Американская инфосек компания Secureworks сделала разбор ransomware Hades. Не очень большой, но содержательный.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Secureworks
Hades Ransomware Operators Use Distinctive Tactics and Infrastructure
Commonalities revealed during multiple Secureworks incident response engagements provided insights into the GOLD WINTER threat group’s tactics, techniques, and procedures.
Forwarded from Pipiggi
Security-новости от Александра Антипова (securitylab.ru). Выпуск #21
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
YouTube
Microsoft закрывает 0day-уязвимости, Apple снова платит, Маск рушит биткоин. Security-новости, #21
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
Когда мы год назад писали обзор активности северокорейской хакерской группы Lazarus мы упомянули о том, что, как считается, эта APT состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Securelist
Andariel evolves to target South Korea with ransomware
We observed a novel infection scheme and an unfamiliar payload. After a deep analysis, we came to a conclusion: the Andariel group was behind these attacks.
Информзащита выпустила эротический календарь - знакомьтесь, infosecaas.ru (осторожно, 18+).
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
На прошедшей встрече Путина с Байденом в Женеве последний передал Президенту России список из 16 секторов критической инфраструктуры, в отношении которой кибератаки недопустимы.
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Twitter
Jennifer Jacobs
Biden says he gave Putin a list of 16 things that are off limits for cyber attacks on critical infrastructure.
Очередная новость про ransomware - на Украине правоохранительные органы арестовали причастных к ransomware Cl0p хакеров и отключили их вредоносную инфраструктуру.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
cyberpolice.gov.ua
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним компаніям пів мільярда…
Департамент Кіберполіції Національної поліції України
Insikt Group Recorded Future удалось отдеанонить целую китайскую АРТ RedFoxtrot благодаря проколу в OpSec одного из ее участников.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
FireEye Mandiant, которая скоро будет просто Mandiant, выпустили материал про хакерскую группировку, которую они называют UNC2465, ранее являвшуюся одним из основных операторов ransomware Darkside (владельцы которого ответственны за взлом трубопровода Colonial Pipeline).
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Чтобы вновь подписавшиеся на наш канал не запутались в терминологии - мы называем операторами группы, сотрудничающие с владельцами ransomware по схеме as a Service. При этом одна и та же группа может быть оператором разных штаммов вымогателей.
По мнению американских исследователей, UNC2465 работала с Darkside как минимум с марта 2020 года. Где-то во время разгона Darkside по причине атаки на Colonial Pipeline в мае этого года группа совершила гибрид атак на водопой и на цепочку поставок, чтобы проникнуть в корпоративные сети и доставить туда вымогатель.
Как все происходило. В июне Mandiant была привлечена для реагирования на вторжение в сеть некой организации, в ходе которого эксперты обнаружили, что точкой компрометации послужило затрояненое легальное ПО, которое поставлял своим клиентам неназванный производитель систем видеонаблюдения.
Хакеры сломали сайт компании и внедрили в предлагаемую к загрузке программу удаленного просмотра IP-видеокамер бэкдор Smokedham, который FireEye называют эксклюзивным вредоносом UNC2465. Бэкдор, в свою очередь, развертывал ngrok чтобы прокинуть туннель к управляющему центру. Дальше устанавливался имплант Cobalt Strike и осуществлялось боковое перемещение.
Всего хакеры присутствовали в атакованной сети с 18 мая по 8 июня. Исследователи же отмечают, что злоумышленникам потребовалось пять дней на боковое перемещение, установку кейлогера и импланта Cobalt Strike.
По всей видимости, UNC2465 планировали установить в скомпрометированных сетях Darkside, но этому помешал разгон банды. В то же время никто не мешал хакерам запустить другого вымогателя - видимо, просто не успели договориться с владельцами.
В качестве резюме. Что-то мы не припомним, чтобы операторы ransomware ранее использовали атаки на цепочку поставок - это была привилегия прогосударственных APT, требующая тщательного планирования и трудозатрат. Но ничего не стоит на месте и если что-то может эволюционировать и к этому есть стимул (в виде пары миллионов долларов), то это обязательно эволюционирует.
Что дальше? Внедрение загрузчиков ransomware в скрытые сектора жестких дисков прямо на заводе-производителе?
Google Cloud Blog
Smoking Out a DARKSIDE Affiliate’s Supply Chain Software Compromise | Google Cloud Blog
Борьба с "пиратством" выходит на новый уровень. Почему в кавычках? Потому что считаем, что информация должна свободно распространяться, а современные механизмы доната и краудфандинга спокойно могут заменить традиционный институт авторского вознаграждения (которое, по большому счету, вовсе не авторское, а издательское).
