ТГ-канал оперативного штаба Москвы по ситуации с коронавирусом сообщает, что большинство заболевших за сутки в Москве - молодые люди от 18 до 40 лет.

Всего заболело 212, а в возрасте от 18 до 40 - 102.

Кто-нибудь, объясните тупым гуманитариям, что большинство - это больше половины. Большинство от 212 - это 106+. А никак не 102.

Дбл блд.

Появилось изображение бета-версии Microsoft News Bar в Windows 10. Это прокручиваемая строка сверху панели задач, которая открывает ссылки в Edge.

Хтонический ужас.

https://twitter.com/WithinRafael/status/1244551438283362304

BREAKING NEWS

Хакеры взломали официальные аккаунты Microsoft на Youtube и уже более 13 часов под видом стрима крутят запись выступления Билла Гейтса на Village Global-2019, параллельно пытаясь раскрутить зрителей на скам "crypto giveaway".

Пока, вроде как, получили 0 BTC. Но весело, да.

Наступила неделя самоизоляции. Количество мамкиных хакеров увеличилось в туеву хучу раз.

https://twitter.com/campuscodi/status/1244666452210339841

Наглядное сравнение воздушного трафика над Атлантикой в начале и конце марта.

https://twitter.com/flightradar24/status/1244471922030714881

Исследовательская группа X-Force, являющаяся подразделением IBM, сообщает, что только за последние 2 недели количество спама, связанного с тематикой коронавируса выросло на 14000% (!).

Естественно, что все спам-рассылки имеют конечной целью получение либо денежных средств пользователя, либо доступа к его устройству (десктопу, смартфону etc.)

Конкретные темы рассылок могут быть разными - от информационных писем якобы от ВОЗ до прямых угроз заражения COVID-19 в случае невыплаты адресатом криптовалюты вымогателю.

Мы не даем новостей по поводу очередных выявленных рассылок, и так понятно, что коронавирус хакеры будут эксплуатировать и в хвост и в гриву, как и любую горячую тему, на которую ведется пользователь.

Просто напоминаем, что правила гигиены требуют мыть руки до и после, а также не открывать ссылок и приложений, пришедших в письме от недоверенного адресата.

А лучше вообще такие письма не трогать. Если государство захочет донести до вас что-то очень важное, то оно позвонит на телефон. Или в дверь.

https://www.techrepublic.com/article/coronavirus-themed-spam-surges-14000-in-two-weeks/

Вчерашнее бодрое расчехление ТГ-каналов, которых репостил Незыгарь, у редакции последнего вызвало некоторую оторопь.

А мы еще в начале февраля говорили, что Телеграм больше не анонимен. Да только нас никто не услышал, ростом не вышли.

Ну вот, чуть подросли и повторяем еще раз - ребята, есть дырка и есть эксплойт. Все остальное прилагается.

И это не политика, это инфосек. А в нем мы шарим больше.

ФБР уже в третий раз с начала года выступает с предупреждением о скоординированной кибератаке на поставщиков ПО, предназначенного для реального сектора.

Как и в прошлом предупреждении в феврале в качестве основной угрозы ФБР указывает RAT Kwampirs, а точнее оператора этого вредоноса, которого теперь так и называют - APT Kwampirs.

Основными целями Kwampirs названы отрасли здравоохранения, энергетики и проектирования в США, Европе, Азии и на Ближнем Востоке.

Как и раньше, в силу некоторых косвенных признаков, APT Kwampirs связывают с иранским правительством, а точнее с APT33, которая, по утверждениям ФБР, является иранской кибер-прокси.

Вместе с тем, непонятно - является ли новое предупреждение ФБР реакцией на активизацию распространения Kwampirs или это своего рода "переиздание" старого материала.

Эпидемия коронавируса разрастается, старые кибервойны не утихают.

#ХроникиСвободногоМира

https://www.zdnet.com/article/fbi-re-sends-alert-about-supply-chain-attacks-for-the-third-time-in-three-months/

Microsoft выпустила экстренный патч, устраняющий ошибку в Windows 10, которая в некоторых случаях делала проблематичным подключение к сети через прокси или через VPN.

Обновление не устанавливается автоматически, поэтому если вас коснулась данная проблема необходимо установить апдейт вручную.

Подробные сведения об обновлении можно найти здесь.

Исследователи из Airbus CyberSecurity проанализировали защищенность программируемых логических контроллеров (PLC) Modneon M340 производства компании Schneider Electric и нашли уязвимость, позволяющую провести на них атаку типа Stuxnet.

PLC используют в различных производствах для автоматизации технологического процесса. В 2010 году США и Израиль в ходе атаки Stuxnet использовали уязвимость в PLC SIMATIC S7 производства компании Siemens для атаки на иранские центрифуги для обогащения урана.

