Компания SITA сообщила об инциденте безопасности, который привел к утечке части данных пассажиров, которые хранились на серверах системы SITA Passenger Service System (SITA PSS). Атака произошла 24 февраля этого года.
Если кто не знает, SITA - ведущий поставщик телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации. SITA PSS - это система обслуживания пассажиров. В частности, этой системой ранее пользовалась авиакомпания S7.
Вероятнее всего, речь идет об атаке ransomware. Компания заявила, что уже связалась с клиентами (по всей видимости, речь идет об авиакомпаниях), чьи данные были затронуты. Так что, как мы понимаем, платить выкуп SITA не собирается. А раз так - скоро украденная информация с большой вероятностью окажется в паблике.
И как обычно - доход компании в 2018 году составил 1,84 млрд. долларов. Видимо на информационную безопасность, как всегда, не хватило. Необходимо было купить мраморные пресс-папье для management team.
Если кто не знает, SITA - ведущий поставщик телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации. SITA PSS - это система обслуживания пассажиров. В частности, этой системой ранее пользовалась авиакомпания S7.
Вероятнее всего, речь идет об атаке ransomware. Компания заявила, что уже связалась с клиентами (по всей видимости, речь идет об авиакомпаниях), чьи данные были затронуты. Так что, как мы понимаем, платить выкуп SITA не собирается. А раз так - скоро украденная информация с большой вероятностью окажется в паблике.
И как обычно - доход компании в 2018 году составил 1,84 млрд. долларов. Видимо на информационную безопасность, как всегда, не хватило. Необходимо было купить мраморные пресс-папье для management team.
www.sita.aero
SITA statement about security incident
SITA confirms that it was the victim of a cyber-attack, leading to a data security incident involving certain passenger data that was stored on SITA Passenger Service System (US) Inc. servers.
Мы не раз давали посты по материалам Motherboard о том, как американские спецслужбы покупают информацию у сервисов, собирающих данные геолокации мобильных устройств через различные приложения.
Например, летом мы писали про то, что Секретная Служба США (USSS) купила лицензии на использование одного из таких сервисов Locate X от компании Babel Street.
При этом позже оказалось, что хотя передаваемые данные якобы являются анонимными, по словам одного из бывших сотрудников Babel Street, имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Среди собиравших данные приложений, правда для другого сервиса, X-Mode, были молитвенные приложения для мусульман. Среди клиентов X-Mode было американское Командование сил специальных операций (USSOCOM), которая также покупало сведения у Locate X.
Согласно новому расследованию Motherboard, в числе организаций, покупавших геолокацию у Locate X, оказалось 132-е крыло Воздушной национальной гвардии в штате Айова. Тонкость в том, что это подразделение выполняет зарубежные разведывательные и ударные миссии с помощью беспилотников Reaper.
Добро пожаловать в светлое кибернетическое будущее.
Например, летом мы писали про то, что Секретная Служба США (USSS) купила лицензии на использование одного из таких сервисов Locate X от компании Babel Street.
При этом позже оказалось, что хотя передаваемые данные якобы являются анонимными, по словам одного из бывших сотрудников Babel Street, имеющиеся у фирмы возможности позволяют полностью деанонимизировать конкретного пользователя.
Среди собиравших данные приложений, правда для другого сервиса, X-Mode, были молитвенные приложения для мусульман. Среди клиентов X-Mode было американское Командование сил специальных операций (USSOCOM), которая также покупало сведения у Locate X.
Согласно новому расследованию Motherboard, в числе организаций, покупавших геолокацию у Locate X, оказалось 132-е крыло Воздушной национальной гвардии в штате Айова. Тонкость в том, что это подразделение выполняет зарубежные разведывательные и ударные миссии с помощью беспилотников Reaper.
Добро пожаловать в светлое кибернетическое будущее.
Telegram
SecAtor
Как там вам, пользователи, приватность ваша? Не свободновата? А то вы только скажите, желающие ее ограничить вокруг толпами ходят.
