Немецкий производитель корпоративного ПО SAP выпустил 15 новых заметок по безопасности в рамках Patch Tuesday, закрыв в том числе две критические уязвимости.

Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.

Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.

URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.

Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.

Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.

Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.

Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.

SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.

Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).

Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.

Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.

📦 Все по песочницам. Обзор средств изолированного запуска приложений в Windows.

🖖🏻 Приветствую тебя user_name.

• Наверняка хоть раз в жизни тебе приходилось иметь дело с сомнительными приложениями и скриптами, которые могли навредить системе. Или ты хотел запустить браузер в максимально изолированном окружении, чтобы в случае его взлома твоей системе ничто не угрожало.

• Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов. В этой статье мы рассмотрим некоторые из них: https://3dnews.ru/1074567

Обязательно обрати внимание на дополнительный материал:

• Онлайн песочницы.
• Песочница из которой не выбраться. ОС Qubes.
• Linux песочницы для исследователей вредоносного кода.
• Используем изолированную среду для безопасности ОС и запуска сомнительных файлов.

Твой S.E. #ИБ

Лаборатория Касперского обнаружила активные атаки неизвестных APT-групп с использованием CVE-2022-41352 в Zimbra.

10 сентября 2022 года пользователь сообщил на официальных форумах Zimbra о расследовании киберинцидента с полностью исправленным экземпляром Zimbra.

0-day позволял злоумышленникам загружать произвольные файлы на обновленные серверы.

7 октября 2022 года в платформу Metasploit был добавлен PoC, что заложило основу для массовой и глобальной эксплуатации.

На данный момент Zimbra выпустила патч. Кроме того, системные администраторы могут предпринять шаги по смягчению последствий вручную.

Уязвимость затрагивает компонент пакета Zimbra под названием Amavis, а точнее утилиту cpio, которую он использует для извлечения архивов. В основе баги другая CVE-2015-1197, для которой был выпущен патч.

По необъяснимым причинам разработчики дистрибутива отменили патч и вместо него вновь перешли на уязвимую версию, что открыло большую поверхность атаки на ПО с cpio, приводящей к захвату системы.

Как выяснили ресерчеры, уязвимость использовалась во время двух последовательных волн атак. Первая, состоявшаяся в начале сентября, по-видимому, была относительно целенаправленной и затронула правительственные цели в Азии.

Вторая, начавшаяся 30 сентября, была гораздо более масштабной и затронула все уязвимые серверы, расположенные в конкретных странах Центральной Азии.

Теперь же, когда в Metasploit было добавлен PoC, в самое ближайшее время ожидается третья волна, вероятно, на этот раз с ransomware в качестве конечной цели.

Поскольку Zimbra выпустила исправление для этой уязвимости, лучше всего немедленно обновить свои устройства. Если это по какой-то причине невозможно, установка pax предотвратит использование уязвимости.

После принятия вышеупомянутых мер по смягчению последствий владельцам серверов Zimbra рекомендуется проверить наличие следов компрометации, в соответствии с рекомендациями, представленными специалистами ЛК.

Для критической ошибки обхода аутентификации, затрагивающей устройства FortiOS, FortiProxy и FortiSwitchManager от Fortinet, стал доступен PoC.

CVE-2022-40684 позволяет злоумышленникам обходить процесс аутентификации в административном интерфейсе. Fortinet выпустила обновления безопасности для устранения уязвимости в прошлый четверг.

Исследователь Horizon3.ai Джеймс Хорсман опубликовал PoC и технический анализ уязвимости.

Эксплойт реализует злоупотребление недостатком обхода аутентификации для установки ключа SSH пользователя, указанного при запуске скрипта Python из командной строки.

Эксплуатация уязвимости позволит злоумышленнику сделать с уязвимой системой практически все, что он захочет, включая изменение конфигурации сети, добавление новых пользователей и инициацию захвата пакетов.

Несмотря на выпуск обновлений, ошибка продолжает активно использоваться в реальных атаках, что подтверждает и в Fortinet.

Компания настоятельно рекомендует немедленно проверить ваши системы по следующему индикатору компрометации в журналах устройства: user=" Local_Process_Access", user_interface=" Node.js" или user_interface=" Report Runner".