Исследователи из Airbus обнаружили уязвимость CVE-2020-7475, которая позволяет загрузить на устройство под видом одной из служебных библиотек вредоносный код и, впоследствии, взять PLC под контроль. После этого можно как управлять работой самого PLC, так и использовать его в качестве промежуточной точки для доступа во внутреннюю технологическую сеть.

Сам процесс взлома, по словам экспертов, весьма трудоемок и может быть выявлен на одном из его этапов, но, тем не менее, вполне реализуем.

Schneider Electric оперативно выпустили апдейт, но сообщили, что подобные уязвимости имеют и решения от других поставщиков. Каких конкретно - французы не назвали. Опять же не до конца ясно, насколько своевременно проводятся апдейты PLC, которые находятся под нагрузкой в технологической процессе.

А между тем, Schneider Electric - это один из ведущих мировых производителей оборудования для автоматизации с годовым оборотом в несколько десятков миллиардов долларов.

С чего вдруг инфосек Airbus озаботился подобными изысканиями мы не знаем. Возможно, они явились реакцией на некий инцидент безопасности.

А возможно, промышленный гигант пытается превентивно защитить свои производственные мощности от попыток реализации нового Stuxnet со стороны своих заокеанских "братьев". Ведь после выхода из коронавирусного кризиса рынка авиаперевозок хватит не только лишь всем.

https://www.securityweek.com/industrial-controllers-still-vulnerable-stuxnet-style-attacks

​​Пара мыслей про приложение Социальный мониторинг от правительства Москвы, которое вчера вечером начали активно обсуждать в Телеграм-каналах.

Во-первых, то, что выложили на Github - это не исходники, как пишет канал IT и СОРМ. Это декомпилированный экспорт. Давайте не путаться.

Во-вторых, мы немного поковырялись в приложении и можем добавить к написанному следующее.

"Доступ к любым данным" - это громко сказано. Контакты не читаются, настройки никакие не отправляются, кроме Wi-Fi, IMEI и номера телефона. Хотя и это немало, да.

Плюс отправляется геолокация с шагомером. И все это в открытом виде.

Что касается распознавания фото - действительно, на удивление, вместо findface .pro фото отправляются на identix .one. Причем это единственное, что отправляется в https.

Далее, смотрим на identix .one. Как сам сервис заявляет - они чуть ли не первая в мире облачная платформа по распознаванию фото. Беглый поиск показывает, что пациент находится в Таллине, по крайней мере так указано в его официальном Твиттере.

На Хабре с 2018 года есть учетка некой компании Datacorp, которая называет в качестве основного своего продукта как раз систему распознавания identix .one. Адрес компании - Россия, Санкт-Петербург, Канал Грибоедова, д. 12. Насколько мы понимаем, это офисное здание.

Кроме того существует позаброшенный сайт https://datacorp.ru компании DataCorp, которая "реализует проекты в г. Санкт-Петербурге, Пскове, Великом Новгороде и Москве". Директор компании, он же, похоже, и сама компания - некий Дмитрий Воронин (ссылка на FB с сайта компании). Та ли эта DataCorp или нет - непонятно.

А, ну и, как известно, в Таллине киберцентр НАТО стоит как раз. Постучите в центр информационной безопасности ФСБ, скажите что у них дно вывалилось.

Последние несколько дней платформа видеоконференций ZOOM стала одним из самых обсуждаемых сервисов. В первую очередь потому, что в ней нашлась масса косяков, которые подвергают угрозам приватность и безопасность пользователей.

Сегодня в копилку упала еще одна дырка.

Как оказалось, клиент ZOOM при отправлении URL во внутренний чат конвертирует его в гиперссылку. Однако, наряду с этим, в гиперссылки он также конвертирует UNC-пути, которые используются Windows для доступа к сетевым ресурсам.

При переходе по такой гиперссылке Windows использует протокол SMB и передает на другую сторону логин и NTLM-хэш пароля пользователя. Последний же может быть легко вскрыт с учетом современных вычислительных мощностей.

Таким образом, злоумышленник, прислав во внутренний чат приложения специальным образом сформированную ссылку, в дальнейшем может получить логин и пароль пользователя.

Кроме того, в формате UNC может быть передана команда на запуск локального приложения. Правда, при этом Windows спросит разрешение на запуск.

Редакция Bleeping Computer сообщила о найденной уязвимости разработчикам ZOOM, но последние пока не ответили.

Те же, кто не хочет ждать официального апдейта, могут настроить локальную политику безопасности таким образом, чтобы запретить Windows передавать NTML хэш наружу (подробно описано в статье по ссылке).

