Экс-сотрудника элитного хакерского подразделения ЦРУ в федеральном суде Нью-Йорка признали виновным в крупнейшей утечке сверхсекретных данных, получивших название Vault 7, которая произошла в 2017 году и буквально ударила ведомство ниже пояса.

33-летний Джошуа Адам Шульте, уволившись с работы, слил на WikiLeaks украденный у ведомства массив из более чем 10 тысяч документов и файлов из изолированной внутренней сети Центра по киберразведке, базирующегося в штаб-квартире ЦРУ в Лэнгли.

Vault 7 также включал арсенал передовых хакерских инструментов, вредоносное ПО и 0-day эксплойты, которые спецслужба применяла для взлома целевых компьютеров и технологических систем.

После их релиза на WikiLeaks экс-сотрудник стал главным подозреваемым, а тогдашний директор ЦРУ Майк Помпео назвал «враждебной разведывательной службой», после чего правительство США выдвинуло обвинение в шпионаже его основателю.

Как отметили коллеги, в ответ на публикацию Vault7 директор ЦРУ и вовсе поручил ведомству ликвидировать Джулиана Ассанжа.

В сентябре 2017 года у Шульте нашли на компьютере детское порно. После задержания позже ему накинули обвинения в краже и передаче противнику информации о национальной обороне.

В 2020 году его виновным по обвинения во лжи и неуважении к суду, а спустя два года - присяжные признали Шульте виновным по восьми пунктам закона о шпионаже и одному пункту обвинения в препятствовании. 

Прокуратура в суде назвала Шульте обиженным, что, по мнению обвинителя, и стало главным мотивом преступления. Экс-сотрудника также в рамках отдельного процесса будут судить за детское порно. Общий приговор по его делу будет оглашен позднее.

Но есть во всей этой истории достаточно важный положительный момент.

Во многом благодаря именно Vault7 инфосек-сообщество не только узнало про аффилированную с ЦРУ Lamberts со всеми наглядными примерами, но и получило подтверждение принадлежности Equation к АНБ США.

͏Microsoft опубликовала PoC размером с твит для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе.

Об ошибке Microsoft сообщила Apple в октябре прошлого года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6).

Компания опубликовала технические подробности CVE-2022-26706, пояснив, как можно обойти правила песочницы приложения macOS, чтобы обеспечить вредоносному макрокоду в документах Word выполнять команды на машине.

Злоупотребление макросами в документах Office для развертывания вредоносных ПО уже давно является излюбленной хакерами техникой взлома систем Windows. Как оказывается, то же самое может быть реализовано на уязвимых компьютерах под управлением macOS.

Уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Office на macOS.

Изучив более ранние отчеты (1, 2) о выходе из песочницы macOS, исследователи группы Microsoft 365 Defender обнаружили, что использование Launch Services для запуска команды open –stdin в специальном файле Python с вышеупомянутым префиксом «~$» позволяет выйти из песочницы приложения в macOS.

Исследователи разработали PoC c использованием опции -stdin для открытия файла Python, чтобы обойти ограничение расширенного атрибута com.apple.quarantine.

Код эксплойта оказался достаточно прост, исследователям даже удалось сжать его настолько, что он поместился в твит, как можно видеть ниже 👇

👾 Малварь на просвет. 99+ бесплатных инструментов для анализа зловредов.

🖖🏻 Приветствую тебя user_name.

• Вчера на хабре вышла интересная подборка бесплатных инструментов для анализа зловредов. Тема хоть и не относится к основной тематике нашего канала, но будет весьма интересной и полезной для изучения подозрительных файлов: https://habr.com/ru/company/bastion/blog/676310/

• В дополнение, обратите внимание на полезный материал в нашем канале, в котором описано создание виртуальной среды для изучения вредоносного ПО: https://news.1rj.ru/str/Social_engineering/1371 и другие бесплатные инструменты для компьютерное криминалистики: https://habr.com/ru/company/bastion/blog/651869/

Твой S.E. #Malware #Форензика

Немецкий производитель программного обеспечения SAP к предыдущим примечаниям по безопасности добавил еще 20 новых. Из новых недостатков четыре с высокой степенью опасности, одно затрагивает SAP BusinessObjects и три найдено в Business One.

Наиболее серьезной из этих проблем является уязвимость CVE-2022-35228 (оценка CVSS 8,3), связанная с раскрытием информации в центральной консоли управления платформы BusinessObjects Business Intelligence.

