Новый метод усиливает DDoS-атаки в рекордные 4,3 млрд раз
Данную технику подробно описали исследователи из Akamai. По их словам, данный метод основан на эксплуатации CVE-2022-26143 — уязвимости в драйвере некоторых устройств Mitel (например, MiVoice Business Express и MiCollab), которые используются в качестве отражателей/усилителей DDoS.
При использовании подобных сценариев атака начинается с сравнительно небольшого пакета, который в дальнейшем многократно перекидывается между девайсами внутри закрытой сети, пока его размер постепенно увеличивается. При достижении определенного лимита наш в меру упитанный пакет направляется к цели.
Что касается конкретного метода, в нем используется косяк в сллужбе tp240dvr — софтварном мосте для взаимодействия с интерфейсными картами VoIP TP-240. Эта служба слушает UDP на 10074 порту на предмет появления команд. По дефолту этот порт вообще не должен смотреть в WAN, но это не помешало исследователям насчитать порядка 2600 девайсов Mitel, для которых это почему-то не так. Более того, в драйвере есть достаточно удобная функция, предназначенная для стресс-тестирования клиентов и занимающаяся как раз генерацией и отправкой трафика. Не обошлось, однако, и без хороших новостей: тулза работает в однопоточном режиме, а производительность девайсов Mitel, прямо скажем, не велика, что делает каждое отдельно взятое устройство не таким полезным.
Кстати, метод уже используется злоумышленниками, но в Mitel работают с затронутыми клиентами, чтобы поскорее прикрыть данную лазейку.
@NeKaspersky
Данную технику подробно описали исследователи из Akamai. По их словам, данный метод основан на эксплуатации CVE-2022-26143 — уязвимости в драйвере некоторых устройств Mitel (например, MiVoice Business Express и MiCollab), которые используются в качестве отражателей/усилителей DDoS.
При использовании подобных сценариев атака начинается с сравнительно небольшого пакета, который в дальнейшем многократно перекидывается между девайсами внутри закрытой сети, пока его размер постепенно увеличивается. При достижении определенного лимита наш в меру упитанный пакет направляется к цели.
Что касается конкретного метода, в нем используется косяк в сллужбе tp240dvr — софтварном мосте для взаимодействия с интерфейсными картами VoIP TP-240. Эта служба слушает UDP на 10074 порту на предмет появления команд. По дефолту этот порт вообще не должен смотреть в WAN, но это не помешало исследователям насчитать порядка 2600 девайсов Mitel, для которых это почему-то не так. Более того, в драйвере есть достаточно удобная функция, предназначенная для стресс-тестирования клиентов и занимающаяся как раз генерацией и отправкой трафика. Не обошлось, однако, и без хороших новостей: тулза работает в однопоточном режиме, а производительность девайсов Mitel, прямо скажем, не велика, что делает каждое отдельно взятое устройство не таким полезным.
Кстати, метод уже используется злоумышленниками, но в Mitel работают с затронутыми клиентами, чтобы поскорее прикрыть данную лазейку.
@NeKaspersky
👍7🔥2
“После вбросов в профильных айтишных телеграм-каналах «правительственных телеграмм», которые ряд экспертов трактуют как подготовку к возможному отключению РФ от «внешнего Интернета», «Фонтанка» поговорила с человеком, который знает про Рунет почти всё.”
Герман Клименко дал интервью «Фонтанке», где рассказал о вероятном отключении интернета: либо с внешней, либо с внутренней стороны.
Герман Клименко дал интервью «Фонтанке», где рассказал о вероятном отключении интернета: либо с внешней, либо с внутренней стороны.
ФОНТАНКА.ру
Герман Клименко про Интернет: «Я бы так и написал: «На время спецоперации закрываем»
Кто, когда и на сколько отключит Россию от мирового Интернета, «Фонтанке» рассказал один из пионеров IT-отрасли в стране, экс-советник российского президента Герман Клименко.
👎7😁3👍2💩2🔥1
Слухи про утечку в Лаборатории Касперского, с которой наш канал связывают недалекие, оказались фейком.
Какие-то школьники выкачали содержимое публичных ресурсов компании и выложили в Tor под видом взлома.
@NeKaspersky
Какие-то школьники выкачали содержимое публичных ресурсов компании и выложили в Tor под видом взлома.
