2651
~~~~~~~~~~~~~~~~~~~~~~~~ Секреты операционных систем, малоизвестные программы и новости о вирусах и уязвимостях! • По рекламе: @boyko9 ~~~~~~~~~~~~~~~~~~~~~~~~
Админы «пуленепробиваемого» хостинга признали себя виновными
Четырем выходцам из Восточной Европы грозит до 20 лет тюремного заключения по обвинениям в рамках Федерального закона о противодействии рэкету и коррупции. Два гражданина России, а также граждане Литвы и Эстонии уже признали себя виновными в администрировании «пуленепробиваемого» хостинга, которые использовался для преступных операций, нацеленных на американские организации.
Хостинг, название которого не разглашается, был основан гражданами России Александром Гричишкиным и Андреем Скворцовым, которые затем наняли литовца Александра Скородумова и эстонца Павла Стасси в качестве системного администратора и руководителя, соответственно. Сами Гричишкин и Скворцов занимались маркетингом, управлением персоналом и поддержкой клиентов, тогда как Скородумов и Стасси поддерживали в рабочем состоянии все системы и помогали клиентам – операторам ботнетов и малвари.
Министерства юстиции США пишет, что хостинг предоставлял киберпреступникам инфраструктуру, которую те использовали для проведения вредоносных кампаний в период с 2008 по 2015 год.
•«Группа арендовала IP-адреса, серверы и домены для своих клиентов-киберпреступников, которые затем использовали эту инфраструктуру для размещения вредоносных программ, необходимых для получения доступа к компьютерам жертв, формирования ботнетов и кражи банковских учетных данных с целью последующего мошенничества, — гласит заявление Минюста. — Вредоносное ПО, размещенное данной компанией, включало Zeus, SpyEye, Citadel и Blackhole Exploit Kit, которые в период с 2009 по 2015 год постоянно атаковали американские компании и финансовые учреждения, причиняя или пытаясь причинить убытки, исчисляющиеся миллионами долларов».
Также хостинг оказывал клиентам другие услуги, включая регистрацию новой инфраструктуры с использованием фиктивных или ворованных личных данных, чтобы хакеры могли обойти блокировки правоохранительных органов и проводить атаки, избегая обнаружения.
•«На протяжении многих лет обвиняемые способствовали транснациональной преступной деятельности и работали с обширной сетью киберпреступников по всему миру, предоставляя тем анонимное убежище для их преступной деятельности. Это привело к потерям миллионов долларов среди пострадавших в США», — говорит специальный агент ФБР Тимоти Уотерс.
Приговоры Стасси, Скородумову, Гричишкину и Скворцову будут вынесены 3 июня, 29 июня, 8 июля и 16 сентября текущего года. Каждому из четырех обвиняемых грозит максимальное наказание в виде 20 лет лишения свободы.
Microsoft пропатчила 55 уязвимостей, включая три бага нулевого дня
Майские обновления для продуктов Microsoft содержат исправления для 55 уязвимостей, четыре из которых классифицированы как критические, еще пятьдесят помечены как «важные», и один баг имеет умеренную степень опасности.
Три патча из этого «вторника обновлений» представляют собой уязвимости нулевого дня. То есть данные об этих проблемах были публично раскрыты до выхода патчей, однако пока не сообщается, об эксплуатации этих уязвимостей хакерами:
•CVE-2021-31204: повышение привилегий в .NET и Visual Studio;
•CVE-2021-31207: обход защиты Microsoft Exchange Server (показана на Pwn2Own 2021);
•CVE-2021-31200: RCE в Common Utilities (относится к инструментарию Microsoft Neural Network Intelligence).
Сообщается, что наиболее серьезная из 55 уязвимостей может быть использована для удаленного выполнения произвольного кода.
Вышеупомянутые критические баги, это: CVE-2021-31166 (удаленное выполнение кода в стеке протокола HTTP), CVE-2021-28476 (удаленное выполнение кода через Hyper-V), CVE-2021-31194 (удаленное выполнение кода через OLE) и CVE-2021-26419 (повреждение информации в памяти).
Также в этом месяце регулярные патчи и обновления представили и другие компании:
Adobe представила обновления для Adobe Creative Cloud Desktop, Framemaker и Connect, исправив 0-day в Adobe Reader;
Майские обновления безопасности для Android были опубликованы на прошлой неделе;
Apple выпустила обновления безопасности для iOS, macOS, iPadOS, watchOS и Safari, где устранила активно эксплуатируемые баги в Webkit;
Cisco выпустила обновления для множества своих продуктов;
SAP представила пакет майских обновлений;
VMware тоже обнародовала майский пакет патчей.
В 2020 году из App Store удалили более 95 000 мошеннических приложений
Компания Apple поделилась статистикой за 2020 год: за это время из-за нарушений и участия в различном мошенничестве (включая спам, обман и нарушение конфиденциальности) Apple удалила или не позволила разместить в App Store сотни тысяч приложений.
Так, в прошлом году компания не допустила в App Store около 200 000 приложений, которые либо содержали скрытые функции, либо были признаны спамерскими, имитаторскими и пытались заставить пользователей совершать покупки.
Еще 95 000 приложений были удалены за нарушения правил App Store. В основном речь идет схеме bait-and-switch, когда функциональность приложения кардинально меняется (обычно для совершения вредоносных действий) уже после его утверждения в App Store.
«Только за последние месяцы Apple отклонила или удалила приложения, которые изменили свою функциональность после первоначальной проверки. Они превращались в приложения для азартных игр на реальные деньги, грабительские эмитенты займов и порно-хабы; использовали сигналы внутри игр для облегчения покупки наркотиков; вознаграждали пользователей за трансляцию незаконного и порнографического контента через видеочаты», — рассказывают в компании.
Также в 2020 году команда Apple App Review не позволила разместить в App Store более 215 000 приложений, которые собирали больше пользовательских данных, чем необходимо, или неправильно обрабатывали собранные данные.