Как заверили специалисты по безопасности из Onapsis проблема позволяет злоумышленнику, не прошедшему проверку подлинности, получить информацию о токене по сети, но для атаки требуется легитимный пользователь для доступа к приложению.

Не менее серьезной ошибкой, влияющей на Business One, является ошибка раскрытия информации (CVE-2022-32249), которая позволяет злоумышленнику с высоким уровнем привилегий получать доступ к конфиденциальной информации, а также может использоваться в последующих атаках на учетные данные.

Еще одна проблема связана с отсутствием проверки авторизации (CVE-2022-28771), которая позволяет злоумышленнику, не прошедшему проверку подлинности, скомпрометировать приложение с помощью вредоносных HTTP-запросов, отправляемых по сети.

Третья ошибка в Business One — это уязвимость внедрения кода (CVE-2022-31593) и она позволяет злоумышленнику с низким уровнем привилегий контролировать поведение приложения.

17 примечаний по безопасности, выпущенных SAP, касаются уязвимостей средней степени серьезности и большинство из них затрагивает корпоративный портал NetWeaver и бизнес-объекты.

В примечаниях рассматриваются уязвимости межсайтового скриптинга (XSS) в корпоративном портале NetWeaver и все они получили оценку CVSS 6,1. Часть других замечаний по безопасности касаются проблем средней серьезности в Business Objects, SAPS/4HANA, EA-DFPS, платформе ABAP и Business One.

Исследователи Cyble предупреждают появлении трех новых штаммов ransomware Lilith, RedAlert и 0mega.

Написанный на C/C++ и предназначенный для 64-битных систем Windows, Lilith добавляет к зашифрованным файлам соответсnвующее расширение «.lilith», после чего по системе раскидываются заметки о выкупе. Операторы ransomware также практикуют двойное вымогательство, угрожая утечкой эксфильрованных данных.

После запуска на компьютере жертвы мальварь согласно жестко запрограммированного списка завершает запущенные процессов, что гарантирует постоянный доступ к файлам, предназначенным для шифрования. Целевые процессы включают: Outlook, Thunderbird, Firefox, SQL, Steam и т.д.

Ransomware, получая доступ к базе данных диспетчера управления службами, вызывает определенные API, чтобы получить контроль над целевыми службами для их остановки. После чего Lilith сканирует диски в системе и файлы для шифрования, перебирая все файловые каталоги на машине.

Далее файлы шифруются с помощью набора криптографических API и случайного ключа, сгенерированного локально. Шифратор игнорирует файлы EXE, DLL и SYS, а также ряд каталогов и имен файлов, включая локальный открытый ключ, который будет использоваться впоследствии Babuk для расшифровки.

Перед началом шифрования программа-вымогатель записывает записки с требованием выкупа в несколько папок. В ней сообщается о наличии у жертвы 72 часов для выхода на связь с операторами ransomware и организации переговоров по оплате.

В случае неуплаты выкупа злоумышленник угрожает обнародовать украденные данные, для чего в записке также есть ссылка на домен Tor сайта DLS.

Cyble также предупреждает об увеличении количества атак с использованием двух довольно новых семейств программ-вымогателей RedAlert и 0mega. 

Как известно, в течение последних недель RedAlert атаковал на серверы Linux VMware ESXi, блокируя виртуальные машины и шифруя все связанные с ними файлы. Вредоносная программа запускается вручную, поддерживает несколько команд предварительного шифрования и принимает платежи в виде выкупа только в Monero.

Для 0mega, использующей тактику двойного вымогательства, индикаторы компрометации еще не опубликованы.

Технические подробности ТТР и рекомендации представлены в отчете Cyble Research Labs.

Пользователи WordPress снова под ударом, да еще под каким. Эксперты по безопасности выявили массовую волну кибератак, направленных на колоссальные 1,6 миллиона веб-сайтов WordPress. Кампания все еще активна и нацелена на несколько уязвимых плагинов, которые позволяют злоумышленникам захватывать сайты.

Об угрозе предупредили исследователи Wordfence и опубликовали отчет, в котором предупреждают, что хакеры нацелены на несколько уязвимых компонентов WordPress позволяющих злоумышленникам удаленно обновлять строки кода и взламывать уязвимые веб-ресурсы.

Уязвимыми плагинами являются PublishPress Capabilities (версия 2.3 или более ранняя), плагин Kiwi Social Plugin (версия 2.0.10 или более ранняя), Pinterest Automatic (4.14.3 или более ранняя) и WordPress Automatic (3.53.2 или более ранняя).

