Новости с Black Hat USA 2020.

Исследователи из Технологического института Джорджии предcтавили доклад, в котором описали сценарий использования IoT-бот-сетей для манипуляций на энергетическом и фондовом рынках.

Злоумышленники могут захватить IoT-устройства с высоким потреблением энергии, такие как обогреватели, кондиционеры, посудомоечные машины и пр., и одновременно включая/выключая их добиться процентного увеличения или уменьшения энергопотребления. это повлияет на цены на энергетическом рынке и, соответственно, может повлиять на ситуацию на рынке фондовом.

Подобную бот-сеть ресерчеры назвали IoT Skimmer. Они считают, что трехмесячная кампания с ее использованием может принести хакерам более 20 млн. долларов в год (нам ни разу не понятно как трехмесячная кампания может принести прибыль в год, но джорджийцам виднее), а энергетический сектор США может понести до 350 млн. долларов убытков.

Остается только найти владельца посудомоечной машины, который в течение трех месяцев будет невозмутимо наблюдать как его агрегат сам по себе что-то там моет.

Интересное исследование, хотя и бестолковое.

Очередные интересные материалы с Black Hat USA 2020.

Исследователи инфосек компании CyCraft Technology представили отчет, в которой описали выявленную ими кибероперацию Химера, проводимую в 2018-2019 годах неустановленной китайской APT.

Киберкампания была направлена на производителей полупроводников, расположенных в технологическом парке Синьчжу на Тайване, - по крайней мере семь компаний и их дочерние фирмы были атакованы. Целями хакеров являлись описания микросхем, их конструкции и исходного кода, а также SDK.

Точкой проникновения в атакуемые сети злоумышленникам служили украденные учетные данные от корпоративных VPN.

В процессе атак APT использовала уникальный вредонос SkeletonKeyinjector, содержащий вставки кода из Dumpert и Mimikatz, а также Cobalt Strike, замаскированный под Google Update, в качестве основного RAT. Для эксфильтрации же украденной информации хакеры применяли подломанный архиватор RAR, названный исследователями ChimeRAR, который архивировал данные и передавал их на управляющий центр.

Однозначно операция китайских спецслужб. Потому что американские получают всю документацию от TSMC и других производителей без всяких взломов 😎

​​Пару месяцев назад мы писали про соглашение Mercedes-Benz и Nvidia о сотрудничестве в области разработки автопилота для автомобилей немецкого производителя, которое предусматривало "приобретение и добавление возможностей, программных приложений и сервисов по подписке через беспроводные соединения в течение всей жизни автомобиля". Нам тогда (как и сейчас) кажется излишним давать такой критически важной системе, как автопилот, прямой доступ в сеть.

Вчера на Black Hat USA 2020 исследователь Джиахао Ли из 360 Group рассказал о 19 выявленных уязвимостях в Mercedes-Benz E-Klasse, которые впоследствии были исправлены производителем. До момента исправления потенциально им были подвержены более 2 млн. автомобилей. Впервые об этих ошибках было сообщено в августе прошлого года и вот теперь ресерчеры раскрыли технические подробности.

Полное описание есть в сделанном докладе, мы же постараемся кратко передать его суть.

Итак, в E-Klasse есть головное мультимедийное устройство (IVI) производства Mitsubishi Electronics (которых, кстати, китайцы уже не раз ломали). "Голова" связывается с мобильным приложением Mercedes Me посредством блока управления телематикой (TCU) HERMES, который имеет в своем составе 3G/4G модем, Wi-Fi и Bluetooth модули.

Исследователи физически расковыряли HERMES и получили доступ к прошивке, где нашли инженерный режим для отладки TCU, в котором был доступ к CAN-шине автомобиля. Также они нашли в TCU пароли и сертификаты для внутреннего сервера автомобиля. В дальнейшем ресерчеры начали копать в направлении IVI и внутреннего сервера автомобиля.

