14508
Tom Hunter news | tomhunter.ru 📔 https://dzen.ru/tomhunter 🤳 https://vk.com/tomhunter 📱 +7 (812) 677-17-05 📧 contact@tomhunter.ru Хэштеги: #OSINT #news #cve #article #decoder #anon
#news Исследователь Вангелис Стикас, выступая на BlackHat 2024, поделился успехами контррансомварь-деятельности. У группировки Everest был уязвимый сайт на WordPress. У BlackCat — незащищённые API, позволившие дампнуть команды и документацию с серверов. А в случае с Mallox с помощью IDOR был получен доступ к сообщениям в чате администратора. Итог ста часов свободного времени — деанон части злоумышленников, пара ключей шифрования для жертв и предотвращение нескольких готовившихся в январе BlackCat атак.
Стикас также отметил интересную вещь: из 135 протестированных им сайтов рансомварь-группировок уязвимы были только 3. То есть меньше 3%, в то время как у бизнеса баги он находит в 40-50%. Так что киберпреступники относятся к ИБ гораздо серьёзнее простых смертных. Понимают, шельмецы, с чем имеют дело. При этом Стикас получил предупреждения от Google, что им начали интересоваться госхакеры — это ли не лучшее признание своей работы для безопасника?
@tomhunter
#news В начале года в новостях светился оригинальный персонаж: рэппер Punchmade Dev, воспевающий киберпреступность и держащий платформу с продажей украденных аккаунтов и финансовых данных. История получила продолжение. Теперь он судится с банком, заморозившим его счёт.
Как Punchmade Dev указал в заявлении, банк незаконно отнял его 500 тысяч долларов, и всё это одна большая ошибка, включая отметку банка, что счётом интересуются правоохранительные органы. И ничем незаконным невинный клиент не занимается. Но есть нюанс. В заявлении Punchmade Dev указал свой номер телефона. И на него же зарегистрирован домен, на котором висит его новый киберпреступный магазин. Товарищ продаёт курсы по опсеку, но не в состоянии обзавестись анонимным доменом. В общем, не все киберпреступники одинаковы опасны. Некоторые существуют просто для того, чтобы Кребсу было чем развлечься в свободное от серьёзного OSINT’a время.
@tomhunter
#news CrowdStrike наняла две фирмы независимых аудиторов, чтобы проверить свой кривой код. Есть ли среди них разработчики, которых CrowdStrike уволила в начале года, прежде чем перевести разработку в Индию, не уточняется. Но результаты аудита симптоматичные.
Вкратце, в файле обновления был 21 входный параметр, в то время как код, загоняющий его в интерпретатор, поддерживал только 20. Несовпадение числа параметров пропустили при тестировании, валидации билда, стресс-тестах и предыдущих успешных случаях деплоя таких обновлений. Пока 19 июля апдейт не проинструктировал интерпретатор обратиться к отсутствующему параметру. В итоге выход за пределы массива и упавшие системы. Анализ первопричины инцидента доступен здесь. Последний оставшийся вопрос: будет ли CrowdStrike ещё существовать через полгода? McAfee после схожего инцидента в 2010-м в итоге была продана Intel.
@tomhunter
#news Proton VPN добавил оригинальную фичу в свои приложения под Android. Пользователи смогут сменить иконку на нейтральную, маскирующую приложение под погодное, записки или калькулятор. Помимо этого, под Windows перекочевала уже стандартная фича маскировки VPN-трафика под обычный. А в страны на дне списка свобод и демократии отправятся дополнительные сервера.
Сделано это всё, как водится, для помощи пользователям, обитающим в таких светочах цивилизации как Эфиопия, Йемен, Судан и прочих злачных местах. Но и тем, кому в жизни повезло чуть больше, нововведения тоже могут пригодиться. А то вдруг вы там ютубчик на непозволительных скоростях смотреть отказываетесь и занимаетесь прочими неблагонадёжными вещами, не желая на VK Видео переходить. Всё для вас, мои маленькие любители бытового экстремизма.
@tomhunter
#news В апреле брокер данных в США под брендом National Public Data, занимающийся аналогом проверок СБ, допустил масштабную утечку: 2,9 миллиарда записей на американцев. Тогда базу выставили на продажу за $3,5 миллиона, а теперь злоумышленники планируют её слить.
