Акция 2024: Оплачиваем написание статей на кардинг тематику. Подробности
Перейти к содержанию
Искать в
  • Ещё...
Поиск результатов, которые содержат...
Поиск результатов в...

Cortez

Модераторы
  • Публикаций

    1,052
  • Зарегистрирован

  • Посещение

  • Победитель дней

    3

Весь контент Cortez

  1. Группа исследователей в своем отчете описала атаку по сторонним каналам, направленную на очереди планировщика современных процессоров. Суперскалярные процессоры полагаются на очереди планировщика, чтобы определять расписание выполняемых инструкций. Процессоры Intel имеют единую очередь планировщика, а чипы Apple и AMD имеют отдельные очереди для каждого исполнительного блока. Процессоры AMD также реализуют одновременную многопоточность (SMT), при которой ядро ЦП разделяется на несколько логических ядер или аппаратных потоков, чтобы выполнять независимые потоки инструкций. На данный момент процессоры Apple не поддерживают SMT. Однако, если будущие процессоры Apple начнут использовать SMT, они также могут быть уязвимы для атак. Злоумышленник, работающий на том же аппаратном ядре, что и жертва, но в другом потоке SMT, может измерить конкуренцию между процессами планировщика для получения конфиденциальных данных. Другими словами, хакер может следить за тем, какие типы инструкций выполняет жертва из-за технологии разделения очередей процессов на AMD. Метод атаки получил название SQUIP ( Scheduler Queue Usage via Interference Probing ). Для демонстрации атаки исследователи создали скрытый канал, который они использовали для эксфильтрации данных из совместной виртуальной машины и совместного процесса. Их эксперименты показали, что злоумышленник может восстановить полный ключ шифрования RSA-4096. Эксперты предложили некоторые аппаратные контрмеры, которые могут быть реализованы в будущих процессорах, включая: использование единой конструкции планировщика; создание симметричных планировщиков; более строгую изоляцию аппаратных потоков в очередях планировщика. Существуют также некоторые программные средства защиты, которые могут быть реализованы приложениями или операционной системой. AMD была проинформирована об этой проблеме в декабре 2021 года. Компания присвоила ей идентификатор CVE-2021-46778 и средний уровень опасности. Согласно опубликованному бюллетеню , затронуты следующие продукты: микроархитектуры AMD Zen 1, Zen 2 и Zen 3; процессоры Ryzen, Athlon и EPYC для настольных компьютеров, рабочих станций, мобильных устройств, Chromebook и серверов. Хотя продукты Intel и Apple в настоящее время не затронуты, они также были уведомлены о проблеме. Ранее исследователи выяснили, что новые процессоры Intel раскрывают конфиденциальные данные пользователя. Атака AEPIC Leak существует из-за ошибки в архитектуре процессора, которая приводит к раскрытию конфиденциальных данных без использования какого-либо побочного канала.
  2. Согласно отчету исследователей, с апреля злоумышленники используют ботов для захвата учетных записей онлайн-аптек и незаконной продажи лекарств, которые вызывают привыкание. Общее количество украденных аккаунтов для продажи в дарквебе достигло десятков тысяч, что позволило покупателям и продавцам получить доступ к отпускаемым по рецепту лекарствам, в том числе на основе психотропных веществ. По словам экспертов, злоумышленники, стоящие за этой кампанией, мотивированы большим заработком, поскольку один оператор может зарабатывать более $25 000 на продажах. Пользователи продают рецепты на вызывающие сильную зависимость вещества. Цена за украденный аккаунт может достигать до нескольких сотен долларов. Торговые площадки предлагают учетные записи из физических и онлайн-аптек, многие из которых входят в топ-10 продавцов фармацевтики США. Киберпреступник взламывает учетные данные с помощью автоматизированных инструментов, многие из которых являются open-source инструментами и доступны бесплатно. Затем хакер извлекает информацию о рецепте, включая имя владельца учетной записи, дату рождения, номер телефона и способ оплаты лекарств. Предположительно, такие данные также могут перепродаваться на других площадках в дарквебе, чтобы помочь другим злоумышленникам.
  3. Ранее исследователи обнаружили, что оптоволоконные кабели могут использоваться в качестве датчиков для обнаружения землетрясений и наблюдения за китами. Но китайские ученые нашли им новое применение. Бо Ванг из Университета Цинхуа и его коллеги создали устройство, которое использует оптоволоконные кабели для прослушивания разговоров людей, находящихся рядом с ними. Устройство способно обнаруживать изменения в пучках света, которые происходят, когда кто-то говорит рядом с оптоволокном. Для проверки прибора исследователи произнесли фразу "сейчас девять пятнадцать" рядом с оптоволоконным кабелем, по которому передавались данные. Около 3 метров волокна подверглись воздействию звука. Оставшиеся 1,1 километра кабеля были намотаны на катушку в другой комнате, где было подключено устройство. Затем команда ученых прослушала звуковые волны, которые уловило устройство. И хотя слова не были идеально четкими, Ванг говорит, что их можно было бы сделать более понятными с помощью современных технологий улучшения речи. "Оптоволокно очень чувствительно к вибрациям, поэтому любое волокно, размещенное в здании, является своего рода микрофоном, с помощью которого можно прослушивать любые разговоры", – говорит Люк Тевеназ из Швейцарского федерального технологического института в Лозанне. Он и Маркано Олайзола независимо друг от друга исследовали это 20 лет назад, но большинство людей не знают о такой возможности, говорит Тевеназ. Но Ванг и его команда пришли к этой идее сами, когда пытались создать другой оптоволоконный датчик, но обнаружили, что звук их голосов влияет на показания. Несмотря на сложность нового устройства, Ванг говорит, что человек с инженерным образованием и достаточной решимостью может использовать такой метод для слежки за кем-то без необходимости устанавливать устройства в доме, если только где-то поблизости есть открытые оптоволоконные кабели. Однако, от этого метода прослушки можно защититься, изменив металлическое или стеклянное покрытие волокон, сделав их менее чувствительными к звуковым колебаниям. Например, когда Ванг и его команда обернули стальную проволоку вокруг волокон, устройство больше не могло улавливать звуковые сигналы.