Все четыре плагина связаны с уязвимостями обновления произвольных параметров без проверки подлинности, которые позволяют злоумышленникам регистрироваться на любом сайте в качестве администратора.

Согласно отчету, сайты с темами, основанными наали отчет, в котором претакже затронуты. Общий анализ показал, что 1,6 миллиона ресурсов на WordPress подверглись 13,7 миллионам атак за 36 часов с 16 000 IP-адресов.

В этой связи владельцам сайтов WordPress, которые используют перечисленные компоненты, настоятельно рекомендуется обновить свои плагины или темы до последней исправленной версии.

Кроме того, специалисты рекомендуют владельцам сайтов блокировать права администратора для новых пользователей по умолчанию.

Check Point Research утверждают, что штаб-квартира ВВС Пакистана стала жертвой успешной атаки, проведенной проиндийской АРТ Sidewinder.

Ресерчеры CPR обнаружили, что в мае 2022 на Virus Total были загружены несколько образцов вредоносных программ и два зашифрованных файла.

По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.

Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.

Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.

Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.

Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.

Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.

Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.

Что уже впрочем, стало понятно также одной из жертв.

За последние годы Infostealer-атаки стали достаточно популярны.

Украденные с помощью такого рода вредоносного ПО конфиденциальные учетные сведения активно перепродаются и становятся подспорьем для доступа ресурсам, кражи данных, бокового перемещения и развертывания вредоносных программ, в том числе и ransomware.

Самыми популярными и продвинутыми в даркнете считаются RedLine, Raccoon и Vidar.

Однако ресерчеры KELA провели свой обзор Infostealer-рынка и отметили изменения в ландшафте угроз, включая появление новых стилеров и сервисов.

По результатам представили отчет о новом поколении вредоносных программ и ведущих игроков рынка стиллеров, таких как Redline, Racoon, AZORult, Mars, BlackGuard, META, Arkei, Vidar, Ginzo, Eternity, 7.62mm, Inno, TigersTeam, а также проект Аврора.

Рекомендуем 👇

Предлагаем ознакомиться с самыми крупными и интересными проектами в Telegram в сфере информационной безопасности:

🔥 @black_triangle_tg — крупнейший ресурс посвященный движению за свободу программного обеспечения и изобличающий истинное лицо проприетарных технических гигантов.

🗞 @Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

👨🏻‍💻 @Social_Engineering — Один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👁 @Data1eaks — канал про утечки баз данных. Будь в курсе всех сливов и отслеживай, есть ли твой телефон в утечках.

͏Juniper Networks выпустила исправления для критических уязвимостей в ОС Junos и сети Contrail, некоторые из которых могут быть использованы для захвата контроля над уязвимыми системами.

Набор из 31 ошибки в ПО управления сетью Junos Space включает CVE-2021-23017 с оценкой CVSS: 9,4, которые могут привести к сбою уязвимых устройств или даже к RCE.

Одна из проблем была обнаружена в распознавателе nginx и могла позволить злоумышленнику, способному подделать UDP-пакеты с DNS-сервера, вызвать перезапись 1-байтовой памяти, что, в свою очередь, вызовет к сбой рабочего процесса или может привести к другому негативному потенциальному воздействию.

Аналогичная ошибка была устранена в контроллере Northstar, в версиях 5.1.0 с пакетом обновления 6 и 6.2.2.

Другие недостатки касались Oracle Java SE, OpenSSH, Samba, менеджера пакетов RPM, Kerberos, OpenSSL, ядра Linux, curl и MySQL Server.

Кроме того, производитель сетевого оборудования предупредил о множестве проблем в CentOS 6.8, поставляемой с Junos Space Policy Enforcer до версии 22.1R1.

В качестве меры предосторожности CentOS была обновлена до 7.9.


Множественные уязвимости в стороннем ПО, используемом в Juniper Networks Contrail Networking, в совокупности отслеживаемые как CVE-2014-5044, были устранены в выпуске 21.4.0 путем обновления образа контейнера Red Hat Universal Base Image (UBI), совместимого с Open Container Initiative (OCI), с Red Hat Enterprise Linux 7 до Red Hat Enterprise Linux 8.

Ошибки могут быть использованы удаленными злоумышленниками для RCE или вызова состояния DoS.

Обратите внимание: 166 уязвимостей в Contrail Networking в совокупности получили максимальную оценку CVSS 10,0.

И несмотря на то, что Juniper SIRT не сообщает о каком-либо злонамеренном использовании вышеуказанных проблем, администраторам следует установить доступные обновления для уязвимых решений, включая Junos Space, Contrail Networking и NorthStar Controller.