Журналисты запросили доступ к базе, файл массивный — 277,1GB. И предварительно данные по базе бьются, так что утечка реальна. ФИО, адреса за 30+ лет, страховые номера. В базе также информация на родителей и ближайших родственников и многое другое. Потенциально это может стать одной из крупнейших утечек в истории. По масштабам она вполне может сравниться со взломом Yahoo в 2013-м, когда утечка затронула все три миллиарда пользовательских аккаунтов на платформе. Тогда это обошлось Yahoo в $150 миллионов по судебным делам. Допустившему эту утечку брокеру данных, судя по всему, тоже стоит морально готовиться.
@tomhunter
#news Китайские госхакеры продолжают демонстрировать смекалочку в деле доставки малвари. На этот раз группировка StormBamboo скомпрометировала неназванного интернет-провайдера и отравила DNS-запросы автообновлений софта.
Группировка использовала плохо защищённые механизмы обновлений, не проверяющие цифровые подписи, и HTTP-запросы перенаправлялись на C2-сервер злоумышленников, с которого подтягивался вредонос. Инструментом для атаки стали несколько производителей софта. Так, в случае с 5KPlayer на С2 лежал модифицированный Youtube.config, сообщивший о доступном обновлении youtube-dl, которое шло с бэкдором. Отравление DNS от китайских умельцев не первый раз светится в сетевых дебрях, но механизм интересный. Подробнее об атаке в отчёте.
@tomhunter
#cve Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем.
Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте на Хабре!
@tomhunter
#news К оригинальным крипто-скамам. Мошенники изображают утечку данных криптокошельков, чтобы заманить желающих их опустошить. На опубликованном скриншоте засветили сид-фразу от кошелька с солидным кушем — миллионом долларов в Monero. При попытке же залогиниться в этот кошелёк Electrum потенциальные жертвы обнаруживали, что тот поддерживает только битки, а для доступа нужен приватный ключ. Который из сид-фразы конвертеры почему-то не вытягивают.
Что делает замечтавшийся криптовор дальше? Гуглит «Electrum Monero». И попадает на фишинговую страницу от мошенников, где под видом форка Electrum скачивает вредонос. Скорее всего, инфостилер/криптодрейнер. Судя по тому, что скам вышел на второй круг, криптоловушка сработала на отлично. Ну а в том, что без средств остаются несостоявшиеся криптоворишки, как всегда присутствует солидная доля иронии.
@tomhunter
#news Интересный прецедент и потенциальный юридический кошмар от индийской криптобиржи WazirX. Пару недель назад она потеряла $230 миллионов после взлома от неутомимых северокорейских хакеров. А теперь планирует «социализировать» потери.
Биржа заявила, что «перебалансирует» портфели клиентов, вернув им лишь 55% активов. Оставшиеся 45% пойдут на покрытие кражи. Меры коснутся даже тех пользователей, чьи кошельки не были затронуты взломом. Более того, приоритет по восстановлению активов будет у тех, кто ограничит вывод средств. У тех, кто деньги решит вывести, приоритет по возврату будет ниже. Ну а усилия по восстановлению, как сообщают, могут не увенчаться успехом и занять годы. В общем, совершенно особенная блокчейн-культура Индии. А партия может отдельно наградить криптостахановцев из Lazarus за привнесение лучших практик социализма на отдельно взятую биржу.
@tomhunter
#news Охота на крупного зверя в рансомварь-среде приносит плоды: исследователи раскрыли крупнейший известный выкуп. Неназванная компания из Fortune 50 выплатила группировке Dark Angels 75 миллионов долларов.
Выплата была зафиксирована в начале 2024-го года, блокчейн-аналитики также подтвердили её проведение. Прежним рекордом были $40 миллионов от страхового гиганта CNA после атаки Evil Corp весной 2021-го. Хотя источник нового сомнительного рекорда не назван, в феврале этого года была взломана фармацевтическая мегакорпорация Cencora, десятая в списке Fortune 50. Ответственность за атаку тогда не взяла на себя ни одна группировка, что может указывать на уплаченный выкуп. С четвертью триллиона долларов доходов представить рекордную сумму несложно. Для Cencora это так, небольшой бонус для CEO.
@tomhunter
#news Господа, горячие новости: Россия стала мировым лидером в одном из аспектов инфобеза. Но есть нюанс. Лидер мы по количеству слитых в даркнет баз данных компаний. 10% от объявлений обеспечили нам первое место, следом идут США с 8% и Китай с 6%. При этом 88% авторов утечек готовы слить их безвозмездно.