В результате обнаружено:
- одна уязвимость в головной мультимедиа;
- шесть уязвимостей в HERMES;
- десять уязвимостей в серверной части;
- две уязвимости в операционной системе автомобиля.

Использование совокупности этих уязвимостей позволило удаленно:
- отпирать и запирать двери;
- открывать и закрывать крышу;
- включать/выключать свет и сигнал;
- заводить и глушить мотор.

Исследователи почему-то не считают эти возможности "доступом к критически важным для безопасности функциям автомобиля" (тут, очевидно, постаралась PR-служба Mercedes).

Но уверяем вас, если ночью на скоростном шоссе в вашем Mercedes-Benz одновременно погаснут фары, откроется крыша и включится беспрерывный сигнал, то вероятность улететь в кювет будет сильно выше нуля. А если на ж/д переезде внезапно заглохнет двигатель и заблокируются двери, то встречи с тепловозом можно и не избежать.

Ну а теперь представьте, что к этому всему прикрутили еще и автопилот...

​​Сегодня мы написали про атаки китайской APT на тайваньских производителей полупроводниковых микросхем, в частности компанию TSMC. Но для чего надо тратить серьезные ресурсы и в течение двух лет пытаться проникнуть в защищенные сети тайваньских технологических фирм? А вот для чего.

По данным BleepingComputer, исследователи Check Point обнаружили шесть уязвимостей в цифровом сигнальном процессоре (DSP) мобильной платформы Qualcomm Snapdragon. Таким образом, небезопасными являются около 40% всех смартфонов в мире (продукции Apple ошибки не касаются).

Технические подробности уязвимостей, которые уже исправлены Qualcomm, должны быть представлены Check Point в время презентации на DEF CON 2020.

А пока инфосек компания сообщает, что эксплуатация этих уязвимостей позволяет взять смартфон под полный контроль, в результате чего хакеры могут извлекать всю информацию с устройства, получать доступ к камере и микрофону, осуществлять атаку на отказ в обслуживании, внедрять неудаляемые вредоносы.

Усугубляет проблему то, что, хотя Qualcomm уязвимости исправила, каждый конкретный смартфон должен получить обновление от своего производителя. И эта операция может растянуться на долгие месяцы, в течение которых устройства останутся уязвимыми.

А при чем тут тайваньская TSMC, про которую мы написали в начале поста? Да просто на ее фабриках и производятся эти самые Qualcomm Snapdragon. И если хакерам удастся получить полную документацию по производимым чипам, то они будут в состоянии провести необходимое исследование и обнаружить потенциальные уязвимости в железе, которые традиционно намного более опасны, чем дырки в ПО.

И это хороший приз для любой стоящей за APT национальной спецслужбой.

​​В сети появились изображения интерфейса аппаратно-программного комплекса GrayKey производства американской компании Grayshift, с помощью которого американские спецслужбы ломают "невзламываемые" iPhone.

​​Мы когда вангуем про "дивный новый мир", в котором у каждого геополитического центра силы будет свой Интернет со своими онлайн-казино и dosug .cz, - мы не одиноки в своем мнении.

Уважаемые инфосек эксперты имеют аналогичное понимание ситуации.

Как сообщает наш подписчик, владельцы банковского трояна Cerberus случайно (или специально) раскрыли его исходники на хакерском форуме xss .is совместно с модератором.

В треде, посвященном трояну, модератор по просьбе топикстартера спрятал в хайд исходный код, не учтя, что все владельцы премиум аккаунтов форума могут просматривать скрытое содержимое.

Теперь исходники Cerberus оказались в паблике и нас ждет, вероятно, нашествие клонов.

Специалисты Check Point провели исследование, в процессе которого смогли проникнуть в целевую IP-сеть через "умную" лампочку Philips Hue.

По приведенной ссылке содержится очень подробный отчет, описывающий технические подробности исследования, мы же, как обычно, постараемся сберечь время подписчиков и дадим краткий обзор.

