На фоне всего вышеперечисленного развивается история с выявленным эксплойт-китом из уязвимостей в Microsoft Exchange, который активно использовали хакеры из группы Hafnium, которую сами Microsoft назвали китайской.
Несмотря на то, что кейс с самого начала был достаточно серьезным (чего стоит хотя бы официальное предостережение американского CISA) ему явно не хватало медийности. Хайпа подвез Брайн Кребс, который сообщил, что согласно его источникам, Hafnium подломили по меньшей мере 30 тыс. американских организаций. А затем добавили Bloomberg, сообщившие, что по данным их источника, знакомого с расследованием, число жертв взлома составляет не менее 60 тыс.
И вот уже американские журналисты стали всерьез обсуждать необходимость санкций и ответных атак не только против России, но и против Китая. Но пока как-то нерешительно. По крайней мере, такого вала обвинений в адрес Пекина, какой последовал в адрес России после взлома SolarWinds, не наблюдается. Несмотря на то, что, повторяемся, никаких официальных заявлений о причастности российских APT к атаке Sunburst до сих пор нет, а инфосек компании называют осуществившую их группу то UNC2542, то Nobelium, то еще как.
Несмотря на то, что кейс с самого начала был достаточно серьезным (чего стоит хотя бы официальное предостережение американского CISA) ему явно не хватало медийности. Хайпа подвез Брайн Кребс, который сообщил, что согласно его источникам, Hafnium подломили по меньшей мере 30 тыс. американских организаций. А затем добавили Bloomberg, сообщившие, что по данным их источника, знакомого с расследованием, число жертв взлома составляет не менее 60 тыс.
И вот уже американские журналисты стали всерьез обсуждать необходимость санкций и ответных атак не только против России, но и против Китая. Но пока как-то нерешительно. По крайней мере, такого вала обвинений в адрес Пекина, какой последовал в адрес России после взлома SolarWinds, не наблюдается. Несмотря на то, что, повторяемся, никаких официальных заявлений о причастности российских APT к атаке Sunburst до сих пор нет, а инфосек компании называют осуществившую их группу то UNC2542, то Nobelium, то еще как.
Bloomberg.com
Microsoft Attack Blamed on China Morphs Into Global Crisis
A sophisticated attack on Microsoft Corp.’s widely used business email software is morphing into a global cybersecurity crisis, as hackers race to infect as many victims as possible before companies can secure their computer systems.The attack, which Microsoft…
Apple выпустили срочное исправление безопасности для macOS, а также для iOS и iPadOS, исправляющие уязвимость CVE-2021-1844.
Ошибка содержится в движке WebKit, который используется Safari, и может привести к удаленному выполнению кода (RCE) при посещении вредоносной страницы.
Уязвимость была обнаружена исследователем Клементом Лесинем из Google TAG. Подробностей нет, но угроза RCE достаточно весома, чтобы обновить свои устройства не откладывая.
Ошибка содержится в движке WebKit, который используется Safari, и может привести к удаленному выполнению кода (RCE) при посещении вредоносной страницы.
Уязвимость была обнаружена исследователем Клементом Лесинем из Google TAG. Подробностей нет, но угроза RCE достаточно весома, чтобы обновить свои устройства не откладывая.
Apple Support
About the security content of macOS Big Sur 11.2.3
This document describes the security content of macOS Big Sur 11.2.3.
Южнокорейские СМИ сообщают, что полиция во взаимодействии с зарубежными коллегами арестовала 20-летнего гражданина Южной Кореи, который обвиняется в распространении ransomware GandCrab.
По данным полиции, в период с февраля по июнь 2019 года хакер разослал обычным пользователям почти 6,5 тыс фишинговых писем, содержавших в себе вредонос. После заражения и шифрования от жертвы требовался выкуп в размере 1300 долларов в биткоинах. Всего были заражены не менее 120 человек, но злоумышленник получил только 10500 долларов, поскольку его доля составляла лишь 7% от выкупа.
Полиция нашла оператора ransomware путем отслеживания криптотранзакций, что привело их к банковскому счету хакера. При этом сам подозреваемый раскололся и сообщил полиции, что ежедневно отправлял 200 тыс. фишинговых писем как с GandCrab, так и с вымогателем Sodinokibi (преемник GandCrab).