Кроме того, доступны меры по смягчению последствий. Обходные пути требуют отключения административного интерфейса HTTP/HTTPS или ограничения IP-адресов, которые могут получить доступ к административному интерфейсу, с помощью локальной политики.

Большой брат следит за тобой, даже если ты следишь за кем-либо. В интересное время живем.

На днях Cybernews сообщили, что в сети доступна база данных журналов дронов DJI объемом 54,5 ГБ.

Утечка содержит более 80 000 уникальных идентификаторов дронов, их модели и серийные номера, местонахождение пилота и многое другое.

База данных объединяет информацию с 66 различных устройств обнаружения дронов DJI AeroScope.

Большинство из этих устройств находятся в США, а другие разбросаны по Катару, Германии, Франции и Турции. Сама база данных хранится на Amazon Web Services (AWS) в США.

В наборе данных нет личной информации, но имеются сведения о статусе полета, уникальный идентификатор дрона, исходное местоположение (обычно это точка взлета), временные метки, модели, серийные номера, данные оператора и его расположение.

Личность владельца базы данных неизвестна, а DJI уточнила, что данные им не принадлежат.

Вероятно, данные были предоставлены клиентом AeroScope, использующим технологию идентификации дронов DJI для наблюдения за воздушным пространством.

Cybernews пытались отследить владельца базы с помощью OSINT, но безуспешно, поскольку серверу AWS не были назначены домены.

Тем не менее, исследователи призвали DJI и AWS исправить проблему как можно скорее, чтобы снизить риск доступа злоумышленников к набору данных.

Так, Федеральное авиационное управление США (FAA) предусматривает интеграцию дронов в Национальную систему воздушного пространства (NAS) путем идентификации всех беспилотных авиационных систем (UAS).

FAA ввело удаленную идентификацию для владельцев всех дронов в случае, если они летают небезопасным образом или там, где им летать не положено.

Но похоже, что китайская компания DJI, которая уже контролирует львиную долю мирового рынка дронов, оказалась первой и еще в 2017 году представила устройство AeroScope для обеспечения системы идентификации дронов в полете.

Также недавно чешский стартап Dronetag запустил приложение для iOS и Android, которое позволяет любому видеть в режиме реального времени высоту, направление, идентификацию пилота, положение пилота, описание операции и историю местонахождения дронов с удаленной идентификацией, летающих поблизости.

Излишне говорить, что слежка за дронами достаточно огорчила пользователей, которые просто берут их для полета или для съемки с воздуха.

Но исходя из соображений безопасности, отслеживание дронов неизбежно, но вполне разумно требовать, чтоб данные наблюдения хранились в более защищенных базах данных.

Palo Alto Networks устранила серьезную уязвимость обхода аутентификации в веб-интерфейсе ПО PAN-OS 8.1.

CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.

Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.

Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.

Guacamaya в ходе инициированной утечки раскрыли агентов Федеральной полиции Австралии (AFP), участвовавших под прикрытием в операциях по борьбе с незаконным оборотом наркотиков совместно правоохранителями из Колумбии.

Атака, скомпрометировавшая AFP, была нацелена на Генеральную прокуратуру Колумбии.

В результате взлома были украдены секретные документы, касающиеся 35 операции AFP, некоторые из которых все еще находятся в активной фазе.

Они включают отчеты агентов о наблюдении, записи телефонных разговоров и данные о зарплате колумбийских силовиков, а также личности секретных агентов, работающих на AFP.

Утечка Guacamaya включает более 5 ТБ секретных данных, включая электронные письма, документы и методы, которые агенты AFP использовали, чтобы помешать наркокартелям вести свой бизнес в Австралии.

AFP подтвердило разоблачение журналистам The Sydney Morning Herald.

При этом AFP не единственное правоохранительное агентство, сотрудничающее с колумбийским правительством, поэтому, вероятно, будут новые разоблачения в отношении силовиков из других стран.

Тем временем командах активистов Guacamaya продолжает свою борьбу против репрессивных и коррумпированных режимов в Латинской Америке.

