Смартфон подслушивает? Скорее всего, вы переоцениваете его возможности
Многие замечали, что после обсуждения какого-либо товара вслух (например, с друзьями в компании) его реклама появляется в интернете. И тут же возникает вопрос — неужели смартфон подслушивает нас и передает данные рекламодателям? Сейчас люди почти постоянно держат гаджеты при себе, поэтому предположение кажется вполне логичным, но на самом деле — это миф. Смартфон за вами точно не следит.
Все началось примерно 8 лет назад, в 2016 году. Тогда на американском телеканале вышел сюжет, в котором утверждалось, что Facebook* может подслушивать разговоры пользователей через микрофоны в смартфонах. Эту сенсационную информацию якобы представила профессор Келли Бернс из Университета Южной Флориды.
Однако позже выяснилось, что на самом деле ничего подобного Бернс не говорила. Она лишь отметила, что Facebook активно отслеживает действия людей в интернете. К сожалению, опровержение прозвучало слишком поздно, и миф успел пустить глубокие корни.
Причины, по которым он прижился, достаточно понятны. В 2016 году Facebook действительно резко расширил инструменты для таргетированной рекламы. Рекламодатели получили доступ к множеству сведений о пользователях — возраст, пол, доходы, интересы и многое другое.
А спустя 2 года разразился громкий скандал с Cambridge Analytica, показавший, что Facebook совершенно не заботится о конфиденциальности персональных данных. Мнение о том, что компания может взламывать микрофоны смартфонов, еще больше укрепилась в нашем сознании.
Однако многочисленные исследования развенчали легенду. В 2018 году ученые протестировали тысячи приложений и не нашли ни одного случая несанкционированной активации микрофона и передачи разговоров рекламодателям. Просто им это совершенно не нужно.
Рекламные компании и так знают о пользователях практически всё, отслеживая их действия в сети — поисковые запросы, сообщения, лайки, комментарии, покупки онлайн. Все это тщательно фиксируется и анализируется.
IT Дайджест / IT Новости / IT / Технологии
Многие замечали, что после обсуждения какого-либо товара вслух (например, с друзьями в компании) его реклама появляется в интернете. И тут же возникает вопрос — неужели смартфон подслушивает нас и передает данные рекламодателям? Сейчас люди почти постоянно держат гаджеты при себе, поэтому предположение кажется вполне логичным, но на самом деле — это миф. Смартфон за вами точно не следит.
Все началось примерно 8 лет назад, в 2016 году. Тогда на американском телеканале вышел сюжет, в котором утверждалось, что Facebook* может подслушивать разговоры пользователей через микрофоны в смартфонах. Эту сенсационную информацию якобы представила профессор Келли Бернс из Университета Южной Флориды.
Однако позже выяснилось, что на самом деле ничего подобного Бернс не говорила. Она лишь отметила, что Facebook активно отслеживает действия людей в интернете. К сожалению, опровержение прозвучало слишком поздно, и миф успел пустить глубокие корни.
Причины, по которым он прижился, достаточно понятны. В 2016 году Facebook действительно резко расширил инструменты для таргетированной рекламы. Рекламодатели получили доступ к множеству сведений о пользователях — возраст, пол, доходы, интересы и многое другое.
А спустя 2 года разразился громкий скандал с Cambridge Analytica, показавший, что Facebook совершенно не заботится о конфиденциальности персональных данных. Мнение о том, что компания может взламывать микрофоны смартфонов, еще больше укрепилась в нашем сознании.
Однако многочисленные исследования развенчали легенду. В 2018 году ученые протестировали тысячи приложений и не нашли ни одного случая несанкционированной активации микрофона и передачи разговоров рекламодателям. Просто им это совершенно не нужно.
Рекламные компании и так знают о пользователях практически всё, отслеживая их действия в сети — поисковые запросы, сообщения, лайки, комментарии, покупки онлайн. Все это тщательно фиксируется и анализируется.
IT Дайджест / IT Новости / IT / Технологии
👎10👍5🤡5
Группировка RedCurl нацелились на Австралию, Сингапур и Гонконг
Специалисты компании FACCT рассказали о новых атаках русскоязычной хак-группы RedCurl, которые нацелены на цели в Юго-Восточной Азии и Австралии. Злоумышленники атакуют компании, работающие в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.
В 2020 году эксперты FAССT (тогда Group-IB) впервые рассказали о русскоязычной хак-группе RedСurl, активной как минимум с 2018 года. На тот момент злоумышленники совершили ряд целевых атак исключительно на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации.