Два года назад израильские ресерчеры смогли взломать сеть "умных" лампочек Philips Hue, построенную по технологии ZigBee, специально предназначенной для подобных маломощных низкоскоростных сетей. Тогда исследователям удалось удаленно "украсть" лампочку c использованием дрона с расстояния в 350 метров, заслать на нее обновление с вредоносом и, самое неприятное, запустить с скомпрометированной лампочки IoT-червя, который был способен перемещаться на соседние "умные" лампочки, даже если они находились в другой сети ZigBee.

Philips устранили уязвимость, позволявшую червю распространяться, но остальные ошибки остались актуальными.

В этот раз израильтяне решили пойти дальше и захватить сетевой мост Philips Hue Bridge, с помощью которого управляется сеть "умных" лампочек и который подключается к Интернет. Они смогли найти новую уязвимость в мосте, связанную с переполнением буфера, а также нашли ключ, с помощью которого лампочки и мост шифруют свои сообщения.

Специалисты Check Point выяснили, что для эксплуатации выявленных ошибок им необходимо ввести в сеть новую лампочку, но это можно сделать только если пользователь целенаправленно укажет мосту Philips Hue искать новую лампочку через управляющее приложение.

В результате они разработали следующий сценарий атаки:
- одна из "умных" лампочек "крадется" ранее разработанным способом;
- цвет украденной лампочки меняется на максимально раздражающий, что побуждает пользователя думать что она засбоила, но, в целом, еще может работать;
- хакер меняет прошивку украденной лампочки и она отображается в приложении как недоступная;
- пользователь удаляет ее из сети и пытается найти еще раз, в этот момент начинается сама атака;
- поскольку украденная лампочка уже включена хакером в другую сеть ZigBee, мост не может ее найти, а вместо нее злоумышленник под видом новой лампочки подключается к мосту и заливает на него бэкдор;
- внедренный в Philips Hue Bridge вредонос подключается к управляющему центру через Интернет. Бинго, целевая сеть скомпрометирована.

Красивая и необычная атака. Опасайтесь умных домов, как на духу говорим.

Интересные материалы с DEFCON.

Исследователь Ямила Левалль из Dreamlab Technologies рассказала как она смогла обойти аутентификацию различных сканеров отпечатков пальцев.

Существуют несколько типов атак на биометрические системы. Можно проводить физическую атаку на сенсоры, а можно спуфить, подставляя сканеру поддельные отпечатки. Левалль рассмотрела как раз тонкости спуфинга.

Как оказалось, сканеру отпечатков пальцев не обязательно отслеживать весь набор индивидуальных особенностей конкретного человека в процессе функционирования - ему достаточно основных папиллярных узоров.

Левалль использовала относительно недорогой фотополимерный 3D-принтер Anycubic Photon (в России стоит около 30 тыс. рублей), который позволяет печатать с толщиной слоя в 25 микрон, в то время как гребни отпечатков пальца имеют высоту от 20 до 60 микрон.

Сначала ресечерка (да, мы в феминистическом тренде) скрытно сделала цифровой снимок отпечатка пальца с помощью режима макросъемки и улучшила его цифровым способом. Затем на основании снимка была создана трехмерная модель в TinkerCAD.

На последнем этапе на 3D принтере были распечатаны несколько отпечатков пальца. Основной проблемой являлся подбор правильной длины и ширины, поскольку делать точные измерения на натуре на было возможности. С десятой попытки удалось создать достаточно точную копию, чтобы можно было обмануть сканеры отпечатков.

Так что в ближайшей перспективе фокусы супершпионов из голливудских боевиков с подделкой отпечатков пальцев можно будет проворачивать в домашних условиях. Ну, или через сеть за небольшую плату в BTC.

Разработчики Threema объявили о запуске сервиса видеозвонков в своем мессенджере. При этом обещают полноценное сквозное шифрование и еще что-то ненужное.