Таким образом международной коалиции правоохранительных органов понадобилось всего-то 2 года, чтобы отловить мелкого оператора ransomware. Темпы, мягко говоря, не впечатляют.
По данным полиции, в период с февраля по июнь 2019 года хакер разослал обычным пользователям почти 6,5 тыс фишинговых писем, содержавших в себе вредонос. После заражения и шифрования от жертвы требовался выкуп в размере 1300 долларов в биткоинах. Всего были заражены не менее 120 человек, но злоумышленник получил только 10500 долларов, поскольку его доля составляла лишь 7% от выкупа.
Полиция нашла оператора ransomware путем отслеживания криптотранзакций, что привело их к банковскому счету хакера. При этом сам подозреваемый раскололся и сообщил полиции, что ежедневно отправлял 200 тыс. фишинговых писем как с GandCrab, так и с вымогателем Sodinokibi (преемник GandCrab).
Таким образом международной коалиции правоохранительных органов понадобилось всего-то 2 года, чтобы отловить мелкого оператора ransomware. Темпы, мягко говоря, не впечатляют.
대한민국 IT포털의 중심! 이티뉴스
경찰청, 랜섬웨어 '갠드크랩' 유포자 검거·구속
랜섬웨어 갠드크랩 유포자가 경찰에 덜미를 잡혔다. 유포자에게 랜섬웨어를 건네준 공범도 현재 경찰 추적을 받고 있다. 경찰청 사이버수사국은 경찰관서, 헌법재판소, 한국은행 등을 사칭해 갠드크랩 랜섬웨어를...
NCC Group выпустила отчет в отношении уязвимостей коммутаторов Netgear ProSAFE Plus.
Там просто праздник - 15 уязвимостей, из которых 10 - критичные. Среди них - удаленное выполнение кода (RCE) без аутентификации, обход аутентификации, обновление прошивки без аутентификации и еще много чего.
Самое печальное, что некоторые из уязвимостей объявлены EOL и не будут устраняться производителем.
Если у вас стоит Netgear ProSAFE Plus серии JGS516PE - проще всего будет его выкинуть.
Там просто праздник - 15 уязвимостей, из которых 10 - критичные. Среди них - удаленное выполнение кода (RCE) без аутентификации, обход аутентификации, обновление прошивки без аутентификации и еще много чего.
Самое печальное, что некоторые из уязвимостей объявлены EOL и не будут устраняться производителем.
Если у вас стоит Netgear ProSAFE Plus серии JGS516PE - проще всего будет его выкинуть.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Международная группа хакеров получила доступ к 150 тыс. камер видеонаблюдения калифорнийской компании Verkada, сообщают Bloomberg. Атаку уже окрестили Operation Panopticon.
Среди клиентов компании - Tesla, Clouflare, американские клиники и психиатрические больницы, полицейские участки, тюрьмы и пр. Некоторые из камер используют систему распознавания лиц для категоризации снятых людей.
Представитель хакеров швейцарец Тилли Коттманн (товарищ, причастный к сливу в паблик конфиденциальных документов Intel летом 2020 года) заявил, что они также получили доступ к полному видеоархиву всех клиентов Verkada. Сами себя хакеры называют APT 69420 aka Arson Cats.
Злоумышленники получили учетные данные суперадминистратора Verkada после того, как компания допустила попадание в паблик части внутренних разработок.
Verkada немедленно заблокировала все учетные записи администраторов и сейчас разбирается в ситуации с помощью привлеченных инфосек экспертов.
Хочется как-то прокомментировать, но все плохие комментарии кончились еще на SolarWinds, а хорошие тут по смыслу не подойдут.
Среди клиентов компании - Tesla, Clouflare, американские клиники и психиатрические больницы, полицейские участки, тюрьмы и пр. Некоторые из камер используют систему распознавания лиц для категоризации снятых людей.
Представитель хакеров швейцарец Тилли Коттманн (товарищ, причастный к сливу в паблик конфиденциальных документов Intel летом 2020 года) заявил, что они также получили доступ к полному видеоархиву всех клиентов Verkada. Сами себя хакеры называют APT 69420 aka Arson Cats.
Злоумышленники получили учетные данные суперадминистратора Verkada после того, как компания допустила попадание в паблик части внутренних разработок.