@NeKaspersky
Twitter
NB65
@Nb65Lead @ITarmyUA @YourAnonNews
👍7😁2
Три новые уязвимости в APC Smart-UPS ставят под удар миллионы устройств
Как заявляют исследователи безопасности из компании Armis, были обнаружены три новые критические уязвимости в управляемых источниках бесперебойного питания APC. Благодаря уязвимостям злоумышленники могут удаленно захватывать устройства Smart-UPS и проводить экстремальные атаки, направленные как на физические устройства, так и на ИТ-активы.
Сами уязвимости получили название TLStorm и затрагивают устройства APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX), которые используются в сферах торговли, здравоохранения, IT, промышленности и др. Как заявляет сам поставщик оборудования, объем поставок APC уже превысил 20 млн устройств и уязвимости актуальны почти для 80 процентов компаний в различных странах.
А благодаря тому, что последние модели APC Smart-UPS управляются через облачное соединение, злоумышленники могут использовать TLStorm без какого-либо взаимодействия с пользователем. В следствии чего они могут выполнить атаку удаленного выполнения кода (RCE) на устройстве, чтобы физически повредить само устройство или другие связанные с ним активы.
Первые две уязвимости связаны с ошибками в реализации соединения TLS между ИБП и облаком Schneider Electric. Устройства серии SmartConnect при запуске или потере соединения автоматически подключаются к централизованному облачному сервису. Атакующий без аутентификации может эксплуатировать уязвимости и получить полный контроль над устройством через отправку на UPS специально оформленных пакетов. CVE-2022-22805 работает за счет переполнения буфера в коде пересборки пакетов, эксплуатируемого при обработке поступающих соединений. А CVE-2022-22806 относится уже к обходу аутентификации при установке TLS-сеанса, вызванного ошибкой определения состояния при согласовании соединения.
Последняя же уязвимость (CVE-2022-0715) считается недостатком конструкции, при котором обновления прошивки на уязвимых устройствах не имеют криптографической подписи безопасным образом. Это позволяет атакующему установить модифицированную прошивку без проверки цифровой подписи (оказалось, что у прошивок вообще не проверяется цифровая подпись, а лишь используется симметричное шифрование предопределённым в прошивке ключом). При ее сочетании с CVE-2022-22805 злоумышленник может заменить прошивку жертвы, представившись как облачный сервис компании Schneider Electric, или инициировав обновление из локальной сети.
Schneider Electric уже подготовили патчи для устранения проблем и уже подготавливают обновление прошивки. Также настоятельно рекомендуется поменять пароль на устройствах с картой NMC и установить SSL-сертификат с открытой подписью.
@NeKaspersky
Как заявляют исследователи безопасности из компании Armis, были обнаружены три новые критические уязвимости в управляемых источниках бесперебойного питания APC. Благодаря уязвимостям злоумышленники могут удаленно захватывать устройства Smart-UPS и проводить экстремальные атаки, направленные как на физические устройства, так и на ИТ-активы.
Сами уязвимости получили название TLStorm и затрагивают устройства APC Smart-UPS (серии SCL, SMX, SRT) и SmartConnect (серии SMT, SMTL, SCL и SMX), которые используются в сферах торговли, здравоохранения, IT, промышленности и др. Как заявляет сам поставщик оборудования, объем поставок APC уже превысил 20 млн устройств и уязвимости актуальны почти для 80 процентов компаний в различных странах.
А благодаря тому, что последние модели APC Smart-UPS управляются через облачное соединение, злоумышленники могут использовать TLStorm без какого-либо взаимодействия с пользователем. В следствии чего они могут выполнить атаку удаленного выполнения кода (RCE) на устройстве, чтобы физически повредить само устройство или другие связанные с ним активы.
Первые две уязвимости связаны с ошибками в реализации соединения TLS между ИБП и облаком Schneider Electric. Устройства серии SmartConnect при запуске или потере соединения автоматически подключаются к централизованному облачному сервису. Атакующий без аутентификации может эксплуатировать уязвимости и получить полный контроль над устройством через отправку на UPS специально оформленных пакетов. CVE-2022-22805 работает за счет переполнения буфера в коде пересборки пакетов, эксплуатируемого при обработке поступающих соединений. А CVE-2022-22806 относится уже к обходу аутентификации при установке TLS-сеанса, вызванного ошибкой определения состояния при согласовании соединения.