Полный список жертв хакеров включает к настоящему моменту: чилийские вооруженные силы, объединенное командование ВС Перу, ВС Сальвадора, национальную гражданскую полицию Сальвадора, Секретариат национальной обороны Мексики и генеральное командование ВС Колумбии.

͏VMware решила собирать дань с клиентов.

Как выяснили Lansweeper, имеющими 6 000 клиентов с 79 000 установленными серверами VMware ESXi, 36,5 % (28 835) работают под управлением версии 6.7.0, выпущенной в апреле 2018 г., а 21,3 % (16 830) — версии 6.5.0, выпущенной в ноябре 2016 г.

В общей сложности, по состоянию на 15 октября 2022 г. срок службы VMware ESXi 6.5 и VMware ESXi 6.7 истек, 45 654 серверов VMware ESXi в октябре подошли к концу жизненного цикла (EOL).

Клиентам будет доступна только техническая поддержка, VMware больше не намерена предоставлять обновления ПО и безопасности, что подвернет их высокому риску уязвимостей, если клиенты не заключат расширенный контракт на поддержку.

Выводы Lansweeper вызывают тревогу, ведь помимо 57%, которые входят в период повышенного риска, есть еще 15,8% установок, которые работают с еще более старыми версиями (начиная с 3.5.0 до 5.5.0), достигшими EOL достаточно довольно давно.

Однако на самом деле количество серверов VMware, достигших EOL сегодня, вероятно, намного больше, поскольку этот отчет основан только на клиентах Lansweeper.

Техническое руководство для ESXi 6.5 и 6.7 будет действовать до 15 ноября 2023 года, но это касается вопросов реализации, не включающих снижение рисков безопасности.

Единственный способ обеспечить безопасное использование старых версий - подать заявку на дополнительную двухлетнюю расширенную поддержку, которую необходимо приобретать отдельно. Однако сюда не входят обновления для сторонних программных пакетов.

Всех неплательщиков уже ожидают друзья-ransomware из Black Basta, RedAlert, GwisinLocker, Hive и Cheers, как известно VMware ESXi пользуется большим вниманием со стороны злоумышленников.

Впрочем, как показывает практика, даже all inclusive не помогает клиентам VMware избежать предложений, от которых нельзя отказаться (без выплаты выкупа).

Исследователь WithSecure Гарри Синтонен сообщил о проблемах с шифрованием сообщений Microsoft Office 365 (OME).

OME используется для отправки зашифрованных электронных писем. Он использует реализацию Electronic Codebook, которая может привести к утечке определенной структурной информации из электронной корреспонденции.

Режим ECB шифрует блоки открытого текста независимо, без рандомизации, поэтому проверка любых двух блоков зашифрованного текста показывает, равны ли соответствующие блоки открытого текста.

Злоумышленники, получившие несколько сообщений, могут использовать утечку информации ECB для извлечения зашифрованного содержимого. При этом увеличение объема электронных писем делают этот процесс проще и точнее. Проблема заключается не в расшифровке, содержимое сообщения в открытом виде не раскрывается напрямую. 

Поскольку повторяющиеся блоки сообщения с открытым текстом всегда сопоставляются с одними и теми же блоками зашифрованного текста, злоумышленник с базой данных украденных электронных писем может анализировать их в автономном режиме на наличие этих шаблонов и разгадывать части открытого текста зашифрованных электронных писем.

В этом смысле проблема аналогична угрозе квантового дешифрования «собери сейчас, расшифруй позже».

Злоумышленник также может провести поиск блока зашифрованного текста, который может представлять потенциальный интерес, использовав его в качестве фингерпринта, чтобы обнаружить другие электронные письма, содержащие такой отпечаток.

Синтонен сообщил о своих выводах в Microsoft в январе 2022 года, за что получил 5 тысяч долларов. Но ни признания, ни запланированного патча ресерчер так и не дождался. Разработчик сослался на то, что проблема не соответствует критериям нарушения безопасности.

Однако Синтонен отметил, что потенциал баги нельзя игнорировать, полагая серьезные риски для всех, кто использует OME для шифрования электронной почты, которые могут возникнуть, например, в случае фактической кражи данных.