Verkada немедленно заблокировала все учетные записи администраторов и сейчас разбирается в ситуации с помощью привлеченных инфосек экспертов.
Хочется как-то прокомментировать, но все плохие комментарии кончились еще на SolarWinds, а хорошие тут по смыслу не подойдут.
Bloomberg.com
Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals
A group of hackers say they breached a massive trove of security-camera data collected by Silicon Valley startup Verkada Inc., gaining access to live feeds of 150,000 surveillance cameras inside hospitals, companies, police departments, prisons and schools.
Microsoft выпустили очередное вторничное обновление безопасности.
Всего исправлено 89 уязвимостей в продуктах компании, из них 14 критических.
Пять уязвимостей использовались хакерами в дикой природе - четыре пресловутых ошибки в Microsoft Exchange, которые эксплуатировала китайская APT Hafnium (на самом деле Microsoft исправила их внеочередным патчем 2 марта, поэтому новое обновление - специально для слоупоков), и уязвимость CVE-2021-26411 в Edge и Internet Explorer. Последняя позволяет хакеру осуществить удаленное выполнение кода (RCE) при посещении пользователем вредоносного сайта.
Это именно та уязвимость, которую использовали хакеры из APT Lazarus для атак на исследователей безопасности. Для нее уже доступен PoC, так что организациям, использующим Explorer и Edge (да-да, есть и такие) лучше побыстрее обновиться.
Но и кроме этих ошибок в патче хватает годных исправлений, к примеру CVE-2021-26897, допускающая RCE. Поэтому вы знаете, что следует сделать.
Всего исправлено 89 уязвимостей в продуктах компании, из них 14 критических.
Пять уязвимостей использовались хакерами в дикой природе - четыре пресловутых ошибки в Microsoft Exchange, которые эксплуатировала китайская APT Hafnium (на самом деле Microsoft исправила их внеочередным патчем 2 марта, поэтому новое обновление - специально для слоупоков), и уязвимость CVE-2021-26411 в Edge и Internet Explorer. Последняя позволяет хакеру осуществить удаленное выполнение кода (RCE) при посещении пользователем вредоносного сайта.
Это именно та уязвимость, которую использовали хакеры из APT Lazarus для атак на исследователей безопасности. Для нее уже доступен PoC, так что организациям, использующим Explorer и Edge (да-да, есть и такие) лучше побыстрее обновиться.
Но и кроме этих ошибок в патче хватает годных исправлений, к примеру CVE-2021-26897, допускающая RCE. Поэтому вы знаете, что следует сделать.
Очередная атака ransomware на государственные организации. В этот раз в Европе.
Оператор вымогателя Ryuk успешно атаковал ресурсы испанского Государственного агентства по трудоустройству (SEPE), о чем агентство сообщило на своем сайте. В результате атаки официальный портала SEPE не функционирует, услуги для граждан, социальных служб и служб занятости не оказываются. Всего атакой затронуто более 700 филиалов SEPE по всей стране.
Директор SEPE Герадо Гитеррес заявил, что конфиденциальные данные граждан Испании в безопасности.
Будем наблюдать.
Оператор вымогателя Ryuk успешно атаковал ресурсы испанского Государственного агентства по трудоустройству (SEPE), о чем агентство сообщило на своем сайте. В результате атаки официальный портала SEPE не функционирует, услуги для граждан, социальных служб и служб занятости не оказываются. Всего атакой затронуто более 700 филиалов SEPE по всей стране.
Директор SEPE Герадо Гитеррес заявил, что конфиденциальные данные граждан Испании в безопасности.
Будем наблюдать.
Servicio Público de Empleo Estatal
Servicio Público de Empleo Estatal | SEPE
Web del SEPE Servicio Público de Empleo Estatal dirigida a personas, empresas y emprendedores y autónomos para informar sobre prestaciones, empleo y formación para el empleo.
Продолжение сегодняшней истории со сгоревшим дата-центром.
Оказалось, что сгорел один из ЦОД компании OVH в Страсбурге. OVH - это крупнейший хостинг-провайдер в Европе.
Кроме VPN .AC пострадали такие клиенты как известная нам разведывательная компания Bad Packets, крипторешение VeraCrypt, производитель игр Rust и многие другие. Причем Rust подтвердили, что полностью потеряли все данные на своих серверах.