Печальная статистика объясняется ростом кибератак с «нефинансовой мотивацией», а именно хактивизмом. По информации наших специалистов, число предложений со слитыми базами выросло на 30% относительно прошлого года, на 15% — число компаний, столкнувшихся с утечками впервые. По некоторым оценкам число утёкших строк на пользователей за первые полгода составило ~200 миллионов, треть из них — данные компаний из розничной торговли. В общем, число взломов активно растёт, а бизнес по понятным причинам всё также активно сопротивляется ужесточению законов об утечке данных. Так и живём.
@tomhunter
#news В текущей версии WhatsApp вложения Python и PHP открываются без каких-либо предупреждений юзеру. Для атаки в системе должен быть установлен Python, что сужает поверхность атаки до разработчиков, исследователей и продвинутых пользователей. В то же время повышая ставки.
Интересна реакция WhatsApp. Исправлять уязвимость в компании отказались, сославшись на то, что она не на их стороне. «Мы уже предупреждаем не открывать файлы от незнакомых отправителей, этого достаточно». Если бы в WhatsApp больше взаимодействовали со средним юзером, они бы знали, что этого совершенно точно недостаточно. При этом фикс сводится к добавлению расширений в блок-лист. Так что, возможно, после шумихи в сети WhatsApp всё же исправит проблему, как было в похожем случае с Telegram весной. А пока можно по-дружески протестировать ИБ-навыки знакомых разрабов на предмет их минимальной адекватности.
@tomhunter
#news Американская ИБ-компания KnowBe4 столкнулась с кротом в своих рядах: в штат под видом сотрудника попал северокорейский госхакер. Его наняли в качестве главного разработчика, но вскоре он попался на попытке установить инфостилер на выданный ему ноутбук.
При этом шпион прошёл все проверки, рекомендательные письма подтвердили, а сам он присутствовал на четырёх собеседованиях по видеосвязи — фото в резюме совпало. На деле же была украдена идентичность гражданина США, а фото и видео на созвонах были созданы с помощью ИИ-модели. Ноут же отправился в одну из специализированных ферм в Штатах, и к нему подключались через VPN в рабочие часы по Америке. В итоге EDR-решение компании засекло попытку найти в браузерах токены и данные доступа, шпион попался, дело закрыли. Но детали операций, проворачиваемых сумрачным северокорейским гением, впечатляют. Государство-изгой на острие криптопреступности и кибершпионажа. Говорите, ваша ИБ не киберпанк?
@tomhunter
#news Недавно в России начал заметно лагать YouTube, что списали на деградацию кэширующих серверов, совершенно внезапно оставленных без обслуживания Google. Версия про резко пошедшее в отказ оборудование просуществовала недолго: Александр Хинштейн сегодня сообщил, что с YouTube можно прощаться.
До конца текущей недели скорость загрузки видео планируют снизить до 40%, к концу следующей — до 70%. Пока это якобы коснётся десктопных версий и мобильную связь предусмотрительно не затронет, чтобы россияне в отпусках могли напоследок насладиться ютубчиком. Всё это, как водится, связано с возмутительной политикой трясущихся от страха перед правдой западных русофобов и направлено на «приведение их в чувство», а не против российского пользователя. Назло Западу закроем россиянам доступ к YouTube, в общем. Хорошо, что наше правительство нас бережёт.
@tomhunter
#news CrowdStrike не перестаёт показывать чудеса управления. На очереди кризисный менеджмент. Что делает приличная компания по следам масштабного провала? Демонстрирует полную прозрачность в процессах и выписывает крупные скидки на свои продукты для восстановления репутации. Что делает CrowdStrike? Присылает партнёрам подарочные карты UberEats на 10$.
Да, мы вызвали крупнейший обвал IT-систем в истории, вот вам десять баксов, купите себе кофе и отстаньте. Более того, часть карт не работает — юзеры сообщают, что CrowdStrike отзывает их. То ли QR-коды оказались многоразовыми, то ли с ними возникли ещё какие-то накладки, но компания не справилась даже с этим, получив пиар-скандал в квадрате. Судя по всему, CrowdStrike аутсорсит кризис-менеджмент в те же края Южной Азии, что и QA, известные своей любовью к подарочным картам.
@tomhunter
#news Привет из прошлого для браузеров: раскрытая 18 лет назад уязвимость, получившая название 0.0.0.0 day, позволяет вредоносным сайтам обходить защиту в Chrome, Firefox и Safari и взаимодействовать с сервисами в локальной сети. Уязвимость не затрагивает устройства под Windows, только под Linux и MacOS.