С учетом того, что предлагающие подобную функцию мессенджеры "не до конца" приватны, а, например, в том же Signal видеозвонки отсутствуют, это очень неплохая новость.

(хотя, если честно, Threema мы тоже полностью не доверяем)

В инфосек среде активно обсуждают опубликованное на Medium расследование в отношении выходных узлов Tor.

Согласно его материалам, в конце мая этого года, на пике, более 23% (!) выходных узлов Tor контролировалось одним злоумышленником/группой злоумышленников (ясно, что при частом использовании Tor вероятность попадания на "вредоносный" выходной узел резко увеличивалась).

Поскольку выходной узел является единственным в цепочке Tor-узлов, на котором виден клиентский трафик в незашифрованном виде, то злоумышленники могли использовать подконтрольные узлы для атаки "Man-in-the-middle", чтобы модифицировать проходящий трафик в своих интересах. По данным исследователей, хакеры выборочно убирали перенаправление HTTP-to-HTTPs (т.н. SSL stripping), после чего заменяли BTC-кошельки в проходящих через них криптотранзакциях на свои.

Обращает на себя внимание тот факт, что хакеры продемонстрировали способность восстановления своей вредоносной инфраструктуры после проводимых администрацией Tor чисток. На данный момент, по оценкам исследователей, злоумышленники контролируют до 10% выходных узлов Tor.

Евгений Валентинович Маск наносит ответный удар!

Вчера ФАС признала, что компания Apple злоупотребляет доминирующим положением на рынке распространения приложений. Купертиновцам будет выдано предписание об устранении нарушения.

Всю историю, которая объясняет из-за чего начался сыр-бор, Касперские приводят в своем блоге.

В двух словах, в марте ЛК подали жалобу в ФАС из-за выпущенного в 2019 году Apple запрета на использование конфигурационных профилей в Kaspersky Safe Kids, которая до этого три года спокойно висела в AppStore. Касперские связали это с запуском функции Screen Time, которая появилась в iOS 12 и которая частично дублировала функционал Kaspersky Safe Kids.

Они не одиноки в своей боротьбе с Apple - с похожими жалобами в Еврокомиссию обратились разработчики приложений родительского контроля Kidslox и Qustodio. Жаловалась в Еврокомиссию и Spotify.

Apple, понятное дело, не согласились с решением ФАС и заявили, что планируют его обжаловать.

Они такие смелые потому, что просто не знают какие страшные у нас регуляторные органы. Смотрите, Apple, допрыгаетесь до штрафа в миллион рублей, вся EBITDA коту под хвост!

​​Определенно, крылатая фраза Черномырдина "Никогда такого не было, и вот опять" является отраслеобразующей в информационной безопасности.

Помнится совсем недавно был небольшой скандал, связанный с нарушением приватности пользователей компанией Apple. Тогда бывший субподрядчик Apple, который разрабатывал ПО для прослушивания записей Siri, сообщил европейским регуляторам что Apple записывает аудио со всех устройств - iPhone, Apple Watch и iPad, - вне активации Siri, а затем пересылает аудиоданные на сервера компании.

Теперь аналогичная история случилась с Google.

В августе некоторые из пользователей Reddit сообщили, что умная колонка Google Home внезапно стала присылать им уведомления о срабатывании в доме детектора дыма или разбитии стекла. При этом, команда активации типа "Ok, Google" пользователем не подавалась.

Google пояснили, что это произошло в результате сбоя после обновления ПО для производимых ими умных колонок. Дело в том, что в мае был запущен сервис Nest Aware, в рамках которого умные устройства Google реагируют на любые "критические" звуки в доме и оповещают пользователя. А в результате апдейта некоторые из пользователей были случайно подключены к этому сервису без их уведомления.

Мы допускаем версию Google, только с некоторыми исправлениями. Скорее всего, умные колонки Google и не прекращали писать все звуки подряд. Просто серверная часть сервиса Nest Aware засбоила и стала реагировать на критические звуки для некоторых пользователей, которые не были подписаны.