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного…
Motherboard пишет, что получила подтверждение покупки Секретной Службой США (USSS) лицензии на использование приватного…
Forwarded from Информация опасносте
я тут недавно писал о пиксельных трекерах в почте. там еще было обсуждение про варианты их блокировки, начиная от отключения загрузки удаленного контента до использования Pihole для отправки этих запросов в черную дыру. веб-почта тоже хороший вариант, а если вы Мак-юзер, который пользуется родным клиентом, то вам будет интересно узнать о плагине для Mail, который делает эту блокировку прямо на Маке
https://apparition47.github.io/MailTrackerBlocker/
https://apparition47.github.io/MailTrackerBlocker/
MailTrackerBlocker
MailTrackerBlocker for Mail on macOS
Email tracker, read receipt and spy pixel blocker extension/plugin for macOS Apple Mail
Уже все про это написали, но мы не можем пройти мимо.
Практически одновременно Microsoft и FireEye выпустили отчеты в отношении новых вредоносов, которые были обнаружены в рамках расследования атаки Sunburst на IT-разработчика SolarWinds.
Microsoft побеждает со счетом 3:1. Что же они нашли.
1. Бэкдор второго уровня, который по версии Microsoft называется GoldMax, а в отчете FireEye именуется Sunshuttle - скорее всего это один и тот же вредонос. Написан на Go после апреля 2020 года, FireEye говорят, что он был в зараженной сети в августе 2020. Они же не подтверждают однозначную связь бэкдора с UNC2542, как называют группу, стоящую за атакой Sunburst.
Microsoft более категоричны и называют автором GoldMax именно группу Nobelium, так теперь они именуют организатора атаки. Они, судя по отчету, обладают большими первичными данными и отловили GoldMax у нескольких жертв сразу. Время размещения вредоносов во взломанных сетях - с июня по сентябрь 2020 года.
Из интересного - механизмы сокрытия канала связи вредоноса с управляющим центром, когда бэкдор связывается сразу с несколькими легальными сайтами, чтобы скрыть С2, а последний шлет команды через cookie.
2. Бэкдор Sibot на основе VBScript предназначенный для обеспечения постоянного присутствия на зараженной машине. Microsost нашли три варианта Sibot.
3. Модуль GoldFinger, также написанный на Go и предназначенный для HTTP-трассировки маршрута до управляющего центра.
Как обычно, про TTPs, которые могут свидетельствовать о принадлежности атаки российской APT - ни слова.
Практически одновременно Microsoft и FireEye выпустили отчеты в отношении новых вредоносов, которые были обнаружены в рамках расследования атаки Sunburst на IT-разработчика SolarWinds.
Microsoft побеждает со счетом 3:1. Что же они нашли.
1. Бэкдор второго уровня, который по версии Microsoft называется GoldMax, а в отчете FireEye именуется Sunshuttle - скорее всего это один и тот же вредонос. Написан на Go после апреля 2020 года, FireEye говорят, что он был в зараженной сети в августе 2020. Они же не подтверждают однозначную связь бэкдора с UNC2542, как называют группу, стоящую за атакой Sunburst.
Microsoft более категоричны и называют автором GoldMax именно группу Nobelium, так теперь они именуют организатора атаки. Они, судя по отчету, обладают большими первичными данными и отловили GoldMax у нескольких жертв сразу. Время размещения вредоносов во взломанных сетях - с июня по сентябрь 2020 года.
Из интересного - механизмы сокрытия канала связи вредоноса с управляющим центром, когда бэкдор связывается сразу с несколькими легальными сайтами, чтобы скрыть С2, а последний шлет команды через cookie.
2. Бэкдор Sibot на основе VBScript предназначенный для обеспечения постоянного присутствия на зараженной машине. Microsost нашли три варианта Sibot.
3. Модуль GoldFinger, также написанный на Go и предназначенный для HTTP-трассировки маршрута до управляющего центра.
Как обычно, про TTPs, которые могут свидетельствовать о принадлежности атаки российской APT - ни слова.
Microsoft News
GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence
Microsoft has identified three new pieces of malware being used in late-stage activity by NOBELIUM – the actor behind the SolarWinds attacks, SUNBURST, and TEARDROP.
Supermicro заявили, что серия их материнских плат X10 UP уязвима для атаки UEFI-биос, осуществляемой модулем TrickBoot вредоноса TrickBot.