Баг связан с тем, как браузеры обрабатывают сетевые запросы по айпишнику 0.0.0.0 и в определённых сценариях может вести вплоть до RCE. Риск не теоретический — эксплойт светится в атаках. При этом Mozilla об уязвимости сообщили ещё в 2006-м, и все эти годы мейнтейнеры закрывали-переоткрывали репорт и спорили: «Это баг? Это фича? Ни то, ни другое?» Теперь вопрос закрыт: разработчики браузеров проблему признали, и в ближайших версиях будут фиксы с блокировкой доступа к 0.0.0.0. А пока доступны костыли. Подробнее о проблеме в отчёте.
@tomhunter
#news Небезызвестный даркнет-форум WWH Club был перехвачен ФБР, во Флориде арестован его владелец. Очередной наш соотечественник, Павел Кублицкий. Другим администратором назван Александр Ходырев из Казахстана. Из дела неясно, был ли он задержан.
WWH Club был хабом для всевозможных киберпреступных активностей и насчитывал 170 тысяч юзеров. Согласно иску, ФБР получили доступ к админке и базе данных сайта. И разбирали её с гуглтранслейтом, так как админка была на русском. Кублицкий и Ходырев объявились в США в декабре 2022-го, подали на убежище, но жили на широкую ногу, соря деньгами. Между тем из дела известен адрес почты Кублицкого. И благодаря ему выяснилось, что товарищ из Омска, на него открыто несколько производств приставами, и он был одним из руководителей МММ-2011, заведовал омским филиалом. Как водится, привычка — вторая натура. От одной масштабной мошеннической операции в другую и по следам своего идейного лидера — за решётку.
@tomhunter
#news В США в работе любопытный законопроект. Сенатская комиссия по разведке предлагает приравнять рансомварь-атаки к терроризму. Злоумышленники в таком случае станут «враждебными иностранными киберпреступниками», а укрывающие их страны — «государственными спонсорами программ-вымогателей».
Сторонники закона считают, что он пошлёт важный сигнал о намерении бороться с киберпреступностью. В то же время часть экспертов сомневаются, что от него будет толк: уже обложенные санкциями страны новые вряд ли заметят, а скрывающиеся по ним злоумышленники поведения не изменят. Да и большие дяди, занимающиеся риал политик, лейблами «государство — спонсор [кибер]терроризма» разбрасываться не станут — борьба борьбой, а закулисные переговоры важнее. Так что станет ли закон переломным моментом в войне с киберпреступностью или всего лишь даст возможность товарищу Wazawaka и компании флексить статусом международного кибертеррориста, пока сказать сложно.
@tomhunter
#news ФБР на пару с немецкой полицией на выходных перехватили очередную сомнительную криптоплафторму. На этот раз под раздачу попал старичок Cryptonator. Как обычно, через него шла крипта в подсанкционные режимы, украденные киберпреступниками деньги и платежи с маркетов в даркнете.
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
#digest Опубликовали наш традиционный дайджест ключевых ИБ-новостей прошлого месяца. Главным событием июля, несомненно, стал инцидент с CrowdStrike, приведший к одному из крупнейших падений систем по всему миру в истории.
Прошлый месяц принёс и другие рекорды. Крупнейшую выплату после рансомварь-атаки, уязвимость с компрометацией Secure Boot на миллионах устройств с 2012-го года и мировое лидерство России по числу выложенных в даркнет баз данных. В июле «Лаборатория Касперского» ушла с рынка в США, а печально известная FIN7 активно прокладывала путь обратно на киберпреступную сцену. Об этом и других интересных новостях инфобеза выдавшегося очень горячим летнего месяца читайте на Хабре!
@tomhunter
#news Пятничные новости из серии «Как один маленький файлик похоронил многомиллиардную компанию». К многочисленным искам против CrowdStrike ожидаемо присоединились инвесторы: падение акций почти на 40% стоило им серьёзных финансовых потерь.
Согласно иску, компания обманула инвесторов касаемо качества софта, его надёжности и адекватности тестирования. По некоторым оценкам, дефектное обновление обошлось бизнесу в $5,4 миллиарда. Так что желающих компенсировать убытки достаточно: Delta Airlines, потерявшая полмиллиарда на отменённых рейсах, рассчитывает на компенсацию и от CrowdStrike, и от Microsoft. И хотя засудить последнюю за чужой кривой софт едва ли получится, в памяти широкой публики инцидент с Falcon Sensor, видимо, так и останется как «Упала Windows, и всё сломалось». CrowdStrike же разблокировала плохую концовку, и на горизонте маячит потенциальное банкротство. Модуль ядра и автоматическое тестирование — что могло пойти не так?
@tomhunter
#news Великобританская NCA объявила об отключении фишинговой платформы Russian Coms. Сервис был активен с 2021-го и использовался злоумышленниками для мошеннических звонков с подменой номеров.
Звонки шли от лица банков и иных организаций. В одной только Великобритании число жертв составляет ~170 тысяч, всего же с платформы звонили в 107 стран мира, нанеся ущерб на десятки миллионов долларов. Трое злоумышленников, двое из которых ответственны за разработку, были арестованы и выпущены под залог. NCA также грозит преследованием клиентам Russian Coms в ближайшие месяцы. Несмотря на говорящее название, как считается, с Россией мошеннический сервис не связан. Так что пресловутые русские хакеры и прочие лучшие сыны ИБ-отечества, триумфально возвращающиеся на родину с почётным караулом, к нему отношения не имеют.
@tomhunter
#news Утечка документов из Министерства юстиции Израиля раскрыла внутреннюю кухню разработчика Pegasus в плане взаимодействия с правительством. Очевидное-невероятное: основанная израильской разведкой компания плотно сотрудничает с государством.
Так, в 2020-м Израиль был с первых дней вовлечён в расследование по иску WhatsApp и выпустил засекреченный приказ, запретивший NSO Group передавать документы и техматериалы за рубеж без разрешения властей. Вместе с этим шёл запрет на разглашение, чтобы информация о приказе не просочилась в прессу. Иными словами, Израиль обеспечил NSO Group отговорку от требований США предоставить данные для расследования. Как утверждает WhatsApp, разработчик Pegasus активно препятствует ходу дела и не даёт доступ к внутренним документам. А разгадка проста: на его стороне играет правительство Израиля. В принципе, это мало кого удивит. Но иметь подтверждение в виде судебных ордеров — не лишнее.
@tomhunter
#news Одна запрещённая в России компания Meta пришла к соглашению с Техасом по делу о незаконном сборе биометрии пользователей. Корпорация выплатит 1,4 миллиарда долларов, что станет одним из крупнейших в истории штрафов техгигантам от регуляторов.
Соглашение стало итогом двухлетних разбирательств по следам сбора данных распознаванием лиц по фотографиям, которые пользователи загружали на Facebook. Согласно техасским законам, юзеры должны быть проинформированы о сборе данных и дать согласие, чего не было в случае с функцией Tag Suggestions, положившей начало разбирательствам. В 2021-м Meta заявила об отключении системы распознавания лиц и удалении собранных данных, а в 2015-м выплатила $650 миллионов по такому же иску в Иллинойсе, а теперь история достигла кульминации. Между тем аналогичное дело Техас ведёт против Google. Так что второй корпорации добра стоит приготовиться.
@tomhunter
#news Июль закрывает ещё одно фиаско в ИБ-софте компании, обслуживающей топ корпораций мира. Из-за уязвимости в сервисе защиты электронной почты от Proofpoint, стоящем у 87 компаний из Fortune 100, злоумышленники вели масштабную фишинговую рассылку аутентичных писем.
Спуфингу подверглись такие бренды, как IBM, Disney, Coca-Cola и многие другие. В операции использовали SMTP-сервера, а затем гнали письма через релеи Proofpoint, где те обзаводились нужными подписями и не попадали в спам. А уязвимость проста: релеи доверяли письмам от аккаунтов Office 365. Если не настроены дополнительные разрешения, от любых. Вообще. С вредоносных аккаунтов от Microsoft письма и улетали получателям. С января по июль, в среднем 3 миллиона писем в день, а на пике до 14 миллионов. Несмотря на репорты, часть аккаунтов была активна все семь месяцев. Иными словами, фишинг на качественно ином уровне. Подробнее об операции в отчёте.
@tomhunter
#news Мошенничество с помощью дипфейков продолжает набирать обороты. На этот раз крупной целью злоумышленников стала Ferrari: руководитель подразделения получил сообщения и звонки якобы от исполнительного директора компании. Мошенник завёл разговор о крупном приобретении и строжайшей секретности.