  4. Криптобиржа KuCoin, которая входит в десятку крупнейших в мире, обвиняет своего IT-подрядчика — компанию Convexity — «во взломе серверов и неправомерном использовании конфиденциальной информации», сообщает издание RTVI. При этом Convexity свою вину отрицает и обвиняет во взломе криптобиржы субподрядчиков — компанию Wallarm, известную в сфере IT российскую компанию, которую создали выходцы из журнала «Хакер» Иван Новиков и Степан Ильин. Wallarm обвинения во взломе тоже отвергает. Судебные разбирательства между KuCoin и ее подрядчиком по обеспечению информационной безопасности — компанией Convexity начались еще 2019 года. Все стороны обвиняли друг друга в нарушении условий заключенного соглашения о предоставлении услуг по информационной безопасности. Однако KuCoin пошла дальше и выдвинула иск, в котором обвинила Convexity в «нарушении конфиденциальности, путем взлома сервера [KuCoin] и неправомерного использования конфиденциальной информации». Convexity эти обвинения в свой адрес отвергла, но обратилась с иском к Wallarm, в котором заявила, что Wallarm и лично ее основатель и гендиректор Иван Новиков ответственны за взлом KuCoin. «KuCoin утверждает, что Новиков и Wallarm неправомерно, в течение нескольких раз получили доступ к системе KuCoin без авторизации, скачали чувствительную пользовательскую информацию, исходный код, торговые данные, пользовательское ПО, алгоритмы, методы, базу данных пользователей и другую конфиденциальную информацию, принадлежащую KuCoin и/или ее пользователям, и даже пытались получить доступ к средствам клиентов — все это в обход закона, — говорится в иске Convexity. — KuCoin утверждает, что Convexity должна нести ответственность за предполагаемые правонарушения Новикова и Wallarm». Wallarm в материалах суда обвинения во взломе называет «ложными», «чрезвычайно убийственными обвинениями», которые наносят компании, известной на рынке информационной безопасности, ущерб и негативно влияют на ее бизнес и профессиональную репутацию. Компания также заявляет, что эти обвинения необоснованны и призваны лишь «засорить материалы дела», цель которого лишь «ненадлежащим образом получить деньги». Как пишет RTVI, в 2018 криптобиржа KuCoin и Convexity планировали создать совместное предприятие. Предполагалось, что KuCoin внесет в СП свою технологическую платформу для торговли криптовалютой, а Convexity будет управлять операционными и юридическими вопросами совместной компании. Перед созданием СП решили провести комплексную оценку бизнеса KuCoin и его инвестиционных рисков. Частью процесса стал пентест. К проведению пентеста Convexity привлекла лично Ивана Новикова. В августе 2018 года с ним устно заключили контракт, просто обсудив условия работы в мессенджере, а затем предоставили ему копию соглашения о проведении пентеста, заключенную между KuCoin и Convexity, и разъяснили, что работа должна соответствовать его условиям. После проведения пентеста Convexity решила продолжить сотрудничество с Новиковым и в декабре 2018-го заключила контракт с его компанией Wallarm для предоставления KuCoin услуг по информационной безопасности, предусмотренных сервисным соглашением. Wallarm должна была предоставить KuCoin свой софт Wallarm WAF, обеспечить аудит инфраструктуры, постоянную поддержку и защиту сервисов. В сентябре 2019 года сервисное соглашение между KuCoin и Convexity, а следовательно, и договор о предоставлении услуг с Wallarm, были расторгнуты. За этим последовали обращения всех компаний в суды. Convexity в октябре 2019-го обратилась в Сингапурский международный арбитражный суд с иском к KuCoin, криптобиржа затем подала встречный иск. В апреле 2020-го Convexity подала иск к Wallarm и лично Ивану Новикову в Верховный суд Калифорнии округа Сан-Франциско, а в марте 2021-го Wallarm ответила встречным иском. KuCoin в суде утверждала, что разорвала сервисное соглашение с Convexity, так как компания «существенно нарушила свои договорные обязательства». Кроме того, криптобиржа подала отдельный иск, в котором заявила, что Convexity «нарушила конфиденциальность, взломав сервер [KuCoin] и неправомерно воспользовавшись конфиденциальной информацией компании». В KuCoin также отметили, что соглашение с Convexity было «заключено под давлением», но уточнений, в чем заключалось это давление, в открытых материалах дела нет. Convexity в суде Сингапура требовала от KuCoin выплатить неустойку в размере $2,8 млн за преждевременный разрыв сервисного соглашения и отрицала обвинения во взломе, а в американском суде компания во всех проблемах обвинила своих субподрячиков — Wallarm. «KuCoin полностью потеряла доверие к Wallarm и, как следствие, к самой Convexity», говорится в заявлениях Convexity в суде. Причиной тому, по словам Convexity, стали «чрезвычайно несовершенные» услуги от Wallarm, которые заключались в «медленном реагировании, невнимательности, неправильной настройке программного обеспечения, неспособности обнаружить или предотвратить инциденты в сфере безопасности, с которыми сталкивалась команда KuCoin, а также в высоком уровне отказов программного обеспечения Wallarm». Кроме этого, Convexity предъявила претензии по поводу проведения пентеста: компания заявила, что его проводил не лично Новиков, а Wallarm — и это не было согласовано и авторизовано ни Convexity, ни KuCoin. «KuCoin утверждает, что вмешательство Wallarm в пентест было нарушением соглашения о пентесте», — говорится в материалах дела. Судебные споры между KuCoin, Convexity и Wallarm длятся третий год и на данный момент по-прежнему не завершены.