Злоумышленники не шифровали данный жертв, не похищали деньги со счетов, а занимались исключительно кибершпионажем на заказ. Основная задача RedCurl — незаметно добыть ценные сведения, включая деловую переписку, личные дела сотрудников, юридические документы и так далее. С момента заражения до кражи данных обычно проходило от двух до шести месяцев, и в атаках RedCurl использовала свои самописные и уникальные инструменты.
По данным исследователей, на текущий момент RedCurl провела около 40 атак: половина из них — на организации в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине.
Теперь эксперты пишут, что злоумышленники не останавливается на уже «отработанных» регионах, а постоянно расширяют свою географию атак, используя обновленные инструменты и маскировку.
Атаки группировки по-прежнему начинаются с фишинговых писем, которые получают сотрудники атакуемой организации. Обычно такие письма маскируются под корпоративные предложения. Например, в показанном ниже примере, письмо отправлено от лица Samsung и содержит вложения в виде SVG-файлов или RAR-архивов содержащих SVG-файлы.
IT Дайджест / IT Новости / IT / Технологии
Специалисты компании FACCT рассказали о новых атаках русскоязычной хак-группы RedCurl, которые нацелены на цели в Юго-Восточной Азии и Австралии. Злоумышленники атакуют компании, работающие в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.
В 2020 году эксперты FAССT (тогда Group-IB) впервые рассказали о русскоязычной хак-группе RedСurl, активной как минимум с 2018 года. На тот момент злоумышленники совершили ряд целевых атак исключительно на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации.
Злоумышленники не шифровали данный жертв, не похищали деньги со счетов, а занимались исключительно кибершпионажем на заказ. Основная задача RedCurl — незаметно добыть ценные сведения, включая деловую переписку, личные дела сотрудников, юридические документы и так далее. С момента заражения до кражи данных обычно проходило от двух до шести месяцев, и в атаках RedCurl использовала свои самописные и уникальные инструменты.
По данным исследователей, на текущий момент RedCurl провела около 40 атак: половина из них — на организации в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине.
Теперь эксперты пишут, что злоумышленники не останавливается на уже «отработанных» регионах, а постоянно расширяют свою географию атак, используя обновленные инструменты и маскировку.
Атаки группировки по-прежнему начинаются с фишинговых писем, которые получают сотрудники атакуемой организации. Обычно такие письма маскируются под корпоративные предложения. Например, в показанном ниже примере, письмо отправлено от лица Samsung и содержит вложения в виде SVG-файлов или RAR-архивов содержащих SVG-файлы.
IT Дайджест / IT Новости / IT / Технологии
❤4👍4💯2
Гражданина Беларуси и Кипра обвинили в отмывании денег через BTC-e
Власти США предъявили обвинения Александру Клименко, гражданину Беларуси и Кипра. Его связывают с криптовалютной биржей BTC-e и обвиняют в участии в международной киберпреступной операции по отмыванию денег.
По информации Министерства юстиции США, Клименко был связан с BTC-e, компанией Soft-FX, предоставляющей технологические услуги, а также финансовой компанией FX Open.
В обвинительном заключении утверждается, что через эти фирмы Клименко содействовал проведению транзакций, связанных с различными киберпреступлениями, включая вымогательство, кражу личных данных, торговлю запрещенными веществами, мошенничество и хакерство.
Напомним, что криптобиржа BTC-e обслуживала в основном российский рынок, и американские правоохранительные органы закрыли ее в 2017 году, после ареста ее владельца Александра Винника в Греции. Впоследствии
Тогда Минюст США утверждал, что платформа использовалась для отмывания средств, похищенных в результате взлома японской криптовалютной биржи Mt. Gox, а также для выплаты выкупов, связанных с такими вымогательскими операциями, как Locky, Cerber, NotPetya, WannaCry и Spora.
Несмотря на то, что BTC-e была представлена в США, она не зарегистрировалась в Министерстве финансов США в качестве организации, предоставляющей финансовые услуги, а также не требовала от пользователей прохождения KYC-проверок.
IT Дайджест / IT Новости / IT / Технологии
Власти США предъявили обвинения Александру Клименко, гражданину Беларуси и Кипра. Его связывают с криптовалютной биржей BTC-e и обвиняют в участии в международной киберпреступной операции по отмыванию денег.
По информации Министерства юстиции США, Клименко был связан с BTC-e, компанией Soft-FX, предоставляющей технологические услуги, а также финансовой компанией FX Open.
В обвинительном заключении утверждается, что через эти фирмы Клименко содействовал проведению транзакций, связанных с различными киберпреступлениями, включая вымогательство, кражу личных данных, торговлю запрещенными веществами, мошенничество и хакерство.