Ну а некоторые пострадавшие, например французская инфосек компания Acceis, относятся к случившемуся с хорошей долей юмора.
Оказалось, что сгорел один из ЦОД компании OVH в Страсбурге. OVH - это крупнейший хостинг-провайдер в Европе.
Кроме VPN .AC пострадали такие клиенты как известная нам разведывательная компания Bad Packets, крипторешение VeraCrypt, производитель игр Rust и многие другие. Причем Rust подтвердили, что полностью потеряли все данные на своих серверах.
Ну а некоторые пострадавшие, например французская инфосек компания Acceis, относятся к случившемуся с хорошей долей юмора.
Что можно сказать по результатам сегодняшнего ограничения скорости к Twitter.
Как говаривал наше все Гегель - история повторяется дважды: первый раз в виде трагедии, второй раз в виде фарса.
В случае с попытками российских государственных органов ограничить доступ к каким-либо сервисам фарс получается всегда.
Два года назад - The Russian government just managed to hack itself.
Как говаривал наше все Гегель - история повторяется дважды: первый раз в виде трагедии, второй раз в виде фарса.
В случае с попытками российских государственных органов ограничить доступ к каким-либо сервисам фарс получается всегда.
Два года назад - The Russian government just managed to hack itself.
Лукацкий прекрасен - https://twitter.com/alukatsky/status/1369704178411401216
Twitter
Alexey Lukatsky
Не могу не вспомнить ст.13.2.1 ФЗ-149, которая запрещает расположение техсредств информационных систем госорганов (даже не ГИС) за пределами РФ. Так какого... сайты госорганов падают от того, что во Франции упал OVH?
Парламент Норвегии опять страдает. Не далее как в конце августа прошлого года их электронная почта была взломана. В декабре норвежцы заявили, что "вероятно" это было делом рук российской APT 28 aka Fancy Bear.
Теперь их обидели снова. Вчера представители норвежского парламента заявили, что стали жертвой атаки хакеров, которые использовали свежие уязвимости в Microsoft Exchange для кражи конфиденциальной информации.
Стояли ли за атакой на норвежцев китайцы - непонятно, поскольку каких-либо подробностей пока не сообщается. Как говорят ESET, помимо китайской APT Hafnium, которую изначально Microsoft обвинили в эксплуатации уязвимостей в Exchange, их использовали по меньшей мере 10 APT. Правда до момента выхода экстренного патча среди этих хакерских групп были только китайские, а уже начиная с 3 марта подключились остальные.
Не везет что-то норвежскому Парламенту. Вспоминается анекдот про АвтоВАЗ и проклятое место.
Теперь их обидели снова. Вчера представители норвежского парламента заявили, что стали жертвой атаки хакеров, которые использовали свежие уязвимости в Microsoft Exchange для кражи конфиденциальной информации.
Стояли ли за атакой на норвежцев китайцы - непонятно, поскольку каких-либо подробностей пока не сообщается. Как говорят ESET, помимо китайской APT Hafnium, которую изначально Microsoft обвинили в эксплуатации уязвимостей в Exchange, их использовали по меньшей мере 10 APT. Правда до момента выхода экстренного патча среди этих хакерских групп были только китайские, а уже начиная с 3 марта подключились остальные.
Не везет что-то норвежскому Парламенту. Вспоминается анекдот про АвтоВАЗ и проклятое место.
U.S.
Norway's parliament hit by new hack attack
Hackers have infiltrated the Norwegian Parliament's computer systems and extracted data, officials said on Wednesday, just six months after a previous cyber attack was made public.
Забавный глюк в медиацентре Toyota Hilux. При подключении в USB-порт мышки и попытки перетащить экран или просто при подключении клавиатуры система выпадает в аут.
Киберпанк 2021.
Киберпанк 2021.
Twitter
Jay Turla
weird denial of service on a Toyota Hilux 2020 Infotainment. It hangs when you plug a mouse and then drag the screen or by just plugging a keyboard on the USB port https://t.co/9iKA9Parn9
Университет Джорджтауна выпустил интересный отчет "Академики, искусственный интеллект и APT", в котором анализируются исследования в области искусственного интеллекта шести китайских НИИ, подозреваемых в связях с четырьмя китайскими APT.