  5. Совсем недавно компания BMW начала продажу некоторых привычных для водителей опций по подписке. Южная Корея стала первым рынком, где появилась новая функция — покупатели новых немецких автомобилей могут $18 в месяц, $176 в год или $283 за три года подключить опцию подогрева кресел. На российском сайте компании также появилась информация о стоимости подписки на платные услуги. Как сообщает Vice, сразу несколько сообществ программистов готовы прийти на помощь автомобилистам и взломать систему платных подписок, после чего предоставить водителям доступ к опциям без ежемесячных выплат. Так, в компании Bimmer Tech, которая долгие годы осуществляет разблокировку опций в BMW, обещают помочь автовладельцам за небольшое вознаграждение, размер которого не называется. Кроме того, программисты могут взломать программное обеспечение машин, чтобы добавить автомобилю не предусмотренные штатно дополнительные функции. «Мы всегда прислушиваемся к нашим клиентам и находим способы активировать функции, в которых они нуждаются. Если им потребуется разблокировка подогрева сидений, варианты будут найдены», — заявил представитель компании Bimmer Tech Пол Смит.
  6. Внедрённый в Сбере Solar Dozor является крупнейшей инсталляцией в Европе — это система защиты от утечек данных, которая на текущий момент распространена на все подразделения банка и обеспечивает безопасность их информационных активов. Кроме того, система также мониторит более 250 тыс. рабочих станций. Помимо внешнего контура, Solar Dozor работает и внутри банка, защищая от утечек персональные данные клиентов и другую важную, конфиденциальную информацию. Это возможно, благодаря использования продукта класса DLP (Data Leak Prevention). DLP-система позволяет как контролировать обычную переписку, так и принимать превентивные меры по предотвращению утечек данных с компьютеров сотрудников банка. Также контролируются все централизованные каналы от утечек. Продукт обрабатывает события, информирует о возможной утечке группу быстрого реагирования и интегрирован с одним из крупнейших SOC (Security Operations Center) в мире. Проект Solar Dozor был реализован всего за шесть месяцев.
  7. Ранее был выложен кусок базы данных пользователей Delivery Club, в котором содержалось более 1 млн записей клиентов компании, делавших заказы с 24.05.2020 по 04.07.2021. Хакер утверждал что якобы в полной базе данных более 250млн строк. Сегодня неизвестный хакер выложил вторую часть базы данных, в которой содержатся персональные данные пользователей с заказами 18.10.2019 по 02.07.2021. В результате сейчас в свободном доступе находится 2,205,685 записей с заказами «Delivery Club», в которой содержится имя, номер телефона, email адрес, состав заказа и стоимость, дата и время заказа. В пресс-службе компании сообщили, что эти данные относятся к утечке, которая произошла в мае. «Новых утечек не было. Эти данные — часть утечки, которая была обнаружена нашей службой безопасности в конце мая. Delivery Club внедрил комплекс мер по повышению защищённости внутренних систем». Напомню, сегодня стало известно, что сегодня неизвестные в даркнет стали продавать оружие и амуницию , полученную в рамках военной помощи Украине.
  8. Северная Корея постоянно усиливает контроль над информацией, которую граждане могут получить из-за пределов страны. Однако, некоторым людям все же удалось обойти жесткий государственный контроль над смартфонами. Об этом сообщило информагентство Reuters. Смартфоны получили широкое распространение в Северной Корее, но лишь немногим людям разрешен доступ к интернету. Мобильные устройства в стране должны иметь правительственные приложения и другие элементы управления, которые отслеживают использование и ограничивают доступ. По словам специалистов из американской некоммерческой организации Lumen, большая часть знаний, необходимых для взлома телефонов, поступила от северокорейцев, которых отправили в Китай на работу в сфере IT. Как сообщили двое перебежчиков, им удалось обойти правительственные ограничения, прежде чем они бежали из страны. Цель взлома заключалась в том, чтобы обойти защиту телефона и получить возможность устанавливать различные приложения, фотофильтры и загружать медиафайлы, которые в противном случае были бы запрещены. Государственные инженеры Северной Кореи отреагировали на методы, описанные хакерами, и отключили интерфейс USB, используемый для доступа к телефону. Северная Корея также отключила доступ к Wi-Fi на устройствах и вновь ввела его только недавно, когда такие элементы управления, как SIM-карты, пароли и поддерживаемые устройства, были разработаны для использования Wi-Fi только в разрешенных целях.
  9. Специалисты ИБ-компании Trend Micro рассказали о недавно обнаруженной новой APT-группировке, которую они назвали Earth Berberoka (GamblingPuppet). Группировка специализируется на взломах online-казино в Юго-Восточной Азии. Кроме того, хакеры атакуют Windows, Linux и macOS-системы с помощью вредоносного ПО, которое обычно связывается с Китаем. В арсенал Earth Berberoka входят как хорошо проверенные надежные инструменты PlugX и Gh0st RAT, так и совершенно новое семейство вредоносного ПО, названное исследователями PuppetLoader. PuppetLoader представляет собой сложное, пятиступенчатое ПО, использующее весьма интересные техники, такие как перехват загружаемых модулей для запуска вредоносного кода и сокрытие вредоносной нагрузки и модулей в модифицированных BMP-файлах. PuppetLoader обладает следующим функционалом: установка интерактивной оболочки, загрузка файлов на систему, скачивание файлов с системы, завершение процессов, составление списка процессов, установка модулей, обратный вызов учетных данных и перечисление сеансов RDP. В ходе исследования специалисты Trend Micro также обнаружили версии вредоносного ПО oRAT для Windows и macOS. Примечательно, что вредонос написан на языке программирования Go. Как уже упоминалось выше, Earth Berberoka также использует хорошо известный троян для удаленного доступа PlugX, использующийся для кибершпионажа уже более десяти лет, и как минимум три разные версии не менее старого вредоносного ПО Gh0st RAT, исходный код которого есть в открытом доступе. Одна из версий Gh0st RAT оснащена интересной деструктивной функцией: заменяет главную загрузочную запись сообщением «I am virus ! F*ck you ». Кроме того, Earth Berberoka использует следующие известные вредоносные программы: Quasar RAT – троян для удаленного доступа для Windows с открытым исходным кодом; AsyncRAT – троян для удаленного доступа с открытым исходным кодом, позволяющий удаленно мониторить и контролировать устройства через зашифрованное соединение; Trochilus – незаметный троян для удаленного доступа, способный обходить песочницу, предназначенный для шпионских операций.