Сам TrickBoot был найден исследователями из AdvIntel и Eclypsium еще в декабре прошлого года. Понятно, что такой апгрейд вредоноса значительно усложняет задачу не только лечения, но и обнаружения заражения. К тому же малварь сможет удалённо "окирпичивать" зараженные компьютеры, обходить системы безопасности (включая BitLocker, Windows Virtual Secure Mode, Credential Guard и некоторые антивирусы), получать доступ к SPI-контроллеру для проведения сложных атак против процессоров Intel.
Supermicro обещают в ближайшее время выпустить исправления своих биос, а пока рекомендуют всем включить защиту от записи и проверить целостность прошивки.
А мы тем временем напомним, что прошло почти пять месяцев с тех пор, как коалиция "Microsoft и все, все, все" нанесли "решающий удар" по ботнету TrickBot. У себя в фантазиях.
Сам TrickBoot был найден исследователями из AdvIntel и Eclypsium еще в декабре прошлого года. Понятно, что такой апгрейд вредоноса значительно усложняет задачу не только лечения, но и обнаружения заражения. К тому же малварь сможет удалённо "окирпичивать" зараженные компьютеры, обходить системы безопасности (включая BitLocker, Windows Virtual Secure Mode, Credential Guard и некоторые антивирусы), получать доступ к SPI-контроллеру для проведения сложных атак против процессоров Intel.
Supermicro обещают в ближайшее время выпустить исправления своих биос, а пока рекомендуют всем включить защиту от записи и проверить целостность прошивки.
А мы тем временем напомним, что прошло почти пять месяцев с тех пор, как коалиция "Microsoft и все, все, все" нанесли "решающий удар" по ботнету TrickBot. У себя в фантазиях.
Supermicro
Supermicro’s response to Trickboot vulnerability, March 2021 | Supermicro
Supermicro is aware of the Trickboot issue which is observed only with a subset of the X10 UP motherboards. Supermicro will be providing a mitigation for this vulnerability. TrickBoot is a new functionality within the TrickBot malware toolset capable of discovering…
Поздравляем всех девушек, работающих в отрасли информационной безопасности, с наступающим 8 марта!
Вы действительно особенные! Ну где еще найдешь таких очаровательных и умных одновременно! Разве что в сказках!
Всех обнимаем, всем привет, за всех выпьем! С праздником, боевые подруги! Ни CVE, ни слабого пароля!!!
Вы действительно особенные! Ну где еще найдешь таких очаровательных и умных одновременно! Разве что в сказках!
Всех обнимаем, всем привет, за всех выпьем! С праздником, боевые подруги! Ни CVE, ни слабого пароля!!!
За прошедшие праздники появилось несколько интересных новостей, которые неким образом оказываются связаны друг с другом, поэтому обсуждать мы их будем серией постов.
Новость №1 все уже наверняка слышали, потому что про нее написали большинство российских Интернет-СМИ - да, это про угрозы администрации Байдена провести серию кибератак на российские государственные ресурсы в течение следующих трех недель, о чем пишет The New York Times.
Но формулировку при этом американские журналисты применили весьма интересную - по словам источника, планируется "серия тайных действий, которые будут очевидны для Владимира Путина, российской разведки и военных, но незаметна для остального мира".
Очень удобно, на самом деле. Можно вообще ничего не делать, но потом заявить, что киберответ коварным русским был дан, как и обещано. Просто они замалчивают.
Почему мы допускаем подобное развитие событий. Потому что вся активность американских APT свидетельствует, что для них на первом месте стоит конспиративность своей хакерской деятельности. По крайней мере это справедливо для анбшной Equation и црушной Lamberts aka Longhorn.
Но у американцев есть как минимум еще и APT, участвовавшая во взломе подрядчика ФСБ весной прошлого года, - по данным Yahoo это некое подразделение ЦРУ, похоже, что отличное от Lamberts. Наверняка есть APT и у американских военных - того же РУМО и иже с ними.
Поэтому вероятность кибератак США на российские сети в сложившейся обстановке мы оцениваем как женщина в известном анекдоте оценивала вероятность встретить на улице динозавра - 1/2 (или встречу, или не встречу).
Что же касается потенциальной возможности российских государственных ресурсов противостоять возможным операциям американских APT, то тут наша позиция известна. Нет практически такой возможности. Если захотят - сломают.