Среди изучаемых:
- Хайнаньский университет (связанный с APT 40 aka Leviathan);
- Юго-Восточный университет (APT 19 aka Deep Panda);
- Шанхайский университет Чжао Тонг (APT 1 aka Comment Crew);
- Сианский университет (APT 3 aka Gothic Panda);
- Чжэцзянский университет (APT 1 aka Comment Crew);
- Харбинский технологический институт (APT 1 aka Comment Crew).
Американские исследователи сделали следующие основные выводы:
- несколько китайских университетов проводят исследования на стыке инфосека и машинного обучения. По крайней мере одна APT изучает как использовать машинное обучения для обнаружения аномалий.
- в большинстве случаев ИИ и машинное обучение рассматриваются с точки зрения киберзащиты, но часть исследований направлена на обнаружение аномалий, что может быть использовано в наступательных операциях;
- также, хоть и в меньшем объеме, присутствуют исследования методов атаки и защиты непосредственно систем ИИ.
Истину вам говорим, 4 мая 2025 года ̶з̶е̶м̶л̶я̶ ̶н̶а̶л̶е̶т̶и̶т̶ ̶н̶а̶ ̶н̶е̶б̶е̶с̶н̶у̶ю̶ ̶о̶с̶ь̶ Скайнет решит избавиться от человечества.
Среди изучаемых:
- Хайнаньский университет (связанный с APT 40 aka Leviathan);
- Юго-Восточный университет (APT 19 aka Deep Panda);
- Шанхайский университет Чжао Тонг (APT 1 aka Comment Crew);
- Сианский университет (APT 3 aka Gothic Panda);
- Чжэцзянский университет (APT 1 aka Comment Crew);
- Харбинский технологический институт (APT 1 aka Comment Crew).
Американские исследователи сделали следующие основные выводы:
- несколько китайских университетов проводят исследования на стыке инфосека и машинного обучения. По крайней мере одна APT изучает как использовать машинное обучения для обнаружения аномалий.
- в большинстве случаев ИИ и машинное обучение рассматриваются с точки зрения киберзащиты, но часть исследований направлена на обнаружение аномалий, что может быть использовано в наступательных операциях;
- также, хоть и в меньшем объеме, присутствуют исследования методов атаки и защиты непосредственно систем ИИ.
Истину вам говорим, 4 мая 2025 года ̶з̶е̶м̶л̶я̶ ̶н̶а̶л̶е̶т̶и̶т̶ ̶н̶а̶ ̶н̶е̶б̶е̶с̶н̶у̶ю̶ ̶о̶с̶ь̶ Скайнет решит избавиться от человечества.
Center for Security and Emerging Technology
Academics, AI, and APTs | Center for Security and Emerging Technology
Six Chinese universities have relationships with Advanced Persistent Threat (APT) hacking teams. These partnerships, themselves a case study in military-civil fusion, allow state-sponsored hackers to quickly move research from the lab to the field. This report…
Осенью прошлого года мы давали ряд инсайдов по российским инфосек компаниям, где сказали, что выпуск прошлым летом со стороны Positive Technologies облигаций на MOEX являлся первым шагом по формированию фондовой истории в долгосрочной стратегии по подготовке к IPO.
Теперь же наша информация находит подтверждение - как нам подсказывают, Позитивы планируют размесить среди частных инвесторов от 10 до 20 процентов своих акций. В качестве целевой аудитории рассматриваются сотрудники IT, инфосека и пр. Сроки выхода на биржу будут зависеть от успешности такого позиционирования.
В целом инвестиции не самые плохие, можно сказать даже хорошие. Позитивы активно растут, у компании конкурентные технологии не только в России, но и на глобальном уровне.
Но, как всегда, подгадили Forbes, выпустившие в конце февраля рейтинг самых дорогих компаний Рунета. И Positive Technologies заняли в нем лишь 15-е место с оценкой стоимости в 580 млн. долларов. А собственная оценка Позитивов - 1 млрд. долларов. Несостыковка почти в 2 раза.
Такое расхождение, скорее всего, происходит из географического дисконта - все российские IT компании сейчас под прицелом потенциальных пендюлей в США. И об этом мы напишем в следующем посте.
Теперь же наша информация находит подтверждение - как нам подсказывают, Позитивы планируют размесить среди частных инвесторов от 10 до 20 процентов своих акций. В качестве целевой аудитории рассматриваются сотрудники IT, инфосека и пр. Сроки выхода на биржу будут зависеть от успешности такого позиционирования.