BREAKING NEWS!

Евгений Валентинович (tm) официально подтвердил, что в Лаборатории Касперского двое заболевших коронавирусом.

Пожелаем ребятам скорейшего выздоровления.

#коронавирус

​​И опять про ZOOM.

Премьер-министр Великобритании Борис Джонсон выложил в своем твиттере скриншот заседания правительства, проводимого в ZOOM. При этом спалив ID встречи.

И пусть она была защищена паролем, есть мнение, что он тоже был несложным. ""Queen" там, или "Cromwell".

Короче, следим за новостями. С таким подходом к вопросам инфосека в них скоро обязательно появится молния о взломе заседания британского кабинета.

И снова про ZOOM. Если коронавирус - тема номер один в новостях ИТ, то ZOOM в последние дни однозначно занимает второе место.

Итак, Патрик Уордл, который ранее был "государственным хакером" в АНБ, а ныне является исследователем в Jamf, описал в своем блоге две 0-day уязвимости, которые позволяют злоумышленнику получить контроль над Mac, на котором установлен ZOOM, а также осуществить доступ к его камере и микрофону.

Первая ошибка позволяет локальному низкоуровневому пользователю внедрить в инсталлятор ZOOM код для получения рутовых прав.

Вторая ошибка позволяет путем опять же внедрения вредоносного кода получить доступ к камере и микрофону с правами ZOOM, при этом никаких предупреждений отображаться не будет.

Все технические подробности Уордл описал в своем блоге.

Единственная рекомендация, которую он дает, - прекратить использование ZOOM.

Несколько дней назад мы разметили пост касательно выпущенного американской консалтинговой компанией Booz Allen Hamilton отчета под названием "Раскрытие логики российских военных киберопераций" по результатам анализа 15-летней "кибердеятельности ГРУ".

Огромное спасибо нашим подписчикам, нам пришло сразу 3 письма с этим отчетом и теперь мы на досуге его изучаем. Сразу можем сказать, что верстка у него просто вырвиглазная.

Ну и, как мы ожидали, никаких технических подробностей в отчете Booz Allen Hamilton попросту нет.

Обязательно напишем отдельным постом наиболее интересные моменты творчества наших американских "инфосек аналитиков".

Zero Day сообщает про взрывной рост количества сообществ в социальных медиа, посвященных организации "zoom-bombing".

В настоящее время организации бомбежки посвящено:
- более 30 дискорд-каналов;
- 3 треда на реддит (2 к настоящему моменту забанено);
- куча Твиттер-аккаунтов;
- несколько тредов на хакерских форумах.

Во всех этих местах хулиганы обмениваются ID встреч ZOOM либо обучают друг друга способам их добычи. Результаты удачной бомбежки, как правило, выкладываются на YouTube, который не банит такие видео пока в них нет открытой порнографии.

А занимаются всем этим, в большинстве своем, школьники, которые остались дома на карантине и теперь маются. Новые времена - новые герои.

Как мы и говорили раньше. Наступила неделя самоизоляции. Количество мамкиных хакеров увеличилось в туеву хучу раз.

​​Джеты выпустили большой обзор на anti-APT решения, в котором провели анализ 9 продуктов от российских и иностранных вендоров.

Среди анализируемых - Касперский, Позитивы, Групп ИБ, АВ Софт, FireEye, Trend Micro, Check Point, Fortinet, Symantec.

Непосредственно итоговых рейтингов в обзоре нет, а есть сравнение продуктов по куче параметров. Поэтому если вам надо определиться с тем, какое anti-APT решение вам необходимо, то будет полезно ознакомиться. Ну и для общего понимания рынка тоже.

Мы же, как и раньше, настаиваем, что основным подходом к построению anti-APT защиты является мультивендорность.

Всеобщее стремление к бесконтрольной цифровизации всего окружающего пространства приводит к ожидаемым результатам.

Исследователи из китайской Tencent Keen Security Lab нашли уязвимость в мультимедийном центре (AVN) автомобилей Toyota и Lexus, благодаря которой получили прямой доступ к CAN-шине.

Технические подробности обещают сообщить только в следующем году. Видимо, по факту окончания отзывной кампании уязвимых автомобилей.

Исследование системы AVN Lexus NX300 2017 модельного года (такие же головные устройства используются, например, в моделях ES и LS) выявило дырку в процессе открытия Bluetooth-соединения, которая позволила получить рутовые права в системе.

В дальнейшем китайцы перепрошили AVN вредоносным кодом, что позволило обойти фильтрацию сообщений CAN-шины. Ну и в завершении банкета исследователи смогли заставить автомобиль выполнять неназванные "физические действия".