Специализирующиеся на безопасности ICS исследователи Dragos в ходе расследования инцидента с ПЛК DirectLogic от Automation Direct обнаружили, что ПО для взлома паролей для программируемых логических контроллеров (ПЛК) бонусом заражает промышленные системы вредоносным ПО Sality.

Sality — это довольно таки старая вредоносная программа, которая позволяет оператору завершать процессы, инициировать удаленные соединения, загружать дополнительные полезные нагрузки или красть данные с хоста. Малварь может внедряться в запущенные процессы и злоупотреблять автозапуском Windows.

Подобные инструменты для восстановления пароля достаточно популярны в сети и применяются для разблокировки терминалов PLC и HMI многих производителей Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, АББ и Panasonic.

В данном случае разработчик посредством софта для ПЛК заражал ICS, создавая P2P-ботнет для решения различных высокопроизводительных задач, требующих большого объема мощности распределенных вычислений, включая взлом паролей или добычу крипты.

Выявленные ресерчерами конкретный образец, по всей видимости, и был ориентирован на кражу криптовалюты посредством реализации полезной нагрузки, захватывающей содержимое буфера обмена для перехвата транзакции.

Dragos уведомили Automation Direct об своей находке, после чего производитель выпустил соответствующие меры по устранению уязвимости.

Тем не менее вредоносная кампания набирает обороты, в связи с чем администраторам ПЛК других поставщиков следует помнить о неблагонадежности ПО для взлома паролей в средах АСУ ТП.

Вне зависимости от целей его применения, исследователи категорически против породных инструментов, особенно если их источник неизвестен.

В российских реалиях эта проблема наиболее актуальна, ведь техподдержка по ряду позиций весьма затруднительна, а частные решения несут серьезные риски для безопасности ICS.

Английская ювелирка Graff, о которой мы писали в прошлом году таки раскошелилась и заплатила Conti, дабы не поднимать панику среди высокопоставленных клиентов в числе которых и Дональд Трамп, и Дэвид Бекхэм, и Том Хэнкс и еще много кто.

Светские ювелиры оценили влияние на конфиденциальность клиентов значительно больше, чем стоимость купленных драгоценностей, так как некоторые покупки могли продемонстрировать общественности некоторые неловкие и любовные отношения между очень важными людьми.

В итоге Graff по-тихой заплатили выкуп в размере 6 миллионов фунтов стерлингов, что около 7,5 миллиона долларов США, дабы избежать утечки данных своих клиентов, но снова влетели в ленту новостей из-за скандала со своей страховой Travelers, которая отказалась покрыть выплату хакерам.

Разборки перетекли в правовое поле, так как ювелиры подали в суд на страховую компанию за отказ покрыть этот платеж.

В общем пока власть имущие разбираются кто, кому и чего должен, хакеры Conti, вероятно, смакуют Cristal, наблюдая со стороны.

͏- Партнёрский пост -

Шестая международная конференция о безопасности платежей. О чем рассказали эксперты?

7 и 8 июля в Санкт-Петербурге прошла конференция #PAYMENTSECURITY, посвященная безопасности платежей. На мероприятии выступили двенадцать спикеров из крупных компаний – представителей платежной индустрии. Объектами всеобщего внимания стали актуальные доклады, а также круглый стол, посвященный поиску решений в эпоху дезинтеграции глобальных рынков. Практической частью мероприятия стал 12-ти часовой воркшоп Practical Security Village от пентестеров компании Deiteriy.

В этом году конференция во второй раз прошла в онлайн формате, с возможностью задать вопросы спикерам в прямом эфире, и набрала за два дня более 3500 просмотров.

Исполнительный директор компании Deiteriy Евгений Безгодов познакомил слушателей с новой версией стандарта PCI DSS 4.0, в том числе c новой идеологией стандарта и обновленными требованиями. Переход на новую версию весьма актуален для российского рынка, ведь независимо от геополитических изменений, стандарт PCI DSS остаётся обязательным требованием НСПК – платежной системы «Мир».

Изменения внешней среды стали основной темой мероприятия: уход поставщиков привычных решений, изменившийся ландшафт угроз, возросшее число кибератак и требования регуляторов. Разговор на эти темы шёл в ходе круглого стола, в котором, помимо экспертов компании Deiteriy, участвовали Ольга Маклашина (Сбербанк), Александр Лапшин (IVI), Дмитрий Кудинов (Яндекс.Облако), а также Дмитрий Чураков (Атомдата-Центр). Коллеги по цеху подробно рассказали о том, какие компенсационные решения были реализованы после ухода ряда вендоров с российского рынка и о введении запрета на закупку импортного программного обеспечения для объектов критической информационной инфраструктуры.