Кроме того, компания заявляет, что попытки мошенничества в App Store могут распространяться и за пределы самих приложений, то есть мошенничество может быть связано с рейтингами и обзорами, учетными записями разработчиков и пользователей, а также финансовыми транзакциями. В итоге из App Store удалили 250 000 000 оценок и отзывов, заблокировали 470 000 учетных записей разработчиков и отклонили еще 205 000 попыток регистрации из-за подозрений в мошенничестве. Также было деактивировано 244 000 000 учетных записей пользователей и отклонено 424 000 000 попыток создания учетных записей (тоже из-за подозрений в мошенничестве и возможных злоупотреблениях).
Apple заявляет, что в прошлом году ей удалось предотвратить потенциально мошеннические транзакции на сумму более 1,5 миллиарда долларов. Компания выявила попытки использования примерно 3 000 000 украденных карт и повторно запретила совершать транзакции примерно для 1 000 000 счетов.
Из-за взлома Codecov произошла утечка исходного кода Rapid7
Представители Rapid7 сообщили, злоумышленники получили доступ к исходному коду компании после недавнего взлома онлайн-платформы для тестирования ПО Codecov. Ранее о компрометации из-за этой атаки на цепочку поставок также сообщали разработчики софта из компании Hashicorp, облачный провайдер Confluent и сервис голосовых вызовов Twilio.
Напомню, что в январе текущего года неизвестные злоумышленники сумели скомпрометировать Codecov и добавили сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа. При этом взлом был обнаружен только 1 апреля 2021 года.
Хакер получил доступ к скрипту Bash Uploader 31 января и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Точкой входа для злоумышленника стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила хакеру извлечь учетные данные, необходимые для внесения изменений в Bash Uploader.
На этой неделе представители Rapid7 заявили, что в компании использовался всего один экземпляр Codecov Bash Uploader, который применялся «на одном CI-сервере для тестирования и создания ряда внутренних инструментов для службы Managed Detection and Response». Однако злоумышленникам хватило и одного сервера.
«Неавторизованная сторона получила доступ к небольшому подмножеству наших репозиториев с исходным кодом для внутренних инструментов MDR. Эти репозитории содержали внутренние учетные данные, которые уже были обновлены, а также данные, связанные с предупреждениями, для ряда наших клиентов, использующих MDR», — гласит заявление компании.
Хотя известно, что злоумышленники обращались к исходному коду компании, сообщается, они не изменяли исходники и не вмешивались в работу прочих корпоративных систем и производственных сред.
Похоже, Rapid7 пострадала из-за взлома Codecov сильнее других компании. Так, ранее сообщалось, что Hashicorp пришлось сменить приватный ключ GPG; в случае Confluent хакеры получили доступ к учетной записи GitHub, доступной только для чтения; а Twilio заявила, что доступа к конфиденциальным данным злоумышленники не получили вовсе.
Впрочем, еще в прошлом месяце ИБ-эксперты предупреждали, что взлом с Codecov мог затронуть сотни или даже тысячи компаний, однако обнаружение и расследование этих вторжений может занять недели и месяцы.
Исследователи пишут, что такой метод передачи информации отлично подходит для загрузки показаний сенсоров и других данных с IoT-устройств; для извлечения данных из закрытых и изолированных от интернета систем; а также может ударить по кошельку ближайшего пользователя iPhone из-за большого количества переданных данных и множества уникальных открытых ключей. Дело в том, что передача большого количества уникальных открытых ключей значительно увеличивает объемы мобильного трафика, так как размеры отчетов превышают 100 байт.
При этом атаку Send My, конечно, вряд ли назвать высокоскоростной. Так, скорость отправки данных в среднем составляет примерно 3 байта в секунду, хотя можно достичь и более высоких скоростей. Также передача данных происходит с задержкой от 1 до 60 минут, в зависимости от количества находящихся поблизости устройств Apple.
Тем не менее, Бройнлейн считает, что с помощью атаки Send My, по сути, можно создать аналог Amazon Sidewalk (IoT-сети Amazon) на базе сетевой инфраструктуры Apple. По его мнению, в целом эту угрозу нельзя назвать новой, учитывая существование глобальных мобильных и спутниковых сетей, которые можно использовать для передачи данных. Однако Send My может быть особенно полезна для извлечения данных из закрытых систем и сетей.
Для защиты от подобных атак эксперты рекомендуют Apple реализовать аутентификацию BLE advertising’а (в настоящее время нет разницы между реальными и спуфинговыми AirTags), а также ограничить частоту получения отчетов о местоположении.
Colonial Pipeline заплатила вымогателям 5 000 000 долларов
В конце прошлой недели крупнейший в США оператор трубопроводов, которая Colonial Pipeline, которая занимается транспортировкой топлива, пострадала от атаки шифровальщика DarkSide. Из-за атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки, а в ряде штатов был введен режим ЧС.
Инцидент вынудил Colonial Pipeline временно приостановить работу, а компания транспортирует нефтепродукты между нефтеперерабатывающими заводами, расположенными на побережье Мексиканского залива, и рынками на юге и востоке США. В день по трубопроводу компании, чья протяженность составляет 5500 миль, проходит до 2 500 000 баррелей, то есть примерно 45% всего топлива, потребляемого на Восточном побережье США.
14 мая 2021 года Bloomberg, со ссылкой на собственные анонимные источники, сообщил, что компания выплатила вымогателям выкуп в размере 5 000 000 долларов США. Хотя ранее Washington Post и Reuters писали, что компания не намерена вести переговоры со злоумышленниками, Bloomberg заявляет, что эта информация не соответствовала действительности.
Причем, по данным издания, утилита для дешифрования данных, которую хакеры в итоге предоставили Colonial Pipeline, работала так медленно, что специалисты компании были вынуждены продолжить ранее начатое восстановление систем из резервных копий.
Интересно, что представители Colonial Pipeline сообщили, что компании действительно удалось восстановить штатную работу своего трубопровода, и теперь поставки нефтепродуктов возобновлены в нормальном объеме.
Сообщения возможной выплате выкупа Colonial Pipeline «в настоящее время не комментирует».