Ну и напомним, что официально никаких доказательств причастности российских APT к взлому SolarWinds (а именно за это планируются ответные кибератаки) до сих пор нет. Хотя прошло уже больше трех месяцев с момента его обнаружения. Nuff said.
Новость №1 все уже наверняка слышали, потому что про нее написали большинство российских Интернет-СМИ - да, это про угрозы администрации Байдена провести серию кибератак на российские государственные ресурсы в течение следующих трех недель, о чем пишет The New York Times.
Но формулировку при этом американские журналисты применили весьма интересную - по словам источника, планируется "серия тайных действий, которые будут очевидны для Владимира Путина, российской разведки и военных, но незаметна для остального мира".
Очень удобно, на самом деле. Можно вообще ничего не делать, но потом заявить, что киберответ коварным русским был дан, как и обещано. Просто они замалчивают.
Почему мы допускаем подобное развитие событий. Потому что вся активность американских APT свидетельствует, что для них на первом месте стоит конспиративность своей хакерской деятельности. По крайней мере это справедливо для анбшной Equation и црушной Lamberts aka Longhorn.
Но у американцев есть как минимум еще и APT, участвовавшая во взломе подрядчика ФСБ весной прошлого года, - по данным Yahoo это некое подразделение ЦРУ, похоже, что отличное от Lamberts. Наверняка есть APT и у американских военных - того же РУМО и иже с ними.
Поэтому вероятность кибератак США на российские сети в сложившейся обстановке мы оцениваем как женщина в известном анекдоте оценивала вероятность встретить на улице динозавра - 1/2 (или встречу, или не встречу).
Что же касается потенциальной возможности российских государственных ресурсов противостоять возможным операциям американских APT, то тут наша позиция известна. Нет практически такой возможности. Если захотят - сломают.
Ну и напомним, что официально никаких доказательств причастности российских APT к взлому SolarWinds (а именно за это планируются ответные кибератаки) до сих пор нет. Хотя прошло уже больше трех месяцев с момента его обнаружения. Nuff said.
NY Times
Preparing for Retaliation Against Russia, U.S. Confronts Hacking by China
The proliferation of cyberattacks by rivals is presenting a challenge to the Biden administration as it seeks to deter intrusions on government and corporate systems.
Вторая новость, непосредственно связанная с предыдущим постом, - Secureworks выпустили отчет по результатам исследования вредоноса Supernova.
Веб-шелл Supernova был выявлен в ходе расследования атаки Sunburst на компанию SolarWinds в декабре прошлого года. Тогда ряд инфосек вендоров, например Symantec и Palo Alto Networks, выяснили, что в некоторых случаях этой малварью были заражены установки SolarWinds Orion, для чего эксплуатировалась уязвимость CVE-2020-10148, позволявшая с помощью обхода аутентификации Orion осуществить удаленный вызов API функций.
В начале февраля Reuters написали, что согласно их источникам, близким к расследованию ФБР, за Supernova стоит некая китайская хакерская группа.
И вот теперь Secureworks достаточно обоснованно показали, что, согласно имеющимся TTPs, за атакой на американские организации с использованием вредоноса Supernova стоит APT, получившая название Spiral. А за Spiral с большой долей вероятности стоит Китай - в результате просчетов в OpSec хакеры спалили один из своих IP-адресов.
Но исследователи тут же уточняют, что Supernova никак не связана с атакой Sunburst. Потому что ответственными за Sunburst назначены русские хакеры.
Веб-шелл Supernova был выявлен в ходе расследования атаки Sunburst на компанию SolarWinds в декабре прошлого года. Тогда ряд инфосек вендоров, например Symantec и Palo Alto Networks, выяснили, что в некоторых случаях этой малварью были заражены установки SolarWinds Orion, для чего эксплуатировалась уязвимость CVE-2020-10148, позволявшая с помощью обхода аутентификации Orion осуществить удаленный вызов API функций.
В начале февраля Reuters написали, что согласно их источникам, близким к расследованию ФБР, за Supernova стоит некая китайская хакерская группа.
И вот теперь Secureworks достаточно обоснованно показали, что, согласно имеющимся TTPs, за атакой на американские организации с использованием вредоноса Supernova стоит APT, получившая название Spiral. А за Spiral с большой долей вероятности стоит Китай - в результате просчетов в OpSec хакеры спалили один из своих IP-адресов.