Александр Иванцов и Виктория Гадалова (Deiteriy), рассказали о правилах взаимодействия финансовых организаций с поставщиками услуг в рамках ГОСТ 57580 и оценке уязвимостей по ОУД 4, раскрыв тему новых требований российской банковской регуляторики.

Тему международной сертификации платежных приложений раскрыл Владимир Ковалёв – действующий аудитор по стандартам из набора PCI SSF. Он рассказал о новых правилах безопасной разработки приложений для PCI, познакомил слушателей с особенностями новых стандартов безопасности фреймворка PCI SSF: PCI SSF Secure Software Standard, применимого к платёжным приложениям, и PCI SSF Secure SLC Standard, регламентирующего процесс безопасной разработки таких приложений. Компания Deiteriy недавно обрела официальный статус аудитора по стандартам SSF. Тему сертификации по стандартам PСI SSF с практической стороны дополнили представители Сбербанка Юрий Селезнёв и Виктория Суглобова.

Параллельно докладам шёл воркшоп по информационной безопасности Practical Security Village. Пентестеры компании Deiteriy создали для воркшопа инфраструктуру с заложенными в неё уязвимостями и провели обучение по их поиску. Формат воркшопа был подобран таким образом, чтобы у каждого была возможность захватывать флаги и зарабатывать очки.

Второй день мероприятия традиционно занял семинар PCI DSS Training от Петра Шаповалова (Deiteriy). Учебный курс был обновлен в соответствии с новой версией стандарта PCI DSS 4.0.

Видеозаписи выступления спикеров можно посмотреть на сайте конференции.

Исследователи из Palo Alto Networks Unit 42 обнаружили масштабную кампанию, нацеленную на сервера телефонии Elastix VoIP с использованием более 500 тысяч образцов вредоносного ПО, выявленных за период с конца декабря 2021 года по конец марта 2022 года.

Elastix — это серверное ПО для унифицированных коммуникаций (IP-АТС, электронная почта, обмен мгновенными сообщениями, факс), которое можно использовать с модулем телефонов Digium для FreePBX.

Злоумышленники в ходе атак эксплуатировали RCE-уязвимость CVE-2021-45461 с оценкой CVSS 9,8 в модуле Rest Phone Apps (restapps) для имплантации веб-шеллов на серверы VoIP. 

По мнению ресерчеров, основная цель злоумышленников заключалась в том, чтобы внедрить веб-оболочку PHP, которая могла бы выполнять произвольные команды на скомпрометированном коммуникационном сервере.

Цепочки атак начинались с кода, извлекающего дроппер сценария оболочки с удаленного сервера, который, в свою очередь, загружал и запускал обфусцированный бэкдор PHP в нескольких местах файловой системы.

В свою очередь, бэкдор PHP создавал несколько учетных записей root-пользователей и настраивал запланированную задачу для поддержания постоянства и повторного заражения хост-системы.

Вредоносное ПО поддерживает произвольные команды через параметр запроса cmd, а также имеет дополнительный набор из восьми встроенных команд для чтения файлов, просмотра каталогов и разведки платформы АТС Asterisk с открытым исходным кодом.

Исследователям удалось отследить две атакующие группы, которые отличались начальными сценариями эксплуатации. Их IP-адреса принадлежат сегменту Нидерландов, а записи DNS содержат ссылки на несколько российских сайтов «для взрослых». В настоящее время часть инфраструктуры остается в сети и продолжает работать.

Текущая вредоносная активность во многом напоминает кампанию, о которой в 2020 году подробно сообщала Check Point Research в отчете INJ3CTOR3. Исследователи предполагают, что это может быть возрождение именно этой кампании.

Технические подробности, ТТР и список индикаторов компрометации (включая пути к локальным файла, уникальные строки, хэши для сценариев оболочки и общедоступные URL-адреса, на которых размещаются полезные нагрузки) представлены в отчете Unit42.

Trend Micro Research раскрыли технические подробности недавно исправленной RCE-уязвимости Windows NFS CVE-2022-30136, которую Microsoft исправили в июне 2022 года.

Протокол сетевой файловой системы NFS был первоначально разработан Sun Microsystems в 1984 году. Он позволяет пользователям получать доступ к удаленным файловым ресурсам таким же образом, как и к локальной файловой системе.

