͏На фоне последних событий объявился Omnipotent, администратор печально известного RaidForums, который выкатил свои объяснения по поводу происхождения утечки данных более 400 тысяч пользователей подконтрольной ему в прошлом площадки.
Если вкратце, то Рафик ни в чем не виноват. RaidForums был захвачен и переведен в автономный режим ФБР. В настоящее время у него нет никаких планов по созданию замены.
Пытавшийся оседлать аудиторию RaidForums, задержанный американскими спецслужбами Помпомпурин предпринял попытку самоубийства.
Текущую ситуацию после операций правоохранителей назвал довольно плохой, усомнившись в этичности некоторых действий властей в этом вопросе и отметив, что США долгая история аморальных действий, что вцелом не удивляет. По поводу альтернативных площадок он не смог поручиться за их безопасность или надежность.
Утечка стала для него весьма неожиданной, поскольку никому никогда не предоставлялся доступ к базе данных. Одним из возможных сценариев утечки назвал: ранее незамеченный эксплойт, временный административный надзор за разрешениями, позволяющий загрузить резервную копию, или, возможно, вмешательство спецслужб.
Версию от автора утечки с загрузкой через панель администратора воспринимает с долей скептицизма, посетовав на дальнейшую судьбу тех пользователей, кто были небрежен со своим opsec. Для протокола: утечка базы данных, по-видимому, является подлинной и датируется концом 2020 года.
Впрочем, все как мы и предполагали. Но будем следить посмотреть.
Если вкратце, то Рафик ни в чем не виноват. RaidForums был захвачен и переведен в автономный режим ФБР. В настоящее время у него нет никаких планов по созданию замены.
Пытавшийся оседлать аудиторию RaidForums, задержанный американскими спецслужбами Помпомпурин предпринял попытку самоубийства.
Текущую ситуацию после операций правоохранителей назвал довольно плохой, усомнившись в этичности некоторых действий властей в этом вопросе и отметив, что США долгая история аморальных действий, что вцелом не удивляет. По поводу альтернативных площадок он не смог поручиться за их безопасность или надежность.
Утечка стала для него весьма неожиданной, поскольку никому никогда не предоставлялся доступ к базе данных. Одним из возможных сценариев утечки назвал: ранее незамеченный эксплойт, временный административный надзор за разрешениями, позволяющий загрузить резервную копию, или, возможно, вмешательство спецслужб.
Версию от автора утечки с загрузкой через панель администратора воспринимает с долей скептицизма, посетовав на дальнейшую судьбу тех пользователей, кто были небрежен со своим opsec. Для протокола: утечка базы данных, по-видимому, является подлинной и датируется концом 2020 года.
Впрочем, все как мы и предполагали. Но будем следить посмотреть.
Google выпустила очередное обновление безопасности для Chrome 114 с устранением пяти уязвимостей, в том числе критических и высокой степени серьезности.
Наиболее важной из них является CVE-2023-3214, критическая уязвимость использования после освобождения в Autofill payments. О проблеме сообщил Ронг Цзянь из VRI.
Успешная эксплуатация уязвимости использования после освобождения может привести к выходу из песочницы, если злоумышленник может нацелиться на привилегированный процесс Chrome или уязвимость в базовой ОС.
В дополнение к CVE-2023-3214, последнее обновление Chrome устраняет две другие проблемы использования после освобождения, обе из которых высокой степени серьезности.
Одна из них CVE-2023-3215 влияет на WebRTC, а другая CVE-2023-3217 затрагивает WebXR.
Четвертая уязвимость, о которой сообщалось извне — это проблема путаницы типов в движке JavaScript V8.
Google выплатила 3000 долларов за уязвимость WebRTC, но еще не определила размер вознаграждения за баги в Autofill payments и V8.
Об уязвимости в WebXR сообщил Сергей Глазунов из Google Project Zero, и, согласно политике компании, его вознаграждение ограничилось благодарностью и ежемесячным окладом.
Традиционно Google не сообщает об использовании этих уязвимостей в атаках. Последняя версия Chrome теперь распространяется как 14.0.5735.133 для macOS и Linux и как 114.0.5735.133/134 для Windows.
Наиболее важной из них является CVE-2023-3214, критическая уязвимость использования после освобождения в Autofill payments. О проблеме сообщил Ронг Цзянь из VRI.
Успешная эксплуатация уязвимости использования после освобождения может привести к выходу из песочницы, если злоумышленник может нацелиться на привилегированный процесс Chrome или уязвимость в базовой ОС.
В дополнение к CVE-2023-3214, последнее обновление Chrome устраняет две другие проблемы использования после освобождения, обе из которых высокой степени серьезности.
Одна из них CVE-2023-3215 влияет на WebRTC, а другая CVE-2023-3217 затрагивает WebXR.
Четвертая уязвимость, о которой сообщалось извне — это проблема путаницы типов в движке JavaScript V8.
Google выплатила 3000 долларов за уязвимость WebRTC, но еще не определила размер вознаграждения за баги в Autofill payments и V8.
Об уязвимости в WebXR сообщил Сергей Глазунов из Google Project Zero, и, согласно политике компании, его вознаграждение ограничилось благодарностью и ежемесячным окладом.
Традиционно Google не сообщает об использовании этих уязвимостей в атаках. Последняя версия Chrome теперь распространяется как 14.0.5735.133 для macOS и Linux и как 114.0.5735.133/134 для Windows.
Chrome Releases
Stable Channel Update for Desktop
The Stable and extended stable channels has been updated to 114.0.5735.133 for Mac and Linux and 114.0.5735.133/134 for Windows , which ...
SAP выпустила июньский патч для исправления уязвимостей высокой степени опасности, включающий 8 новых бюллетеней и 5 обновлений к предыдущим.
SAP устранила ошибку хранимого межсайтового сценария (XSS) в UI5 Variant Management.