Последняя же уязвимость (CVE-2022-0715) считается недостатком конструкции, при котором обновления прошивки на уязвимых устройствах не имеют криптографической подписи безопасным образом. Это позволяет атакующему установить модифицированную прошивку без проверки цифровой подписи (оказалось, что у прошивок вообще не проверяется цифровая подпись, а лишь используется симметричное шифрование предопределённым в прошивке ключом). При ее сочетании с CVE-2022-22805 злоумышленник может заменить прошивку жертвы, представившись как облачный сервис компании Schneider Electric, или инициировав обновление из локальной сети.
Schneider Electric уже подготовили патчи для устранения проблем и уже подготавливают обновление прошивки. Также настоятельно рекомендуется поменять пароль на устройствах с картой NMC и установить SSL-сертификат с открытой подписью.
@NeKaspersky
Armis
TLStorm
Vulnerabilities discovered in APC Smart-UPS devices can expose organizations to remote attack. Explore Armis research on TLStorm.
👍6🤮1
В ситуации, когда импортозамещение становится не просто понятием, которым аппелируют чиновники в своей риторике, активизируются мошенники, создающие сайты зарубежных компаний.
Вот пример: на сайте, выдающем себя за сайт Cisco, продают «серое» оборудование и средства защиты и даже оборудование, поддержка которого производителем давно прекращена.
На сайте пишут: «Мы вернулись» и предлагают все скупать, пока снова не ушли.
К слову, поверить легко. Новостей об «уходах» компаний с рынка много, но также есть сообщения об отмене ранее принятых решений. Проверяйте все в официальных источниках, чтобы не попасться на уловку.
@NeKaspersky
Вот пример: на сайте, выдающем себя за сайт Cisco, продают «серое» оборудование и средства защиты и даже оборудование, поддержка которого производителем давно прекращена.
На сайте пишут: «Мы вернулись» и предлагают все скупать, пока снова не ушли.
К слову, поверить легко. Новостей об «уходах» компаний с рынка много, но также есть сообщения об отмене ранее принятых решений. Проверяйте все в официальных источниках, чтобы не попасться на уловку.
@NeKaspersky
👍15🤮1
Большая часть хакерских группировок поддерживает украинскую сторону. Но многие из них ноунеймы. А многих из известных группировок и вовсе нет в таблице.
@NeKaspersky
@NeKaspersky
👍13💩7🤮4👎3😁3
Переживали за Вилсу и его рекламные доходы, но оказалось, что зря. Вилсаком начал рекламировать китайские гаджеты.
@NeKaspersky
@NeKaspersky
😁27💩12👍3🤮3👎2
⚡️ Meta не потерпит никакой русофобии, дискриминации, призывов к насилию по отношению к россиянам на платформе - вице-президент.
Россия нагнула Цукерберга, получается?
Россия нагнула Цукерберга, получается?
💩36👍12😁8
В LINX (London Internet Exchange) подтвердили отключение ключевых провайдеров РФ от точки международного обмена трафиком. Теперь трафик пойдет через Азию, а это означает падение скорости и рост зависимости от Китая.
👎15👍7😱5💩5
This media is not supported in your browser
VIEW IN TELEGRAM
Андрей Лошак снял документальный сериал про русских хакеров. Проект рассказывает о том, как появился феномен в начале 90-х и во что сформировался к 2010-м. В сериале много историй о громких взломах, делах против киберпреступников, сотрудничестве российских спецслужб с ФБР. Сериал «Русские хакеры: Начало» вышел на Кинопоиске. Похоже, придётся потратить все выходные на просмотр.
@NeKaspersky
@NeKaspersky
🔥11👍4
Кибермошенники используют MetaMask для кражи криптовалюты
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
Пользователи универсального кошелька MetaMask начали получать на почту письма от мошенников, которые представляются разработчиками MetaMask и требуют пройти верификацию, угрожая в ином случае заблокировать кошелёк.
В конце февраля команда MetaMask говорила, что в некоторых регионах кошелёк может быть заблокирован из-за противоречий с законами. И тут-то и активизировались скамеры, которые решили использовать повод для кражи средств.
Но это очевидный развод, так как MetaMask, как и большинство кошельков, анонимен. При регистрации вы не оставляете никаких данных. Данные обычно требуют только крупные криптовалютые биржи.
Будьте внимательны, не ведитесь на скам.