В целом инвестиции не самые плохие, можно сказать даже хорошие. Позитивы активно растут, у компании конкурентные технологии не только в России, но и на глобальном уровне.
Но, как всегда, подгадили Forbes, выпустившие в конце февраля рейтинг самых дорогих компаний Рунета. И Positive Technologies заняли в нем лишь 15-е место с оценкой стоимости в 580 млн. долларов. А собственная оценка Позитивов - 1 млрд. долларов. Несостыковка почти в 2 раза.
Такое расхождение, скорее всего, происходит из географического дисконта - все российские IT компании сейчас под прицелом потенциальных пендюлей в США. И об этом мы напишем в следующем посте.
Forbes.ru
30 самых дорогих компаний Рунета. Рейтинг Forbes
Forbes публикует очередной рейтинг самых дорогих компаний Рунета. Карантинный 2020 год стал фантастически успешным для всех интернет-компаний, но больше всех выиграли маркетплейсы и агрегаторы
Два года назад тогда еще трамповская администрация Белого Дома задумала победить все IT-компании, связанные с потенциальными противниками США. Для этого Трамп выпустил т.н. Executive Order (Исполнительный приказ) № 13873 "Об обеспечении безопасности цепочки поставок информационно-телекоммуникационных технологий и услуг (ICTS)". В первую очередь, это касалось компаний китайского происхождения, которые Трамп не любил до изжоги, но под прицел американских госорганов потенциально попадали и компании из России.
Своим приказом Трамп наделил правительство США полномочиями запрещать любым лицам в американской юрисдикции участвовать в сделках с иностранными поставщиками ICTS. Министерству торговли США предписывалось определить порядок и объем таких санкций.
Все прошедшее с той поры время в США шли различные бюрократические процедуры и вот в январе 2021 года Министерство торговли в качестве одного из последних актов трамповской администрации выпустило т.н. IFR - промежуточное окончательное правило, которое должно вступить в силу 22 марта, то есть аккурат через 10 дней.
Согласно этому правилу Министерство торговли имеет право проверять и блокировать продажу или использование ICTS, которые считаются подверженными иностранному влиянию и представляют собой угрозу национальной безопасности США. Это очень широкое трактование, согласно которому под санкции могут попасть даже американские компании, которыми, к примеру, руководят иностранцы. Под прицел попадают "любое приобретение, импорт, передача, установка, торговля или использование ЛЮБЫХ ICTS, включая текущую деятельность".
В настоящее время Министерство торговли США в качестве "иностранного противника" обозначило Китай, Россию, Иран, КНДР, Кубу и правительство Мадуро.
Короче, если IFR вступит в силу в своей самой "суровой" версии, то работа на американском рынке может резко прекратиться для всех IT-компаний, хоть как-то связанных с Россией. Более того, зная изобретательность американских госорганов, можно допустить и заморозку всех финансовых транзакций этих компаний в юрисдикции США.
Есть правда один обнадеживающий фактор - в IFR могут быть внесены изменения, датируемые той же датой, что и дата вступления в силу. И поскольку корпоративный сектор США сейчас выражает озабоченность новым правилом, то вполне может быть, что положения IFR будут изменены в сторону серьезной либерализации.
С другой стороны, на фоне так удачно выявленных атак на SolarWinds со стороны "русских хакеров" и на Microsoft Exchange со стороны китайских APT администрация Байдена может пойти на принцип и, несмотря на трамповское происхождение этой нормы, принять ее в текущей редакции. По крайней мере, новый министр торговли Джина Раймондо ранее заявляла, что "будет использовать весь имеющийся инструментарий, чтобы защитить американцев и американские сети от китайского вмешательства".
Поэтому российские IT-компании, в том числе и инфосек, имеющие свои интересы на американском рынке в настоящее время вибрируют. Зудит и у Евгения Валентиновича, и у Позитивов, и у ГрИБов, и у Акрониса (двое последних пытаются мимикрировать под сингапурцев, но бить-то все равно будут не по паспорту). Ибо, как оказывается, рыночек почему-то не решает.
Кстати, Диалог Наука по прежнему продвигает црушную FireEye на российском рынке?
P.S. Переживаем за Лукацкого...