Отслеживаемая как CVE-2023-33991 (оценка CVSS 8,2), проблема может быть использована для получения доступа на уровне пользователя к приложению и нарушения конфиденциальности, целостности и доступности.
Вторая серьезная уязвимость — это отсутствие аутентификации в Plant Connectivity and Production Connector для цифрового производства, которая отслеживается как CVE-2023-2827 (оценка CVSS 7,9).
Ошибку можно использовать для подключения к уязвимому приложению без действительного веб-токена JSON (JWT).
По данным исследователей Onapsis, чтобы полностью исправить эту уязвимость, оба компонента должны быть исправлены, а проверка подписи JWT должна быть настроена в настройках Cloud Connector.
На этой неделе SAP также обновила две заметки для серьезных ошибок в хранилище знаний (CVE-2021-42063) и SAPUI5 (CVE-2023-30743).
Из восьми новых и обновленных примечаний по безопасности средней степени серьезности шесть касаются недостатков XSS в NetWeaver, CRM ABAP (Grantor Management), CRM (пользовательский интерфейс WebClient) и BusinessObjects.
Две другие заметки устраняют ошибку раскрытия информации в S/4HANA и проблему внедрения SQL в Master Data Synchronization.
Последнее примечание по безопасности устраняет уязвимость низкого уровня опасности отказа в обслуживании (DoS) в NetWeaver (Change and Transport System).
SAP устранила ошибку хранимого межсайтового сценария (XSS) в UI5 Variant Management.
Отслеживаемая как CVE-2023-33991 (оценка CVSS 8,2), проблема может быть использована для получения доступа на уровне пользователя к приложению и нарушения конфиденциальности, целостности и доступности.
Вторая серьезная уязвимость — это отсутствие аутентификации в Plant Connectivity and Production Connector для цифрового производства, которая отслеживается как CVE-2023-2827 (оценка CVSS 7,9).
Ошибку можно использовать для подключения к уязвимому приложению без действительного веб-токена JSON (JWT).
По данным исследователей Onapsis, чтобы полностью исправить эту уязвимость, оба компонента должны быть исправлены, а проверка подписи JWT должна быть настроена в настройках Cloud Connector.
На этой неделе SAP также обновила две заметки для серьезных ошибок в хранилище знаний (CVE-2021-42063) и SAPUI5 (CVE-2023-30743).
Из восьми новых и обновленных примечаний по безопасности средней степени серьезности шесть касаются недостатков XSS в NetWeaver, CRM ABAP (Grantor Management), CRM (пользовательский интерфейс WebClient) и BusinessObjects.
Две другие заметки устраняют ошибку раскрытия информации в S/4HANA и проблему внедрения SQL в Master Data Synchronization.
Последнее примечание по безопасности устраняет уязвимость низкого уровня опасности отказа в обслуживании (DoS) в NetWeaver (Change and Transport System).
Forwarded from Social Engineering
🖖🏻 Приветствую тебя user_name.
• Когда Telegram реализовал функционал комментариев в группах, многие столкнулись с бессмысленными сообщениями или рекламой, которую рассылали спам-боты. Львиную долю такого спама занимали боты с аватаркой красивой девушки и ссылкой в профиле на различные ресурсы (боты, сайты, группы, чаты и т.д.). Наивный читатель обращал внимание на аватарку, смотрел в профиль, видел ссылку и переходил по ней. Таким образом, человек мог оказаться жертвой SCAM-проекта и потерять деньги.• Прошло более двух лет, схема развивается и процветает. Теперь спамеры используют ИИ и Premium подписку, что позволяет оставлять развернутый комментарий под каждым постом, иметь красивую галочку рядом с именем и удвоенные лимиты. Как говориться, прогресс остановить невозможно. И пока кто-то смотрит на картиночки, который генерирует нейросеть, другие реализуют и развивают свои проекты...
• Сегодня поделюсь интересной статьей, в которой описано, как работают такие боты, для чего они нужны и как с этим бороться [
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
И еще порция глобальных обновлений от немецких «партнеров».
Siemens решили отработать на год вперед и выпустили дюжину новых рекомендаций, охватывающих в общей сложности около 200 уязвимостей, влияющих на ее промышленные продукты.
Причем подавляющее большинство этих недостатков затрагивает компоненты сторонних производителей.
Промышленный гигант проинформировал клиентов о 108 уязвимостях в одном только ядре Linux, затрагивающих Simatic S7-1500, в частности многофункциональную платформу TM (MFP).
Компания в темпе вальса готовит исправления для недостатков, но уже предоставляет обходные пути и меры по смягчению последствий.
54 уязвимости, обнаружены в BIOS того же продукта.
В целом же дыры в безопасности затрагивают различные сторонние компоненты, включая ядро Linux, библиотеки, BusyBox и процессоры Intel. Для этих уязвимостей также готовятся исправления.
В отдельной рекомендации описывается почти два десятка ошибок в продуктах Sinamics средней степени опасности, которые также влияют на сторонние компоненты.
Критические недостатки связанные с RCE исправлены в продукте Simatic Step 7 и устройствах Sicam Q200.
Другие серьезные недостатки пофиксили в продуктах Solid Edge, Simatic WinCC, Teamcenter Visualization и JT2Go, а также Sicam A8000.
Исправленные уязвимости могут привести к выполнению произвольного кода, DoS-атакам, повышению привилегий и несанкционированному доступу.
Другой немецкий гигант Schneider Electric выдал всего четыре новых рекомендации, охватывающих в общей сложности пять уязвимостей.
Два серьезных недостатка, влияют на распределенную систему управления Foxboro (DCS), посредством которых злоумышленник может использовать для DoS-атак, повышения привилегий и выполнения кода ядра.