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Microsoft Defender с очередным обновлением стал делать секир-башка вполне себе легальному и любимому миллионами пользователей приложению uTorrent. Но про это вы и так знаете и, надеемся, такой шляпой как Defender не пользуетесь.
А вот Sophos вывалили вчера более интересную историю. Исследователи обнаружили кампанию по распространению малвари, преимущественно замаскированной под пиратские копии игр и распространяемой через Discord.
При запуске вредонос выдает ошибку и проверяет есть ли сетевое соединение. После этого он получает полезную нагрузку, которая изменяет файл HOSTS, добавляя в него от нескольких сотен до нескольких тысяч пиратских сайтов и прописывая им localhost. Таким образом, зараженный пользователь не может больше качать с них пиратский контент.
Мы подозреваем, что это очередная успешная кампания Роскомнадзора по борьбе с пиратством. А что - Twitter победили, с Telegram разрулили, Opera VPN накрячили. Пора бы и с пиратами разобраться!
Дополнительной аргументацией нашей версии служат невысокое техническое исполнение выявленной малвари и то, что среди пиратских сайтов встречаются и совершенно к пиратству не причастные. Все в лучших традициях РКН - мочили Twitter, а лег Ростелеком!
Sophos News
Vigilante malware rats out software pirates while blocking ThePirateBay
A collection of malware samples revives a decade-old HOSTS modification trick to block hundreds of websites
Не далее как неделю назад Google выпустили апдейт для Chrome, в котором закрыли используемую в дикой природе 0-day уязвимость CVE-2021-30551 браузерном движке V8.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Но нет предела совершенству - вчера вышло новое обновление для Windows, Mac и Linux, в котором закрыли еще одну 0-day уязвимость.
CVE-2021-30544 - UAF (User-After-Free, некорректная работа с динамической памяти при ее освобождении) уязвимость в API JavaScript WebGL, используемом для визуализации интерактивной 2D и 3D графики.
Ошибка приводит, как ни удивительно, к удаленному выполнению кода (RCE) в атакованной системе (шутка, к чему еще UAF может привести, к DoS разве). Оценки критичности, что интересно, Google не приводит (или мы такие слепошарые). Хотя, судя по удаленному RCE, она близка к десяточке по CVSS.
Как всегда в случае с Google, техническими подробностями они не делятся, но сообщают, что им известно об использовании CVE-2021-30544 в дикой природе.
Поэтому всем надо срочно обновить свои Chrome.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 91.0.4472.114 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
—Партнерский пост—
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
30 июня в Петербурге пройдет ZeroNights 2021, конференция по практическим аспектам кибербезопасности
Дата и время: 30 июня, 09:30-23:59 (МСК)
Место: Санкт-Петербург, Севкабель Порт
На ZeroNights будут представлены уникальные исследования признанных экспертов-практиков в сфере информационной безопасности.
Программа конференции:
• Основная программа — доклады о новейших методах атак, безопасности прошивок, десктопных, мобильных устройств и ОС. • Web Village — о веб-приложениях, их уязвимостях, обходах механизмов безопасности и о программах Bug Bounty. • Defensive Track посвящен безопасной разработке, DevSecOps, обнаружению инцидентов. • Hardware Zone — зона пересечения интересов людей, связанных с аппаратной и программно-аппаратной безопасностью. • Воркшопы — мастер-классы, которые дают возможность перейти от теории к практике под руководством профессионалов. • Активности и тематические конкурсы — от Академии Digital Security, баг-баунти от Bitaps, а также CTF от комьюнити-партнеров. • Маркет с авторским мерчем десятой хакерской конференции ZeroNights. Важно! 29 июня и 30 июня билет на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте билет уже сейчас!
С нарастанием хайпа вокруг темы ransomware стало появляться все больше детальных обзоров деятельности той или иной хакерской группы, стоящей за очередным штаммом вымогателей.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Вот и команда Prodaft Threat Intelligence выдала отчет, в котором подробно рассмотрела деятельность владельца ransomware LockBit и его взаимодействие с привлеченными операторами. В том числе и предполагаемую связь с другими вымогателями.
Неплохое чтиво на предстоящие выходные дни.