Своим приказом Трамп наделил правительство США полномочиями запрещать любым лицам в американской юрисдикции участвовать в сделках с иностранными поставщиками ICTS. Министерству торговли США предписывалось определить порядок и объем таких санкций.
Все прошедшее с той поры время в США шли различные бюрократические процедуры и вот в январе 2021 года Министерство торговли в качестве одного из последних актов трамповской администрации выпустило т.н. IFR - промежуточное окончательное правило, которое должно вступить в силу 22 марта, то есть аккурат через 10 дней.
Согласно этому правилу Министерство торговли имеет право проверять и блокировать продажу или использование ICTS, которые считаются подверженными иностранному влиянию и представляют собой угрозу национальной безопасности США. Это очень широкое трактование, согласно которому под санкции могут попасть даже американские компании, которыми, к примеру, руководят иностранцы. Под прицел попадают "любое приобретение, импорт, передача, установка, торговля или использование ЛЮБЫХ ICTS, включая текущую деятельность".
В настоящее время Министерство торговли США в качестве "иностранного противника" обозначило Китай, Россию, Иран, КНДР, Кубу и правительство Мадуро.
Короче, если IFR вступит в силу в своей самой "суровой" версии, то работа на американском рынке может резко прекратиться для всех IT-компаний, хоть как-то связанных с Россией. Более того, зная изобретательность американских госорганов, можно допустить и заморозку всех финансовых транзакций этих компаний в юрисдикции США.
Есть правда один обнадеживающий фактор - в IFR могут быть внесены изменения, датируемые той же датой, что и дата вступления в силу. И поскольку корпоративный сектор США сейчас выражает озабоченность новым правилом, то вполне может быть, что положения IFR будут изменены в сторону серьезной либерализации.
С другой стороны, на фоне так удачно выявленных атак на SolarWinds со стороны "русских хакеров" и на Microsoft Exchange со стороны китайских APT администрация Байдена может пойти на принцип и, несмотря на трамповское происхождение этой нормы, принять ее в текущей редакции. По крайней мере, новый министр торговли Джина Раймондо ранее заявляла, что "будет использовать весь имеющийся инструментарий, чтобы защитить американцев и американские сети от китайского вмешательства".
Поэтому российские IT-компании, в том числе и инфосек, имеющие свои интересы на американском рынке в настоящее время вибрируют. Зудит и у Евгения Валентиновича, и у Позитивов, и у ГрИБов, и у Акрониса (двое последних пытаются мимикрировать под сингапурцев, но бить-то все равно будут не по паспорту). Ибо, как оказывается, рыночек почему-то не решает.
Кстати, Диалог Наука по прежнему продвигает црушную FireEye на российском рынке?
P.S. Переживаем за Лукацкого...
Forwarded from Эксплойт | Live
Telegram заблокировал боты для «пробива»
Сегодня Telegram удалил большинство популярных ботов для «пробива».
Так, например, был закрыт доступ к ботам «Smart Search Bot», «Глаз Бога», «Архангел» и «Mail Search Bot».
Ранее Роскомнадзор сообщил, что такие боты нарушают закон о защите персональных данных.
На основании этого РКН потребовал заблокировать всех подобных ботов, что Telegram и сделал буквально за 3 дня.
Также ведомство попросило правоохранительные органы установить личности владельцев ботов, которые причастны к распространению личной информации.
Сегодня Telegram удалил большинство популярных ботов для «пробива».
Так, например, был закрыт доступ к ботам «Smart Search Bot», «Глаз Бога», «Архангел» и «Mail Search Bot».
Ранее Роскомнадзор сообщил, что такие боты нарушают закон о защите персональных данных.
На основании этого РКН потребовал заблокировать всех подобных ботов, что Telegram и сделал буквально за 3 дня.
Также ведомство попросило правоохранительные органы установить личности владельцев ботов, которые причастны к распространению личной информации.
Появился новый штамм ransomware DeadCry, который использует эксплойт-кит недавно обнаруженных уязвимостей в Microsoft Exchange, уже получивший название ProxyLogon.
По данным Майкла Гилеспи, создателя ID Ransomware, новый вымогатель стал работать ориентировочно с 9 марта. Эту же дату компиляции вредоноса подтверждает и Виталий Кремез. При шифровании файлов добавляет расширение .CRYPT и строку DEARCRY в начало каждого файла. Зафиксирован выкуп в размере 16 тыс. долларов, который запросил оператор ransomware.
