Компания, которая проводит генетические ДНК-тесты пострадала от утечки данных. В базе, которая утекла в сеть, есть информация о 2,1 млн клиентов.
В этой новости два важных момента:
1)В утечку попали полные имена, номер кредитной карты + CVV, номер дебетовой карты + CVV, номер финансового счета, пароль учетной записи платформы. Платежные данные — серьезная утечка, но сколько карт действительны по сей день — неизвестно. База данных была архивная.
2) Данные о результатах исследования ДНК хранились в отдельной базе. И это наилучшая иллюстрация принципа «не храни яйца в одной корзине». В сеть персональная медицинская информация не попала.
Сейчас DNA Diagnostics Centr наняла экспертов по ИБ на аутсорсе, чтобы нивелировать последствия.
Результаты теста на отцовство, генетические заболевания, тест на национальность и исторические корни — очень чувствительная информация. Будет весело, если компания соврала и на самом деле эти данные просто ждут своего часа, чтобы оказаться на хакерском форуме.
В этой новости два важных момента:
1)В утечку попали полные имена, номер кредитной карты + CVV, номер дебетовой карты + CVV, номер финансового счета, пароль учетной записи платформы. Платежные данные — серьезная утечка, но сколько карт действительны по сей день — неизвестно. База данных была архивная.
2) Данные о результатах исследования ДНК хранились в отдельной базе. И это наилучшая иллюстрация принципа «не храни яйца в одной корзине». В сеть персональная медицинская информация не попала.
Сейчас DNA Diagnostics Centr наняла экспертов по ИБ на аутсорсе, чтобы нивелировать последствия.
Результаты теста на отцовство, генетические заболевания, тест на национальность и исторические корни — очень чувствительная информация. Будет весело, если компания соврала и на самом деле эти данные просто ждут своего часа, чтобы оказаться на хакерском форуме.
BleepingComputer
DNA testing firm discloses data breach affecting 2.1 million people
DNA Diagnostics Center (DDC), an Ohio-based DNA testing company, has disclosed a hacking incident that affects 2,102,436 persons.
Microsoft Defender for Endpoint блокирует документы Office и запуск исполняемых файлов. Он помечает файлы как вредоносную программу Emotet.
Сисадмины Windows считают, что баг стал возникать после обновления Защитника до версии 1.353.1874.0. При детектировнии происходит блокировка файла и выдаётся ошибка, связанная с Win32/PowEmotet.SB или Win32/PowEmotet.SC. Блокировка касается Excel-документов и любого приложения Microsoft Office, использующего MSIP.ExecutionHost.exe и splwow64.exe.
Наиболее вероятной причиной может быть проведённая модификация Microsoft, связанная с эскалацией чувствительности Defender к обнаружению поведения подобного Emotet.
Изменение, вероятно, было вызвано недавним возрождением ботнета Emotet, после того как исследовательская группа Emotet Cryptolaemus, GData и Advanced Intel заметила, что TrickBot заливал на зараженные устройства загрузчики Emotet.
В прошлом Защитник помечал обновления Chrome как бэкдоры PHP.
Сисадмины Windows считают, что баг стал возникать после обновления Защитника до версии 1.353.1874.0. При детектировнии происходит блокировка файла и выдаётся ошибка, связанная с Win32/PowEmotet.SB или Win32/PowEmotet.SC. Блокировка касается Excel-документов и любого приложения Microsoft Office, использующего MSIP.ExecutionHost.exe и splwow64.exe.
Наиболее вероятной причиной может быть проведённая модификация Microsoft, связанная с эскалацией чувствительности Defender к обнаружению поведения подобного Emotet.
Изменение, вероятно, было вызвано недавним возрождением ботнета Emotet, после того как исследовательская группа Emotet Cryptolaemus, GData и Advanced Intel заметила, что TrickBot заливал на зараженные устройства загрузчики Emotet.
В прошлом Защитник помечал обновления Chrome как бэкдоры PHP.
Zoom выпустил очередные исправления багов. Уязвимости у них, как и у Microsoft — никогда не заканчиваются.