@NeKaspersky
👍5
Хакеры нацелились на украинскую скрипт-кидди- IT-армию.
Как многие помнят, в прошлом месяце украинское правительство объявило о создании IT-армии из добровольцев по всему миру. На них возложили проведение DDoS-атак против различных российских организаций. Инициатива, ожидаемо, нашла достаточно широкую поддержку, и на различных сайтах, в т.ч. и в телеграме, начали распространять заточенный под это дело софт.
Однако кто бы мог подумать, люди с активной гражданской позицией, но без знаний банальной цифровой гигиены достаточно быстро заинтересовали другую группу населения — людей, не упускающих возможности добыть и монетизировать чужие креденшлы. Соответственно, под видом инструмента для DDoS-атак в Telegram стали распространять инфостиллеры.
Например, в недавнем отчете Cisco Talos фигурирует DoS-ер под названием «Liberator» (Освободитель). В Telegram утверждается, что тулза получает список целевых ip с сервера, следовательно пользователю достаточно запустить ее на своем ПК и радоваться внесенному в общее дело вкладу. Однако, в то время как версия, полученная из веба является условно чистой (но от этого не менее нелегальной), то, что ходит по рукам в тг под ее видом, на поверку имеет двойное дно. Что еще веселее, «оригинальность» тулзы проверить слегка проблематично, поскольку ни одна из версий, ожидаемо, не имеет цифровой подписи.
Тг-шная версия освободителя выполняет проверку на дебаг, а затем запускает в раме Phoenix information stealer, вредонос, распространяемый по стратегии MaaS (malware as a service) за $15/мес или $80 за пожизненную подписку. Восставший из пепла, к великому сожалению скачавших, не спешит узнавать список целей, зато быстро собирает и аплодит на сервер токены/кукисы/креденшлы из браузеров, клиентов VPN, Discord, Telegram, FileZilla и ряда криптокошельков.
@NeKaspersky
Как многие помнят, в прошлом месяце украинское правительство объявило о создании IT-армии из добровольцев по всему миру. На них возложили проведение DDoS-атак против различных российских организаций. Инициатива, ожидаемо, нашла достаточно широкую поддержку, и на различных сайтах, в т.ч. и в телеграме, начали распространять заточенный под это дело софт.
Однако кто бы мог подумать, люди с активной гражданской позицией, но без знаний банальной цифровой гигиены достаточно быстро заинтересовали другую группу населения — людей, не упускающих возможности добыть и монетизировать чужие креденшлы. Соответственно, под видом инструмента для DDoS-атак в Telegram стали распространять инфостиллеры.
Например, в недавнем отчете Cisco Talos фигурирует DoS-ер под названием «Liberator» (Освободитель). В Telegram утверждается, что тулза получает список целевых ip с сервера, следовательно пользователю достаточно запустить ее на своем ПК и радоваться внесенному в общее дело вкладу. Однако, в то время как версия, полученная из веба является условно чистой (но от этого не менее нелегальной), то, что ходит по рукам в тг под ее видом, на поверку имеет двойное дно. Что еще веселее, «оригинальность» тулзы проверить слегка проблематично, поскольку ни одна из версий, ожидаемо, не имеет цифровой подписи.
Тг-шная версия освободителя выполняет проверку на дебаг, а затем запускает в раме Phoenix information stealer, вредонос, распространяемый по стратегии MaaS (malware as a service) за $15/мес или $80 за пожизненную подписку. Восставший из пепла, к великому сожалению скачавших, не спешит узнавать список целей, зато быстро собирает и аплодит на сервер токены/кукисы/креденшлы из браузеров, клиентов VPN, Discord, Telegram, FileZilla и ряда криптокошельков.
@NeKaspersky
👍25😁6🤮1
Тем временем техдиректор IOAcvice Labs предлагает Microsoft выпустить вредоносные патчи для русских машин
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
👍16🤮10💩5😁3👎2
Можно долго и упорно работать, помогать компаниям находить уязвимости, которые могли бы нанести им многомиллионный ущерб, но вознаграждение у тебя все равно заберут, потому что ты белорус или россиянин.
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
💩47👎6🤮2
С Российского рынка ушли зарубежные ИБ-компании, но это не проблема, когда есть наши компании со своими ИБ-решениями.
@NeKaspersky
@NeKaspersky
👍16👎8💩4🔥1
Крупный производитель автозапчастей пострадал от шифровальщика
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky