Хакеры зачем-то взломали систему умного дома чиновника Алимова Вадима.
В 2 часа ночи у него отключили все сигнализации, открыли все двери, ворота и на полную громкость включили гимн России.
@NeKaspersky
В 2 часа ночи у него отключили все сигнализации, открыли все двери, ворота и на полную громкость включили гимн России.
@NeKaspersky
😁45👍14😱2
Исследователи использовали Alexa чтобы хакнуть Alexa
Способ удаленного управления девайсами Amazon Echo, обнаруженный исследователями из Лондонского и Катанийского университетов и названный «Alexa vs. Alexa» использует особенность поведения умных колонок: чтобы не пропустить ни одной команды пользователя, их микрофоны всегда включены, что позволяет девайсам третьего и четвертого поколений как бы отдавать команды самим себе. Для этого на них банально воспроизводят заранее записанные сообщения с нужными командами. Причем проблемой не станет и тот факт, что определенные команды требуют дополнительного голосового подтверждения: для обхода такой «защиты» злоумышленнику достаточно просто добавлять «да» примерно через 6 секунд после каждой команды.
В отличие от атак через интернет, однако, обсуждаемый сценарий требует нахождения в непосредственной близости к целевому устройству, что, впрочем, уравновешивается тем фактом, что, после однократного сопряжения девайс злоумышленника может подключаться к и отключаться от Echo без каких-либо препятствий со стороны девайса.
Более того, в качестве альтернативы можно использовать интернет-радио в качестве C2. Такой метод, очевидно, позволяет работать удаленно и одновременно управлять несколькими девайсами, но для него понадобится как-то заставить жертву поставить на девайс вредоносный «навык» для Алексы.
Эта атака позволяет злоумышленнику делать все то, что может делать сама Alexa, например, звонить, делать заказы на Amazon, управлять девайсами умного дома и, конечно, подслушивать за пользователем.
@NeKaspersky
Способ удаленного управления девайсами Amazon Echo, обнаруженный исследователями из Лондонского и Катанийского университетов и названный «Alexa vs. Alexa» использует особенность поведения умных колонок: чтобы не пропустить ни одной команды пользователя, их микрофоны всегда включены, что позволяет девайсам третьего и четвертого поколений как бы отдавать команды самим себе. Для этого на них банально воспроизводят заранее записанные сообщения с нужными командами. Причем проблемой не станет и тот факт, что определенные команды требуют дополнительного голосового подтверждения: для обхода такой «защиты» злоумышленнику достаточно просто добавлять «да» примерно через 6 секунд после каждой команды.
В отличие от атак через интернет, однако, обсуждаемый сценарий требует нахождения в непосредственной близости к целевому устройству, что, впрочем, уравновешивается тем фактом, что, после однократного сопряжения девайс злоумышленника может подключаться к и отключаться от Echo без каких-либо препятствий со стороны девайса.
Более того, в качестве альтернативы можно использовать интернет-радио в качестве C2. Такой метод, очевидно, позволяет работать удаленно и одновременно управлять несколькими девайсами, но для него понадобится как-то заставить жертву поставить на девайс вредоносный «навык» для Алексы.
Эта атака позволяет злоумышленнику делать все то, что может делать сама Alexa, например, звонить, делать заказы на Amazon, управлять девайсами умного дома и, конечно, подслушивать за пользователем.
@NeKaspersky
😁7👍4
В Linux и Android обнаружена серьезная уязвимость.
Исследователям удалось обнаружить серьезную уязвимость (CVE-2022-0847) в Linux. Она позволяет с необычайной легкостью выполнять вредоносный код, включая установку бэкдоров, создание неавторизованных учетных записей пользователей и изменение сценариев или двоичных файлов, используемых привилегированными службами или приложениями.
Обнаружил данную уязвимость исследователь конструктора веб-сайтов Maкс Келлерманн во время устранения неполадок. Они были связаны с поврежденными файлами, которые вечно появлялись на компьютере. Потратив на это несколько месяцев, он смог заметить, что поврежденные файлы клиента были результатом ошибки в ядре Linux. Всё это натолкнуло его на мысль о том, что уязвимость можно использовать и в своих собственных целях. Она может позволить любому, у кого есть учетная запись, включая наименее привилегированные учетные записи "nobody", добавлять ключ SSH к учетной записи пользователя root. При этом ненадежный пользователь может получить удаленный доступ к серверу через окно SSH с полными привилегиями root. Сам Келлерман назвал ее Dirty Pipe.