Не в первый раз Zoom привлекает к себе внимание специалистов по информационной безопасности в связи с уязвимостями. И почему-то каждый раз приложение все больше напоминает рай для хакера и даже обычного ламера, так как его защита оставляет желать лучшего.
В этот раз баги затрагивают версии приложения почти для всех операционных систем: Windows, Linux, Android и даже самых «защищенных» macOS с iOS. Уязвимости обнаружили специалистами команды Google Project Zero, которые утверждают, что эксплуатация багов может привести к атакам, связанным с выполнением кода.
Самая серьезная из двух проблем — CVE-2021-34423, набравшая 7,3 баллов по шкале уязвимостей CVSS. С ее помощью злоумышленники могут спровоцировать сбой службы или приложения, путем переполнения буфера, а затем использовать это для выполнения произвольного кода. Пример: сотрудник, недовольный своим руководителем, теоретически мог «закинуть» троян или же элементарный «батник» (мини вирус с расширением .bat), убивающий систему начальника.
Вторая брешь приводит непосредственно к повреждению памяти. Благодаря ее эксплуатации можно было проверить состояние кэша процесса для нескольких продуктов и компонентов, а также получить представление о произвольных областях памяти.
К счастью, не все так плохо: команда Zoom наконец-то добавила механизм автоматического обновления, чтобы получать все новые патчи сразу после их выхода.
Увы, но данная функция есть лишь на Windows и macOS, а вот обладателям Linux, видимо, придется еще подождать.
Не в первый раз Zoom привлекает к себе внимание специалистов по информационной безопасности в связи с уязвимостями. И почему-то каждый раз приложение все больше напоминает рай для хакера и даже обычного ламера, так как его защита оставляет желать лучшего.
В этот раз баги затрагивают версии приложения почти для всех операционных систем: Windows, Linux, Android и даже самых «защищенных» macOS с iOS. Уязвимости обнаружили специалистами команды Google Project Zero, которые утверждают, что эксплуатация багов может привести к атакам, связанным с выполнением кода.
Самая серьезная из двух проблем — CVE-2021-34423, набравшая 7,3 баллов по шкале уязвимостей CVSS. С ее помощью злоумышленники могут спровоцировать сбой службы или приложения, путем переполнения буфера, а затем использовать это для выполнения произвольного кода. Пример: сотрудник, недовольный своим руководителем, теоретически мог «закинуть» троян или же элементарный «батник» (мини вирус с расширением .bat), убивающий систему начальника.
Вторая брешь приводит непосредственно к повреждению памяти. Благодаря ее эксплуатации можно было проверить состояние кэша процесса для нескольких продуктов и компонентов, а также получить представление о произвольных областях памяти.
К счастью, не все так плохо: команда Zoom наконец-то добавила механизм автоматического обновления, чтобы получать все новые патчи сразу после их выхода.
Увы, но данная функция есть лишь на Windows и macOS, а вот обладателям Linux, видимо, придется еще подождать.
VK попал на свалку интернет-отходов. Холдинг USM Алишера Усманова продал 57,3 % акций VK Согазу. Даже Алишер Усманов понял, что ловить там нечего.
Прошло 7 лет с того момента, как Павел Дуров покинул пост гендиректора ВКонтакте, социальная сеть перешла в Mail ru Group, поменявшей в этом году название на VK, но коренных изменений, вернувших репутацию и доверие пользователей так и не произошло.
Мер принималось много, если можно их так назвать: появилась монетизация, подписка. Но украденные у успешных сервисов фишки были скорее полумерами, которые на короткий срок создавали шумиху в СМИ и никак не помогали в долгосрочной перспективе.
Социальную сеть нужно было менять полностью, делать акцент на удобстве для пользователей, а не заниматься исключительно пиаром. Топ-менеджерам не хватило дальновидности, поэтому ВКонтакте так и осталась дырявой социальной сетью в глазах пользователей и бизнеса.
Прошло 7 лет с того момента, как Павел Дуров покинул пост гендиректора ВКонтакте, социальная сеть перешла в Mail ru Group, поменявшей в этом году название на VK, но коренных изменений, вернувших репутацию и доверие пользователей так и не произошло.
Мер принималось много, если можно их так назвать: появилась монетизация, подписка. Но украденные у успешных сервисов фишки были скорее полумерами, которые на короткий срок создавали шумиху в СМИ и никак не помогали в долгосрочной перспективе.
Социальную сеть нужно было менять полностью, делать акцент на удобстве для пользователей, а не заниматься исключительно пиаром. Топ-менеджерам не хватило дальновидности, поэтому ВКонтакте так и осталась дырявой социальной сетью в глазах пользователей и бизнеса.
Черно-белое лого в виде свастики — новый ребрендинг Group-IB, пока владелец Сачков находится под арестом.
Пока «патриот» и «хороший парень» находится под следствием по делу о госизмене, его команда с лидером Дмитрием Волковым, судя по всему, рассчитывает на новую статью — 354.1 УК РФ Публичные призывы к развязыванию агрессивной войны 😂.
Сегодня они объявили о ребрендинге, представив новое лого и новую концепцию: «путь героя, чья миссия — в борьбе». Кажется, мы где-то такое уже видели, примерно лет 90 назад.
Если в компании Сачкова такие взгляды, не мудрено, что он сейчас под следствием. Следующий шаг у Group-IB — создание секты борьбы против кибербеза и хакерские атаки?
Есть и более приземлённый вариант: пока основатель в тюрьме, команда спешно отмывает последние деньги «международной компании» пузыря с международными офисами по 5 человек. А после мы увидим breaking news — CEO Дмитрий Волков покинул страну. Только все это будет не новостью, а предсказуемым будущим.
Пока «патриот» и «хороший парень» находится под следствием по делу о госизмене, его команда с лидером Дмитрием Волковым, судя по всему, рассчитывает на новую статью — 354.1 УК РФ Публичные призывы к развязыванию агрессивной войны 😂.
Сегодня они объявили о ребрендинге, представив новое лого и новую концепцию: «путь героя, чья миссия — в борьбе». Кажется, мы где-то такое уже видели, примерно лет 90 назад.
Если в компании Сачкова такие взгляды, не мудрено, что он сейчас под следствием. Следующий шаг у Group-IB — создание секты борьбы против кибербеза и хакерские атаки?
Есть и более приземлённый вариант: пока основатель в тюрьме, команда спешно отмывает последние деньги «международной компании» пузыря с международными офисами по 5 человек. А после мы увидим breaking news — CEO Дмитрий Волков покинул страну. Только все это будет не новостью, а предсказуемым будущим.
Билл Гейтс однажды сказал, что нужно отдавать ленивому сложные задачи, потому что он найдёт лёгкий путь их выполнения. Это он явно про ФБР. Силовики нашли новый инструмент для добычи доказательств в деле о штурме Капитолия — Google. Компания снабжает ФБР данными о геолокации пользователей, которые брали Капитолий.
Например, личность Лизы Энн Гомер была установлена после того, как она засветилась в одном из кадров репортажа NYT с места событий. Девушку подвела ее приметная шляпа с надписью «LIONS NOT SHEEP». Копам не составило труда получить ордер на ее арест, после чего они обратились за помощью к Google, которая предоставила им полную карту передвижения смартфона Лизы.
Карта содержала информацию в виде точек, визуализирующих перемещения девушки в здании Капитолия и ее перелеты.
Google добывает данные через GPS, Bluetooth и Wi-Fi, которые не способны дать точнее координат, чем геозоны. Но это не проблема для ФБР, а вот для Лизы — да. Девушку ждёт суд.
Например, личность Лизы Энн Гомер была установлена после того, как она засветилась в одном из кадров репортажа NYT с места событий. Девушку подвела ее приметная шляпа с надписью «LIONS NOT SHEEP». Копам не составило труда получить ордер на ее арест, после чего они обратились за помощью к Google, которая предоставила им полную карту передвижения смартфона Лизы.
Карта содержала информацию в виде точек, визуализирующих перемещения девушки в здании Капитолия и ее перелеты.
Google добывает данные через GPS, Bluetooth и Wi-Fi, которые не способны дать точнее координат, чем геозоны. Но это не проблема для ФБР, а вот для Лизы — да. Девушку ждёт суд.
Кстати, вот старая история про GPS и социальную сеть Parler, где сидели сторонники Трампа. В ней тоже про метаданные и передвижения по Капитолию.
Telegram
НеКасперский
Ого! А вот это очень интересная история о визуализации данных.
В штурме Капитолия 6 января участвовали пользователи соц.сети Parler. Они делились фотографиями и видеозаписями. Но так совпало, что Parler не зачищает GPS-метаданные видеороликов(обычно это…
В штурме Капитолия 6 января участвовали пользователи соц.сети Parler. Они делились фотографиями и видеозаписями. Но так совпало, что Parler не зачищает GPS-метаданные видеороликов(обычно это…
Роскомнадзор нашёл новые жертвы для блокировки. В чёрный список попадут ещё 6 VPN: Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN, PrivateTunnel.
Кстати, PrivateTunnel есть в плане блокировки на 2021 год, который мы опубликовали несколько месяцев назад.
Кстати, PrivateTunnel есть в плане блокировки на 2021 год, который мы опубликовали несколько месяцев назад.
Microsoft рекламирует Edge, унижая Google Chrome
Microsoft уличили в недобросовестной рекламе ее нового браузера Edge. По данным портала Neowin, компания навязывает свою разработку в виде уведомлений, когда пользователь пытается скачать Google Chrome в Edge. И делает это принижая функционал Chrome.
Уведомления всплывают перед пользователями Windows 10 и 11. Информация о том, что Edge якобы лучше Chrome, подаётся в таких вариациях:
К тому же, Microsoft в целях рекламы эксплуатирует и поисковик Bing, отдавая приоритет Edge в поисковой выдаче, если ввести запрос «браузер» или «скачать браузер».
Microsoft начала «дерзить», втюхивая свой браузер Edge, ещё в феврале 2020 года. Тогда у пользователей с установленным по умолчанию Firefox в разделе реков возникал баннер с надписью: «Ещё пользуетесь Firefox? Microsoft Edge здесь».
Никто. Абсолютно никто.
Microsoft: Я продавец — тебе пиздец
Microsoft уличили в недобросовестной рекламе ее нового браузера Edge. По данным портала Neowin, компания навязывает свою разработку в виде уведомлений, когда пользователь пытается скачать Google Chrome в Edge. И делает это принижая функционал Chrome.
Уведомления всплывают перед пользователями Windows 10 и 11. Информация о том, что Edge якобы лучше Chrome, подаётся в таких вариациях:
•Этот браузер (Chrome) как из 2008 года. А знаете, какой новый? Microsoft Edge; •Microsoft Edge работает по тем же технологиям, что и Chrome, в но Microsoft больше доверяет Edge.К тому же, Microsoft в целях рекламы эксплуатирует и поисковик Bing, отдавая приоритет Edge в поисковой выдаче, если ввести запрос «браузер» или «скачать браузер».
Microsoft начала «дерзить», втюхивая свой браузер Edge, ещё в феврале 2020 года. Тогда у пользователей с установленным по умолчанию Firefox в разделе реков возникал баннер с надписью: «Ещё пользуетесь Firefox? Microsoft Edge здесь».
Никто. Абсолютно никто.
Microsoft: Я продавец — тебе пиздец
Злоумышленники из BlackByte захватывают корпоративные сети, используя сервера Microsoft Exchange благодаря уязвимостям ProxyShell.
ProxyShell — это набор из трех уязвимостей Microsoft Exchange, которые можно использовать для удаленного выполнения кода без проверки подлинности на сервере.
На сегодняшний день насчитывается около 2000 взломанных почтовых серверов Microsoft Exchange, а всё лишь потому, что их владельцы не установили патчи для исправления уязвимостей ProxyShell.
После непосредственного обнаружения и публикации уязвимости злоумышленники начали использовать ее для взлома серверов и установки веб-шеллов(скрипты позволяющие получить полный доступ к чтению и редактированию файлов, находящимся на серваке), майнеров и программ-вымогателей. Более того, вскоре на известном хакерском форуме был опубликован список всех 100 000 доступных серверов Exchange, что еще больше упростило задачу взлома.
Специалисты по информационной безопасности из Red Canary заметили атаку программы-вымогателя BlackByte, в которой используются уязвимости ProxyShell для установки веб-оболочек(небольшие сценарии, загружаемые на веб-серверы для удаленного выполнения команд и загрузки доп.файлов) на скомпрометированный сервер Microsoft Exchange. После чего установленная веб-оболочка используется для размещения Cobalt Strike, который вводится в процесс агента обновления Windows, внедряется инструмент тестирования на проникновение для сброса учетных данных для учетной записи службы в скомпрометированной системе. Наконец, взяв учетную запись, злоумышленники устанавливают инструмент удаленного доступа AnyDesk. Обычно при использовании программ-вымогателей, также внедряются сторонние инструменты для получения повышенных привилегий, но только не при использовании BlackByte. А все из-за того, что фактически исполняемый файл программы-вымогателя BlackByte играет центральную роль, так как он обрабатывает как и повышение привилегий, так и возможность червя или боковое перемещение в скомпрометированной среде.
И по сей день набор ProxyShell активно эксплуатируется, поэтому нужно скорее обновиться, а если такой возможности нет, то рекомендуется контролировать свои открытые системы на предмет действий-предшественников, таких, как удаление теневых копий, подозрительное изменение реестра и выполнение PowerShell в обход политик ограничений.
ProxyShell — это набор из трех уязвимостей Microsoft Exchange, которые можно использовать для удаленного выполнения кода без проверки подлинности на сервере.
На сегодняшний день насчитывается около 2000 взломанных почтовых серверов Microsoft Exchange, а всё лишь потому, что их владельцы не установили патчи для исправления уязвимостей ProxyShell.
После непосредственного обнаружения и публикации уязвимости злоумышленники начали использовать ее для взлома серверов и установки веб-шеллов(скрипты позволяющие получить полный доступ к чтению и редактированию файлов, находящимся на серваке), майнеров и программ-вымогателей. Более того, вскоре на известном хакерском форуме был опубликован список всех 100 000 доступных серверов Exchange, что еще больше упростило задачу взлома.
Специалисты по информационной безопасности из Red Canary заметили атаку программы-вымогателя BlackByte, в которой используются уязвимости ProxyShell для установки веб-оболочек(небольшие сценарии, загружаемые на веб-серверы для удаленного выполнения команд и загрузки доп.файлов) на скомпрометированный сервер Microsoft Exchange. После чего установленная веб-оболочка используется для размещения Cobalt Strike, который вводится в процесс агента обновления Windows, внедряется инструмент тестирования на проникновение для сброса учетных данных для учетной записи службы в скомпрометированной системе. Наконец, взяв учетную запись, злоумышленники устанавливают инструмент удаленного доступа AnyDesk. Обычно при использовании программ-вымогателей, также внедряются сторонние инструменты для получения повышенных привилегий, но только не при использовании BlackByte. А все из-за того, что фактически исполняемый файл программы-вымогателя BlackByte играет центральную роль, так как он обрабатывает как и повышение привилегий, так и возможность червя или боковое перемещение в скомпрометированной среде.
И по сей день набор ProxyShell активно эксплуатируется, поэтому нужно скорее обновиться, а если такой возможности нет, то рекомендуется контролировать свои открытые системы на предмет действий-предшественников, таких, как удаление теневых копий, подозрительное изменение реестра и выполнение PowerShell в обход политик ограничений.
Red Canary
ProxyShell exploitation leads to BlackByte ransomware | Red Canary
BlackByte ransomware leverages ProxyShell Microsoft Exchange vulnerabilities for initial access and Cobalt Strike for lateral movement.
This media is not supported in your browser
VIEW IN TELEGRAM
Как вы думаете, для чего нужны такие человекоподобные роботы?
Пользователи Reddit, как всегда знают ответы на все вопросы
Пользователи Reddit, как всегда знают ответы на все вопросы
В Telegram появился канал, в котором продают базу данных 250 000 пациентов наркологической клиники. Объём — 70 гигабайт. Данные включают информацию о истории болезни.
Если эти сведения достоверны, то клинике придётся платить штраф и ждать судебные иски от VIP-клиентов, которые из-за утечки больше не анонимные алкоголики и наркоманы, а открытые. Кому-то обнародование этих данных может сломать репутацию.