Единственным средством устранения этой уязвимости считает прекращение использования OME для шифрования конфиденциальных файлов.

В свою очередь, АНБ, вероятно, также согласны с ресерчером в оценке потенциала проблемы, поэтому команды раскрывать ее и присваивать CVE в Microsoft не направляли.

Крупнейшая индийская энергетическая компания Tata Power Company Limited подтвердила, что подверглась кибератаке и, как сообщают источники, атака затронула ИТ-инфраструктуру компании вывив из строя ряд информационных системы.

В компании заявили, что уже предприняты все необходимые шаги для восстановления поврежденных машин, добавив, что все критические информационные системы функционируют.

Также в качестве мер предосторожности был введен ограниченный доступ и профилактические проверки для сотрудников и клиентов при взаимодействии с порталами в целях предотвращения несанкционированного доступа.

Базирующаяся в Мумбаи электроэнергетическая компания, входящая в конгломерат Tata Group, не раскрыла никаких дополнительных подробностей о характере атаки или о том, когда она произошла.

Однако компания по кибербезопасности Recorded Future еще в апреле сообщала об атаках против индийских энергосетевых организаций злоумышленниками, связанными с Китаем.

Атаки были приписаны новому субъекту угроз, который Recorded Future отслеживает как Threat Activity Group 38 (TAG-38).

Китай разумеется обвинения в причастности к атакам опроверг.

Вместе с тем, высокопоставленный руководитель киберподразделения полиции Махараштры сообщил, что ими получена разведывательная информация об угрозе Tata Power и других электроэнергетических компаний.

С его слов все заинтересованные компании предупреждены и в настоящее время проводится соответствующий аудит и проверка информационной безопасности.

Церковь Иисуса Христа Святых последних дней стала целью неизвестной АРТ.

Инцидент произошел в марте 2022 года, когда сетевую инфраструктуру и компьютерные системы мормонов взломали хакеры и выкрали всю личную информацию, включая имена, адреса и многое другое.

К расследованию оперативно подключились сотрудники ФБР, а инцидент засекретили. Директива была отменена 12 октября 2022 года, после чего мормоны уведомили своих последователей о компрометации личной информации.

В результате взлома была украдена основная личная информация членов Церкви, пользовательские имена, номера членской записи, установочные данные, сведения об адресах электронной почты, почтовые адреса, номера телефонов и знание языка. При этом отметив, что финансовая информация и сведения о пожертвованиях осталась в безопасности.

Учитывая пристальное внимание к инциденту со стороны спецслужб, официально заявленная версия относительно обстоятельств взлома скорее всего не отражает реальный ущерб и несет в себе большие риски для членов организации, и, вероятно, не только для нее.

Но будем посмотреть.

͏Oomiya занимается проектированием и производством микроэлектроники.

Весь производственный процесс Omiya Kasei включает: производство и проектирование химической и промышленной продукции, проектирование электронных материалов, фармацевтика и заводское производство.

Операторы Lockbit 3.0 утверждают, что в ходе атаки украли данные у компании, угрожая их слить до 20 октября 2022 года, если не будет выплачен выкуп.

В настоящее время образцы украденных документов не опубликованы.

Инцидент по всей видимости оказал значительное влияние на сторонние организации, поскольку Oomiya входит в разветвленную цепочку поставок крупных организаций по всему миру в различных отраслях.

И не удивительно, ведь Lockbit остается лидером в области ransomware.

Только за сентябрь вымогатели атаковали 103 цели (ближайшие преследователи: Black Basta: 17, BlackCat: 17, Avos Locker: 16, Hiveleaks: 14, Sparta: 13, BlackByte: 6 и Vice: 6).

Всего на счету Lockbit числится 1157 жертв.

Ресерчер Скотт Шеферман обнаружил в даркнете рекламу нового руткита Windows UEFI по названием Black Lotus.

Мощное и надежное вредоносное ПО реализуется по цене 5000 долларов США с обновлениями за 200 долларов США за каждую новую версию.

Black Lotus имеет возможности, аналогичные тем, которые стоят на вооружений многих АРТ.