Но исследователи тут же уточняют, что Supernova никак не связана с атакой Sunburst. Потому что ответственными за Sunburst назначены русские хакеры.
Secureworks
SUPERNOVA Web Shell Deployment Linked to SPIRAL Threat Group
Similarities between the SUPERNOVA activity and a previous compromise of the network suggest that SPIRAL was responsible for both intrusions and reveal information about the threat group.
На фоне всего вышеперечисленного развивается история с выявленным эксплойт-китом из уязвимостей в Microsoft Exchange, который активно использовали хакеры из группы Hafnium, которую сами Microsoft назвали китайской.
Несмотря на то, что кейс с самого начала был достаточно серьезным (чего стоит хотя бы официальное предостережение американского CISA) ему явно не хватало медийности. Хайпа подвез Брайн Кребс, который сообщил, что согласно его источникам, Hafnium подломили по меньшей мере 30 тыс. американских организаций. А затем добавили Bloomberg, сообщившие, что по данным их источника, знакомого с расследованием, число жертв взлома составляет не менее 60 тыс.
И вот уже американские журналисты стали всерьез обсуждать необходимость санкций и ответных атак не только против России, но и против Китая. Но пока как-то нерешительно. По крайней мере, такого вала обвинений в адрес Пекина, какой последовал в адрес России после взлома SolarWinds, не наблюдается. Несмотря на то, что, повторяемся, никаких официальных заявлений о причастности российских APT к атаке Sunburst до сих пор нет, а инфосек компании называют осуществившую их группу то UNC2542, то Nobelium, то еще как.
Несмотря на то, что кейс с самого начала был достаточно серьезным (чего стоит хотя бы официальное предостережение американского CISA) ему явно не хватало медийности. Хайпа подвез Брайн Кребс, который сообщил, что согласно его источникам, Hafnium подломили по меньшей мере 30 тыс. американских организаций. А затем добавили Bloomberg, сообщившие, что по данным их источника, знакомого с расследованием, число жертв взлома составляет не менее 60 тыс.
И вот уже американские журналисты стали всерьез обсуждать необходимость санкций и ответных атак не только против России, но и против Китая. Но пока как-то нерешительно. По крайней мере, такого вала обвинений в адрес Пекина, какой последовал в адрес России после взлома SolarWinds, не наблюдается. Несмотря на то, что, повторяемся, никаких официальных заявлений о причастности российских APT к атаке Sunburst до сих пор нет, а инфосек компании называют осуществившую их группу то UNC2542, то Nobelium, то еще как.
Bloomberg.com
Microsoft Attack Blamed on China Morphs Into Global Crisis
A sophisticated attack on Microsoft Corp.’s widely used business email software is morphing into a global cybersecurity crisis, as hackers race to infect as many victims as possible before companies can secure their computer systems.The attack, which Microsoft…
Apple выпустили срочное исправление безопасности для macOS, а также для iOS и iPadOS, исправляющие уязвимость CVE-2021-1844.
Ошибка содержится в движке WebKit, который используется Safari, и может привести к удаленному выполнению кода (RCE) при посещении вредоносной страницы.
Уязвимость была обнаружена исследователем Клементом Лесинем из Google TAG. Подробностей нет, но угроза RCE достаточно весома, чтобы обновить свои устройства не откладывая.
Ошибка содержится в движке WebKit, который используется Safari, и может привести к удаленному выполнению кода (RCE) при посещении вредоносной страницы.
Уязвимость была обнаружена исследователем Клементом Лесинем из Google TAG. Подробностей нет, но угроза RCE достаточно весома, чтобы обновить свои устройства не откладывая.
Apple Support
About the security content of macOS Big Sur 11.2.3
This document describes the security content of macOS Big Sur 11.2.3.
Южнокорейские СМИ сообщают, что полиция во взаимодействии с зарубежными коллегами арестовала 20-летнего гражданина Южной Кореи, который обвиняется в распространении ransomware GandCrab.