Напомним, что криптобиржа BTC-e обслуживала в основном российский рынок, и американские правоохранительные органы закрыли ее в 2017 году, после ареста ее владельца Александра Винника в Греции. Впоследствии
Тогда Минюст США утверждал, что платформа использовалась для отмывания средств, похищенных в результате взлома японской криптовалютной биржи Mt. Gox, а также для выплаты выкупов, связанных с такими вымогательскими операциями, как Locky, Cerber, NotPetya, WannaCry и Spora.
Несмотря на то, что BTC-e была представлена в США, она не зарегистрировалась в Министерстве финансов США в качестве организации, предоставляющей финансовые услуги, а также не требовала от пользователей прохождения KYC-проверок.
«Предположительно, BTC-e содействовала транзакциям киберпреступников по всему миру и получала связанные с преступной деятельностью доходы от многочисленных компьютерных атак и хакерских инцидентов, вымогательства, краж личных данных, коррумпированных государственных чиновников и сетей распространения наркотиков. Также она предположительно использовалась для содействия различным преступлениям от компьютерных взломов до мошенничества, кражи личных данных, схем возврата налогов, коррупции и наркоторговли», — заявляет Минюст США.
IT Дайджест / IT Новости / IT / Технологии
😐4👍3❤2
3 млн. зубных щеток использовались в DDoS-атаке
Умные устройства облегчили жизнь не только потребителям, но и киберпреступникам.
В последнее время реальность всё чаще напоминает сюжеты научной фантастики. Недавний инцидент с хакерской атакой, использовавшей в качестве инструмента умные зубные щётки, это подтверждает. Швейцарская газета Aargauer Zeitung сообщает о том, что около 3 миллионов щеток были взломаны и использованы для осуществления DDoS-атаки, в результате которой системы неназванной швейцарской компании были выведены из строя на 4 часа. Ущерб оценивается в миллионы евро.
На первый взглад безобидные предметы личной гигиены превратились в «солдат» киберармии, успешно атаковав целевой сайт путём перегрузки его ложными запросами. Отмечается, что зубные щётки были заражены через программное обеспечение на Java — популярном языке для IoT-устройств.
Случай подчёркивает растущую угрозу кибербезопасности в связи с увеличением количества подключаемых к интернету устройств в нашем повседневном использовании. Устройства, которые ранее казались безопасными и не подключенными к цифровому миру, теперь могут стать потенциальными точками входа для киберпреступников.
В условиях роста количества IoT-устройств в быту, важно обращать внимание на их безопасность. Многие из них не обладают достаточной защитой из-за отсутствия возможности настройки или обновления безопасности. Эксперты советуют регулярно обновлять ПО всех подключенных устройств, избегать использования публичных USB-портов для зарядки, быть осторожными с публичными Wi-Fi сетями и устанавливать файервол на домашнее интернет-соединение.
Также поднимается вопрос о необходимости приобретения IoT-устройств. Рекомендуется придерживаться правила: не покупать умное устройство без насущной потребности в нём. Такая тактика поможет не только обезопасить личные данные, но и снизить риски кибератак.
IT Дайджест / IT Новости / IT / Технологии
Умные устройства облегчили жизнь не только потребителям, но и киберпреступникам.
В последнее время реальность всё чаще напоминает сюжеты научной фантастики. Недавний инцидент с хакерской атакой, использовавшей в качестве инструмента умные зубные щётки, это подтверждает. Швейцарская газета Aargauer Zeitung сообщает о том, что около 3 миллионов щеток были взломаны и использованы для осуществления DDoS-атаки, в результате которой системы неназванной швейцарской компании были выведены из строя на 4 часа. Ущерб оценивается в миллионы евро.
На первый взглад безобидные предметы личной гигиены превратились в «солдат» киберармии, успешно атаковав целевой сайт путём перегрузки его ложными запросами. Отмечается, что зубные щётки были заражены через программное обеспечение на Java — популярном языке для IoT-устройств.
Случай подчёркивает растущую угрозу кибербезопасности в связи с увеличением количества подключаемых к интернету устройств в нашем повседневном использовании. Устройства, которые ранее казались безопасными и не подключенными к цифровому миру, теперь могут стать потенциальными точками входа для киберпреступников.
В условиях роста количества IoT-устройств в быту, важно обращать внимание на их безопасность. Многие из них не обладают достаточной защитой из-за отсутствия возможности настройки или обновления безопасности. Эксперты советуют регулярно обновлять ПО всех подключенных устройств, избегать использования публичных USB-портов для зарядки, быть осторожными с публичными Wi-Fi сетями и устанавливать файервол на домашнее интернет-соединение.