С учетом того, что непропатченными остались больше 50 тысяч серверов Exchange, владельцам вымогателя есть где порезвиться.
По данным Майкла Гилеспи, создателя ID Ransomware, новый вымогатель стал работать ориентировочно с 9 марта. Эту же дату компиляции вредоноса подтверждает и Виталий Кремез. При шифровании файлов добавляет расширение .CRYPT и строку DEARCRY в начало каждого файла. Зафиксирован выкуп в размере 16 тыс. долларов, который запросил оператор ransomware.
С учетом того, что непропатченными остались больше 50 тысяч серверов Exchange, владельцам вымогателя есть где порезвиться.
BleepingComputer
DearCry ransomware attacks Microsoft Exchange with ProxyLogon exploits
Threat actors are now installing a new ransomware called 'DEARCRY' after hacking into Microsoft Exchange servers using the recently disclosed ProxyLogon vulnerabilities.
Два кенийских студента - 23-летний Мванги Нгиге и 21-летний Анн Вамбуи Ньойке хакнули кенийский NCBA Bank и украли 228 тыс. долларов.
Приняли же их когда они попытались украсть из банка еще 1,7 млн. долларов. При этом один из них писал в Твиттере банку, что у них есть дыры в системе безопасности.
Как мы видим, хакеры тоже топят за инклюзивность и диверсити.
Приняли же их когда они попытались украсть из банка еще 1,7 млн. долларов. При этом один из них писал в Твиттере банку, что у них есть дыры в системе безопасности.
Как мы видим, хакеры тоже топят за инклюзивность и диверсити.
Twitter
Africa Facts Zone
Two Kenyan university students, 23-year-old Antony Mwangi Ngige and 21-year-old Ann Wambui Nyoike hacked NCBA Bank and stole $228,000. They got caught when they attempted to steal $1.739 million from the same bank. One of them told the bank their system was…
Исследователи инфосек компании GRIMM обнаружили в ядре Linux сразу три уязвимости, которым в обед 15 лет. И это не шутка.
В подсистеме iSCSI ядра нашлись следующие ошибки:
- CVE-2021-27365, находится в libiscsi.c, позволяет вместе с другими уязвимостями осуществить локальное повышение привилегий до рутовых, утечку информации и отказ в обслуживании;
- CVE-2021-27363, находится в scsi_transport_iscsi.c, приводит к утечке информации;
- CVE-2021-27364, находится в scsi_transport_iscsi.c, приводит к утечке информации и отказу в обслуживании.
Все три уязвимости появились в 2006 году. Для их эксплуатации необходимо присутствие модуля scsi_transport_iscsi в системе, по умолчанию он не присутствует. Однако, с учетом локального характера уязвимостей, предполагается, что хакер уже находится в системе и загрузка scsi_transport_iscs может быть достаточно легко им инициирована, считают в GRIMM.
Что-то много в последнее время появляется ошибок в nix, которые существуют на протяжении многих лет. Достаточно вспомнить найденную в начале года уязвимость Baron Samedit в sudo, которая присутствовала с июля 2011 года и позволяла получить рутовые права.
В подсистеме iSCSI ядра нашлись следующие ошибки:
- CVE-2021-27365, находится в libiscsi.c, позволяет вместе с другими уязвимостями осуществить локальное повышение привилегий до рутовых, утечку информации и отказ в обслуживании;
- CVE-2021-27363, находится в scsi_transport_iscsi.c, приводит к утечке информации;
- CVE-2021-27364, находится в scsi_transport_iscsi.c, приводит к утечке информации и отказу в обслуживании.
Все три уязвимости появились в 2006 году. Для их эксплуатации необходимо присутствие модуля scsi_transport_iscsi в системе, по умолчанию он не присутствует. Однако, с учетом локального характера уязвимостей, предполагается, что хакер уже находится в системе и загрузка scsi_transport_iscs может быть достаточно легко им инициирована, считают в GRIMM.
Что-то много в последнее время появляется ошибок в nix, которые существуют на протяжении многих лет. Достаточно вспомнить найденную в начале года уязвимость Baron Samedit в sudo, которая присутствовала с июля 2011 года и позволяла получить рутовые права.