По данным полиции, в период с февраля по июнь 2019 года хакер разослал обычным пользователям почти 6,5 тыс фишинговых писем, содержавших в себе вредонос. После заражения и шифрования от жертвы требовался выкуп в размере 1300 долларов в биткоинах. Всего были заражены не менее 120 человек, но злоумышленник получил только 10500 долларов, поскольку его доля составляла лишь 7% от выкупа.
Полиция нашла оператора ransomware путем отслеживания криптотранзакций, что привело их к банковскому счету хакера. При этом сам подозреваемый раскололся и сообщил полиции, что ежедневно отправлял 200 тыс. фишинговых писем как с GandCrab, так и с вымогателем Sodinokibi (преемник GandCrab).
Таким образом международной коалиции правоохранительных органов понадобилось всего-то 2 года, чтобы отловить мелкого оператора ransomware. Темпы, мягко говоря, не впечатляют.
По данным полиции, в период с февраля по июнь 2019 года хакер разослал обычным пользователям почти 6,5 тыс фишинговых писем, содержавших в себе вредонос. После заражения и шифрования от жертвы требовался выкуп в размере 1300 долларов в биткоинах. Всего были заражены не менее 120 человек, но злоумышленник получил только 10500 долларов, поскольку его доля составляла лишь 7% от выкупа.
Полиция нашла оператора ransomware путем отслеживания криптотранзакций, что привело их к банковскому счету хакера. При этом сам подозреваемый раскололся и сообщил полиции, что ежедневно отправлял 200 тыс. фишинговых писем как с GandCrab, так и с вымогателем Sodinokibi (преемник GandCrab).
Таким образом международной коалиции правоохранительных органов понадобилось всего-то 2 года, чтобы отловить мелкого оператора ransomware. Темпы, мягко говоря, не впечатляют.
대한민국 IT포털의 중심! 이티뉴스
경찰청, 랜섬웨어 '갠드크랩' 유포자 검거·구속
랜섬웨어 갠드크랩 유포자가 경찰에 덜미를 잡혔다. 유포자에게 랜섬웨어를 건네준 공범도 현재 경찰 추적을 받고 있다. 경찰청 사이버수사국은 경찰관서, 헌법재판소, 한국은행 등을 사칭해 갠드크랩 랜섬웨어를...
NCC Group выпустила отчет в отношении уязвимостей коммутаторов Netgear ProSAFE Plus.
Там просто праздник - 15 уязвимостей, из которых 10 - критичные. Среди них - удаленное выполнение кода (RCE) без аутентификации, обход аутентификации, обновление прошивки без аутентификации и еще много чего.
Самое печальное, что некоторые из уязвимостей объявлены EOL и не будут устраняться производителем.
Если у вас стоит Netgear ProSAFE Plus серии JGS516PE - проще всего будет его выкинуть.
Там просто праздник - 15 уязвимостей, из которых 10 - критичные. Среди них - удаленное выполнение кода (RCE) без аутентификации, обход аутентификации, обновление прошивки без аутентификации и еще много чего.
Самое печальное, что некоторые из уязвимостей объявлены EOL и не будут устраняться производителем.
Если у вас стоит Netgear ProSAFE Plus серии JGS516PE - проще всего будет его выкинуть.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Международная группа хакеров получила доступ к 150 тыс. камер видеонаблюдения калифорнийской компании Verkada, сообщают Bloomberg. Атаку уже окрестили Operation Panopticon.
Среди клиентов компании - Tesla, Clouflare, американские клиники и психиатрические больницы, полицейские участки, тюрьмы и пр. Некоторые из камер используют систему распознавания лиц для категоризации снятых людей.
Представитель хакеров швейцарец Тилли Коттманн (товарищ, причастный к сливу в паблик конфиденциальных документов Intel летом 2020 года) заявил, что они также получили доступ к полному видеоархиву всех клиентов Verkada. Сами себя хакеры называют APT 69420 aka Arson Cats.
Злоумышленники получили учетные данные суперадминистратора Verkada после того, как компания допустила попадание в паблик части внутренних разработок.
Verkada немедленно заблокировала все учетные записи администраторов и сейчас разбирается в ситуации с помощью привлеченных инфосек экспертов.
Хочется как-то прокомментировать, но все плохие комментарии кончились еще на SolarWinds, а хорошие тут по смыслу не подойдут.