В Docker Hub нашли 30 вредоносных образов с криптовалютными майнерами
Специалисты Palo Alto Networks обнаружили 30 вредоносных образов в официальном репозитории контейнеров Docker. «Находки» специалистов были загружены более 20 000 000 раз и занимались скрытым майнингом криптовалюты.
Эксперты пишут, что эти вредоносные образы происходили с 10 разных аккаунтов, и большинство из них были доступны в Docker Hub на момент публикации исследования. Названия некоторых образов ясно давали понять, какова их цель, тогда как названия других пытались ввести пользователей в заблуждение (proxy, ggcloud или docker).
В большинстве случаев злоумышленники добывали с помощью зараженных образов криптовалюту Monero с помощью майнера XMRig. Однако в некоторых случаях образы майнили такие криптовалюты как Grin (GRIN) и ARO (Aronium).
Проверив майнинговые пулы, исследователи пришли к выводу, что криптоджекинг уже принес злоумышленникам примерно 200 000 долларов США.
Изучив теги вредоносных образов, специалисты заметили, что те относятся к разным версиям, архитектурам процессоров и ОС. По мнению аналитиков, «злоумышленники добавляют эти теги, чтобы охватить более широкий круг потенциальных жертв, включая ряд операционных систем и архитектур ЦП».
Хуже того, исследователи полагают, что это находка – лишь верхушка айсберга, и в действительности ситуация с облачным криптоджекингом обстоит гораздо хуже, ведь Docker Hub является лишь одним из публичных репозиториев, которым можно злоупотреблять таким образом.
Akamai сообщает, что мощные DDoS-атаки становятся нормой
По подсчетам компании Akamai, мощные вымогательские DDoS-атак становятся нормой. Хотя они не дотягивают до прошлых рекордов (можно вспомнить прошлогоднюю атаку мощностью 2,54 Тб/сек или атаку на 1,35 Тб/сек в 2018 году), это все равно большая проблема.
Дело в том, что сразу три недавние атаки входят в число шести крупнейших DDoS-атак, когда-либо обнаруженных Akamai. Эксперты объясняют, что такое количество мощных DDoS-атак на самом деле становится новой нормой. К примеру на три месяца 2021 года компания уже зафиксировала больше атак мощностью свыше 50 Гбит/сек, чем за весь 2019 год в целом.
Самыми заметными были атаки на 800+ Гбит/сек, 824 Гбит/сек и 812 Гбит/сек. Две последние произошли в один и тот же день — 24 февраля, а еще одну мощную атаку (594 Гбит/сек) компания обнаружила 5 марта.
Все три атаки вышеперечисленные атаки были нацелены на неназванную европейскую организацию из области игорной индустрии, а также на неназванную азиатскую компанию по производству видеоигр. Две из этих атак стали самыми крупными из известных на сегодняшний день вымогательских DDoS-атаками в принципе.
«Недавняя вымогательская атака со скоростью более 800 Гбит/сек, нацеленная на европейскую игорную компанию, была самой крупной и сложной из всех, что мы видели с момента массового возвращения вымогательских атак, которые начались в середине августа 2020 года», — говорят аналитики.
Также в компании отмечают, что злоумышленники расширяют охват по географическим регионам и отраслям, и из-за этого количество целей на сегодня выросло на 57% по сравнению с прошлым годом.
В целом ожидается, что DDoS-кампании 2021 года будут более узконаправленными и устойчивыми. Некоторые из таких атак, нацеленные адреса двух конкретных клиентов, длились несколько дней, и хакеры старались активно эксплуатировать любые слабые места в защите компаний.
«В одной атаке злоумышленники нацелились на почти дюжину IP-адресов и перебрали несколько векторов DDoS-атак, пытаясь повысить вероятность отказа серверной среды. Фактически 65% DDoS-атак, направленных против наших клиентов, были многовекторными», — сообщают в Akamai.
Мошенники в Китае обманули государственную систему проверки личности с помощью фото
По информации китайского издания Xinhua, два гражданина Китая обошли государственную биометрическую систему проверки личности ради налогового мошенничества и создания фальшивых счетов.
По данным правоохранительных органов, обвиняемые использовали эту тактику с 2018 года. Дело в том, что в стране давно в ходу проверка личности с помощью распознавания лиц, и этот метод аутентификации используется как в повседневной жизни, для совершения розничных транзакций, так и для доступа к различным государственным услугам.
По данным СМИ, обойти биометрию оказалось совсем нетрудно: понадобилось фото высокого разрешения и популярное приложение, которое превращает фотографии в видео. Изображение обрабатывается таким образом, чтобы фотография "двигалась", с создается видео с нужными действиями, включая кивание, качание головой, моргание и открывание рта. Полученную фальшивку обвиняемые залили на специально подготовленный смартфон с "захваченной" камерой, и использовали фейк для обхода проверок и аутентификации по лицу.
Войдя таким способом в систему, мошенники выставляли фальшивые счета от имени подставной компании, надеясь, подлог не заметят, и счета будут оплачены. Таких счетов было создано примерно на 500 млн юаней (примерно 57,5 млн рублей).
Предполагается, что злоумышленники также взломали приложение для выдачи бизнес-лицензий и добавили в систему собственные биометрические данные, чтобы иметь возможность входить в систему как легитимные пользователи.
DuckDuckGo предупреждает, что отказ от сторонних cookie не мешает браузерной слежке
На этой неделе в блоге разработчиков DuckDuckGo появилась публикация, посвященная отказу от сторонних cookie. Создатели ориентированного на конфиденциальность поисковика предупреждают, что широко обсуждаемый план Google по отказу сторонних cookie в Chrome к концу 2022-2023 года, а также связанные с этим ограничения, уже реализованные в таких браузерах, как Brave, Firefox и Safari, не помешают производителям следить за пользователями.
«Чтобы действительно помешать Google и Facebook отслеживать вас на других сайтах, вы должны заблокировать загрузку их трекеров в вашем браузере при посещении других сайтов, — рассказывает глава DuckDuckGo Габриэль Вайнберг. — Недостаточно просто ограничить их после загрузки (например, запретив использовать сторонних файлов cookie)».
Два наиболее распространенных трекера, теги Google Analytics и пиксель Facebook , могут быть реализованы посредством основных cookie, поэтому они не блокируются даже после ограничения сторонних файлов cookie. Вайнберг утверждает, что простая загрузка трекера (скрипта, изображение или файла cookie), это уже начало слежки:
«Трекер может собрать многое заранее, включая информацию о вашем устройстве (IP-адрес, user agent, заголовки HTTP и так далее). А также вашу информацию, которую сайт решит отправить вместе с ними (например, из основных файлов cookie)».
В DuckDuckGo пишут, что, в сущности, существует множество способов отслеживания пользователей без сторонних cookie, например, IP-адреса, в сочетании с другими сетевыми данными, могут использоваться для фингерпринтинга и создания идентификатора браузера.
Вайнберг уверен, что технологии Google, предназначенные для замены сторонних файлов cookie, например, Federated Learning of Cohorts (FLoC), и связанные с ними методы доставки рекламы, якобы разработанные с упором на конфиденциальность, по-прежнему могут быть полезны для отслеживания людей. В частности, FLoC нацелен на присвоение пользователям идентификаторов групп интересов и может быть объединен с IP-адресом, в итоге став уникальным идентификатором конкретного человека.
«Таким образом, любой трекер, который получает и то и другое [идентификатор FLoC и IP-адрес], может использоваться для отслеживания и исключительно хорошо ориентироваться в поведении пользователя без сторонних файлов cookie и чего-либо еще», — подытоживает Вайнберг.
Для защиты от такой слежки разработчики предлагают использовать браузерное расширение DuckDuckGo, доступное для Chrome, Firefox, Edgeи Safari, а также мобильный браузер компании для iOS и Android.
Согласно тесту на время загрузки страницы от WebMD.com, расширение DuckDuckGo сократило время загрузки страницы для Chrome, Firefox и Safari (с настройками по умолчанию) с 20,2, 15,3 и 13,1 секунд до 9,9, 9,1 и 7,5 секунд соответственно, то есть в среднем на 46%.
Также расширение сократило объем передаваемых данных в среднем на 34% и количество запросов на загрузку файлов в Chrome, Firefox и Safari на 66% в среднем.
Жителю Канзаса предъявили обвинения во взломе системы водоканала
На этой неделе Министерство юстиции США предъявило обвинения во взломе системы местного водоканала 22-летнему жителю Канзаса Уайятту Травничеку (Wyatt Travnichek).
Власти заявляют, что Травничек взломал сеть сельского водного округа № 1 в Элсуорте и «выполнял действия, которые останавливали процессы на объекте и влияли на процедуры очистки и дезинфекции [воды], с целью нанести вред сельскому водному округу №1 в Элсворте». При этом известно, что с января 2018 года по январь 2019 года обвиняемый работал на этом самом водоканале, после чего уволился.
Судебные документы умалчивают о том, была ли атака Травничека успешной, или взлом заметили вовремя, но правоохранители уверены, что его действия поставили под угрозу безопасность и здоровье всего местного сообщества.
Если Травничека признают виновным, ему грозит до пяти лет лишения свободы и штраф в размере до 250 000 долларов за взлом компьютерной системы, а также до 20 лет тюрьмы и штраф в размере до 250 000 долларов за вмешательство в работу системы водоснабжения.
Интересно, что этот инцидент никак не связан с другим похожим случаем, произошедшим в феврале 2021 года в американском городе Олдсмар. Тогда неизвестный злоумышленник получил доступ к системам городских водоочистных сооружений и изменил химический состав воды. Причем взломщик проделал это при помощи TeamViewer на компьютере одного из сотрудников.
Microsoft представила инструмент для исправления ProxyLogon в один клик
Разработчики Microsoft выпустили инструмент под названием EOMT (Exchange On-premises Mitigation Tool), предназначенный для установки обновлений на серверы Microsoft Exchange в один клик и защиты от уязвимостей ProxyLogon. Утилита уже доступна для загрузки на GitHub компании.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
По подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В настоящее время атаки на уязвимые серверы совершают около 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.
В первую очередь EOMT предназначен для компаний без собственных ИТ-специалистов, которые могли бы разобраться в проблеме ProxyLogon и корректно установить необходимые обновления. Дело в том, что с установкой патчей тоже могут возникнуть проблемы. К примеру, ранее сообщалось, что обновления для Microsoft Exchange могут устанавливаться без столько необходимых патчей если включен UAC. В итоге нужно устанавливать обновления только от лица администратора.
Теперь в Microsoft надеются, что любой сотрудник компании справится с загрузкой EOMT и выполнит обновление, просто кликнув по EOMT.ps1. Скрипт установит на сервере конфигурацию URL Rewrite, чего будет достаточно для устранения бага CVE-2021-26855, который является отправной точкой для работы цепочки эксплоитов, известных под общим названием ProxyLogon.
Также инструмент включает в себя копию Microsoft Safety Scanner, который будет сканировать серверы Exchange в поисках известных веб-шеллов, которые ранее были замечены в атаках на ProxyLogon. В случае необходимости Microsoft Safety Scanner удалит бэкдор и закроет доступ злоумышленниками.
Роскомнадзор может заблокировать Twitter через месяц
С 10 марта 2021 года работа Twitter на территории России замедлена на 100% с мобильных устройств и на 50% со стационарных устройств по решению Роскомнадзора. Это связано с тем, что, по утверждениям представителей ведомства, «Twitter в период с 2017 года по настоящее время не удаляется контент, склоняющий несовершеннолетних к совершению самоубийств, содержащий детскую порнографию, а также информацию об использовании наркотических средств».
В конце прошлой неделе, на круглом столе «Вынужденное замедление "Твиттера" — выводы для всех» в Роскомнадзоре сообщали, что так и не дождались какого-либо ответа на замедление со стороны руководства Twitter. Как мы писали ранее, руководство социальной сети распространило пресс-релиз среди СМИ, в котором отмечало, что в компании «глубоко обеспокоены участившимися попытками заблокировать и ограничить публичные обсуждения в интернете».