Кроме того, в продукте Foxboro SCADA обнаружен недостаток, который предоставляет учетные данные в виде открытого текста. Проблема существует в компоненте Aveva InTouch, где она была первоначально исправлена еще в 2021 году.
Также Schneider предупредили организации, что злоумышленники могут выполнять произвольный код, используя уязвимости в продуктах EcoStruxure Operator Terminal Expert, Pro-face BLUEm и IGSS (интерактивная графическая система SCADA) путем обмана и открытием специально созданных файлов проекта.
Siemens решили отработать на год вперед и выпустили дюжину новых рекомендаций, охватывающих в общей сложности около 200 уязвимостей, влияющих на ее промышленные продукты.
Причем подавляющее большинство этих недостатков затрагивает компоненты сторонних производителей.
Промышленный гигант проинформировал клиентов о 108 уязвимостях в одном только ядре Linux, затрагивающих Simatic S7-1500, в частности многофункциональную платформу TM (MFP).
Компания в темпе вальса готовит исправления для недостатков, но уже предоставляет обходные пути и меры по смягчению последствий.
54 уязвимости, обнаружены в BIOS того же продукта.
В целом же дыры в безопасности затрагивают различные сторонние компоненты, включая ядро Linux, библиотеки, BusyBox и процессоры Intel. Для этих уязвимостей также готовятся исправления.
В отдельной рекомендации описывается почти два десятка ошибок в продуктах Sinamics средней степени опасности, которые также влияют на сторонние компоненты.
Критические недостатки связанные с RCE исправлены в продукте Simatic Step 7 и устройствах Sicam Q200.
Другие серьезные недостатки пофиксили в продуктах Solid Edge, Simatic WinCC, Teamcenter Visualization и JT2Go, а также Sicam A8000.
Исправленные уязвимости могут привести к выполнению произвольного кода, DoS-атакам, повышению привилегий и несанкционированному доступу.
Другой немецкий гигант Schneider Electric выдал всего четыре новых рекомендации, охватывающих в общей сложности пять уязвимостей.
Два серьезных недостатка, влияют на распределенную систему управления Foxboro (DCS), посредством которых злоумышленник может использовать для DoS-атак, повышения привилегий и выполнения кода ядра.
Кроме того, в продукте Foxboro SCADA обнаружен недостаток, который предоставляет учетные данные в виде открытого текста. Проблема существует в компоненте Aveva InTouch, где она была первоначально исправлена еще в 2021 году.
Также Schneider предупредили организации, что злоумышленники могут выполнять произвольный код, используя уязвимости в продуктах EcoStruxure Operator Terminal Expert, Pro-face BLUEm и IGSS (интерактивная графическая система SCADA) путем обмана и открытием специально созданных файлов проекта.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Progress предупреждает клиентов MOVEit Transfer о необходимости немедленно ограничить любой HTTP-доступ к своим средам после того, как появилась свежая информация о новой, уже третьей, уязвимости SQLi.
Уязвимость в MOVEit Transfer может привести к эскалации привилегий и несанкционированному доступу к среде. Обнаружил ее исследователь Huntress Джон Хаммонд.
Progress пока не раскрывает подробности. Известно лишь то, что уязвимость не является обходом какой-либо предыдущей, у нее собственный вектор атаки.
Патч для нее еще не доступен, тестируется и, по словам разработчика, будет выпущен в самое ближайшее время.
До тех пор Progress рекомендует изменить правила брандмауэра и запретить HTTPS и HTTP-трафик для MOVEit Transfer через порты 80 и 443 в качестве временного обходного пути.
А тем временем, пока разработчик активно ищет и исправляет все новые дыры в своем решении, банда вымогателей Clop после успешного препарирования одной из баг приступила к вымогательству у жертв из числа пользователей MOVEit, перечислив названия компаний на своем DLS.
При этом, если требование о выкупе не будет выполнено, Clop начнут утечку украденных данных, начиная с 21 июня.
Всего на DLS пока размещено тринадцать компаний. Причем одна из них Greenfield CA, была удалена. Вероятно, переговоры перешли в предметную плоскость.
Пять из перечисленных компаний, включая Shell, UnitedHealthcare Student Resources (UHSR), Университет Джорджии (UGA) и University System of Georgia (USG), Heidelberger Druck и Landal Greenparks, подтвердили инциденты с MOVEit.
Среди других организаций, которые также раскрыли нарушения MOVEit Transfer: Zellis (BBC, Boots и Aer Lingus, Ирландская высшая школа экономики), Университет Рочестера, правительство Новой Шотландии, муниципалитеты американских штатов Миссури и Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американский совет по заболеваниям.
Кроме того, CNN сообщает, что согласно CISA несколько федеральных правительственных учреждений США также были взломаны с использованием MOVEit 0-day.
В целом, хронология всех событий в рамках инцидента с MOVEit 0-day достаточно четко представлена исследователями Rapid7. Там же и все рекомендации.
Уязвимость в MOVEit Transfer может привести к эскалации привилегий и несанкционированному доступу к среде. Обнаружил ее исследователь Huntress Джон Хаммонд.
Progress пока не раскрывает подробности. Известно лишь то, что уязвимость не является обходом какой-либо предыдущей, у нее собственный вектор атаки.
Патч для нее еще не доступен, тестируется и, по словам разработчика, будет выпущен в самое ближайшее время.
До тех пор Progress рекомендует изменить правила брандмауэра и запретить HTTPS и HTTP-трафик для MOVEit Transfer через порты 80 и 443 в качестве временного обходного пути.
А тем временем, пока разработчик активно ищет и исправляет все новые дыры в своем решении, банда вымогателей Clop после успешного препарирования одной из баг приступила к вымогательству у жертв из числа пользователей MOVEit, перечислив названия компаний на своем DLS.
При этом, если требование о выкупе не будет выполнено, Clop начнут утечку украденных данных, начиная с 21 июня.