Написанный на ассемблере и C, Black Lotus имеет размер 80 килобайт и поддерживает функционал определения геозоны, избегая заражений объектов на территории стран СНГ.

Малварь включает в себя средства уклонения, такие как антивиртуализация, антиотладка и обфускация кода, а также может отключать решения и механизмы безопасности на целевых машинах, включая защиту целостности кода с помощью гипервизора (HVCI), BitLocker и Защитник Windows.

Загружая код до завершения процесса загрузки, Black Lotus может обходить контроль доступа пользователей (UAC) и безопасную загрузку, позволяет загружать неподписанные драйверы и может оставаться незамеченным в прошивке UEFI целевого устройства, предположительно, на неопределенный срок.

Black Lotus, по словам ресерчера, предоставляет злоумышленникам полный набор возможностей, включая передачу файлов и поддержку задач, и потенциально может стать серьезной угрозой для ИТ и OT-сред.

Шеферман полагает, что появление такого серьезного инструмента представляет своего рода небольшой «скачок» вперед для подпольной кибериндустрии, с точки зрения простоты использования, масштабируемости, доступности и, что наиболее важно, возможности гораздо большего воздействия в формах сохранения и уклонения.

Способность Black Lotus нацеливаться на широкий спектр устройств может указывать на то, что его разработчики нацелены на недокументированную уязвимость загрузчика, затрагивающую многих поставщиков.

Активно исследовавшие новую угрозу ресерчеры Лаборатории Касперского отмечают, что с приходом типичных для команд на правительственном уровне технологии в руки преступников на теневых форумах, для финансовой индустрии, особенно для крупных и средних корпораций, наступает «самое мрачное время».

0patch выпустили бесплатный неофициальный патч для устранения активно используемой 0-day уязвимости в механизме безопасности Windows Mark of the Web (MotW).

Ошибка позволяет злоумышленникам предотвратить применение Windows меток (MotW) к файлам, извлеченным из ZIP-архивов, загруженных из Интернета.

Windows автоматически добавляет MotW ко всем документам и исполняемым файлам, загруженным из ненадежных источников, включая файлы, извлеченные из загруженных ZIP-архивов, с использованием альтернативного потока данных Zone.Id, что вызывает при их открытии отображения соответствующего предупреждения.

О проблеме еще в июле в Microsoft сообщил Уилл Дорманн из ANALYGENCE, который первым обнаружил, что ZIP-архивы не добавляют должным образом флаги MoTW. Microsoft ознакомилась с отчетом более двух месяцев назад, но до сих пор не выпустила обновление для системы безопасности.

По мнению специалистов службы микропатчинга 0patch, MotW является важным механизмом безопасности Windows, поскольку Smart App Control будет работать только с файлами с флагами MotW, а Microsoft Office будет блокировать макросы только для документов, помеченных ярлыками MotW.

Поэтому злоумышленники, по понятным причинам, предпочитают обходить такие метки для своих ZIP-архив, в котором все извлеченные вредоносные файлы Word или Excel не будут помечены должным образом, а макросы не будут блокированы.

Поэтому не дожидаясь Microsoft, аналитики 0patch разработали исправления для уязвимых версий: Windows 10 v1803 и более поздние версии, Windows 7, Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 2022.

Клиентам Microsoft настоятельно рекомендуется воспользоваться микропатчем, ведь с тех пор как 0-day был обнаружен в июле, он уже использовался в атаках для доставки вредоносных файлов в системы жертв.

Кевин Бомонд приоткрыл завесу новой серьезной проблемы Act4Shell, представляющую собой RCE через интерполяцию текста Apache Commons.

Apache Commons Text поддерживает функции, позволяющие выполнять код в текстовых строках, которые могут быть предоставлены пользователем.

Уязвимость затрагивает версии 1.5–1.9, выпущенные в период с 2018 по 2022 год и была обнаружена pwntester еще в марте этого года.

Отслеживаемая как CVE-2022-42889 ошибка имеет сходство с log4shell, но нынешний недостаток явно гораздо менее распространен.

Уязвимость затрагивает только класс InterpolatorStringLookup, который достаточно редко используется в приложениях Java.