«Наши претензии остаются без ответа, никто на нас не выходил, на наши вопросы ответов нет. В любом случае все свои встречные претензии они могут в любой момент оспорить в российском суде, мы готовы к любому диалогу, лишь бы он был», — заявил начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев.
Сегодня, 16 марта 2021 года, в беседе с журналистами ТАСС заместитель главы ведомства Вадим Субботин и вовсе сообщил, что Роскомнадзор может рассмотреть возможность полной блокировки сервиса:
«Мы взяли месяц и наблюдаем за реакцией компании Twitter по вопросу удаления запрещенной информации. После чего, в зависимости от действия администрации социальной сети, будут приняты соответствующие решения. Если Twitter не исполнит требования Роскомнадзора, требования российского законодательства, соответственно, будем рассматривать вопрос о полной блокировке сервиса на территории России».
Взломщики SolarWinds похитили у Mimecast исходные коды
Еще в середине января 2021 года представители компании Mimecast предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Тогда злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.
Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом сообщалось, что лишь 10% клиентов использовали вышеперечисленные продукты с этим сертификатом, а злоумышленник злоупотребил сертификатом, чтобы получить доступ всего к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.
Позже выяснилось, что компрометация сертификата была напрямую связана с взломом компании SolarWinds, так как Mimecast использовала зараженную версию платформы Orion. Соответственно, сертификатом злоупотребляли те же хакеры, что взломали SolarWinds.
Как стало известно теперь, хакеры все же получили доступ и к другим частям внутренней сети Mimecast.
«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пишут в компании.
В Mimecast заявляют, что в итоге все скомпрометированные серверы были заменены «для устранения угрозы», а расследование не выявило доказательств того, что атакующие получили доступ к электронной почте или архивному контенту, который компания хранила на этих серверах для своих клиентов.
Однако злоумышленникам все же удалось добраться до репозитория, где размещался код Mimecast, откуда, как стало ясно теперь, были похищены некоторые исходники. В заявлении компании подчеркивается, что злоумышленники похитили только небольшие части кода, но не все проекты целиком.
«Мы полагаем, что исходный код, загруженный злоумышленником, был неполным и недостаточным для создания и запуска любого аспекта службы Mimecast. Мы не обнаружили доказательств того, что атакующий внес какие-либо изменения в наш исходный код, и не считаем, что это может оказать какое-то влияние на наши продукты», — говорят в компании.
Напомню, что ранее то же самое произошло и с компанией Microsoft. После компрометации SolarWinds у ИТ-гиганта были похищены исходные коды компонентов Azure, Intune и Exchange. Представители Microsoft так же заверили, что утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.
Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в историю.
Атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Малварь Silver Sparrow заразила около 30 000 Mac
Эксперты Red Canary, Malwarebytes и VMWare Carbon Black обнаружили малварь Silver Sparrow, ориентированную на пользователей Mac. По данным специалистов, вредонос заразил уже 29 139 систем в 153 странах мира. Больше всего пострадавших находятся в США, Великобритании, Канаде, Франции и Германии.
Официальные отчеты гласят, что пока исследователям неизвестно, как именно распространяется Silver Sparrow. Вероятно, он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash, то есть использовал один из классических векторов распространения Mac-малвари.
Более того, назначение Silver Sparrow и конечную цель малвари установить пока тоже не удалось. Дело в том, что когда Silver Sparrow заражает систему, он просто ожидает новых команд от своих операторов. Однако за то время, что исследователи наблюдали за малварью, никаких команд ей не поступало вообще.
При этом эксперты допускают, что вредонос обнаруживает аналитические инструменты, «замечает», что за ним следят, и лишь поэтому остается неактивным, и не загружает пейлоады второго уровня. Судя по количеству заражений, эта малварь вряд ли была чьим-то неудачным экспериментом ли шуткой.
Отдельно подчеркивается, что Silver Sparrow способен работать даже в системах с новым чипом Apple M1 (что еще раз подтверждает серьезные намерения его авторов). Это делает Silver Sparrow всего второй обнаруженной угрозой, адаптированной для M1. Напомню, что первая малварь такого рода была обнаружена всего несколько дней назад.
0-day уязвимость в Adobe Reader уже находится под атаками
На этой неделе разработчики Adobe исправили множество проблем в 12 различных продуктах, включая уязвимость нулевого дня, затрагивающую Adobe Reader, которая уже активно используется хакерами.
Различные обновления были выпущены для следующих приложений: Adobe Experience Manager, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Genuine Service, Adobe Acrobat и Reader, Magento, Adobe Creative Cloud для настольных ПК, Adobe Media Encoder, Adobe After Effects, Adobe Medium и Adobe Animate.
Наиболее серьезной уязвимостью этого месяца стала проблема в Adobe Acrobat и Reader, имеющая идентификатор CVE-2021-28550. По данным компании, эта ошибка использовалась для «ограниченных атак на Adobe Reader в Windows-системах».
CVE-2021-28550 относится к типу use-after-free и позволяет осуществить удаленное выполнение произвольного кода, то есть позволяет злоумышленникам выполнять практически любые команды в Windows, в том числе устанавливать малварь или полностью перехватить контроль над уязвимой машиной.
В общей сложности Adobe исправила 43 уязвимости в своих продуктах (не считая зависимостей Adobe Experience Manager), и 14 из них были обнаружены в Adobe Acrobat и Reader.
Фишеры атакуют пользователей криптокошельков Trust Wallet и MetaMask
Издание Bleeping Computer сообщает, что в Twitter пользователей кошельков Trust Wallet и MetaMask активно атакуют фишеры, выдающие себя за техническую поддержку. Цель данной кампании — кража криптовалюты пользователей.
Мобильные приложения MetaMask и Trust Wallet позволяют создавать кошельки для хранения, покупки, отправки и получения различной криптовалюты и NFT. Когда пользователь впервые запускает любое из приложений, ему предлагают создать новый кошелек. В рамках этого процесса нужно будет придумать фразу для восстановления, состоящую из 12 слов, и сохранить ее в безопасном месте, ведь фраза нужна для создания приватных ключей для доступа к кошельку. То есть любой, кто знает эту фразу, может импортировать кошелек на свое устройство и использовать хранящиеся в нем средства.