Всего на DLS пока размещено тринадцать компаний. Причем одна из них Greenfield CA, была удалена. Вероятно, переговоры перешли в предметную плоскость.
Пять из перечисленных компаний, включая Shell, UnitedHealthcare Student Resources (UHSR), Университет Джорджии (UGA) и University System of Georgia (USG), Heidelberger Druck и Landal Greenparks, подтвердили инциденты с MOVEit.
Среди других организаций, которые также раскрыли нарушения MOVEit Transfer: Zellis (BBC, Boots и Aer Lingus, Ирландская высшая школа экономики), Университет Рочестера, правительство Новой Шотландии, муниципалитеты американских штатов Миссури и Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американский совет по заболеваниям.
Кроме того, CNN сообщает, что согласно CISA несколько федеральных правительственных учреждений США также были взломаны с использованием MOVEit 0-day.
В целом, хронология всех событий в рамках инцидента с MOVEit 0-day достаточно четко представлена исследователями Rapid7. Там же и все рекомендации.
Progress
MOVEit Transfer Critical Vulnerability – CVE-2023-35708 (June 15, 2023) - Progress Community
Progress has discovered a vulnerability in MOVEit Transfer that could lead to escalated privileges and potential unauthorized access to the environment. If you are a MOVEit Transfer customer, it is extremely important that you take immediate action as noted…
Исследователи CyberCX раскрыли весьма экстравагантный способ обхода пароля BIOS на ноутбуках Lenovo.
Для этого достаточно замкнуть два контакта SCL и SDA на материнской плате с помощью небольшой отвертки во время загрузки ПК.
После того, как манипуляции будут проведены открываются широкие возможности для внесения изменении в BIOS, например, для смены загрузочного диска, загрузки новой ОС и так далее.
После чего таким же образом можно вернуть настройки обратно, оставив существующий пароль в EEPROM, а на ноутбуке жертвы не будет никаких доказательств взлома.
Для этого достаточно замкнуть два контакта SCL и SDA на материнской плате с помощью небольшой отвертки во время загрузки ПК.
После того, как манипуляции будут проведены открываются широкие возможности для внесения изменении в BIOS, например, для смены загрузочного диска, загрузки новой ОС и так далее.
После чего таким же образом можно вернуть настройки обратно, оставив существующий пароль в EEPROM, а на ноутбуке жертвы не будет никаких доказательств взлома.
͏IOActive опубликовали первые результаты исследования, в котором изучали возможность атак на дроны, не имеющие известных уязвимостей, с помощью электромагнитной инъекции уязвимости (EMFI).
Если в двух словах - это направленный на атакуемый чип ЭМ-импульс, после которого можно тем или иным образом взаимодействовать с данными на этом чипе. В качестве тестовой мишени использовали DJI Mavic Pro.
Хотя исследование еще продолжается, уже можно сказать, что при определенных условиях (во время процесса обновления прошивки) такая электромагнитная атака потенциально позволит осуществить наше любимое удаленное выполнение кода aka RCE. В скором времени обещают разработать эксплойт.
Конечно, до практического применения еще далеко, но только представьте себе следующую картину - к парящему над полем боя разведывательному коптеру подлетает управляемый ИИ беспилотник, который обнаружил свою цель с помощью настроенной на звук работы пропеллеров нейросети, выдает ЭМ-импульс, от которого сам защищен с помощью —classified—, моментом перепрошивает его и направляет на свою базу. А сам летит дальше в поисках очередной жертвы.
А потом они начнут в стаи сбиваться и на юг осенью мигрировать...
Если в двух словах - это направленный на атакуемый чип ЭМ-импульс, после которого можно тем или иным образом взаимодействовать с данными на этом чипе. В качестве тестовой мишени использовали DJI Mavic Pro.
Хотя исследование еще продолжается, уже можно сказать, что при определенных условиях (во время процесса обновления прошивки) такая электромагнитная атака потенциально позволит осуществить наше любимое удаленное выполнение кода aka RCE. В скором времени обещают разработать эксплойт.
Конечно, до практического применения еще далеко, но только представьте себе следующую картину - к парящему над полем боя разведывательному коптеру подлетает управляемый ИИ беспилотник, который обнаружил свою цель с помощью настроенной на звук работы пропеллеров нейросети, выдает ЭМ-импульс, от которого сам защищен с помощью —classified—, моментом перепрошивает его и направляет на свою базу. А сам летит дальше в поисках очередной жертвы.
А потом они начнут в стаи сбиваться и на юг осенью мигрировать...
Forwarded from Russian OSINT
В США гражданин России Руслан Астамиров арестован по обвинению в причастности к хакерским атакам против американских компаний, сообщил Минюст США.
20-летнему уроженцу Чечни предъявлено обвинение в сговоре с целью совершения атак с помощью программ-вымогателей LockBit на американские и иностранные компании. Это "обвинение в сговоре с целью совершения мошенничества с использованием электронных средств связи, а также в сговоре с целью умышленного повреждения защищенных компьютеров и передачи требований о выкупе".
https://www.interfax.ru/russia/906569
Please open Telegram to view this post
VIEW IN TELEGRAM
В ответ на задержание одного из своих операторов LockBit опубликовали клип группы Лесоповал с песней «Был пацан и нет пацана».
Группа ученых разработала новую атаку, которая может восстанавливать ключи шифрования со смарт-карт и смартфонов с помощью камер в iPhone или других коммерческих систем наблюдения.
В основе атаки видеозапись светодиодов питания этих устройств в момент, когда они обрабатывают криптографические операции. Атака сочетает в себе предыдущие криптографические методы побочного канала, такие как Minerva и Hertzbleed.
Светодиоды питания предназначены для индикации включения устройства. Обычно они излучают синий или фиолетовый свет, яркость и цвет которого различаются в зависимости от энергопотребления устройства, к которому они подключены.