  10. Генеральный директор компании Kochava Чарльз Мэннинг объяснил, почему Apple усилит свое внимание к конфиденциальности пользователей, расширив Private Relay: “Эта функция может использоваться как отличный механизм для технического контроля. Поэтому я считаю, что Apple сделает Private Relay постоянно включенной, перед этим заявив о ее невероятном успехе и отличных отзывах от пользователей.” Сейчас Private Relay в основном работает с подписчиками iCloud+. Сервис обрабатывает трафик Safari и Mail и практически не работает в других приложениях. Но если верить экспертам, Apple может расширить Private Relay до уровня постоянно включенной функции, способной работать и с другими приложениями. Еще стоит помнить о том, что Apple уже выполняет переадресацию IP-адресов для всех пользователей Safari при посещении сайтов с протоколом HTTP. Переадресация выполняется вне зависимости от того, является ли пользователь подписчиком iCloud+ с включенным Private Relay или же нет. Согласно отчету VPN-сервису Mullvad, в Apple Private Relay обнаружен недостаток, позволяющий системе игнорировать правила брандмауэра. Private Relay связывается с серверами Apple, не соблюдая правила системного брандмауэра. В результате происходит утечка , которую невозможно устранить без полного отключения Private Relay.
  11. Специалисты из компании Sophos рассказали подробности о кибератаке неизвестных группировок на сети регионального правительственного агентства США. Хакеры провели более пяти месяцев в поисках нужной информации, а две или более группировок были активны в сети жертвы до того, как последняя развернула полезную нагрузку программы-вымогателя Lockbit. В течение всего периода атаки хакеры использовали браузер Chrome для поиска (и загрузки) хакерских инструментов на скомпрометированный компьютер, где они получили свой первоначальный доступ. Хотя злоумышленники удалили многие журналы событий с подконтрольных систем, экспертам удалось обнаружить некоторые цифровые следы. Как стало известно благодаря логам, злоумышленники устанавливали различные коммерческие инструменты удаленного доступа на доступные серверы и рабочие столы. Преступники предпочли инструмент IT-управления ScreenConnect, но позже переключились на AnyDesk, пытаясь обойти контрмеры ИБ-экспертов. Также были обнаружены журналы загрузки различных инструментов RDP-сканирования, эксплойтов, перебора паролей и свидетельства успешного использования этих инструментов. Исследователи выявили множество других вредоносных программ, от ПО для перебора паролей до криптомайнеров и пиратских версий коммерческого программного обеспечения VPN-клиента. Были свидетельства того, что злоумышленники использовали бесплатные инструменты, такие как PsExec, FileZilla, Process Explorer или GMER, для выполнения команд, перемещения данных с одной системы на другую и отключения процессов, которые препятствовали их усилиям. Технические специалисты, управляющие пострадавшей сетью, оставили защитную функцию отключенной после завершения обслуживания. В результате некоторые системы остались уязвимыми к атаке злоумышленников, которые отключили защиту конечных точек на серверах и настольных компьютерах. Первоначальная компрометация произошла почти за полгода до того, как следователи обнаружили взлом. Злоумышленникам повезло, поскольку учетная запись, которую они использовали для взлома через RDP, была не только локальным администратором на сервере, но также имела права администратора домена, что давало ей возможность создавать учетные записи уровня администратора на других серверах и рабочих столах. После трехнедельного перерыва злоумышленники удаленно подключились и установили инструмент Mimikatz. Первая попытка взлома была предотвращена, однако позже хакерам удалось запустить Mimikatz через скомпрометированную учетную запись. Киберпреступники также пытались собрать учетные данные с помощью другого инструмента под названием LaZagne. Более чем через четыре месяца после первоначальной компрометации поведение злоумышленников внезапно стало более четким и целенаправленным, а следы IP-адресов прослеживались до Эстонии и Ирана. Через шесть месяцев после начала атаки хакеры запустили Advanced IP Scanner и почти сразу же начали перемещение по сети на несколько конфиденциальных серверов. В течение нескольких минут злоумышленники получили доступ к множеству конфиденциальных данных.
  12. По данным ФБР, в 2021 году кибервымогательские группировки взломали сети как минимум 649 организаций критической инфраструктуры в США. Однако истинные цифры могут быть выше, поскольку бюро стало вести учет заявлений об инцидентах с использованием вымогательского ПО только в июне 2021 года. Кроме того, в отчете ФБР не учитываются инциденты, о которых жертвы не сообщали. Согласно отчету, в прошлом году из 16 секторов критической инфраструктуры в 14 хотя бы одна организация стала жертвой вымогателей. В течение всего 2021 года ФБР выпускало различные уведомления безопасности, предупреждения для частных промышленных предприятий и флэш-уведомления об угрозе вымогательского ПО. С декабря прошлого года вымогательское ПО Ragnar Locker атаковало сети как минимум 52 организаций критической инфраструктуры в США, Cuba – 49, а BlackByte – по крайней мере три. Больше всего атак в 2021 году пришлось на долю Conti (87 жертв), LockBit (58 жертв) и REvil/Sodinokibi (51 жертва). Каждая из этих трех группировок атаковала одни секторы чаще, чем другие. К примеру, Conti чаще всего атаковала критическое производство, коммерческие предприятия, продовольственный и сельскохозяйственный секторы. В свою очередь, вымогательское ПО LockBit больше использовалось в атаках на правительственные организации, медицинские учреждения и финансовый сектор. Группировка REvil/Sodinokibi чаще атаковала финансовые сервисы, IT-компании и организации здравоохранения. В нынешнем году ФБР ожидает увеличение числа атак на критическую инфраструктуру.