Протокол NFS использует удаленный вызов процедур (RPC) Open Network Computing (ONC) для обмена управляющими сообщениями. Когда сообщения ONC RPC отправляются по протоколу TCP, к ним добавляется структура заголовка Fragment для идентификаций нескольких сообщений, отправленных по одному сеансу TCP.

Ошибка затрагивает сетевую файловую систему Windows и связана с неправильной обработкой запросов NFSv4. В реализации NFS для Windows существует проблема переполнения буфера. Проблема связана с некорректным расчетом размера ответных сообщений. 

Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные вызовы RPC на целевой сервер для выполнения произвольного кода в контексте SYSTEM. Эксперты указали, что неудачная эксплуатация этой проблемы может привести к сбою целевой системы.

Она имеет оценку по CVSS 9.8 и схожа на CVE-2022-26937 - ошибкой NFS, также исправленной в прошлом месяце.

На первый взгляд, единственная разница между исправлениями заключается в том, что обновление этого месяца исправляет ошибку в NFSV4.1, тогда как ошибка прошлого месяца затронула только версии NSFV2.0 и NSFV3.0. Причем до конца еще неясно, является ли результатом неудачного патча или совершенно новой проблемой.

В своем отчете ресерчеры рассматривают возможность отключения NFSv4.1 в качестве метода смягчения атак. Однако это может привести к потере функциональности. 

Microsoft отмечает, что патч для устранения ошибки не следует применять, если не установлено исправление для CVE-2022-26937: лишь последовательное обновление способно устранить уязвимости.

Когда не знаешь как защититься от массированной кибератаки порой shutdown или, как говорят в народе "вилка из розетки», единственный способ.

Правительство Албании так и поступило, после того как на выходных подверглось массированной атаке и пришлось отключить все правительственные системы.

Как заявили уполномоченные лица, атака поразила сервера Национального агентства информационного общества (AKSHI) - института правительства Албании, который находится под прямым контролем канцелярии премьер-министра и замыкает на себе многие государственные службы.

Собственно, все государственные службы, онлайн-сервисы, другие правительственные веб-сайты и были отключены в понедельник после инцидента.

Неутолимое желание все объединять сыграло злую шутку, о чем публично заявил бывший премьер-министр и нынешний лидер оппозиции Сали Бериша, раскритиковавший правительство за бестолковое указание почти всех важных государственных сервисов агреггировать через один сайт, особенно в отсутствие профессиональной и эффективной работы против киберпругроз.

Сейчас над проблемой работают специалисты из команды Microsoft Jones Group International, которые помогают AKSHI смягчить последствия атаки и восстановить инфраструктуру.

В декабре 2021 года премьер-министр Албании Эди Рама уже извинялся за массовую утечку личных сведений из правительственной базы данных государства. Тогда в сеть утекли сведения о личных удостоверениях личности, информация о занятости и заработной плате примерно на 637 000 человек.

В аккурат перед парламентскими выборами Албании в апреле того же года из-за аналогичного инцидента опубликовали сведения о личных документах из государственной базы данных.

Подробности текущего инцидента не разглашаются, но будем посмотреть.

Как мы и прогнозировали, ситуация с NSO Group будет и дальше разыгрываться для достижения высоких стратегических целей, связанных с переделом рынка коммерческого кибершпионажа.

Так и случилось вновь, в понедельник исследователи Citizen Lab выпустили очередной отчет с разоблачением очередных атак на очередных жертв шпионского ПО Pegasus.

Объединенная коалиция в составе представителей Citizen Lab, iLaw и Digital Reach назвали по меньшей мере 30 человек, которые стали объектом наблюдения со стороны неназванного госоргана или организации.

На этот раз пострадали тайские активисты, участвовавшие в демократических протестах в стране, а также их адвокаты. Атаки происходили с октября 2020 г. по ноябрь 2021 г., что было весьма актуально с учетом острых политических событий, а один из операторов Pegasus и вовсе продолжает работать по настоящий день.

Несмотря на опровержения, исследователи Citizen Lab отметили, что располагают доказательствами давнего присутствия Pegasus в Таиланде, указывающими на то, что правительство, вероятно, имело отношение к выявленным атакам.

Изюминкой на торте стало заявление правозащитной группы Amnesty International, которая призвала к глобальному мораторию на продажу шпионского ПО. Исключение, конечно же, будут - но только по лицензии Минфина США, что, собственно, уже и происходит с NSO Group.