз.
На втором месте для роста Signal стали США, от части благодаря твиту Илону Маска.
К слову, Telegram тоже начинает набирать популярность в этих странах.
А тут очередная дикая уязвимость в Windows 10 нарисовалась.
Мы, честно говоря, ее пропустили, поскольку информация появилась еще на новогодних каникулах, но BleepingComputer напомнили.
Исследователь Джонас Л., который уже не в первый раз портит настроение Microsoft сообщил, что обнаружил уязвимость в драйвере NTFS, благодаря которой всего одной строкой можно повредить жесткий диск и отправить машину в ребут.
Джонас Л. говорит, что ошибка появилась еще в апреле 2018 года и до сих пор не исправлена. Для ее эксплуатации не требуется повышения локальных привилегий. Не до конца понятно, всегда ли поврежденный жесткий диск будет восстановлен. Судя по всему, в некоторых случаях возможно повреждение MFT (NTFS Master File Table).
Уязвимость заключается в некорректной обработке одного из атрибутов NTFS, попытка доступа к которому мгновенно повреждает винчестер (PoC приведен в статье BleepingComputer, мы не стали его давать, если хотите попробовать на свой страх и риск - ищите там).
Самое интересное, что вредоносная команда может быть спрятана в ярлык Windows, который даже нет необходимости открывать. Ошибка срабатывает при простом открытии папки, содержащей этот ярлык.
Способов эксплуатации множество, в том числе удаленные. К примеру, можно спрятать ярлык среди других файлов в ZIP-архив, который пройдет все антивирусные проверки и будет повреждать жесткий диск при каждой распаковке.
Ждем апдейта от Microsoft.
Мы, честно говоря, ее пропустили, поскольку информация появилась еще на новогодних каникулах, но BleepingComputer напомнили.
Исследователь Джонас Л., который уже не в первый раз портит настроение Microsoft сообщил, что обнаружил уязвимость в драйвере NTFS, благодаря которой всего одной строкой можно повредить жесткий диск и отправить машину в ребут.
Джонас Л. говорит, что ошибка появилась еще в апреле 2018 года и до сих пор не исправлена. Для ее эксплуатации не требуется повышения локальных привилегий. Не до конца понятно, всегда ли поврежденный жесткий диск будет восстановлен. Судя по всему, в некоторых случаях возможно повреждение MFT (NTFS Master File Table).
Уязвимость заключается в некорректной обработке одного из атрибутов NTFS, попытка доступа к которому мгновенно повреждает винчестер (PoC приведен в статье BleepingComputer, мы не стали его давать, если хотите попробовать на свой страх и риск - ищите там).
Самое интересное, что вредоносная команда может быть спрятана в ярлык Windows, который даже нет необходимости открывать. Ошибка срабатывает при простом открытии папки, содержащей этот ярлык.
Способов эксплуатации множество, в том числе удаленные. К примеру, можно спрятать ярлык среди других файлов в ZIP-архив, который пройдет все антивирусные проверки и будет повреждать жесткий диск при каждой распаковке.
Ждем апдейта от Microsoft.
BleepingComputer
Windows 10 bug corrupts your hard drive on seeing this file's icon
An unpatched zero-day in Microsoft Windows 10 allows attackers to corrupt an NTFS-formatted hard drive with a one-line command.
Журналисты ZDNet выпустили очередной список лучших сервисов VPN.
Всего рассмотрено 13 VPN-сервисов, в числе кратких характеристик имеются "Наличие функции Kill Switch" (а кто-то пользуется VPN без нее?) и "Логирование".
Как обычно не хватает рассмотрения возможности оплаты сервиса с помощью криптовалют, в наше время это весьма важно.
В общем, учитывайте при планировании мер по поддержке своей конфиденциальности.
Всего рассмотрено 13 VPN-сервисов, в числе кратких характеристик имеются "Наличие функции Kill Switch" (а кто-то пользуется VPN без нее?) и "Логирование".
Как обычно не хватает рассмотрения возможности оплаты сервиса с помощью криптовалют, в наше время это весьма важно.
В общем, учитывайте при планировании мер по поддержке своей конфиденциальности.
ZDNET
The best VPN services of 2023: Expert tested and reviewed
ExpressVPN is our choice for best VPN service, it's also one of the best VPNs for iPhone, Android, PC, and mac.
Между тем кто-то запилил сайт solarleak .net, который с точностью копирует появившийся вчера сайт solarleaks .net. За исключением другого Monero ID.
Напомним, что на solarleaks .net якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. По мнению некоторых инфосек экспертов вполне возможно, что этот сайт принадлежит настоящим взломщикам SolarWinds.
Вор у вора дубинку украл!
Напомним, что на solarleaks .net якобы продаются данные, которые были украдены у коммерческих организаций в ходе кибероперации Sunburst по компрометации компании SolarWinds и ее клиентов. По мнению некоторых инфосек экспертов вполне возможно, что этот сайт принадлежит настоящим взломщикам SolarWinds.
Вор у вора дубинку украл!
Twitter
Costin Raiu
Hah, looks like somebody setup a fake (scam) site at hxxp://solarleak[.]net/ - it has the same message as the original one, but a different Monero ID. Also, original site's DNSes at Njalla, new one at Qhoster #nohonoramongthieves