Forwarded from Эксплойт | Live
Эксперт нашёл баг в работе Wi-Fi на iPhone
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
В своём Twitter он рассказал, что обнаружил баг при подключении iPhone к Wi-fi сети с символьным названием в виде «%p%s%s%s%s%n».
Когда iPhone, включая даже новые модели, подключается к такой сети, происходит зависание работы беспроводного модуля.
Фактически, Wi-Fi перестаёт работать, а в случае попытки его активации происходит отключение кнопки включения.
Также, этот баг полностью отключает работу AirDrop.
Он уточнил, что советует не экспериментировать с такими названиями сетей, а просто подождать патча от Apple, если она, конечно, заинтересуется этой проблемой.
Не стареют душой ветераны цифрового чучхе!
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.
В конце прошлой недели Южнокорейский институт ядерных исследований (KAERI) провел пресс-конференцию и сделал официальное заявление, в которых сообщил, что 14 июня подвергся атаке прогосударственной APT, которая взломала сеть института использовав уязвимость в VPN-сервисе.
Судя по всему, VPN тупо не обновили. Вследствие чего 13 различных внешних неавторизованных IP успели залезть в сеть. Как сообщают южнокорейцы, один из этих IP-адресов атрибутируется как принадлежащий вредоносной инфраструктуре северокорейской APT Kimsuky.
Один из основных оппозиционных депутатов парламента Южной Кореи Ха Тэ-Кын завил, что "утечка в КНДР ключевых технологий в области ядерной энергетики может стать крупнейшим нарушением безопасности Южной Кореи с 2016 года (когда птенцы Кимова гнезда ломали местное Минобороны)".
Мы не столь склонны к драматизированию ситуации, но отметим существенную расхлябанность сеульских ученых, поскольку уж в их-то ситуации надо держать свои ресурсы в максимальном тонусе. Особенно если ты хранишь там конфиденциальные документы по ядерной тематике.
Что же касается Kimsuky, то эти ребята уже не в первый раз ломают ядерные учреждения Южной Кореи. Как мы писали в прошлом году, в 2014 именно Kimsuky взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Северокорейские хакеры завели тогда от имени "борцов с ядерной энергетикой с Гавайских островов" Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения. Хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться - опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Сдается нам, что вскоре мы снова услышим про "борцов с ядерной энергетикой с Гавайских островов".
P.S. А вместе с тем, вчера южнокорейские СМИ сообщили, что Daewoo Shipbuilding & Marine Engineering, производящая военные корабли и подводные лодки, с прошлого года подвергается атакам APT из КНДР. Минобороны Южной Кореи факт атаки подтвердило, но сказало, что атаковали не северокорейцы. Впрочем, кто же им поверит.
BleepingComputer пишет о том, что Google стали принудительно устанавливать на Android-устройства пользователей штата Массачусетс приложения Massachusetts MassNotify для отслеживания контактов больных COVID-19.
Многие пользователи сообщили, что без их ведома в списке установленных приложений появилось MassNotify, при этом никаких согласий на это у пользователей не запрашивалось. Более того, простым образом удалить MassNotify с устройства не получится, потому что пользователи не могут его открыть, а в Google Play приложение не находится поиском.
Google на соответствующий запрос сообщили, что приложение "установлено, но не включено, если пользователь не сделает это сам в настройках уведомлений".
Ц - цыфровая демократия.
Многие пользователи сообщили, что без их ведома в списке установленных приложений появилось MassNotify, при этом никаких согласий на это у пользователей не запрашивалось. Более того, простым образом удалить MassNotify с устройства не получится, потому что пользователи не могут его открыть, а в Google Play приложение не находится поиском.
Google на соответствующий запрос сообщили, что приложение "установлено, но не включено, если пользователь не сделает это сам в настройках уведомлений".
Ц - цыфровая демократия.
BleepingComputer
Google force installs Massachusetts MassNotify Android COVID app
Google is force-installing a Massachusetts COVID-19 tracking app on residents' Android devices without an easy way to uninstall it.
TheRecord пишет, что на прошлой неделе норвежская Полицейская служба безопасности (PST) заявила о причастности китайской APT 31 к взлому норвежской правительственной сети в 2018 году.
В ходе взлома хакеры практически полностью захватили атакованную сеть, получив права администратора, что дало им доступ к машинам всех государственных учреждений страны. Кроме того, PST говорит, что злоумышленники украли некую конфиденциальную информацию, правда сами точно не знают какую.
И хотя в официальном пресс-релизе PST не упоминает китайцев, один из руководителей службы Хана Бломберг в интервью государственному телевидению назвала в качестве нападавшего именно APT 31.