Среди клиентов компании - Tesla, Clouflare, американские клиники и психиатрические больницы, полицейские участки, тюрьмы и пр. Некоторые из камер используют систему распознавания лиц для категоризации снятых людей.
Представитель хакеров швейцарец Тилли Коттманн (товарищ, причастный к сливу в паблик конфиденциальных документов Intel летом 2020 года) заявил, что они также получили доступ к полному видеоархиву всех клиентов Verkada. Сами себя хакеры называют APT 69420 aka Arson Cats.
Злоумышленники получили учетные данные суперадминистратора Verkada после того, как компания допустила попадание в паблик части внутренних разработок.
Verkada немедленно заблокировала все учетные записи администраторов и сейчас разбирается в ситуации с помощью привлеченных инфосек экспертов.
Хочется как-то прокомментировать, но все плохие комментарии кончились еще на SolarWinds, а хорошие тут по смыслу не подойдут.
Bloomberg.com
Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals
A group of hackers say they breached a massive trove of security-camera data collected by Silicon Valley startup Verkada Inc., gaining access to live feeds of 150,000 surveillance cameras inside hospitals, companies, police departments, prisons and schools.
Microsoft выпустили очередное вторничное обновление безопасности.
Всего исправлено 89 уязвимостей в продуктах компании, из них 14 критических.
Пять уязвимостей использовались хакерами в дикой природе - четыре пресловутых ошибки в Microsoft Exchange, которые эксплуатировала китайская APT Hafnium (на самом деле Microsoft исправила их внеочередным патчем 2 марта, поэтому новое обновление - специально для слоупоков), и уязвимость CVE-2021-26411 в Edge и Internet Explorer. Последняя позволяет хакеру осуществить удаленное выполнение кода (RCE) при посещении пользователем вредоносного сайта.
Это именно та уязвимость, которую использовали хакеры из APT Lazarus для атак на исследователей безопасности. Для нее уже доступен PoC, так что организациям, использующим Explorer и Edge (да-да, есть и такие) лучше побыстрее обновиться.
Но и кроме этих ошибок в патче хватает годных исправлений, к примеру CVE-2021-26897, допускающая RCE. Поэтому вы знаете, что следует сделать.
Всего исправлено 89 уязвимостей в продуктах компании, из них 14 критических.
Пять уязвимостей использовались хакерами в дикой природе - четыре пресловутых ошибки в Microsoft Exchange, которые эксплуатировала китайская APT Hafnium (на самом деле Microsoft исправила их внеочередным патчем 2 марта, поэтому новое обновление - специально для слоупоков), и уязвимость CVE-2021-26411 в Edge и Internet Explorer. Последняя позволяет хакеру осуществить удаленное выполнение кода (RCE) при посещении пользователем вредоносного сайта.
Это именно та уязвимость, которую использовали хакеры из APT Lazarus для атак на исследователей безопасности. Для нее уже доступен PoC, так что организациям, использующим Explorer и Edge (да-да, есть и такие) лучше побыстрее обновиться.
Но и кроме этих ошибок в патче хватает годных исправлений, к примеру CVE-2021-26897, допускающая RCE. Поэтому вы знаете, что следует сделать.
Очередная атака ransomware на государственные организации. В этот раз в Европе.
Оператор вымогателя Ryuk успешно атаковал ресурсы испанского Государственного агентства по трудоустройству (SEPE), о чем агентство сообщило на своем сайте. В результате атаки официальный портала SEPE не функционирует, услуги для граждан, социальных служб и служб занятости не оказываются. Всего атакой затронуто более 700 филиалов SEPE по всей стране.
Директор SEPE Герадо Гитеррес заявил, что конфиденциальные данные граждан Испании в безопасности.
Будем наблюдать.
Оператор вымогателя Ryuk успешно атаковал ресурсы испанского Государственного агентства по трудоустройству (SEPE), о чем агентство сообщило на своем сайте. В результате атаки официальный портала SEPE не функционирует, услуги для граждан, социальных служб и служб занятости не оказываются. Всего атакой затронуто более 700 филиалов SEPE по всей стране.
Директор SEPE Герадо Гитеррес заявил, что конфиденциальные данные граждан Испании в безопасности.
Будем наблюдать.