Но интересно другое: исправленная версия библиотеки вышла несколько недель назад, но в то время Apache не документировал CVE или даже изменения. Впрочем, как и исправления, о которых ничего также не упоминалось: они были включены по умолчанию с версии 1.5/1.8 до версии 1.10.

После общей огласки ситуации, разработчик все же внес все соответствующие коррективы.

Резюмируя, Бомонд констатировал, что общие проблемы, стоящие за Log4Shell, до конца не решены. Отрасль вынуждена полагаться на отдельных лиц, которые смогут обнаружить и раскрыть потенциально серьезные ошибки в будущем.

Нередко но метко, когда и сам хакерский софт не лишен недостатков с точки зрения безопасности.

Не прошло и месяца после исправления баги в популярном инструменте Cobalt Strike, как на ее месте была обнаружена новая уязвимость.

Компания HelpSystems, разработавшая программную платформу Cobalt Strike, уже выпустила внеплановое обновление безопасности для устранения уязвимости удаленного выполнения кода, позволяющей злоумышленнику получить контроль над целевыми системами.

Речь идет об ошибке RCE, отслеживаемой как CVE-2022-42948, которая затрагивает Cobalt Strike версии 4.7.1 и связана с неполным патчем, выпущенным 20 сентября 2022 года для устранения XSS-уязвимости CVE-2022-39197.

Исправленная XSS-узявимость могла быть вызвана в результате манипуляции с некоторыми полями ввода в пользовательском интерфейсе на стороне клиента, имитации регистрации или подключения имплантата Cobalt Strike, работающего на хосте.

Однако, в ходе  исследования специалистами из IBM X-Force было обнаружено, что удаленное выполнение кода может быть запущено в определенных случаях с помощью среды Java Swing - набора инструментов графического пользовательского интерфейса, который используется для разработки Cobalt Strike.

Фишка в том, что некоторые компоненты в Java Swing автоматически интерпретируют любой текст как HTML-контент, если он начинается с <html>, что позволяет потенциальному злоумышленнику использовать это поведение с помощью HTML-тега <object> для загрузки пользовательской полезной нагрузки, размещенной на удаленном сервере с последующим внедрением ее в поле "примечания", а также в графическое меню проводника файлов в интерфейсе Cobalt Strike.

Более того, исследователи из IBM сообщили, что новую багу можно использовать для создания полнофункциональной кроссплатформенной полезной нагрузки, которая сможет выполнять код на компьютере пользователя независимо от операционной системы и архитектуры.

🗣Служба разведки 🇳🇴Норвегии создаёт тотальную систему цифровой слежки за гражданами своей страны

Как сообщает NRK, в Норвегии скоро может быть принят новый закон, который предусматривает и даёт возможность разведке установить массовое цифровое наблюдение за жителями страны, не имеющее аналогов в норвежской истории. Программу слежки уже сравнивают с PRISM, о которой ранее упоминал Эдвард Сноуден.

🤔Как пишут журналисты, служба получит полный доступ к переписке граждан, письмам электронной почты, телефонным звонкам и многое другое. Власти могут без остановки собирать данные почти обо всём, что делают норвежцы, сохраняя эти данные в течение длительного времени на своих серверах.

Служба разведки с высокой долей уверенности будет знать с кем вы общаетесь, предсказывать состоите ли вы в отношениях с конкретным человеком, какая у вас религия, переживаете ли вы развод, состояние вашего здоровья. Противники нововведения считают, что программа слежки позволит практически тотально контролировать все население страны:

1️⃣ "Мы опасаемся, что политики не понимают масштаба того, что они решили. Они действительно считают, что такая массовая слежка приемлема?"

2️⃣ "Чем больше мы теряем конфиденциальность, тем больше слабеет наша демократия."

3️⃣ "Неважно, сделали вы что-то подозрительное или нет, начальник Норвежской разведывательной службы Нильс Андреас Стенсонес захочет познакомиться с вами поближе."

4️⃣ "Нельзя допустить, чтобы система с таким большим потенциалом контроля численности населения попала не в те руки"

5️⃣ "Все, от киберпреступников до 🤔путинских государственных хакеров, будут искать уязвимости в системах, которые будут собирать, обрабатывать и хранить данные. По иронии судьбы, система мониторинга может увеличить риск того, что наши данные будут искажены или будут использованы не по назначению."