APT 31 aka Zirconium - это та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian. А еще, по данным норвегов, они причастны к взлому норвежского поставщика облачных услуг Visma AG летом 2018 года.
В марте же финская Полиция безопасности (Supo) заявила, что Zirconium осуществили взлом в октябре 2020 года нескольких почтовых ящиков Парламента Финляндии.
И уже в январе этого года Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны Zirconium.
Короче говоря, китайские хакеры из APT 31 плотно работают по европейским государственным структурам. И пока у них это прекрасно получается.
В ходе взлома хакеры практически полностью захватили атакованную сеть, получив права администратора, что дало им доступ к машинам всех государственных учреждений страны. Кроме того, PST говорит, что злоумышленники украли некую конфиденциальную информацию, правда сами точно не знают какую.
И хотя в официальном пресс-релизе PST не упоминает китайцев, один из руководителей службы Хана Бломберг в интервью государственному телевидению назвала в качестве нападавшего именно APT 31.
APT 31 aka Zirconium - это та китайская APT, работающая на МГБ Китая, которая переделала украденный у АНБшной группы Equation эксплойт EpMe в свой собственный эксплойт Jian. А еще, по данным норвегов, они причастны к взлому норвежского поставщика облачных услуг Visma AG летом 2018 года.
В марте же финская Полиция безопасности (Supo) заявила, что Zirconium осуществили взлом в октябре 2020 года нескольких почтовых ящиков Парламента Финляндии.
И уже в январе этого года Федеральная служба по защите конституции Германии (BfV), немецкий аналог ФСБ, выпустила предупреждение для правительственных агентств ФРГ, в котором сообщила, что они могут быть целью для кибератак со стороны Zirconium.
Короче говоря, китайские хакеры из APT 31 плотно работают по европейским государственным структурам. И пока у них это прекрасно получается.
therecord.media
Norway says Chinese group APT31 is behind catastrophic 2018 government hack
Norway\'s police secret service said this week that APT31, a cyber-espionage group operating on behalf of China, was responsible for a 2018 breach of the government\'s IT network.
Shut Up And Take My Money!
Twitter
People With 1000 IQ
https://t.co/tTNojX9qF6
Исследователь Лаксман Муфия специализируется на поиске уязвимостей в механизмах проверки пароля различных сервисов, которые позволяют злоумышленникам получить доступ к аккаунту пользователя.
В марте мы писали про выявленную им дырку в алгоритме сброса пароля от учетной записи Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.
Вчера он опубликовал результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля iCloud.
При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты. Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.
Подобрав все эти люфты Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль. Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.
Таким образом, Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.
Об уязвимости исследователь сообщил в Apple 1 июля 2020 года. Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями iCloud, которые использовались только на устройствах Apple, не защищенных паролем.
Тогда Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись iCloud, но и позволила бы взломать любой iPhone или iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).
В конце концов Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.
Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.
В марте мы писали про выявленную им дырку в алгоритме сброса пароля от учетной записи Microsoft, за открытие которой он получил от мелкомягких 50 тыс. долларов bug bounty.
Вчера он опубликовал результаты своего нового исследования, посвященного уязвимости в механизме восстановления пароля iCloud.
При восстановлении пароля пользователь должен ввести 6-значный код подтверждения, который приходит на телефон или на адрес электронной почты. Apple ограничивает количество запросов с одного IP-адреса 6 штуками. Но iforgot .apple .com имеет, в свою очередь, 6 IP-адресов. Таким образом, можно отправить одновременно 6 запросов с одного IP-адреса, ограничения это позволяют.
Подобрав все эти люфты Муфия пришел к тому, что ему понадобится 28 тысяч IP-адресов, для того, чтобы гарантировано подобрать 6-значный код и успешно сменить пароль. Apple внесли в черный список основных поставщиков облачных услуг, но исследователь смог найти несколько рабочих сервисов.
Таким образом, Муфия успешно обошел сначала 6-значный код SMS, а потом 6-значный код, полученный на электронную почту. Методика обхода была абсолютно идентична. Не помогла бы даже 2FA аутентификация, поскольку она имела ровно те же ошибки.
Об уязвимости исследователь сообщил в Apple 1 июля 2020 года. Apple поблагодарили и... забили (вот это поворот!) В результате, они устранили уязвимость только в начале апреля 2021 года, а Муфии написали, что все фигня кроме пчел, а зимой и пчелы фигня. И вообще это не баг, а фича, и она работала только с учетными записями iCloud, которые использовались только на устройствах Apple, не защищенных паролем.