Более того, Tencent Keen удалось внедрить код, который автоматически подключается к доступному Wi-Fi соединению и после этого устанавливает связь с управляющим центром.

Говоря проще, с точки зрения обывателя "идеальная" атака выглядит следующим образом.

Вы садитесь в машину, заводите ее, а в это время из соседней тонированной девятки ваш мультимедийный центр ломают по Bluetooth. Ваш AVN неожиданно глючит, вы перезапускаете мотор, после чего мультимедиа перезагружается. Ну а дальше, когда вы подъехали к окошку раздачи в Макдональдс, ваш автомобиль ловит бесплатный Wi-Fi и начинает совершать некие "физические действия".

Новая часть Трансформеров, не меньше.

Правда Toyota оправдывается, что в число этих "физических действий" не входит рулежка, а также нажатие газа и тормоза. Ну так выключение электроусилителя руля в скоростном повороте тоже норм зайдет.Или включение при обгоне треш-композиции "Бетономешалка" на максимальной громкости.

То ли дело раньше - трамблер, подсос, из мультимедиа только пьяный батя с баяном на заднем сиденье...

https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks

​​Неделю назад мы писали про статью Reuters, в которой журналисты сообщали о произошедшей в марте кибератаке на ресурсы Всемирной организации здравоохранения (ВОЗ) с целью скомпрометировать учетные записи электронной почты сотрудников ВОЗ.

Тогда Reuters назвали причастной к атаке хакерскую группу DarkHotel, которая по нашему мнению очень похожа на прокси мощной государственной разведструктуры.

В новом же материале Reuters напрямую обвиняет в атаке иранские государственные структуры.

Доказательств, как обычно, никаких, но, как мы думаем, в данном случае американские журналисты могут оказаться правыми. Единственный вопрос - а зачем это Ирану? И гипотетический ответ мы можем дать.

Дело в том, что коронавирусная эпидемия в Иране протекает весьма жестко и сама первоначальная вспышка инфекции, внезапно произошедшая спустя почти 2 месяца(!) после начала распространения заболевания в Китае, вполне могла подтолкнуть иранское руководство к мнению, что заражение носит характер искусственный. Да и очень странным кажется тот факт, что вирус очень бодро распространился среди высшего руководства Ирана.

К тому же, поскольку Иран как и прежде находится под международными санкциями, инициированными США, уровень его сотрудничества с международным медицинским сообществом может показаться правительству Ирана недостаточным для эффективной борьбы с коронавирусом. Вот и пытаются иранцы получить данные по лечению где только можно.

Посмотрим, будет ли развиваться ситуация дальше. Хотя более вероятно, что всем будет не до неудачной попытки взлома ВОЗ.

"Я чувствую себя все чудесатее и чудесатее" (Алиса в стране чудес)

Не успели мы развести конспирологию с возможной причастностью Ирана к кибератаке на ВОЗ, как подвезли новых интересных подробностей.

Китайские исследователи из Qihoo 360 (они, кстати, часто у нас мелькают) сообщили о выявленной ранее кампании по распространению вредоносного ПО с использованием уязвимостей CVE-2019-17026 для Firefox и CVE-2020-0674 для Internet Explorer.

Целью кибератак были китайские правительственные структуры и японские предприятия. Последний факт подтверждается JPCERT. Уязвимости в браузерах использовались хакерами для загрузки в атакованную систему трояна Gh0st RAT.

Qihoo 360 считает, что данная атака была произведена группой DarkHotel, которую они называют APT-C-06 и связывают с Южной Кореей (а мы добавим - тогда уж с южнокорейской разведкой).

А теперь, внимание, вопрос. Если первоначальные источники Reuters правы и кибератака на ВОЗ производилась DarkHotel, то что же внутри информационных ресурсов Всемирной организации здравоохранения закопано такого, что Южная Корея решила их ломануть (если, конечно, китайцы правы в части связи хакерской группы с полуостровным государством)?

Вопрос "Кто стрижет цирюльника?" регулярно возникает в новостной повестке инфосека.

Хакерский форум OGUsers .com был взломан неизвестным хакером, о чем сообщила администрация ресурса. По их словам, кто-то использовал уязвимость в механизме загрузки аватара и получил доступ к текущей базе данных ресурса. Количество скомпрометированных пользователей составляет около 200 тыс.

OGUsers .com является одной из самых крупных площадок по продаже данных взломанных аккаунтов социальных сетей, а также по организации атак через подмену SIM-карт.

В мае 2019 года OGUsers .com уже был взломан, предположительно конкурирующим хакерским ресурсом, тогда утекли данные более чем 113 тыс. пользователей.

https://www.zdnet.com/article/hacking-forum-gets-hacked-for-the-second-time-in-a-year/