Исследовательская группа, анализируя мерцание яркости светодиода, когда устройство выделяет энергию для обработки криптографических операций, смогла идентифицировать ключи шифрования.
В первой атаке использовалась подключенная к Интернету камера наблюдения для высокоскоростной видеосъемки светодиода питания на устройстве чтения смарт-карт или подключенного периферийного устройства во время криптографических операций. Этот метод позволил исследователям извлечь 256-битный ключ ECDSA из смарт-карты.
В ходе другого эксперимента исследователи смогли восстановить закрытый ключ SIKE телефона Samsung Galaxy S8, настроив iPhone 13 на светодиод питания USB-динамика, подключенного к телефону.
Метод был успешно протестирован на устройствах, расположенных на расстоянии до 16 метров от записывающего устройства.
Обе атаки имеют ограничения, которые делают их неосуществимыми во многих (но не во всех) сценариях в реальной жизни. Несмотря на это, исследование является новаторским, поскольку оно предлагает совершенно новый способ реализации атак по сторонним каналам.
В основе атаки видеозапись светодиодов питания этих устройств в момент, когда они обрабатывают криптографические операции. Атака сочетает в себе предыдущие криптографические методы побочного канала, такие как Minerva и Hertzbleed.
Светодиоды питания предназначены для индикации включения устройства. Обычно они излучают синий или фиолетовый свет, яркость и цвет которого различаются в зависимости от энергопотребления устройства, к которому они подключены.
Исследовательская группа, анализируя мерцание яркости светодиода, когда устройство выделяет энергию для обработки криптографических операций, смогла идентифицировать ключи шифрования.
В первой атаке использовалась подключенная к Интернету камера наблюдения для высокоскоростной видеосъемки светодиода питания на устройстве чтения смарт-карт или подключенного периферийного устройства во время криптографических операций. Этот метод позволил исследователям извлечь 256-битный ключ ECDSA из смарт-карты.
В ходе другого эксперимента исследователи смогли восстановить закрытый ключ SIKE телефона Samsung Galaxy S8, настроив iPhone 13 на светодиод питания USB-динамика, подключенного к телефону.
Метод был успешно протестирован на устройствах, расположенных на расстоянии до 16 метров от записывающего устройства.
Обе атаки имеют ограничения, которые делают их неосуществимыми во многих (но не во всех) сценариях в реальной жизни. Несмотря на это, исследование является новаторским, поскольку оно предлагает совершенно новый способ реализации атак по сторонним каналам.
YouTube
Video-Based Cryptanalysis
For more details:
https://www.nassiben.com/video-based-crypta
https://www.nassiben.com/video-based-crypta
Исследователь безопасности Sh1ttyKids опубликовал подробности о новом методе деанонимизации сервера Tor на основе тега объекта (ETag) в заголовке ответа HTTP.
Техника была первоначально разработана еще в ноябре 2020 года и в частном порядке передана американским силовикам.
Расследование проводилось в основном через общедоступные службы с открытым исходным кодом, такие как Shodan и Censys, а также через источники в подпольных сообществах.
Поводом послужил инцидент с атакой Ragnar Locker на компанию Capcom, занимающуюся видеоиграми, у которой вымогатели выкрали терабайт данных.
Анализ сайта утечки позволил исследователю найти исходный IP-адрес Onion-адреса, который использовался для размещения скомпрометированных данных.
При этом найденный метод деанонимизации с помощью Etag до настоящего времени был почти неизвестен широкой публике.
И, похоже, что ФБР успешно применяла эту технику для деанонимизации сайта утечки в даркнете группы вымогателей RagnarLocker, а подозреваемому было предъявлено обвинение.
Им оказался небезызвестный Wazawaka (aka m1x, aka Boriselcin, aka Uhodiransomwar).
Техника была первоначально разработана еще в ноябре 2020 года и в частном порядке передана американским силовикам.
Расследование проводилось в основном через общедоступные службы с открытым исходным кодом, такие как Shodan и Censys, а также через источники в подпольных сообществах.
Поводом послужил инцидент с атакой Ragnar Locker на компанию Capcom, занимающуюся видеоиграми, у которой вымогатели выкрали терабайт данных.
Анализ сайта утечки позволил исследователю найти исходный IP-адрес Onion-адреса, который использовался для размещения скомпрометированных данных.
При этом найденный метод деанонимизации с помощью Etag до настоящего времени был почти неизвестен широкой публике.
И, похоже, что ФБР успешно применяла эту технику для деанонимизации сайта утечки в даркнете группы вымогателей RagnarLocker, а подозреваемому было предъявлено обвинение.
Им оказался небезызвестный Wazawaka (aka m1x, aka Boriselcin, aka Uhodiransomwar).
Medium
New Techniques: Uncovering Tor Hidden Service with Etag
This investigation was conducted mainly through publicly available Open source intelligence services such as Shodan, as well as through…
͏И еще про хактивистов из Anonymous Sudan.
Вчера они завалили сайт Министерства энергетики США. Атака длилась недолго, всего около получаса, а потом была прекращена с комментарием "мы нашли то, что хотели".
А сегодня хактивисты сообщают, что вместе с KILLNET парализовали инфраструктуру ЕЦБ, чему, впрочем, независимого подтверждения на данный момент нет.
Что можем сказать по этому поводу. Мы не согласны с теми, кто говорит о принадлежности Anonymous Sudan к России, например с исследователями TrueSec или CyberCX. Очевидно, что костяк хактивистов составляют коренные суданцы.
Во-первых, часто допускаемые ошибки в русском языке свидетельствуют о том, что для хакеров он является неродным.