Около двух недель в Twitter идет вредоносная кампания. Всё начинается с того, что обычный и настоящий пользователь MetaMask или Trust Wallet жалуется в социальной сети на некую проблему, с которой столкнулся (от кражи средств и проблем с доступом к кошельку, да трудностей с использованием приложения).
Мошенники оперативно отвечают на такие твиты, выдавая себя за службу поддержки приложения, или за другого пользователя, который уверяет, что «Мгновенная поддержка» недавно помогла ему с точно такой же проблемой. В сообщениях будущим жертвам рекомендуют перейти на ссылке на docs.google.com или forms.app, чтобы заполнить заявку в поддержку и получить помощь.
После перехода по ссылке пользователь увидит фишинговую страницу, якобы предназначенную для заполнения заявки в поддержкуTrust Wallet или MetaMask. Здесь у жертвы спросят адрес электронной почты, имя, попросят описать проблему, а затем потребуют указать фразу для восстановления кошелька, состоящую из 12 слов.
Если доверчивый пользователь попадается на удочку мошенников и сообщает им свою фразу, злоумышленники могут импортировать кошелек жертвы на свои устройство и похитить всю криптовалюту.
Журналисты отмечают, что в такой ситуации поделать можно очень мало, и пострадавшие вряд ли сумеют вернуть свои средства. Издание подчеркивает, что фразу для восстановления кошелька ни в коем случае нельзя сообщать никому, ни на каких сайтах или в приложениях.
На смену банковскому трояну Osiris пришел троян Ares
В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян.
Заявление Anubi
Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений.
Реклама с описанием функций Osiris
Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях.
Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы.
Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику.
По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.
На смену банковскому трояну Osiris пришел троян Ares
В марте текущего года разработчик банковского трояна Osiris, известный как Anubi, заявил о прекращении деятельности, сославшись на отсутствие интереса к банковским троянам. Свое объявление он опубликован на хакерском форуме, где еще в 2018 году начинал рекламировать свой троян.
Заявление Anubi
Последние три года Anubi предоставлял копии Osiris различным преступным группам, которые затем распространяли малварь через спам. Сам троян представлял собой обновленную и улучшенную версию малвари Kronos, то есть классический банковский троян, который заражает компьютеры под управлением Windows, а затем внедряет вредоносный код в браузеры для кражи учетных данных от электронного банкинга. Согласно старому анализу компании Check Point, троян использовал руткиты для закрепления на зараженных хостах, а также мог воровать учетные данные из локальных приложений.
Реклама с описанием функций Osiris
Как теперь сообщает издание The Record, со ссылкой на ИБ-эксперта, известного под псевдонимом 3xp0rt, «отставка» Osiris в первую очередь связана с тем, что банкер все реже используют преступники. Так, последняя крупная спам-кампания, распространяющая Osiris, была замечена в январе текущего года и нацелена на пользователей из Германии. С тех пор новые кампании стали редкостью, хотя некоторые из бывших клиентов Anubi, похоже, продолжают использовать малварь в более мелких операциях.
Хотя исходный код Osiris пока не попадал в открытый доступ, 3xp0rt говорит, что со временем бывшие клиенты Anubi неизбежно перепродадут его других хакерам, так как сами уже прекращают использовать его для собственных нужд и переходят на другие кодовые базы.
Интересно, что вскоре объявления о прекращении работы Osiris, компания Zscaler сообщила о появлении нового банковского трояна Ares, который так же основан на старом коде Kronos, а многие его компоненты указывают на сходство с Osiris. Пока неясно, участвует ли Anubi в разработке этой малвари, или он передал кодовую базу новому разработчику.
По мнению аналитиков Zscaler, пока Ares находится на ранних этапах разработки, но даже сейчас связь между тремя вредоносами более чем очевидна.
Эксперты передают данные через сеть Apple Find My
Разработчики компании Positive Security рассказали, что приспособили для передачи данных сервис Find My («Локатор») компании Apple, который обычно используется для поиска гаджетов, личных вещей и передачи данных о местоположении.
Напомню, что в 2019 году приложения «Найти друзей» и «Найти iPhone» (Find my Friends и Find My iPhone) были объединены в единый сервис Find My. Он представляет собой краудсорсинговую систему отслеживания местоположения, позволяя легко находить потерянные и украденные устройства, а также в одном месте отслеживать любые гаджеты Apple, личные вещи с брелоками AirTag, а также местоположение родных и друзей.
Find My работает посредством Bluetooth Low Energy (BLE), то есть функционирует даже если устройство не подключено к интернету, а сотовая связь отсутствует. Для этого устройства Apple время от времени транслирую вовне специальный Bluetooth-сигнал, который могут обнаруживать и распознавать другие устройства Apple, оказавшиеся поблизости. Такие сигналы подаются даже в спящем режиме, а затем ретранслируются другими пользователями на серверы Apple.
В марте текущего года эксперты Дармштадского технического университета в Германии опубликовали исследовательскую работу, которая проливала свет на различные уязвимости и недостатки Apple Find My. Именно на этот документ опирались специалисты Positive Security, которые сумели развить идею злоупотребления сервисом гораздо дальше. В итоге они создали атаку под названием Send My, которая эксплуатирует технологию Find My для передачи произвольных данных.
Соучредитель Positive Security Фабиан Бройнлейн (Fabian Bräunlein) рассказывает, что хотя соединение между брелоком AirTag и устройством
|
Apple всегда защищено с помощью пары ключей Elliptic Curve, устройство владельца не знает, какой именно ключ используется AirTag. Для этого генерируется целый список ключей, которые недавно использовались AirTag, а также у службы Apple запрашиваются их хэши SHA256.
«Apple не знает, какие открытые ключи принадлежат вашему AirTag и, следовательно, какие отчеты о местоположении предназначены для вас», — пишет эксперт.