Servicio Público de Empleo Estatal
Servicio Público de Empleo Estatal | SEPE
Web del SEPE Servicio Público de Empleo Estatal dirigida a personas, empresas y emprendedores y autónomos para informar sobre prestaciones, empleo y formación para el empleo.
Продолжение сегодняшней истории со сгоревшим дата-центром.
Оказалось, что сгорел один из ЦОД компании OVH в Страсбурге. OVH - это крупнейший хостинг-провайдер в Европе.
Кроме VPN .AC пострадали такие клиенты как известная нам разведывательная компания Bad Packets, крипторешение VeraCrypt, производитель игр Rust и многие другие. Причем Rust подтвердили, что полностью потеряли все данные на своих серверах.
Ну а некоторые пострадавшие, например французская инфосек компания Acceis, относятся к случившемуся с хорошей долей юмора.
Оказалось, что сгорел один из ЦОД компании OVH в Страсбурге. OVH - это крупнейший хостинг-провайдер в Европе.
Кроме VPN .AC пострадали такие клиенты как известная нам разведывательная компания Bad Packets, крипторешение VeraCrypt, производитель игр Rust и многие другие. Причем Rust подтвердили, что полностью потеряли все данные на своих серверах.
Ну а некоторые пострадавшие, например французская инфосек компания Acceis, относятся к случившемуся с хорошей долей юмора.
Что можно сказать по результатам сегодняшнего ограничения скорости к Twitter.
Как говаривал наше все Гегель - история повторяется дважды: первый раз в виде трагедии, второй раз в виде фарса.
В случае с попытками российских государственных органов ограничить доступ к каким-либо сервисам фарс получается всегда.
Два года назад - The Russian government just managed to hack itself.
Как говаривал наше все Гегель - история повторяется дважды: первый раз в виде трагедии, второй раз в виде фарса.
В случае с попытками российских государственных органов ограничить доступ к каким-либо сервисам фарс получается всегда.
Два года назад - The Russian government just managed to hack itself.
Лукацкий прекрасен - https://twitter.com/alukatsky/status/1369704178411401216
Twitter
Alexey Lukatsky
Не могу не вспомнить ст.13.2.1 ФЗ-149, которая запрещает расположение техсредств информационных систем госорганов (даже не ГИС) за пределами РФ. Так какого... сайты госорганов падают от того, что во Франции упал OVH?
Парламент Норвегии опять страдает. Не далее как в конце августа прошлого года их электронная почта была взломана. В декабре норвежцы заявили, что "вероятно" это было делом рук российской APT 28 aka Fancy Bear.
Теперь их обидели снова. Вчера представители норвежского парламента заявили, что стали жертвой атаки хакеров, которые использовали свежие уязвимости в Microsoft Exchange для кражи конфиденциальной информации.
Стояли ли за атакой на норвежцев китайцы - непонятно, поскольку каких-либо подробностей пока не сообщается. Как говорят ESET, помимо китайской APT Hafnium, которую изначально Microsoft обвинили в эксплуатации уязвимостей в Exchange, их использовали по меньшей мере 10 APT. Правда до момента выхода экстренного патча среди этих хакерских групп были только китайские, а уже начиная с 3 марта подключились остальные.
Не везет что-то норвежскому Парламенту. Вспоминается анекдот про АвтоВАЗ и проклятое место.
Теперь их обидели снова. Вчера представители норвежского парламента заявили, что стали жертвой атаки хакеров, которые использовали свежие уязвимости в Microsoft Exchange для кражи конфиденциальной информации.
Стояли ли за атакой на норвежцев китайцы - непонятно, поскольку каких-либо подробностей пока не сообщается. Как говорят ESET, помимо китайской APT Hafnium, которую изначально Microsoft обвинили в эксплуатации уязвимостей в Exchange, их использовали по меньшей мере 10 APT. Правда до момента выхода экстренного патча среди этих хакерских групп были только китайские, а уже начиная с 3 марта подключились остальные.
Не везет что-то норвежскому Парламенту. Вспоминается анекдот про АвтоВАЗ и проклятое место.
U.S.
Norway's parliament hit by new hack attack
Hackers have infiltrated the Norwegian Parliament's computer systems and extracted data, officials said on Wednesday, just six months after a previous cyber attack was made public.