Он опубликовал экспериментальный эксплойт, и другие исследователи также подтвердили его простоту. А также они показали, что несанкционированное создание ключа SSH было лишь одним из многих злонамеренных действий, которые злоумышленник может предпринять при использовании уязвимости. Другие вредоносные действия, разрешенные Dirty Pipe, включают в себя: создание задания cron, работающего как бэкдор; добавление новой учетной записи пользователя в /etc/passwd + /etc/shadow (предоставление новой учетной записи привилегий root); изменение сценария или двоичного файла.
Однако Dirty Pipe оказалась более универсальной, ведь жертвой может стать не только пользователь Linux, но и владелец устройств на базе любой версии Android, основанной на одной из уязвимых версий ядра Linux. Как заявил исследователь Lookout, Dirty Pipe в устройствах на ОС Android используется через вредоносное приложение, которое повышает свои привилегии при том, что по умолчанию они ограничены.
Уязвимость впервые появилась в ядре Linux версии 5.8, выпущенном в августе 2020 года, пока не появились исправленные версии 5.16.11, 5.15.25 и 5.10.102. Исправления были выпущены 23 февраля для Linux и 24 февраля для ядра Android.
@NeKaspersky
Исследователям удалось обнаружить серьезную уязвимость (CVE-2022-0847) в Linux. Она позволяет с необычайной легкостью выполнять вредоносный код, включая установку бэкдоров, создание неавторизованных учетных записей пользователей и изменение сценариев или двоичных файлов, используемых привилегированными службами или приложениями.
Обнаружил данную уязвимость исследователь конструктора веб-сайтов Maкс Келлерманн во время устранения неполадок. Они были связаны с поврежденными файлами, которые вечно появлялись на компьютере. Потратив на это несколько месяцев, он смог заметить, что поврежденные файлы клиента были результатом ошибки в ядре Linux. Всё это натолкнуло его на мысль о том, что уязвимость можно использовать и в своих собственных целях. Она может позволить любому, у кого есть учетная запись, включая наименее привилегированные учетные записи "nobody", добавлять ключ SSH к учетной записи пользователя root. При этом ненадежный пользователь может получить удаленный доступ к серверу через окно SSH с полными привилегиями root. Сам Келлерман назвал ее Dirty Pipe.
Он опубликовал экспериментальный эксплойт, и другие исследователи также подтвердили его простоту. А также они показали, что несанкционированное создание ключа SSH было лишь одним из многих злонамеренных действий, которые злоумышленник может предпринять при использовании уязвимости. Другие вредоносные действия, разрешенные Dirty Pipe, включают в себя: создание задания cron, работающего как бэкдор; добавление новой учетной записи пользователя в /etc/passwd + /etc/shadow (предоставление новой учетной записи привилегий root); изменение сценария или двоичного файла.
Однако Dirty Pipe оказалась более универсальной, ведь жертвой может стать не только пользователь Linux, но и владелец устройств на базе любой версии Android, основанной на одной из уязвимых версий ядра Linux. Как заявил исследователь Lookout, Dirty Pipe в устройствах на ОС Android используется через вредоносное приложение, которое повышает свои привилегии при том, что по умолчанию они ограничены.
Уязвимость впервые появилась в ядре Linux версии 5.8, выпущенном в августе 2020 года, пока не появились исправленные версии 5.16.11, 5.15.25 и 5.10.102. Исправления были выпущены 23 февраля для Linux и 24 февраля для ядра Android.
@NeKaspersky
👍13👎1
This media is not supported in your browser
VIEW IN TELEGRAM
В министерстве цифры работают гениальные люди. Теперь в перечень компаний, попадающих под льготы, о которых было объявлено недавно, войдёт еще больше компаний. Для этого достаточно показывать выручку от IT-бизнеса. Почему-то Паршин говорил это как будто под дулом пистолета.