По идее упомянутые отчеты о местоположении могут быть расшифрованы только с помощью корректного приватного ключа, однако исследователи обнаружили, что они могут проверить, существуют ли отчеты для определенного хэша SHA256 в принципе, и даже добавить отчеты для определенного хеша SHA256.
|
«Мы можем внедрить произвольный набор битов в открытый ключ в хранилище, а затем снова осуществить запрос. Если отправитель и получатель согласовывают схему кодирования, мы получаем возможность передавать произвольные данные».
Для своих опытов и представленного proof-of-concept специалисты использовали микроконтроллер ESP32, прошивку на основе опенсорсного инструмента OpenHaystack (созданного учеными Дармштадского технического университета в рамках своей исследовательской работы), а также macOS-приложение, предназначенное для извлечения, декодирования и отображения переданных данных.
Для получения данных с устройства macOS нужно использовать плагин Apple Mail, который работает с повышенными привилегиями (чтобы соблюсти требования Apple к аутентификации для доступа к данным о местоположении). Кроме того, пользователь должен установить OpenHaystack и запустить приложение DataFetcher для macOS, созданное Бройнлейном для просмотра таких несанкционированных передач.
Фишеры атакуют пользователей, пострадавших от взлома
На прошлой неделе мы сообщали о том, что австралийская компания Click Studios, стоящая за разработкой менеджера паролей Passwordstate, уведомила своих клиентов о взломе.
Passwordstate — локальное решение для управления паролями, которым, согласно официальной статистике разработчиков, пользуются более 370 000 ИБ- и ИТ-специалистов в 29 000 компаниях по всему миру.
В письме, которое получили все компании-клиенты Passwordstate, сообщалось, что инцидент произошел между 20 и 22 апреля 2021 года. Компания пострадала от атаки на цепочку поставок: злоумышленники распространили среди пользователей Passwordstate вредоносное обновление и в итоге заразили их машины малварью Moserware.
К сожалению, эта малварь успела передать на сервер преступников следующие данные пользователей: имя компьютера, имя пользователя, имя домена, имя текущего процесса, идентификатор текущего процесса, имя и идентификатор всех запущенных процессов, имена всех запущенных служб, отображаемое имя и статус, адрес прокси-сервера Passwordstate, имя пользователя и пароль.
То есть хранилище паролей Passwordstate было скомпрометировано, и разработчики писали, что обычно в таблице паролей содержатся хедер, имя пользователя, описание, GenericField1, GenericField2, GenericField3, примечания, URL и сам пароль.
После сообщения об инциденте Click Studios оказывает помощь пострадавшим по почте, предоставляя клиентам исправления, призванные удалить вредоносное ПО из их систем. Так как эти письма от Click Studios можно было найти в социальных сетях, ими не преминули воспользоваться злоумышленники.
Хакеры создали фишинговые копии посланий Click Studios, и принялись рассылать их некоторым пострадавшим клиентам, продвигая таким образом малварь Moserpass.
«Судя по всему, злоумышленники активно отслеживают социальные сети в поисках любой информации о взломе и эксплуатации. Важно, чтобы клиенты не публиковали в социальных сетях информацию, которая может быть использована злоумышленниками. Именно это произошло перед появлением фишинговых писем, которые копируют содержимое писем Click Studios. Если вы не уверены, что письмо пришло от нас, отправьте его в службу технической поддержки в виде вложения, — предупреждают представители компании в новом сообщении. — Фишинговая атака строится на том, что клиенты должны загрузить модифицированный файл исправления Moserware.zip из сети CDN, не контролируемой Click Studios (которая теперь, похоже, отключена). Первоначальный анализ показывает, что это недавно измененная версия вредоносного Moserware.dll, который при загрузке пытается использовать альтернативный сайт для получения пейлоада. Мы все еще анализируем этот файл полезной нагрузки».
Не знаешь что посмотреть?
Канал КИНОМАНИЯ подскажет тебе фильм 🎥 или сериал с рейтингом выше 6.5 🥰
Только топовые сериалы и фильмы
Сердце кита бьется всего 9 раз минуту.
😳😳😳
Хочешь прокачать свой мозг подписывайся на канал ПОЛЕЗНО ЗНАТЬ
Открой для себя больше нового и делись с друзьями
Секс, наркотики и криминал не предлагаем!
Предлагаем заценить один из лучших информационно-познавательных каналов о космосе - KOSMOS TV (тот самый)
Астронавт NASA Джек Фишер наглядно показывает что происходит с водой в невесомости.
ИНТЕРЕСНО?
Переходи на канал Kosmos TV и узнай много нового и интересного про Космос, Науку и Технологии
Спецслужбы часто забывают удалить конфиденциальные данные из PDF-документов
Эксперты французского исследовательского института INRIA, работающего в области компьютерных наук, теории управления и прикладной математики, сообщают, что правоохранительные органы плохо справляются с очисткой PDF-документов, которые публикуют на своих сайтах. В итоге из этих файлов можно почерпнуть много конфиденциальной информации, которую затем можно использовать для атак.
К таким выводам специалисты пришли после изучения 39 664 PDF-файлов, опубликованных на 75 сайтах силовых структур из 47 стран мира. Выяснилось, что лишь 38 ведомств имеют строгую политику в отношении программного обеспечения и регулярно обновляют свое ПО.
Так, восстановить конфиденциальные данные удалось из 76% проанализированных файлов. В частности, исследователи обнаружили:
-имя автора;
-название PDF-приложения;
-информацию об ОС;
-данные об устройстве;
-электронную почту автора документа;
-информацию о пути к файлу;
-комментарии и аннотации.
Исследователи предупреждают, что злоумышленники могут специально собирать такие документы с сайтов силовых структур и создавать профили как на отдельных сотрудников, так и на ведомства в целом.
«Например, мы нашли сотрудника силового ведомства, который ни разу не менял и не обновлял свое программное обеспечение более 5 лет. Также мы обнаружили в нашем наборе данных по меньшей мере 19 силовых структур, которые используют одно и то же программное обеспечение на протяжении двух и более лет.
Такая информация будет особенно интересна хакеру, который хочет нацелиться на человека с плохими софтверными привычками», — рассказывают авторы научной работы.