Если эти сведения достоверны, то клинике придётся платить штраф и ждать судебные иски от VIP-клиентов, которые из-за утечки больше не анонимные алкоголики и наркоманы, а открытые. Кому-то обнародование этих данных может сломать репутацию.
В популярных Wi-Fi-роутерах нашли 226 уязвимостей
Исследователи из IoT Inspector проверили популярные роутеры и нашли 226 уязвимостей(даже в тех, где была новая прошивка).
В список маршрутизаторов с уязвимостями попали устройства от Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys.
Лидерами по количеству уязвимостей стали TP-Link Archer AX6000 и Synology RT-2600ac. В первом устройстве нашли 32 бреши, во втором — 30. Причем, многие дыры в TP-Link Archer AX6000 получили высокую степень риска.
Топ уязвимостей следующий:
•устаревшее ядро Linux в прошивке;
•устаревшие функции мультимедиа и VPN;
•чрезмерное использование старых версий BusyBox;
•использование слабых паролей по умолчанию, таких как admin;
•наличие жестко закодированных учетных данных (открытым тестом).
Исследователи из IoT Inspector проверили популярные роутеры и нашли 226 уязвимостей(даже в тех, где была новая прошивка).
В список маршрутизаторов с уязвимостями попали устройства от Asus, AVM, D-Link, Netgear, Edimax, TP-Link, Synology и Linksys.
Лидерами по количеству уязвимостей стали TP-Link Archer AX6000 и Synology RT-2600ac. В первом устройстве нашли 32 бреши, во втором — 30. Причем, многие дыры в TP-Link Archer AX6000 получили высокую степень риска.
Топ уязвимостей следующий:
•устаревшее ядро Linux в прошивке;
•устаревшие функции мультимедиа и VPN;
•чрезмерное использование старых версий BusyBox;
•использование слабых паролей по умолчанию, таких как admin;
•наличие жестко закодированных учетных данных (открытым тестом).
Зашли на сайт госзаказов и обнаружили, что психиатрическая больница в Краснодаре разместила тендер на оказание услуг в информационной безопасности.
Что нас удивило в этой новости, так это сам факт того, что бюджетные и социально-значимые учреждения в регионах России относятся к этой теме ответственно.
Помнится, год назад одна зарубежная психиатрическая больница стала жертвой хакерской атаки: ее информацию зашифровали и требовали выкуп, чтобы данные о пациентах не оказались в отрытом доступе.
Сейчас, когда в России и мире во всю идёт цифровизация, первым делом(а не постфактум, как часто у нас любят делать)нужно позаботиться о информационной безопасности.
Что нас удивило в этой новости, так это сам факт того, что бюджетные и социально-значимые учреждения в регионах России относятся к этой теме ответственно.
Помнится, год назад одна зарубежная психиатрическая больница стала жертвой хакерской атаки: ее информацию зашифровали и требовали выкуп, чтобы данные о пациентах не оказались в отрытом доступе.
Сейчас, когда в России и мире во всю идёт цифровизация, первым делом(а не постфактум, как часто у нас любят делать)нужно позаботиться о информационной безопасности.
Интересно узнавать, какие тендеры в ИБ размещаются и кто побеждает в аукционах?
Anonymous Poll
71%
Да
9%
Нет
20%
Я за ответами, Некаспер
Найдено 14 новых векторов перехвата данных в браузерах
Исследователи кибербезопансти обнаружили 14 новых атак «XS-Leak» класса на браузеры Google Chrome, Microsoft Edge, Safari и Mozilla Firefox. Эти векторы приводят к межсайтовым утечкам информации.
XS-Leak позволяет извлечь содержимое электронной почты при наличии у жертвы открытой вкладки почтового ящика. Злоумышленнику же нужно создать вредоносный сайт и заманить на него жертву(сделать это очень легко). Сайт в фоновом режиме будет перехватывать данные у официальных ресурсов.
Исследователи кибербезопансти обнаружили 14 новых атак «XS-Leak» класса на браузеры Google Chrome, Microsoft Edge, Safari и Mozilla Firefox. Эти векторы приводят к межсайтовым утечкам информации.