😱4👍1😁1
Новый метод усиливает DDoS-атаки в рекордные 4,3 млрд раз
Данную технику подробно описали исследователи из Akamai. По их словам, данный метод основан на эксплуатации CVE-2022-26143 — уязвимости в драйвере некоторых устройств Mitel (например, MiVoice Business Express и MiCollab), которые используются в качестве отражателей/усилителей DDoS.
При использовании подобных сценариев атака начинается с сравнительно небольшого пакета, который в дальнейшем многократно перекидывается между девайсами внутри закрытой сети, пока его размер постепенно увеличивается. При достижении определенного лимита наш в меру упитанный пакет направляется к цели.
Что касается конкретного метода, в нем используется косяк в сллужбе tp240dvr — софтварном мосте для взаимодействия с интерфейсными картами VoIP TP-240. Эта служба слушает UDP на 10074 порту на предмет появления команд. По дефолту этот порт вообще не должен смотреть в WAN, но это не помешало исследователям насчитать порядка 2600 девайсов Mitel, для которых это почему-то не так. Более того, в драйвере есть достаточно удобная функция, предназначенная для стресс-тестирования клиентов и занимающаяся как раз генерацией и отправкой трафика. Не обошлось, однако, и без хороших новостей: тулза работает в однопоточном режиме, а производительность девайсов Mitel, прямо скажем, не велика, что делает каждое отдельно взятое устройство не таким полезным.
Кстати, метод уже используется злоумышленниками, но в Mitel работают с затронутыми клиентами, чтобы поскорее прикрыть данную лазейку.
@NeKaspersky
Данную технику подробно описали исследователи из Akamai. По их словам, данный метод основан на эксплуатации CVE-2022-26143 — уязвимости в драйвере некоторых устройств Mitel (например, MiVoice Business Express и MiCollab), которые используются в качестве отражателей/усилителей DDoS.
При использовании подобных сценариев атака начинается с сравнительно небольшого пакета, который в дальнейшем многократно перекидывается между девайсами внутри закрытой сети, пока его размер постепенно увеличивается. При достижении определенного лимита наш в меру упитанный пакет направляется к цели.
Что касается конкретного метода, в нем используется косяк в сллужбе tp240dvr — софтварном мосте для взаимодействия с интерфейсными картами VoIP TP-240. Эта служба слушает UDP на 10074 порту на предмет появления команд. По дефолту этот порт вообще не должен смотреть в WAN, но это не помешало исследователям насчитать порядка 2600 девайсов Mitel, для которых это почему-то не так. Более того, в драйвере есть достаточно удобная функция, предназначенная для стресс-тестирования клиентов и занимающаяся как раз генерацией и отправкой трафика. Не обошлось, однако, и без хороших новостей: тулза работает в однопоточном режиме, а производительность девайсов Mitel, прямо скажем, не велика, что делает каждое отдельно взятое устройство не таким полезным.
Кстати, метод уже используется злоумышленниками, но в Mitel работают с затронутыми клиентами, чтобы поскорее прикрыть данную лазейку.
@NeKaspersky
👍7🔥2
“После вбросов в профильных айтишных телеграм-каналах «правительственных телеграмм», которые ряд экспертов трактуют как подготовку к возможному отключению РФ от «внешнего Интернета», «Фонтанка» поговорила с человеком, который знает про Рунет почти всё.”
Герман Клименко дал интервью «Фонтанке», где рассказал о вероятном отключении интернета: либо с внешней, либо с внутренней стороны.
Герман Клименко дал интервью «Фонтанке», где рассказал о вероятном отключении интернета: либо с внешней, либо с внутренней стороны.
ФОНТАНКА.ру
Герман Клименко про Интернет: «Я бы так и написал: «На время спецоперации закрываем»
Кто, когда и на сколько отключит Россию от мирового Интернета, «Фонтанке» рассказал один из пионеров IT-отрасли в стране, экс-советник российского президента Герман Клименко.
👎7😁3👍2💩2🔥1
Слухи про утечку в Лаборатории Касперского, с которой наш канал связывают недалекие, оказались фейком.