  13. Специалисты компании Cloudflare провели расследование взлома Okta в январе 2022 года и пришли к выводу, что компьютерные системы Cloudflare не были скомпрометированы. В январе 2022 года хакеры получили доступ к учетной записи сотрудника службы поддержки Okta и могли выполнять действия от его имени. Cloudflare узнала об инциденте от команды специалистов SIRT Cloudflare. Сразу после сообщения об инциденте компания временно отключила доступ для сотрудника Cloudflare, чей адрес электронной почты появился на скриншотах хакеров. Cloudflare также проверила каждого сотрудника, который с 1 декабря прошлого года сбрасывал пароль своей учетной записи или менял настройки многофакторной аутентификации (MFA). С 1 декабря 2021 года 144 сотрудника Cloudflare сбросили свой пароль или поменяли настройки MFA. Компания заставила их всех сбросить пароль. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access. Это позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам. В случае компрометации Okta было бы недостаточно просто изменить пароль пользователя. Злоумышленнику также потребуется изменить аппаратный токен (FIDO), настроенный для того же пользователя. В связи с этим обнаружить скомпрометированные учетные записи на основе соответствующих аппаратных ключей не составило бы труда. Несмотря на то, что логи доступны в консоли Okta, Cloudflare также хранит их в собственных системах. Это добавляет дополнительный уровень безопасности и гарантирует, что компрометация платформы Okta не приведет к изменению собранных данных. Okta не используется для аутентификации клиентов в Cloudflare, и компания не хранит данные клиентов в Okta. Она используется только для управления учетными записями сотрудников.
  14. Власти США добавили китайскую платформу обмена сообщениями WeChat и online-рынок AliExpress в свой список рынков контрафакции и пиратства, в который ежегодно попадают самые злостные нарушители прав интеллектуальной собственности и фальшивомонетчики. AliExpress (принадлежащая Alibaba Group Holding) и WeChat (принадлежащая Tencent Holdings) являются двумя значительными online-рынками в Китае, которые, как сообщается в заявлении Управления торгового представителя США, «способствуют значительной подделке товарных знаков». Управление впервые начало публиковать список в 2011 году с целью повысить осведомленность общественности и помочь операторам рынка и правительствам расставить приоритеты в усилиях по защите прав интеллектуальной собственности. В 2021 году было выявлено 42 online-рынка и 35 физических рынков, которые участвовали или содействовали существенной подделке товарных знаков или нарушению авторских прав. «Это приводит к обмену передовым опытом в отношении того, как компании могут справиться с постоянно растущей проблемой, а именно с фальшивомонетчиками и злоумышленниками, которые используют эти платформы», — отметил Роберт Холлейман (Robert Holleyman), который помогал курировать список в качестве заместителя торгового представителя США при президенте Бараке Обаме. Правообладатели отмечают значительное увеличение количества контрафактных товаров, предлагаемых для продажи на AliExpress. К ним относятся товары, открыто рекламируемые как контрафактные, и товары, специально рекламируемые как подлинные. Как сообщили представители Alibaba, компания знает о проблемах защиты интеллектуальной собственности и по-прежнему «полностью привержена продвижению нашего лидерства в этой области». Tencent, в свою очередь, категорически не согласна с данным решением, отметив, что вкладывает значительные средства в борьбу с контрафактом и нарушением прав интеллектуальной собственности. По данным Управления торгового представителя США, WeChat и Weixin (версия WeChat для Китая) считаются одними из крупнейших платформ для контрафактных товаров в Китае, с более чем 1,2 млрд активных пользователей по всему миру (по состоянию на 2021 год).
  15. Специалисты ИБ-компании SentinelLabs раскрыли деятельность APT-группы, получившей название ModifiedElephant. Группировка активна уже десять лет и действует, предположительно, в интересах правительства Индии. Она специализируется на целенаправленных атаках на активистов, правозащитников, ученых и адвокатов в Индии, и «работает» по сей день. Арсенал ModifiedElephant состоит из коммерческих троянов для удаленного доступа (RAT), и, по мнению исследователей, группировка может быть тесно связана с отраслью коммерческого шпионского ПО. С помощью фишинговых писем с вредоносным документом Microsoft Office злоумышленники заражают системы жертв вредоносным ПО NetWire (для Android), DarkComet (оба вредоноса публично доступны и уже давно используются киберпреступниками разного уровня навыков) и простыми кейлоггерами. Эти кейлоггеры написаны на Visual Basic и не являются впечатляющими с технической точки зрения. Более того, они настолько непродуманные, что в настоящее время уже не работают. Заражение системы жертвы вредоносным ПО происходит через уязвимости CVE-2012-0158 , CVE-2014-1761 , CVE-2013-3906 и CVE-2015-1641 . Целью злоумышленников является проведение продолжительных операций по сбору компромата на определенных лиц, который впоследствии можно было бы предъявить в качестве доказательств их вины в уголовных преступлениях. «Внимательно изучив вредоносные кампании за последние десять лет, мы выявили сотни групп лиц, атакованных в ходе фишинговых кампаний ModifiedElephant. Чаще остальных атакам подвергались активисты, правозащитники, журналисты, ученые и юристы в Индии», - говорится в отчете SentinelLabs.
  16. Банк России предлагает ввести запрет на выпуск, обращение и обмен криптовалют, а также на организацию этих операций на территории России. Соответствующие предложения содержатся в докладе регулятора для общественных консультаций. Так, по мнению ЦБ, майнинг на территории России создает непроизводительный расход электроэнергии, ставящий под угрозу энергообеспечение жилых зданий, зданий социальной инфраструктуры и предприятий, а также реализацию экологической повестки страны. Кроме того, это формирует спрос на инфраструктуру для проведения операций с криптовалютами, что усиливает негативные эффекты от распространения криптовалют и создает стимулы для обхода регулирования. ЦБ в докладе отмечает, что на Россию сейчас приходится свыше 11% мировых вычислительных мощностей, используемых для майнинга биткоина — в августе 2021 года страна вышла на третье место в мире по этому показателю. Увеличение же объемов добычи криптовалют, по мнению регулятора, за счет потребляемой энергии может подвергать риску другие предприятия. В качестве примера приводится Иркутская область, в которой установлены самые низкие в стране тарифы для населения. В прошлом году потребление электроэнергии выросло в ней в 1,6 раза. Количество лицевых счетов граждан с аномально высоким (более чем в 13 раз выше среднестатистического) потреблением электроэнергии возросло на 62% и на них приходится около 25% всех объемов электроэнергии в регионе. Ранее СМИ сообщали , что ФСБ России убедила главу ЦБ РФ Эльвиру Набиуллину поддержать полный запрет криптовалют, так как переводы в них якобы чаще всего используются россиянами для пожертвований в пользу «нежелательных организаций».
  17. 19-летний хакер из Германии, Дэвид Коломбо, утверждает , что смог получить доступ к некоторым функциям более чем двух десятков автомобилей Tesla в 13 странах по всему миру. Доступ был получен не из-за уязвимости в инфраструктуре Tesla, а из-за использования владельцами сторонних сервисов и ключей API. Имея доступ к 25 экземплярам Tesla, Коломбо сообщает, что может отключить режим Sentry Mode, открыть двери, открыть окна и запустить силовой агрегат при помощи дистанционного управления, и всё это без ведома водителя. Он также может видеть точное местоположение машины. Хакер подтвердил изданию Drive Tesla, что по крайней мере один из “захваченных” экземпляров находится в Китченере, Онтарио. К счастью, хакер говорит, что не собирается использовать это во вред, а хочет связаться с владельцами, чтобы они знали, как лучше защитить свои учётные записи. К сожалению, он пока не смог придумать, как это сделать. Также Коломбо подтвердил, что на данный момент он координирует свои действия с командой безопасности Tesla, чтобы оповестить пострадавших владельцев.
  18. Киберпреступная группировка FIN7 последние несколько месяцев отправляла вредоносные USB-устройства американским компаниям с целью заразить их компьютерные системы вымогательским ПО. Об этом сообщило издание The Record, в распоряжении которого оказалась копия предупреждения ФБР. «С августа 2021 года ФБР получило сообщения о нескольких посылках, содержащих эти USB-устройства, которые были отправлены американским предприятиям в сфере транспорта, страхования и обороны. Посылки были отправлены через почтовую службу США и United Parcel Service», — говорится в уведомлении ФБР. В общей сложности преступники отправляли два вида посылок. Одни были якобы отправлены от Министерства здравоохранения и социальных служб США и сопровождались письмами со ссылками на рекомендации на тему коронавирусной инфекции (COVID-19), приложенными к USB-накопителям. Другие посылки были замаскированы под бандероли от Amazon в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB-устройство. В обоих случаях пакеты содержали USB-устройства марки LilyGO. Когда получатель подключал USB-накопитель к своему компьютеру, устройство выполняло атаку BadUSB. USB-накопитель регистрировал себя как клавиатуру и отправлял на ПК пользователя серию предварительно настроенных автоматических нажатий клавиш. Нажатия клавиш запускали PowerShell-команды, которые загружали и устанавливали различные виды вредоносных программ. Таким образом киберпреступники получали административный доступ, а затем перемещались на другие локальные системы. Участники FIN7 затем использовали различные инструменты, в том числе Metasploit, Cobalt Strike, PowerShell-скрипты, Carbanak, GRIFFON, DICELOADER, TIRION, и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети. Напомню, ранее группировка уже организовывала подобные вредоносные кампании. В 2020 году FIN7 отправляла своим жертвам бандероли с подарочными сертификатами и мягкими игрушками. В бандеролях также содержались USB флэш-накопители, которые после подключения к компьютеру заражали систему бэкдором GRIFFON.
  19. Прокуратура американского штата Огайо подала иск на сумму 100 миллиардов долларов против компании Facebook, которая недавно была переименована в Meta. Такое решение правоохранители приняли в связи с алгоритмами работы корпорации в отношении детей. Претензия была подана от имени инвесторов компании, а также пенсионной системы штата, которые требуют от Meta возмещения ущерба, сообщает газета The Wall Street Journal. «Facebook утверждал, что заботится о наших детях и занимается искоренением онлайн-троллей, но в действительности он ради собственной выгоды плодил страдания и разобщал пользователей», — заявил генеральный прокурор Огайо Дейв Йотс. Согласно исковому заявлению, с 29 апреля по 21 октября 2021 года руководство Meta нарушило федеральное законодательство. Кроме возмещения ущерба, оцененного в $100 млрд, истцы требует от компании не вводить в заблуждение собственных инвесторов в будущем.
  20. Министерство иностранных дел Палестины сообщило об обнаружении на мобильных устройствах троих высокопоставленных лиц шпионское Pegasus ПО от израильской компании NSO Group и обвинило Израиль в использовании его для слежки. Заявление палестинского МИДа стало первым обвинением в шпионаже, выдвинутым палестинскими властями в адрес NSO Group, пишет Associated Press. Ранее на этой неделе шпионское ПО Pegasus было обнаружено на мобильных устройствах шести палестинских активистов, в том числе троих сотрудников общественных организаций, признанных Израилем террористическими. Израиль пока никак не комментирует обвинения палестинского МИДа. NSO Group также отказывается давать комментарии, ссылаясь на то, что компания не раскрывает своих клиентов и не владеет информацией о конкретных лицах, за которыми ведется слежка. 3 ноября 2021 года администрация президента США Джо Байдена приняла решение ограничить NSO Group доступ к американским технологиям, поскольку производимые компанией инструменты используются для "транснациональных репрессий". После внесения NSO Group в санкционный список Министерства финансов США новый генеральный исполнительный директор компании Ицик Бенбенисти отказался от занимаемой должности. Ицик Бенбенисти, ранее занимавший должность одного из со-президентов компании, был назначен ее новым гендиректором 31 октября 2021 года, но после внесения NSO Group в санкционный список Минфина США принял решение отказаться от новой должности. Сама компания пока никак не комментирует решение Бенбенисти.
  21. Сотрудники мексиканских правоохранительных органов арестовали бизнесмена по обвинению в использовании шпионского ПО Pegasus израильской компании NSO Group. Федеральная прокуратура Мексики не назвала имя подозреваемого в соответствии с презумпцией невиновности. Об этом сообщило издание The Times of Israel. Однако федеральный чиновник, не уполномоченный разглашать подобную информацию, сказал, что подозреваемым является Хуан Карлос Гарсия Ривера (Juan Carlos García Rivera). Карлос связан с компаниями Proyectos y Disenos VME и Grupo KBH. Как сообщили власти, Хуан Карлос Гарсия Ривера использовал шпионское ПО Pegasus для слежки за неназванным журналистом. «Гарсиа Ривера — технический сотрудник частной компании, которая была посредником NSO Group в Мексике и извлекала выгоду из незаконного шпионажа за общественными деятелями», — сообщил Леопольдо Мальдонадо (Leopoldo Maldonado) из британской правозащитной организации Article 19. Подозреваемый связан с компаниями, обвиняемыми в отслеживании активистов, журналистов и других лиц. Это первый арест в Мексике, связанный с использованием хакерского инструмента NSO Group. Напомним, ранее французская НКО Forbidden Stories и правозащитная организация Amnesty International обнародовали новые данные, свидетельствующие о том, что правительства десятков стран используют шпионскую программу Pegasus производства израильской компании NSO Group для слежки за журналистами, правозащитниками и диссидентами. В распоряжении специалистов оказался список, включающий более 50 тыс. телефонных номеров из базы приложения Pegasus. Журналистам удалось идентифицировать более 1 тыс. человек в 50 странах, которые, предположительно, стали потенциальными объектами слежки со стороны клиентов NSO Group. Этот перечень включает 189 журналистов, работающих на такие новостные агентства и издания как The Associated Press, Reuters, CNN, The Wall Street Journal, Le Monde и The Financial Times, более чем 600 политиков и чиновников, 85 правозащитников, 65 руководителей предприятий и несколько президентов стран. По словам высокопоставленного представителя службы безопасности Мексики, две предыдущие администрации потратили $61 млн на покупку шпионского ПО Pegasus. Две компании, связанные с подозреваемым, предположительно учавствовали в некоторых контрактах. Были обнаружены записи о 31 контракте, подписанном во время правления президентов Фелипе Кальдерона (Felipe Calderón) и президента Энрике Пеаа Ньето (Enrique Peña Nieto). Некоторые контракты могли быть замаскированы под закупку другого оборудования. Правительство заявило, что многие контракты с NSO Group были подписаны с помощью подставных компаний, которые часто используются в Мексике для осуществления откатов или уклонения от уплаты налогов. Как сообщили следователи, чиновники двух предыдущих администраций потратили около $300 млн государственных денег на покупку шпионского ПО.
  22. Специалисты компании Cisco Talos обнаружили новое вредоносное ПО Squirrelwaffle, обеспечивающее злоумышленникам исходную позицию в скомпрометированной системе и возможность загружать на нее дополнительные вредоносные программы. Squirrelwaffle распространяется в рамках спам-кампаний по заражению компьютеров Qakbot и Cobalt Strike и представляет собой один из инструментов, возникших после ликвидации ботнета Emotet сотрудниками правоохранительных органов. Впервые вредонос появился в сентябре 2021 года, и пик его распространения пришелся на конец месяца. В ходе атаки жертва получает письмо на английском, французском, голландском или польском языке. В письме содержится гиперссылка на вредоносный ZIP-архив, размещенный на подконтрольном хакерам web-сервере, а также вредоносное вложение (файл .doc или .xls), при открытии запускающее вредоносный код. В нескольких изученных специалистами вредоносных документах злоумышленники использовали в качестве наживки сервис цифровой подписи DocuSign, чтобы заставить получателей активировать макросы в пакете MS Office. Для обфускации содержащегося в них кода использовался переворот строки. Этот код записывал VBS-скрипт в %PROGRAMDATA% и выполнял его. Далее из одного из пяти вшитых URL-адресов извлекался загрузчик Squirrelwaffle, доставляемый на скомпрометированную систему в виде DLL-файла. Затем Squirrelwaffle загружал вредоносное ПО наподобие Qakbot или инструмент для проведения тестирований на проникновение Cobalt Strike. Cobalt Strike представляет собой легитимный инструмент для тестирования безопасности IT-инфраструктуры предприятий. Однако его взломанные версии пользуются большой популярностью у киберпреступников (в частности, его любят операторы вымогательского ПО). Squirrelwaffle также оснащен черным списком IP-адресов, запрещенных для атак. В него входят известные ИБ-компании, которых вредонос должен избегать во избежание обнаружения и последующего анализа. Связь Squirrelwaffle с C&C-инфраструктурой шифруется (XOR+Base64) и осуществляется через HTTP POST-запросы. В ходе кампании вредоносные файлы распространяются с предварительно скомпрометированных web-серверов, и большинство из этих сайтов работают под управлением WordPress 5.8.1. Злоумышленники развертывают на web-серверах антибот-скрипты, предотвращающие их обнаружение и анализ ИБ-специалистами.
  23. Сотрудники Федерального бюро расследований США провели обыски во флоридском офисе китайского производителя PoS-терминалов PAX Technology. Как сообщил журналист Брайан Кребс, обыски связаны с сообщениями о возможном использовании систем PAX в кибератаках на организации в США и Европе. PAX Technology – один из крупнейших в мире производителей платежных терминалов и ведущий поставщик решений и услуг для торговли. Штаб-квартира компании находится в Шэньчжэне (Китай). Согласно информации американской радиостанции WOKV, сотрудники ФБР и Министерства внутренней безопасности провели обыски на складе PAX Technology в Джексонвилле. По словам следователей, обыски проводились на основании судебного ордера в рамках федерального расследования, проводимого Министерством внутренней безопасности при участии Управления таможенной и пограничной охраны и Военно-морской службы криминальных расследований. В ФБР не прокомментировали ситуацию. Как сообщил Кребс со ссылкой на доверенные источники, ФБР начало расследование в отношении PAX после того, как некий крупный американский поставщик платежных услуг обратил внимание на странные сетевые пакеты, исходящие из платежных терминалов компании. Как оказалось, терминалы производства PAX использовались в качестве дроппера вредоносного ПО и управляющей инфраструктуры для организации атак и сбора информации. В PAX Technology не ответили на запрос Брайана Кребса по поводу сложившейся ситуации. По словам источников, два крупных финансовых поставщика в США и Великобритании уже начали изымать терминалы PAX из платежной инфраструктуры. «Мои источники говорят, что есть технические доказательства использования терминалов в кибератаках. Размеры пакетов не соответствуют платежным данным, которые они должны отправлять, и не коррелируют с телеметрией, которую эти устройства должны отображать в случае обновления программного обеспечения. Теперь PAX утверждает, что расследование расово и политически мотивировано», - сообщил источник. Собеседник Кребса не предоставил подробности о необычной сетевой активности, которая повлекла расследование ФБР.
  24. Компания Apple выпустила обновления безопасности для iOS и iPadOS, исправляющие критическую уязвимость, уже эксплуатирующуюся в реальных хакерских атаках. Уязвимость является уже семнадцатой уязвимостью нулевого дня, исправленной в продуктах Apple в нынешнем году. Проблема, получившая идентификатор CVE-2021-30883 , представляет собой уязвимость повреждения памяти в компоненте "IOMobileFrameBuffer", позволяющую приложению выполнять произвольный код с привилегиями ядра. О проблеме Apple стало известно от анонимного исследователя. Как сообщили в компании, ей "известно о сообщениях, что проблема может активно эксплуатироваться в атаках". Характер и источник этих атак, равно как и технические подробности об уязвимости, пока не раскрываются. Apple исправила проблему путем улучшения процесса обработки памяти. Исследователи безопасности Саар Амар (Saar Amar) опубликовал дополнительные подробности об уязвимости и PoC-эксплоит. По его словам, "эта поверхность атаки очень интересна, потому что она доступна из песочницы приложения (поэтому она отлично подходит для взлома) и многих других процессов, что делает ее хорошим кандидатом для эксплоитов c локальным повышением привилегий в связках". CVE-2021-30883 - уже вторая уязвимость нулевого дня, затрагивающая компонент IOMobileFrameBuffer. Первая проблема ( CVE-2021-30807 ) также представляет собой уязвимость повреждения памяти, исправленную Apple в июле 2021 года. Пользователям Apple iPhone и iPad настоятельно рекомендуется обновить свои устройства до версии iOS 15.0.2 и iPadOS 15.0.2.
  25. Правительство США требовало от Google предоставлять данные обо всех пользователях, осуществляющих определенные поисковые запросы. Подобные «ордеры на ключевые слова» могут навлечь подозрения на пользователей интернета в причастности к преступлениям. В 2019 году федеральные следователи в Висконсине искали мужчин, которые занимались противозаконной деятельностью. Пытаясь найти преступников, следователи обратились в Google с просьбой предоставить информацию обо всех, кто искал имя жертвы, два варианта написания имени ее матери и ее адрес. Сведения о данном расследовании должны были оставаться в секрете. Об ордере стало известно, поскольку Министерство юстиции США случайно раскрыло его в сентябре нынешнего года. Об этом сообщило издание Forbes, в распоряжении которого оказалась копия документа. В другом случае сотрудники правоохранительных органов запрашивали информацию о тех, кто искал адрес жертвы поджога, которая была свидетелем в судебном деле о рэкете в отношении певца Р. Келли. Google продолжает выполнять такие противоречивые запросы, несмотря на опасения по поводу их законности и потенциальной возможности привлечь к ответственности невиновных людей, которые случайно искали соответствующие термины. Эксперты в области конфиденциальности обеспокоены прецедентом, созданным такими ордерами, и возможностью того, что любой такой ордер будет нарушением защиты Четвертой поправки к Конституции США от необоснованных обысков. Такая ситуация потенциально может привести к проблемам, связанным с нарушением Первой поправки к Конституции США, гарантирующей в том числе свободу слова, и повлечь беспокойство пользователей Google о том, что их личность может быть раскрыта правительству просто на основании поисковых запросов.
×