Во-вторых, мало того, что коренные суданцы натерпелись от представителей западных стран и их транснациональных корпораций, которые в течение десятилетий угнетали местных жителей, вывозя при этом принадлежащие им ресурсы за бесценок. Так еще и западные спецслужбы на протяжении последних лет мутят воду в Судане, пытаясь помешать его сближению с Россией, которая собирается строить там военную базу в Красном море. Из последнего - очередная внутриполитическая напряженность, приведшая к столкновению в апреле этого года между армией во главе с Фаттахом аль-Бурханом и Силами быстрого реагирования (RSF) под руководством Мохаммеда Хамдана Дагало.
Ну а в-третьих, развитие сети Интернет привело к тому, что даже в странах третьего мира стали появляться местные хакерские группировки. Mysterious Team Bangladesh не даст соврать.
Вчера они завалили сайт Министерства энергетики США. Атака длилась недолго, всего около получаса, а потом была прекращена с комментарием "мы нашли то, что хотели".
А сегодня хактивисты сообщают, что вместе с KILLNET парализовали инфраструктуру ЕЦБ, чему, впрочем, независимого подтверждения на данный момент нет.
Что можем сказать по этому поводу. Мы не согласны с теми, кто говорит о принадлежности Anonymous Sudan к России, например с исследователями TrueSec или CyberCX. Очевидно, что костяк хактивистов составляют коренные суданцы.
Во-первых, часто допускаемые ошибки в русском языке свидетельствуют о том, что для хакеров он является неродным.
Во-вторых, мало того, что коренные суданцы натерпелись от представителей западных стран и их транснациональных корпораций, которые в течение десятилетий угнетали местных жителей, вывозя при этом принадлежащие им ресурсы за бесценок. Так еще и западные спецслужбы на протяжении последних лет мутят воду в Судане, пытаясь помешать его сближению с Россией, которая собирается строить там военную базу в Красном море. Из последнего - очередная внутриполитическая напряженность, приведшая к столкновению в апреле этого года между армией во главе с Фаттахом аль-Бурханом и Силами быстрого реагирования (RSF) под руководством Мохаммеда Хамдана Дагало.
Ну а в-третьих, развитие сети Интернет привело к тому, что даже в странах третьего мира стали появляться местные хакерские группировки. Mysterious Team Bangladesh не даст соврать.
Western Digital решила кардинальным образом приобщать клиентов к регулярным обновлениям.
Компания предупредила владельцев устройств серии My Cloud о невозможности подключения к облачным сервисам, начиная с 15 июня 2023 года, если их устройства NAS не будут обновлены до последней версии прошивки 5.26.202.
При этом пользователи смогут продолжать получать доступ к своим данным через локальный доступ.
Дело в том, что последняя прошивка устраняет удаленно эксплуатируемую уязвимость, которую можно использовать для выполнения кода без проверки подлинности, а далее и до ransomware рукой подать.
Как отмечает Western Digital, последние версии прошивок были выпущены 15 мая 2023 года содержат исправления для четырех уязвимостей.
Наиболее серьезная CVE-2022-36327 имеет оценку CVSS 9.8 и связана с обходом пути, позволяя злоумышленнику записывать файлы в произвольные местоположения файловой системы, что приводит к RCE без проверки подлинности на устройствах My Cloud.
Другая CVE-2022-36326 - это проблема с неконтролируемым потреблением ресурсов, которая может быть вызвана специально созданными запросами на уязвимые устройства, Все это приводит к DoS.
CVE-2022-36328 позволяет аутентифицированному злоумышленнику создавать произвольные общие ресурсы в произвольных каталогах и эксфильтровать конфиденциальные файлы, пароли, пользователей и конфигурации устройств.
И, наконец, последняя SSRF-уязвимость (CVE-2022-29840) позволяет на подконтрольном злоумышленнику сервере в локальной сети менять свой URL-адрес.
Учитывая печальный опыт ряда производителей NAS с ransomware-инцидентами, решение вполне себе отвечает угрозам и, вероятно, дисциплинирует пользователей.
Компания предупредила владельцев устройств серии My Cloud о невозможности подключения к облачным сервисам, начиная с 15 июня 2023 года, если их устройства NAS не будут обновлены до последней версии прошивки 5.26.202.
При этом пользователи смогут продолжать получать доступ к своим данным через локальный доступ.
Дело в том, что последняя прошивка устраняет удаленно эксплуатируемую уязвимость, которую можно использовать для выполнения кода без проверки подлинности, а далее и до ransomware рукой подать.
Как отмечает Western Digital, последние версии прошивок были выпущены 15 мая 2023 года содержат исправления для четырех уязвимостей.
Наиболее серьезная CVE-2022-36327 имеет оценку CVSS 9.8 и связана с обходом пути, позволяя злоумышленнику записывать файлы в произвольные местоположения файловой системы, что приводит к RCE без проверки подлинности на устройствах My Cloud.
Другая CVE-2022-36326 - это проблема с неконтролируемым потреблением ресурсов, которая может быть вызвана специально созданными запросами на уязвимые устройства, Все это приводит к DoS.
CVE-2022-36328 позволяет аутентифицированному злоумышленнику создавать произвольные общие ресурсы в произвольных каталогах и эксфильтровать конфиденциальные файлы, пароли, пользователей и конфигурации устройств.
И, наконец, последняя SSRF-уязвимость (CVE-2022-29840) позволяет на подконтрольном злоумышленнику сервере в локальной сети менять свой URL-адрес.
Учитывая печальный опыт ряда производителей NAS с ransomware-инцидентами, решение вполне себе отвечает угрозам и, вероятно, дисциплинирует пользователей.
Western Digital
WDC-23009 Western Digital My Cloud OS 5, My Cloud Home and SanDisk ibi Firmware Update | Western Digital
Western Digital delivers innovative storage solutions—HDDs, systems & personal data storage—powering innovation, reliability & future-ready performance.
Исследователи CyFirma обнаружили три вредоносных Android-приложения с названиями Device Basic Plus, nSure Chat и iKHfaa VPN, загруженные в официальный Google Play, которые они связали с индийской APT DoNot Team.