Какие-то школьники выкачали содержимое публичных ресурсов компании и выложили в Tor под видом взлома.
@NeKaspersky
Какие-то школьники выкачали содержимое публичных ресурсов компании и выложили в Tor под видом взлома.
@NeKaspersky
Twitter
NB65
@Nb65Lead @ITarmyUA @YourAnonNews
👍7😁2
Три новые уязвимости в APC Smart-UPS ставят под удар миллионы устройств
Как заявляют исследователи безопасности из компании Armis, были обнаружены три новые критические уязвимости в управляемых источниках бесперебойного питания APC. Благодаря уязвимостям злоумышленники могут удаленно захватывать устройства Smart-UPS и проводить экстремальные атаки, направленные как на физические устройства, так и на ИТ-активы.
Сами уязвимости получили название TLStorm и затрагивают устройства APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX), которые используются в сферах торговли, здравоохранения, IT, промышленности и др. Как заявляет сам поставщик оборудования, объем поставок APC уже превысил 20 млн устройств и уязвимости актуальны почти для 80 процентов компаний в различных странах.
А благодаря тому, что последние модели APC Smart-UPS управляются через облачное соединение, злоумышленники могут использовать TLStorm без какого-либо взаимодействия с пользователем. В следствии чего они могут выполнить атаку удаленного выполнения кода (RCE) на устройстве, чтобы физически повредить само устройство или другие связанные с ним активы.
Первые две уязвимости связаны с ошибками в реализации соединения TLS между ИБП и облаком Schneider Electric. Устройства серии SmartConnect при запуске или потере соединения автоматически подключаются к централизованному облачному сервису. Атакующий без аутентификации может эксплуатировать уязвимости и получить полный контроль над устройством через отправку на UPS специально оформленных пакетов. CVE-2022-22805 работает за счет переполнения буфера в коде пересборки пакетов, эксплуатируемого при обработке поступающих соединений. А CVE-2022-22806 относится уже к обходу аутентификации при установке TLS-сеанса, вызванного ошибкой определения состояния при согласовании соединения.
Последняя же уязвимость (CVE-2022-0715) считается недостатком конструкции, при котором обновления прошивки на уязвимых устройствах не имеют криптографической подписи безопасным образом. Это позволяет атакующему установить модифицированную прошивку без проверки цифровой подписи (оказалось, что у прошивок вообще не проверяется цифровая подпись, а лишь используется симметричное шифрование предопределённым в прошивке ключом). При ее сочетании с CVE-2022-22805 злоумышленник может заменить прошивку жертвы, представившись как облачный сервис компании Schneider Electric, или инициировав обновление из локальной сети.
Schneider Electric уже подготовили патчи для устранения проблем и уже подготавливают обновление прошивки. Также настоятельно рекомендуется поменять пароль на устройствах с картой NMC и установить SSL-сертификат с открытой подписью.
@NeKaspersky
Как заявляют исследователи безопасности из компании Armis, были обнаружены три новые критические уязвимости в управляемых источниках бесперебойного питания APC. Благодаря уязвимостям злоумышленники могут удаленно захватывать устройства Smart-UPS и проводить экстремальные атаки, направленные как на физические устройства, так и на ИТ-активы.
Сами уязвимости получили название TLStorm и затрагивают устройства APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX), которые используются в сферах торговли, здравоохранения, IT, промышленности и др. Как заявляет сам поставщик оборудования, объем поставок APC уже превысил 20 млн устройств и уязвимости актуальны почти для 80 процентов компаний в различных странах.
А благодаря тому, что последние модели APC Smart-UPS управляются через облачное соединение, злоумышленники могут использовать TLStorm без какого-либо взаимодействия с пользователем. В следствии чего они могут выполнить атаку удаленного выполнения кода (RCE) на устройстве, чтобы физически повредить само устройство или другие связанные с ним активы.