Уже решено, что система мониторинга будет создана в любом случае, но закон примут не раньше весны. Сейчас идут обсуждения в части 7-3 законопроекта, а именно - кто должен приказывать норвежским компаниям устанавливать оборудование для прослушивания граждан.

❄️👆Градус демократии в холодной cкандинавской стране опускается всё ниже и ниже.

Национальная полиция Нидерландов в сотрудничестве с Responders.NU смогли получить 155 ключей дешифрования DeadBolt, подделав платежи за выкуп.

DeadBolt активна с января и известна тем, что требует выкуп в размере 0,03 биткойна после шифрования тысяч устройств QNAP и Asustor Network Attached Storage (NAS). Всего на их счету к настоящему времени более 20 000 жертв по всему миру и не менее 1000 в Нидерландах.

После выплаты выкупа DeadBolt создает биткойн-транзакцию на тот же адрес биткойн-выкупа, содержащий ключ дешифрования для жертвы (ключ дешифрования можно найти в выводе транзакции OP_RETURN).

Он преобразуется в хэш SHA256 и сравнивается с хэшем SHA256 ключа дешифрования жертвы и хэшем SHA256 главного ключа дешифрования DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на жестких дисках NAS будут расшифрованы.

Как рассказал эксперт по безопасности Responders.NU Рики Геверс, трюк заключался в том, что силовики провели платежи, получив ключи дешифрования, а затем их отозвали.

DeadBolt автоматически отправляет ключ дешифрования, когда обнаруживает транзакцию биткойнов с правильной суммой выкупа. При этом ключ отправляется немедленно, не дожидаясь подтверждения транзакции. Злоумышленник конечно же быстро сориентировался, однако к этому времени ресечерам удалось успеть извлечь 155 ключей.

Безусловно, DeadBold внесли коррективы в работу софта и теперь ключ отдается только после двойного подтверждения. А для жертв вымогателей отрыта платформа deadbolt.responders.nu, где они могут проверить наличие ключа дешифрования.

Verizon предупреждает клиентов о взломе их учетных записей, содержащих в том числе информацию о кредитной карте, которая уже использовалась злоумышленниками для атак с подменой SIM-карт.

Как установили в ходе расследования инцидента специалисты Verizon, в период с 6 по 10 октября 2022 года сторонний субъект получил доступ к последним четырем цифрам кредитных карт, используемых для автоматических платежей по счету клиентов.

Используя последние эти данные, хакеры смогли получить доступ к учетной записи Verizon и реализовать несанкционированную смену SIM-карты на линии предоплаты.

Verizon заблокировала несанкционированный доступ к скомпрометированным учетным записям своих клиентов и не нашла доказательств того, что эта вредоносная деятельность после этого продолжилась.

Компания также сбросила коды безопасности учетных записей (PIN-коды) для нераскрытого числа клиентов в целях предосторожности.

Согласно уведомлению, злоумышленники не смогли получить доступ к полному номеру кредитной карты или банковской информации клиентов, финансовой информации, паролям, номерам социального страхования, налоговым идентификаторам или другим личным данным, поскольку учетные записи пользователей не содержат этой информации.

Вместе с тем, Verizon заявила, что злоумышленники все же могли получить доступ к именам, номерам телефонов, платежным адресам, тарифным планам и другой информации, связанной с услугами скомпрометированных учетных записей.

Как выяснили журналисты, один из клиентов Verizon сообщил, что стал жертвой атаки с подменой SIM-карты более чем за неделю до того, как поступило уведомление.

При этом благодаря подмене сим злоумышленники взломали электронную почту и попытались получить доступ к криптоаккаунтам.

Как полагает жертва, хакеры использовали утечку Coinbase для нацеливания на конкретных клиентов компании.

Оператор же со своей стороны также успел «позаботиться» о клиентах, прибегнув к отключению индексации старицы уведомления в поисковых системах.

И не зря, ведь научен опытом: год назад его дочернюю телеком-компанию Visible уже ломали аналогичным образом.