CyFirma сообщает, что приложения использовались в кампании, нацеленной на отдельных лиц в Пакистане, и, скорее всего, были установлены после социальной инженерии, проведенной через Telegram или WhatsApp, тогда как в прошлом злоумышленник использовал вредоносные документы Word и фишинг.
Все три приложения были загружены под учетной записью разработчика под названием SecurITY Industry. Они выдавали себя за VPN и мессенджеры, копируя функции легальных приложений, но содержали вредоносный код для кражи данных с зараженных устройств и загрузки дополнительных полезных данных.
Технический анализ показывает, что мотивом атаки является сбор информации с помощью полезной нагрузки стейджера и использование собранной информации для атаки второго этапа с использованием вредоносного ПО с более разрушительными свойствами.
Атрибуция основана на виктимологии и обнаружении ряда артефактов. Так, в ходе декомпиляции приложений встречались строки, зашифрованные с использованием алгоритма AES/CBC/PKCS5PADDING и запутывания кода посредством Proguard.
Кроме того, текстовый файл, сгенерированный приложением для Android, имеет то же имя, что и текстовый файл в ранее использовавшемся Android Malware от DoNot для локального хранения данных.
Все эти методы шифрования ранее использовались APT DoNot в их более раннем образце Android.
Однозначно, что это вредоносное ПО для Android было специально разработано для сбора информации. Получив доступ к спискам контактов и местонахождению жертв, злоумышленник может разработать стратегию будущих атак и использовать вредоносное ПО для Android с расширенными функциями для обнаружения и эксплуатации жертв.
Размещение вредоносное ПО для Android в магазине Google Play - в плане тактики, это шаг вперед.
Этот подход основан на доверии пользователей к магазину Google Play, поскольку люди редко подозревают его в размещении вредоносных приложений, хотя процесс загрузки Android-приложения — достаточно скрупулезный.
Индикаторы компрометации и подробный технический анализ - в отчете исследователей.
CyFirma сообщает, что приложения использовались в кампании, нацеленной на отдельных лиц в Пакистане, и, скорее всего, были установлены после социальной инженерии, проведенной через Telegram или WhatsApp, тогда как в прошлом злоумышленник использовал вредоносные документы Word и фишинг.
Все три приложения были загружены под учетной записью разработчика под названием SecurITY Industry. Они выдавали себя за VPN и мессенджеры, копируя функции легальных приложений, но содержали вредоносный код для кражи данных с зараженных устройств и загрузки дополнительных полезных данных.
Технический анализ показывает, что мотивом атаки является сбор информации с помощью полезной нагрузки стейджера и использование собранной информации для атаки второго этапа с использованием вредоносного ПО с более разрушительными свойствами.
Атрибуция основана на виктимологии и обнаружении ряда артефактов. Так, в ходе декомпиляции приложений встречались строки, зашифрованные с использованием алгоритма AES/CBC/PKCS5PADDING и запутывания кода посредством Proguard.
Кроме того, текстовый файл, сгенерированный приложением для Android, имеет то же имя, что и текстовый файл в ранее использовавшемся Android Malware от DoNot для локального хранения данных.
Все эти методы шифрования ранее использовались APT DoNot в их более раннем образце Android.
Однозначно, что это вредоносное ПО для Android было специально разработано для сбора информации. Получив доступ к спискам контактов и местонахождению жертв, злоумышленник может разработать стратегию будущих атак и использовать вредоносное ПО для Android с расширенными функциями для обнаружения и эксплуатации жертв.
Размещение вредоносное ПО для Android в магазине Google Play - в плане тактики, это шаг вперед.
Этот подход основан на доверии пользователей к магазину Google Play, поскольку люди редко подозревают его в размещении вредоносных приложений, хотя процесс загрузки Android-приложения — достаточно скрупулезный.
Индикаторы компрометации и подробный технический анализ - в отчете исследователей.
CYFIRMA
DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store - CYFIRMA
EXECUTIVE SUMMARY The team at CYFIRMA recently obtained suspicious Android apps hosted on the Google Play Store under the account...
Американские ученые разработали новый метод вычисления геолокации абонента путем манипуляции с SMS. Новаторскую идею обозвали Freaky Leaky SMS, которая основана на времени отправки отчетов о доставке SMS.
Собственно, в чем диковинка: центр обслуживания коротких сообщений SMSC отвечает за обработку отчетов о доставке СМС-сообщений. Его основная функция - информировать отправителя о статусе сообщения (доставлено, отклонено, принято, истек срок и т.п).
Поскольку в этом процессе возникают задержки с маршрутизацией, связанные с распространением по сетевым узлам и обработкой, фиксированный характер мобильных сетей и специфические физические характеристики приводят к предсказуемому времени прохождения стандартных сигнальных маршрутов.
Ученые были бы не ученные если бы не разработали алгоритм машинного обучения, который анализирует временные данные в этих SMS-ответах и позволяет определить местоположение получателя с точностью до 96% для местоположений в разных странах и до 86% для двух локаций в рамках одной страны.
Наверняка уже ревнивые обыватели стали потирать руки в надежде по легкому наблюдать за своей второй половиной, но увы все не так-то просто.
Ведь для того, чтобы воспользоваться этим сценарием придется сначала собрать ряд данных и четко связать между собой отчеты о доставке SMS и известное местоположение своей цели.
Далее условному проказнику нужно отправить несколько сообщений своей жертве замаскировав их, например под рекламные месседжи или вовсе отправляя, так называемые болванки или «бесшумные» сообщения, уведомления о которых не выводятся на устройстве получателя.
Ну, а дальше уже начинается наука и холодный расчёт, так как нужно измерить время доставки SMS в каждом случае и объединить данные с соответствующими сигнатурами местоположения, дабы сгенерировать полный набор данных для оценки.