XS-Leak позволяет извлечь содержимое электронной почты при наличии у жертвы открытой вкладки почтового ящика. Злоумышленнику же нужно создать вредоносный сайт и заманить на него жертву(сделать это очень легко). Сайт в фоновом режиме будет перехватывать данные у официальных ресурсов.
Неизвестная группировка контролировала тысячи Tor-узлов с 2017 года
Еще в далеком 2019-ом эксперт из области ИБ под ником Nusenu забил тревогу, заметив странное поведение серверов TOR, не имеющих контактной информации. Их объединяло одно - в отличие от других киберпреступников, использующих выходные узлы, «таинственный» объект, впоследствии наделённый именем KAX17, специализировался на входных и средних точках. А на этой неделе Nusenu сообщил The Record, что это была попытка деанонимизации пользователей TOR.
Чтобы разгадать одну из тайн «луковой» сети, Nusenu пришлось проследить за замеченными серверами с интересным поведенческим паттерном вплоть до 2017 года. Он пришёл к выводу, что только на пике своей активности KAX17 добавила более 900 вредоносных серверов. А за весь исследуемый период неизвестным удалось запустить тысячи узлов, в основном, на входных и промежуточных позициях.
Роль этих узлов заключается в шифровании и анонимизации пользовательского трафика при входе и выходе из TOR-сети за счёт создания гигантской сети прокси-серверов. В свою очередь, они перебрасывают соединения между собой, обеспечивая обещанную конфиденциальность.
У серверов TOR есть возможность указания контактный данных, чтобы админы и правоохранительные органы могли связаться с их операторами в случае злоупотребления. Однако это не контролируется строго и всякие ноунеймы попадают в TOR для количества узлов и скрытия трафиков.
По словам Nusenu, в первые годы своего существования, по крайней мере один раз, KAX17 была уличена в плохом OpSec. Один из ее серверов засветил адрес электронной почты.
Кроме того, эксперт сообщал группе безопасности TOR о подозрительных серверах с 2019 года, но только в октябре 2020 выходные точки KAX17 в сети были удалены.
По мнению Nusenu, задачей группировки, возможно, является сбор информации о входящих в сеть пользователях. Однако он точно уверен в том, что на национальном уровне появился уже давно хорошо обеспеченный агент угроз, который может позволить себе аренду сотни серверов с высокой пропускной способностью.
Еще в далеком 2019-ом эксперт из области ИБ под ником Nusenu забил тревогу, заметив странное поведение серверов TOR, не имеющих контактной информации. Их объединяло одно - в отличие от других киберпреступников, использующих выходные узлы, «таинственный» объект, впоследствии наделённый именем KAX17, специализировался на входных и средних точках. А на этой неделе Nusenu сообщил The Record, что это была попытка деанонимизации пользователей TOR.
Чтобы разгадать одну из тайн «луковой» сети, Nusenu пришлось проследить за замеченными серверами с интересным поведенческим паттерном вплоть до 2017 года. Он пришёл к выводу, что только на пике своей активности KAX17 добавила более 900 вредоносных серверов. А за весь исследуемый период неизвестным удалось запустить тысячи узлов, в основном, на входных и промежуточных позициях.
Роль этих узлов заключается в шифровании и анонимизации пользовательского трафика при входе и выходе из TOR-сети за счёт создания гигантской сети прокси-серверов. В свою очередь, они перебрасывают соединения между собой, обеспечивая обещанную конфиденциальность.
У серверов TOR есть возможность указания контактный данных, чтобы админы и правоохранительные органы могли связаться с их операторами в случае злоупотребления. Однако это не контролируется строго и всякие ноунеймы попадают в TOR для количества узлов и скрытия трафиков.
По словам Nusenu, в первые годы своего существования, по крайней мере один раз, KAX17 была уличена в плохом OpSec. Один из ее серверов засветил адрес электронной почты.
Кроме того, эксперт сообщал группе безопасности TOR о подозрительных серверах с 2019 года, но только в октябре 2020 выходные точки KAX17 в сети были удалены.
По мнению Nusenu, задачей группировки, возможно, является сбор информации о входящих в сеть пользователях. Однако он точно уверен в том, что на национальном уровне появился уже давно хорошо обеспеченный агент угроз, который может позволить себе аренду сотни серверов с высокой пропускной способностью.