Тогда Муфия закусил удила, стал копать дальше и пришел к выводу, что закрытая уязвимость позволяла не только захватить учетную запись iCloud, но и позволила бы взломать любой iPhone или iPad с 4 или 6-значным passcode (там все немного сложнее, но в формат поста это бы не влезло, можно почитать в первоисточнике).
В конце концов Apple "расщедрились" на 18 тыс. долларов bug bounty, хотя должны были по своим собственным правилам заплатить Муфии 350 тыс. $. Исследователь обиделся и, поскольку уязвимость уже закрыта, решил выкинуть всю инфу на публику.
Как известно, кроилово приводит к попадалову - совершая такие странные поступки со своей программой bug bounty Apple безусловно подрывает информационную безопасность собственных продуктов. Потому что в следующий раз более беспринципный и жадный исследователь, зная о жлобстве Apple, просто продаст эксплойт в даркнете и получит намного больше 18 тыс. долларов. Ну а мы с вами будем страдать от эксплуатируемых в дикой природе дырок в iPhone, потому что какие-то менеджеры компании с годовым оборотом в 275 млрд. долларов зажали 300 тысяч.
The Zero Hack
How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack
This article is about how I found a vulnerability on Apple forgot password endpoint that allowed me to takeover an iCloud account. The vulnerability is completely patched by Apple security team and it no longer works. Apple Security Team rewarded me $18,000…
Приватный браузер стал действительно приватным: проект Tor выпустил Tor Browser 10.0.18 с исправлением множества ошибок.
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
Но главное исправление касается вскрытой FingerprintJS еще в мае возможности кросс-браузерного отслеживания пользователей на основе приложений, установленных на их устройстве.
Анализируя результаты запуска обработчиков URL-адресов приложений создается уникальный профиль отслеживания пользователя. При этом если запрос приложения отображается, можно предположить, что приложение установлено на устройстве. Проверив различные обработчики URL-адресов, обрисовывается уникальная конфигурация установленных приложений на устройстве пользователя.
Затем этот идентификатор (или конфигурацию) можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Очевидно, что для анонимизирующихся пользователей Tor эта уязвимость крайне критична, поскольку дает возможность админам веб-ресурсов фиксировать реальный IP-адрес пользователя при переключении на другой браузер.
В выпуске Tor Browser 10.0.18 разработчики представили исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false, которое по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, больше не запускает запросы приложения.
И вот секрет сверхвозможностей правоохранителей по розыску анонимов в Tor, пожалуй, раскрыт: можно расходиться, а обновление установить (и на всякий случай парочку прог тоже).
blog.torproject.org
New Release: Tor Browser 10.0.18 | Tor Project
Tor Browser 10.0.18 is now available from the Tor Browser download page and also from our distribution directory.
Компания NVIDIA, специализирующаяся на графических чипах, выпустила обновления программного обеспечения для устранения в общей сложности 26 уязвимостей CVE‑2021‑34372 до CVE‑2021‑34397 в серии Jetson system-on-module (SOM).
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.
Исправлены серьезные ошибки в структуре Jetson SoC, связанные со способом обработки низкоуровневых криптографических алгоритмов.
Закрытые баги затрагивают продукты Jetson TX1, серии TX2, TX2 NX, серии AGX Xavier, Xavier NX, а также Nano и Nano 2GB под управлением всех версий Jetson Linux до 32.5.1, которые используются для встраиваемых вычислительных систем, приложений машинного обучения и автономных устройств, таких как роботы и дроны.
Самая серьезная ошибка CVE‑2021‑34372 позволяет эксплуатировать недостатки в коде Jetson и вызвать переполнение буфера. При этом уязвимость несложна для использования и злоумышленник с низкими правами доступа может запустить ее, имея лишь сетевой доступ. Кроме того, успешная атака может дать злоумышленнику постоянный доступ к компонентам, отличным от целевого набора микросхем NVIDIA, и позволить хакеру манипулировать или саботировать целевую систему.
Остальные недостатки, связанные с Trusty и Bootloader, могут быть использованы для воздействия на выполнение кода, вызывая отказ в обслуживании и раскрытие информации.
Что же, проделана большая работа: на этом отдельная благодарность Фредерику Перрио из Apple Media Products за обнаружение всех проблем, а от владельцев систем - специалистам NVIDIA, выпустившим обновления.