Первые две уязвимости связаны с ошибками в реализации соединения TLS между ИБП и облаком Schneider Electric. Устройства серии SmartConnect при запуске или потере соединения автоматически подключаются к централизованному облачному сервису. Атакующий без аутентификации может эксплуатировать уязвимости и получить полный контроль над устройством через отправку на UPS специально оформленных пакетов. CVE-2022-22805 работает за счет переполнения буфера в коде пересборки пакетов, эксплуатируемого при обработке поступающих соединений. А CVE-2022-22806 относится уже к обходу аутентификации при установке TLS-сеанса, вызванного ошибкой определения состояния при согласовании соединения.
Последняя же уязвимость (CVE-2022-0715) считается недостатком конструкции, при котором обновления прошивки на уязвимых устройствах не имеют криптографической подписи безопасным образом. Это позволяет атакующему установить модифицированную прошивку без проверки цифровой подписи (оказалось, что у прошивок вообще не проверяется цифровая подпись, а лишь используется симметричное шифрование предопределённым в прошивке ключом). При ее сочетании с CVE-2022-22805 злоумышленник может заменить прошивку жертвы, представившись как облачный сервис компании Schneider Electric, или инициировав обновление из локальной сети.
Schneider Electric уже подготовили патчи для устранения проблем и уже подготавливают обновление прошивки. Также настоятельно рекомендуется поменять пароль на устройствах с картой NMC и установить SSL-сертификат с открытой подписью.
@NeKaspersky
Armis
TLStorm
Vulnerabilities discovered in APC Smart-UPS devices can expose organizations to remote attack. Explore Armis research on TLStorm.
👍6🤮1
В ситуации, когда импортозамещение становится не просто понятием, которым аппелируют чиновники в своей риторике, активизируются мошенники, создающие сайты зарубежных компаний.
Вот пример: на сайте, выдающем себя за сайт Cisco, продают «серое» оборудование и средства защиты и даже оборудование, поддержка которого производителем давно прекращена.
На сайте пишут: «Мы вернулись» и предлагают все скупать, пока снова не ушли.
К слову, поверить легко. Новостей об «уходах» компаний с рынка много, но также есть сообщения об отмене ранее принятых решений. Проверяйте все в официальных источниках, чтобы не попасться на уловку.
@NeKaspersky
Вот пример: на сайте, выдающем себя за сайт Cisco, продают «серое» оборудование и средства защиты и даже оборудование, поддержка которого производителем давно прекращена.
На сайте пишут: «Мы вернулись» и предлагают все скупать, пока снова не ушли.
К слову, поверить легко. Новостей об «уходах» компаний с рынка много, но также есть сообщения об отмене ранее принятых решений. Проверяйте все в официальных источниках, чтобы не попасться на уловку.
@NeKaspersky
👍15🤮1
Большая часть хакерских группировок поддерживает украинскую сторону. Но многие из них ноунеймы. А многих из известных группировок и вовсе нет в таблице.
@NeKaspersky
@NeKaspersky
👍13💩7🤮4👎3😁3
Переживали за Вилсу и его рекламные доходы, но оказалось, что зря. Вилсаком начал рекламировать китайские гаджеты.
@NeKaspersky
@NeKaspersky
😁27💩12👍3🤮3👎2
⚡️ Meta не потерпит никакой русофобии, дискриминации, призывов к насилию по отношению к россиянам на платформе - вице-президент.
Россия нагнула Цукерберга, получается?
Россия нагнула Цукерберга, получается?
💩36👍12😁8
В LINX (London Internet Exchange) подтвердили отключение ключевых провайдеров РФ от точки международного обмена трафиком. Теперь трафик пойдет через Азию, а это означает падение скорости и рост зависимости от Китая.
👎15👍7😱5💩5
This media is not supported in your browser
VIEW IN TELEGRAM
Андрей Лошак снял документальный сериал про русских хакеров. Проект рассказывает о том, как появился феномен в начале 90-х и во что сформировался к 2010-м. В сериале много историй о громких взломах, делах против киберпреступников, сотрудничестве российских спецслужб с ФБР. Сериал «Русские хакеры: Начало» вышел на Кинопоиске. Похоже, придётся потратить все выходные на просмотр.
@NeKaspersky
@NeKaspersky
🔥11👍4
Кибермошенники используют MetaMask для кражи криптовалюты
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
👍5