В своих экспериментах авторы статьи отправляли пакеты из 20 сообщений каждый час в течение трех дней на несколько тестовых устройств в США, ОАЭ и некоторых европейских странах, охватывающих с десяток операторов с различными коммуникационными технологиями.
Как итог, используя свою модель в ряде ситуаций исследователи достигли достаточно высокой точности при оценке местоположения.
Если в целом, то атака включает в себя утомительную подготовительную работу, нетривиальную реализацию, что плохо подходит для обычного обывателя при любых обстоятельствах, так как имеет несколько практических ограничений.
Однако, по мнению специалистов, в руках «Кулибиных» она по-прежнему представляет потенциальную угрозу конфиденциальности для пользователей.
Собственно, в чем диковинка: центр обслуживания коротких сообщений SMSC отвечает за обработку отчетов о доставке СМС-сообщений. Его основная функция - информировать отправителя о статусе сообщения (доставлено, отклонено, принято, истек срок и т.п).
Поскольку в этом процессе возникают задержки с маршрутизацией, связанные с распространением по сетевым узлам и обработкой, фиксированный характер мобильных сетей и специфические физические характеристики приводят к предсказуемому времени прохождения стандартных сигнальных маршрутов.
Ученые были бы не ученные если бы не разработали алгоритм машинного обучения, который анализирует временные данные в этих SMS-ответах и позволяет определить местоположение получателя с точностью до 96% для местоположений в разных странах и до 86% для двух локаций в рамках одной страны.
Наверняка уже ревнивые обыватели стали потирать руки в надежде по легкому наблюдать за своей второй половиной, но увы все не так-то просто.
Ведь для того, чтобы воспользоваться этим сценарием придется сначала собрать ряд данных и четко связать между собой отчеты о доставке SMS и известное местоположение своей цели.
Далее условному проказнику нужно отправить несколько сообщений своей жертве замаскировав их, например под рекламные месседжи или вовсе отправляя, так называемые болванки или «бесшумные» сообщения, уведомления о которых не выводятся на устройстве получателя.
Ну, а дальше уже начинается наука и холодный расчёт, так как нужно измерить время доставки SMS в каждом случае и объединить данные с соответствующими сигнатурами местоположения, дабы сгенерировать полный набор данных для оценки.
В своих экспериментах авторы статьи отправляли пакеты из 20 сообщений каждый час в течение трех дней на несколько тестовых устройств в США, ОАЭ и некоторых европейских странах, охватывающих с десяток операторов с различными коммуникационными технологиями.
Как итог, используя свою модель в ряде ситуаций исследователи достигли достаточно высокой точности при оценке местоположения.
Если в целом, то атака включает в себя утомительную подготовительную работу, нетривиальную реализацию, что плохо подходит для обычного обывателя при любых обстоятельствах, так как имеет несколько практических ограничений.
Однако, по мнению специалистов, в руках «Кулибиных» она по-прежнему представляет потенциальную угрозу конфиденциальности для пользователей.
Reddit
From the netsec community on Reddit: Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings
Posted by nangaparbat - 182 votes and 9 comments
This media is not supported in your browser
VIEW IN TELEGRAM
И снова здравствуйте!
͏Как мы писали ранее, Exposed, пришедший на замену Breached, уходит с молотка, сам Breached торжественно вернулся.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
И по всей видимости, так и случилось.
Возвращение оказалось не долгим, обновленный BreachForums (http://breachforums[.]vc) был взломан конкурирующими хакерами, которые слили базу данных 4700 его участников.
Подлинность утечки подтверждена.
Утечка включала имена пользователей, пароли, ключи входа в систему, адреса электронной почты пользователей, статистика сообщений, и другие данные об их активности.
Кстати подкатили первые плоды аналогичной утечки, но только в отношении 478 тысяч участников RaidForums, предшественника оригинального BreachForums.
На днях Амстердамский суд приговорил, двадцатипятилетнего Эркана Сезгина, голландского хакера к 36 месяцам тюремного заключения.
Он был признан виновным в продаже взломанных данных на RaidForum, где он работал под псевдонимом DataBox.
На его счету налоговая утечка 9 миллионов австрийцев, медданные на 4,4 миллиона колумбийцев и база данных пользователей Lazada, а также еще не менее 16 баз данных, каждую из которых он продал по несколько тысяч евро.
Также ему инкриминировали фишинговые операции и отмывание более 700 000 евро в криптовалюте.
Начало положено, материала у спецслужб предостаточно. Результаты не заставят долго ждать - дальше только хардкор. Все - как мы и полагали.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
И по всей видимости, так и случилось.
Возвращение оказалось не долгим, обновленный BreachForums (http://breachforums[.]vc) был взломан конкурирующими хакерами, которые слили базу данных 4700 его участников.
Подлинность утечки подтверждена.
Утечка включала имена пользователей, пароли, ключи входа в систему, адреса электронной почты пользователей, статистика сообщений, и другие данные об их активности.
Кстати подкатили первые плоды аналогичной утечки, но только в отношении 478 тысяч участников RaidForums, предшественника оригинального BreachForums.
На днях Амстердамский суд приговорил, двадцатипятилетнего Эркана Сезгина, голландского хакера к 36 месяцам тюремного заключения.
Он был признан виновным в продаже взломанных данных на RaidForum, где он работал под псевдонимом DataBox.
На его счету налоговая утечка 9 миллионов австрийцев, медданные на 4,4 миллиона колумбийцев и база данных пользователей Lazada, а также еще не менее 16 баз данных, каждую из которых он продал по несколько тысяч евро.
Также ему инкриминировали фишинговые операции и отмывание более 700 000 евро в криптовалюте.
Начало положено, материала у спецслужб предостаточно. Результаты не заставят долго ждать - дальше только хардкор. Все - как мы и полагали.