Вот такая приватность, товарищи. Кстати, в Яндекс Станциях в настройках по умолчанию включена опция Помогать Алисе стать лучше, которая подразумевает анонимную передачу специалистам Яндекс голосовых и текстовых сообщений, которые пользователь отправляет Алисе. Скорее всего, речь идет о командах, которые пользователь отдает Алисе целенаправленно, хотя кто знает...

Ваш телефон - шпионское устройство

В 2017 году на Wikileaks утекла информация о том, что ЦРУ могут скрытно активировать камеру и микрофон любого девайса под управлением iOS или Android. Наши смартфоны — полноценные шпионские устройства, которые мы добровольно носим с собой каждую секунду, делясь самыми интимными подробностями своей жизни.

Об этом и многом другом пишут на Эксплойте. Это один из лучших каналов по кибербезопасности в Telegram, где автор рассказывает о самых изощренных способах отслеживания людей в интернете, на которые вы 100% попадались, но даже не знали об этом.

А недавно там вышел пост о том, как защитить свой смартфон от нежелательной прослушки.

Подписывайтесь и оставайтесь на страже своей безопасности и анонимности в интернете.
➡️ Эксплойт

И помните, что «За безопасность необходимо платить, а за её отсутствие - расплачиваться» (Уинстон Черчилль)

Очередной оператор ransomware - Avaddon - запустил сайт, на котором планирует публиковать украденные данные в случае если жертва не заплатит выкуп.

Напомним, что мода на открытую публикацию краденной информации появилась у вымогателей в конце прошлого года, когда самый, пожалуй, активный и продвинутый оператор Maze, работающий по схеме Ransomware-as-a-Service, первым запустил подобный сайт и широко сообщил об этом.

Остается признать, что подобное поведение стало мейнстримом среди операторов вымогателей и скоро вообще все вымогатели, включая WastedLocker от Evil Corp., будут в обязательном порядке красть данные перед шифрованием. А возможно часть ransomware вообще откажется от шифрования, как от ненужного атавизма.

А вот эффективного механизма противодействия, кроме надежной защиты внешнего периметра, пока не придумали.

Расследующий деятельность APT Twitter-аккаунт blackorbird, за которым, судя по всему, стоят китайские инфосек эксперты, опубликовал пост со ссылкой на проведенное специалистами китайской инфосек компании Antiy расследование кибершпионской активности APT-C-01. Мы полезли посмотреть и немного зависли.

Дело в том, что APT-C-01 нам неизвестна. И большинству западных инфосек экспертов тоже. А вот в Китае, судя по всему, у нее богатая история. Достаточно сказать, что из шести найденных нами наименований группы - 3 на китайском, а остальные, в том числе и APT-C-01, даны китайскими инфосек компаниями. Мы же будем использовать обозначение PoisonVine.

Еще более интересным является место происхождения хакерской группы - Тайвань. А наиболее ранняя активность APT датируется 2007 годом. Видимо поэтому, а также по причине того, что работает группа преимущественно по Китаю, в западном инфосек сообществе ее не особо знают.

Завтра мы постараемся дать более подробный разбор кибершпионских операций PoisonVine, а сегодня хотелось бы сделать еще одну заметку.

В одном из китайских отчетов 2018 года мы нашли следующую фразу - "в последние несколько лет Antiy внимательно отслеживала атаки различных APT против Китая, таких как White Elephant или Equation".

Ой, вэй, подумали мы, таки в нашем кибуце будет дискотэка. Ведь раньше о деятельности Equation против Китая ничего не было известно, хотя мы и предполагали, что при запрете американцами Huawei без АНБшных хакеров не обошлось.

Понятно, что китайский инфосек - это вещь в себе, чем-то похожий на горизонт вероятности черной дыры. То есть какая-то информация, конечно, оттуда доносится, но в формате излучения Хокинга - мало и хрен чего поймешь. А тут прямое свидетельство того, что китайцы отслеживают Equation, хотя в остальном мире их потеряли.

Будем смотреть дальше, вдруг чего еще найдем.

#APT #APTC01 #PoisonVine

Вчера Microsoft выпустила очередное месячное обновление безопасности, в котором исправила 120 уязвимостей, 17 из которых получили наивысший рейтинг критичности, а две являются уязвимостями нулевого дня.

Первая 0-day уязвимость CVE-2020-1464 касается механизма проверки подписи файлов Windows и при эксплуатации позволяет злоумышленнику загрузить некорректно подписанный файл. Технические подробности не доступны.

Вторая 0-day, CVE-2020-1380, была выявлена Касперскими и находится в механизме обработки скриптов Internet Explorer. При этом, поскольку этот механизм используется и другим ПО от Microsoft, например, Office, ошибке подвержены и эти продукты. Уязвимость позволяет хакеру удаленно выполнить произвольный код и была найдена в дикой природе (то есть хакеры использовали ее в реальных атаках).

Как всегда, всем используемым продукты Microsoft необходимо срочно обновиться.

И вчера же Adobe выпустили обновление безопасности для Adobe Acrobat и Reader, в котором исправили 26 уязвимостей, 11 из которых являются критическими.

И целых девять уязвимостей при эксплуатации приводят к удаленному выполнению кода со стороны хакера.

Опять же, всем желательно срочно обновить уязвимое ПО.

Небольшое дополнение к сегодняшнему посту про закрытые Microsoft 0-day уязвимости, одна из которых была найдена Касперскими в дикой природе.

Поскольку апдейт безопасности был вчера выпущен, ЛК опубликовали подробности в отношении найденной уязвимости.

Оказывается, ее эксплойт был обнаружен в мае этого года в ходе атаки, которую Касперские назвали Operation PowerFall. Тогда под ударом оказалась компания из Южной Кореи.

В качестве возможного автора атаки они называют APT DarkHotel. И вот тут интересно - похоже, что Касперские считают DarkHotel северокорейской хакерской группой. Хотя ряд инфосек вендоров, включая китайцев, которых DarkHotel регулярно атакуют, полагают, что эти хакеры родом из Сеула (сами мы склоняемся ко второй версии).

В любом случае это лишний раз подтверждает тот факт, что прогосударственные APT вовсю используют 0-day уязвимости в своих атаках.

Мы позавчера обещали дать краткий обзор деятельности APT-C-01 она же PoisonVine и GreenSpot, которую мы обнаружили в обзорах китайского инфосека. Выполняем.

Кстати, интересный факт, по классификации китайского инфосек вендора Qihoo 360, которому принадлежит формат "APT-C-xx" обозначения хакерских групп, гордое наименование APT-C-00 принадлежит вьетнамской Ocean Lotus (мы про них писали вот тут). Видимо, это первая прогосударственная хакерская группа, которую Qihoo 360 обнаружили. Ну, или самая грозная с их точки зрения.

Вернемся к APT-C-01. Достоверных сведений когда ее активность впервые была обнаружена мы, к сожалению, не нашли. Китайская Antiy утверждает, что первые признаки возможной деятельности PoisonVine относятся к 2007 году. Тогда неизвестный актор атаковал китайские ресурсы с использованием переписанных под свои нужны opensource инструментов и бесплатного ПО. К примеру, для упаковки украденной информации хакеры использовали модифицированный RAR (кажется, где-то недавно мы подобное встречали). Целью атак являлся сбор информации с скомпрометированных систем.

Несмотря на невысокий технический уровень, хакеры профессионально владели навыками социальной инженерии, а в качестве приманок использовали качественно подготовленные документы на основе взятых из официальных китайских источников.

Вторая волна активности, которую уже уверенно приписывают PoisonVine, началась в 2011 году. Основным методом атак тайваньских хакеров являлся целевой фишинг, а основными целями - китайские правительственные учреждения и НИИ, связанные с оборонкой и авиацией. На этот раз навыки PoisonVine выросли, они уже использовали свежие уязвимости, полноценные RAT с функционалом infostealer'а.

Появились у них и свои авторские методики сокрытия вредоносов от антивирусного ПО. К примеру, используя CVE-2012-0158, затрагивающую Microsoft Office и приводящую к RCE, хакеры стали прятать эксплойт не в документ RTF, как это делалось другими злоумышленниками, а в файлы MHT, что затрудняло его обнаружение.

Другую уязвимость, CVE-2014-4114, затрагивающую линейку ОС Windows и также приводящую к удаленному выполнению кода в атакованной системе, PoisonVine применяли еще до ее обнаружения в октябре 2014 года. Либо тайваньцы купили данные о ней, либо первые ее обнаружили.

В любом случае, их уровень существенно вырос.

В 2017 году PoisonVine провели очередную мощную фишинговую киберкампанию против китайских ресурсов. Они вовсю использовали популярные кибершпионские трояны Poison Ivy и Gh0st, а также бэкдоры ZXShell, переписанные под разные виды целей и с дополнительным функционалом для скрытия от антивирусов.

В качестве ключевых слов для старта сбора информации выступали "армия", "война" и пр. (всего двенадцать терминов), что дает четкое представление о направленности тайваньских хакеров.

В 2018-2020 годах APT-C-01 провела очередную кибероперацию против китайских правительственных и исследовательских учреждений. Основным методом опять же являлся целевой фишинг, направленный на получение учетных данных пользователей, в частности для взятия под контроль их почтовых ящиков.

В этот раз хакеры допустили достаточно много ошибок, которые позволили с достаточной долей вероятности идентифицировать их, как принадлежащих к Тайваню - тайваньский вариант китайского языка, использовавшийся в шрифтах по умолчанию и комментариях в коде вредоносов, несколько неспрятанных IP-адресов, ведущих в Тайбэй и пр.

Остается добавить, что среди тайваньских спецслужб есть две, которые могут потенциально играть роль кураторов PoisonVine. Первая - Бюро военной разведки (MIB) Минобороны, а вторая - 5 Департамент Бюро национальной безопасности (NSB). И если в пользу первой может свидетельствовать заинтересованность хакеров в военной тематике, то аргументом за второй вариант является тот факт, что NSB официально сотрудничает с АНБ, которая могла стать источником использовавшихся PoisonVine 0-day эксплойтов.

#APT #APTC01 #PoisonVine #GreenSpot

Сегодня Check Point сообщили, что смогли взломать виртуального помощника Amazon Alexa, аналог яндексовской Алисы. Сообщалось, что продано 200 млн. устройств на базе Alexa, существенная часть которых являются компонентами умного дома.

Amazon заявляет, что Alexa работает на основе искусственного интеллекта. Пользователи могут расширить ее возможности, установив т.н. skills - дополнительные функции, разработанные сторонними поставщиками.

Через это механизм skills исследователи и взломали Alexa.

Некоторые поддомены Amazon оказались уязвимы перед неправильной конфигурацией CORS (совместно использование ресурсов между разными источниками) и межсайтовым скриптингом (XSS). Как следствие, ресерчеры смогли перехватить учетные данные пользователя Alexa и внедрить на пользовательское устройство вредоносный код под видом одного из "умений".

Для реализации атаки оказалось достаточно, чтобы пользователь перешел по вредоносной ссылке, присланной ему хакерами.

Какие же данные смогли получить исследователи с взломанной Alexa? Историю голосовых команд, личную информацию жертвы, а также технические данные скомпрометированного устройства.

Уязвимости были найдены Check Point в июне и к настоящему времени уже исправлены Amazon.

Между тем мы всегда говорили, что чем больше свистелок будет прикручено к сети, тем больше угроз информационной безопасности будет возникать. Вот увидите, мы еще станем свидетелями восстания пылесосов и умных соковыжималок.