Дипфейк голоса был достаточно убедителен, вплоть до акцента. Однако собеседник заметил артефакты звука — механические интонации в голосе — и спросил у своего «руководителя», какую книгу тот ему недавно рекомендовал. На этом мошенник отключился. К секретному вторжению дипфейков публичных фигур, вроде руководителей топ-бизнеса, готовы оказываются не все. В нашумевшем случае с неназванной компанией такой звонок стоил ей $26 миллионов, так что ставки высоки, и в ИБ-программы уже входит обучение отслеживать дипфейки. Вопрос лишь в том, опередит ли оно стремительное развитие технологии.
@tomhunter
#news Месяц выдался занятным для кибербезопасности. На очереди компрометация Secure Boot на более чем 500 устройствах практически от всех крупных производителей. Проблема сводится к двум отдельным кейсам.
В первом случае в декабре 2022-го был скомпрометирован ключ платформы, которым подписаны 215 устройств. Некто работающий с производителями в Штатах оставил ключ в публичном репозитории под 4-значным паролем. Сколько он там провисел, неизвестно, но уже в январе 2023-го светился в атаках. Во втором случае больше 300 моделей также подписаны уязвимыми ключами. 21 ключ идёт со строками «DO NOT SHIP» и «DO NOT TRUST». Каким образом тестовые ключи массово попали в прод полудюжины производителей, неизвестно. Ни одна из компаний не ответила на этот вопрос, все отделались туманным копроспиком. При этом ошибка-то критическая, и Secure Boot потенциально скомпрометирован на миллионах устройств, выпущенных с мая 2012-го по июнь 2024-го года.
@tomhunter
#news Исследователи опубликовали занятный отчёт о неочевидной уязвимости в GitHub. Вкратце, данные из удалённых репозиториев остаются доступными. Навсегда и без контроля мейнтенера над тем, что лежит на серверах.
Проблема упирается в форки и возможность получить доступ к ним даже после удаления. Но это работает и обратную сторону: в сущности, пока есть форк, коммиты в прежде связанные с ним репозитории upstream/downstream остаются доступны. Вплоть до приватных: в сценарии, где у репы есть приватный форк и исходный делают публичным, к коммитам в форке, пока исходный был приватным, можно получить доступ. Всё это сводится к архитектуре GitHub и возможности напрямую выйти на коммиты через их хэши. Как сообщает компания, это не баг, а задокументированная фича. Что из этого следует? В первую очередь, что ротация API-ключей — единственная защита от их утечек, очевидных и не очень. И что техписы не зря делают свою работу, и документацию надо бы читать.
@tomhunter
#news Согласно предварительному отчёту по следам инцидента от CrowdStrike, приз за находчивость уходит тем, кто предположил, что дефектное обновление не было достаточно протестировано и подвела автоматизация.
Апдейт, положивший системы, прошёл только автоматическое тестирование и не был проверен локально на устройствах, что мгновенно выявило бы проблему. А затем из-за бага валидатор контента пропустил кривое обновление в прод. Дополнительных проверок не проводили, так как после недавних тестов и деплоя таких обновлений проблем не было. Что касается содержимого апдейта, речь шла об обнаружении вредоносных именованных каналов в С2-фреймворках. Исследователи предположили, что речь про новые фичи Cobalt Strike в релизе за пару дней до катастрофы. Иными словами, торопились с выпуском обновления под свежие угрозы и понадеялись на удачу. По итогам компания обещает ввести дополнительное тестирование, включая локальное. Увы, немного запоздало.
@tomhunter
#news Корпорация по управлению доменными именами ICANN выставила ультиматум оператору домена top. До середины августа компания должна подтвердить наличие системы для обработки фишинговых отчётов и отключения вредоносных доменов. Иначе у них отзовут лицензию на продажу доменов.
Домены первого уровня нечасто удостаиваются такого внимания от ICANN, но здесь случай особенный. Фишинговые сайты на top — одни из самых распространённых за прошлый год. Каждый 23-й домен был помечен как вредоносный и в абсолютном выражении top — в сущности главная фишинговая помойка сети. Согласно ICANN, механизмы для решения проблемы у оператора отсутствуют. И немудрено: top держит китайская фирма с 10-летней историей регистрации фишинговых доменов. Что там происходит у белых варваров в их интернетах, скорее всего, китайского регистратора заботит чуть меньше, чем никак.
@tomhunter