Даже когда правоохранители стараются очистить свои PDF-файлы от метаданных и артефактов, очистка редко соответствует стандартам и обычно оставляет после себя пригодные для использования данные. По словам исследователей, только 7 из 75 ведомств вообще старались очистить PDF-документы, но на деле только 3 из них удалили из файлов все конфиденциальные данные.
Хакеры тоже заинтересовались NFT и взламывают пользователей Nifty Gateway
Discord, а затем бесплатно передавали украденные NFT покупателям на Nifty Gateway. В некоторых случаях хакеры использовали банковские карты жертвы, привязанные к аккаунту, для покупки и последующей продажи NFT, ранее не принадлежавших пострадавшим.
Публично доступные записи об аукционах на Nifty Gateway показывают, что покупатели зачастую быстро перепродавали ворованные NFT, иногда опуская их первоначальную цену в несколько раз (на несколько тысяч долларов), чтобы подстегнуть продажи. Судя по всему, преступники и их посредники надеялись быстро отмыть краденое с помощью цепочки полулегальных транзакций, тем самым затруднив расследование для Nifty Gateway.
Представители Nifty Gateway уже сообщили, что им известно о происходящем, но подчеркивают, что сама платформа не скомпрометирована, а от атак пострадало «небольшое количество» пользователей, чьи ученые записи были взломаны другими путями.
«Ни для одной из пострадавших учетных записей не была включена 2ФА, и доступ к ним был получен с использованием действительных учетных данных», — гласит заявление компании.
Администрация Nifty Gateway призывает пользователей осуществлять транзакции исключительно через торговую площадку компании, а также использоваться двухфакторную аутентификацию, которая не является обязательной на сайте.
Пока неясно, собирается ли Nifty Gateway помогать пострадавшим пользователям в вопросе возвращения украденных произведений искусства. Судя по сообщениям пользователей, пока вернуть похищенные NFT и оспорить случившееся им не удалось.
В ядре Linux исправлены баги 15-летней давности
Три уязвимости устранены в подсистеме iSCSI ядра Linux. Они позволяли злоумышленнику с базовыми пользовательскими привилегиями получить привилегии root. К счастью, эти баги можно эксплуатировать только локально, то есть атакующему придется сначала получить доступ к устройству каким-то иным способом.
Уязвимости могут привести к локальному повышению привилегий, утечкам информации и отказам в обслуживании:
CVE-2021-27365: переполнение буфера хипа (повышение локальных привилегий, утечка информации, отказ в обслуживании);
CVE-2021-27363: утечка указателя ядра (утечка информации);
CVE-2021-27364: out-of-bounds чтение (утечка информации, отказ в обслуживании).
Проблемы обнаружил исследователь GRIMM Адам Николс (Adam Nichols), и он сообщает, что баги появились в коде еще 15 лет назад, в 2006 году, на начальных этапах разработки iSCSI. Теперь же проблемы затрагивают все дистрибутивы Linux, и хотя уязвимый модуль scsi_transport_iscsi не загружается по умолчанию, все не так просто.
«Ядро Linux загружает модули либо потому, что обнаружено новое оборудование, либо потому, что функция ядра обнаруживает отсутствие модуля. В последнем случае неявная автозагрузка с большей вероятностью может быть использована и легко запущена злоумышленником, что позволит ему увеличить поверхность атаки, — предупреждает эксперт. — В системах CentOS 8, RHEL 8 и Fedora непривилегированные пользователи могут автоматически загружать необходимые модули, если установлен пакет rdma-core. В системах Debian и Ubuntu пакет rdma-core будет автоматически загружать только два необходимых модуля ядра, если доступно оборудование RDMA».
В итоге атакующие имеют возможность злоупотребить найденными уязвимостями, чтобы обойти такие защитные механизмы, как Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), а также Kernel Page-Table Isolation (KPTI).
Уязвимости были устранены в версиях 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 и 4.4.260, и исправления стали доступны 7 марта 2021 года. Сообщается, что патчи для неподдерживаемых EOL-версий ядра, таких как 3.x и 2.6.23, выпускаться не будут.
Два криптовалютных проекта одновременно пострадали от DNS-атак
15 марта 2021 года DeFi-проект Cream Finance и децентрализованная биржа PancakeSwap подверглись атакам на подмену DNS. В результате посетители попадали на фейковые сайты, где мошенники пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.
Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.
По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.
Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.
Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в марте и ноябре прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.
В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.
Машиностроительная компания Bombardier стала жертвой вымогателей
Как мы уже рассказывали ранее, с декабря 2020 года ИБ-эксперты фиксируют атаки на компании и организаций, использующие устаревший файлообменный сервис Accellion FTA (File Transfer Application). Аналитики FireEye связывают эту активность с хакерской группой FIN11 и предупреждают, что жертвами злоумышленников уже стали более 100 компаний.
Согласно последним данным, хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Интересно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атаки шифровальщика.
По информации Accellion, из примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняют, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
Ранее на этой неделе стало известно, что очередной жертвой этой кампании стала канадская машиностроительная компания Bombardier, чьи данные уже опубликованы на сайте Clop.
«Расследование показало, что неавторизованные лица получили доступ и похитили данные, воспользовавшись уязвимостью, затрагивающей стороннее приложение для передачи файлов, которое работало на специальных серверах, изолированных от основной сети Bombardier», — гласит официальное заявление производителя.
В компании также сообщили, что была скомпрометирована личная и другая конфиденциальная информация, касающаяся сотрудников, клиентов и поставщиков Bombardier: пострадали как минимум около 130 сотрудников в Коста-Рике.
Хуже того, СМИ уже нашли среди опубликованных хакерами данных различную проектную документацию для самолетов и авиадеталей производства Bombardier. К примеру, журналистам британского издания The Register удалось опознать на одном из утекших CAD-чертежей военную радиолокационную систему Leonardo Seaspray 7500E, произведенную военным подрядчиком Leonardo. Эта РЛС устанавливается на разведывательные самолеты GlobalEye на базе Global-6000, которые поставляются в Объединенные Арабские Эмираты, а также на самолеты C-130 Hercules, которые использует береговая охрана США.