Также поднимается вопрос о необходимости приобретения IoT-устройств. Рекомендуется придерживаться правила: не покупать умное устройство без насущной потребности в нём. Такая тактика поможет не только обезопасить личные данные, но и снизить риски кибератак.
IT Дайджест / IT Новости / IT / Технологии
😈9👍4❤3😁3
📣 Вам предоставлен доступ к закрытому каналу хакера «ПРАВДА»
Тут вы узнаете море секретной информации и как пользоваться всеми теневыми площадками и форумами.
А еще на канале вы сможете найти:
– Как сделать поддельные паспорта (читать)
– Как получить доступ к чужой вебкамере (читать)
– Как сохранить свою анонимность в интернете (читать)
Тут лежит целая база знаний, которая разложена по полочкам:👇🏻
https://t.me/+0-H6khdOfo9mYTli
Тут вы узнаете море секретной информации и как пользоваться всеми теневыми площадками и форумами.
А еще на канале вы сможете найти:
– Как сделать поддельные паспорта (читать)
– Как получить доступ к чужой вебкамере (читать)
– Как сохранить свою анонимность в интернете (читать)
Тут лежит целая база знаний, которая разложена по полочкам:👇🏻
https://t.me/+0-H6khdOfo9mYTli
Telegram
ПРАВДА
Правда, только правда и ничего кроме правды!
-социальная инженерия
-кибербезопасность
-антискам и другое
Сотрудничество: @zero_tolerance91
-социальная инженерия
-кибербезопасность
-антискам и другое
Сотрудничество: @zero_tolerance91
👍3❤2
Китайские хакеры проникли в сеть Министерства обороны Нидерландов
По данным Генеральной службы разведки и безопасности Нидерландов, в прошлом году неназванная китайская кибершпионская группа взломала Министерство обороны страны и установила троян удаленного доступа Coathanger на взломанные устройства.
Власти сообщают, что ущерб от этой атаки был ограничен благодаря сегментации сети, хотя бэкдор и проник в сеть Минобороны.
Как уже было сказано выше, в ходе расследования инцидента во взломанной сети был обнаружен ранее неизвестный вредонос Coathanger, который представляет собой троян удаленного доступа (RAT), предназначенный для атак на защитные устройства Fortigate.
Известно, что развертывание Coathanger осуществлялось после взлома уязвимых брандмауэров FortiGate, которые хакеры атаковали при помощью уязвимости CVE-2022-42475 в FortiOS SSL-VPN. Напомним, что в начале 2023 года стало известно, что эта проблема использовалась хакерами как 0-day и применялась для атак на правительственные организации и связанные с ними цели.
IT Дайджест / IT Новости / IT / Технологии
По данным Генеральной службы разведки и безопасности Нидерландов, в прошлом году неназванная китайская кибершпионская группа взломала Министерство обороны страны и установила троян удаленного доступа Coathanger на взломанные устройства.
Власти сообщают, что ущерб от этой атаки был ограничен благодаря сегментации сети, хотя бэкдор и проник в сеть Минобороны.
«В пострадавшей сети насчитывалось менее 50 пользователей. Ее задачей были исследования и разработки (R&D) несекретных проектов и сотрудничество с двумя сторонними исследовательскими институтами. Эти организации уже уведомлены об инциденте», — гласит официальное заявление.
Как уже было сказано выше, в ходе расследования инцидента во взломанной сети был обнаружен ранее неизвестный вредонос Coathanger, который представляет собой троян удаленного доступа (RAT), предназначенный для атак на защитные устройства Fortigate.
«Примечательно, что имплант COATHANGER устойчив и восстанавливается после каждой перезагрузки, внедряя свою резервную копию в процесс, отвечающий за перезагрузку системы. Более того, он выживает даже после обновления прошивки, — предупреждают голландские специалисты. — Поэтому даже полностью пропатченные устройства FortiGate могут быть заражены, если они были взломаны до установки патча».
Известно, что развертывание Coathanger осуществлялось после взлома уязвимых брандмауэров FortiGate, которые хакеры атаковали при помощью уязвимости CVE-2022-42475 в FortiOS SSL-VPN. Напомним, что в начале 2023 года стало известно, что эта проблема использовалась хакерами как 0-day и применялась для атак на правительственные организации и связанные с ними цели.
IT Дайджест / IT Новости / IT / Технологии
👍5😱3
С 20 марта SAP снимет с поддержки последних клиентов из России
САП СНГ начала оповещать российских клиентов о скором закрытии доступа к облачным ресурсам SAP. Во избежание потери данных пользователей просят до 20 марта выгрузить их с серверов германской компании.
Судя по всему, это финальный этап ухода SAP с российского рынка. Тем, кто еще пользуется ее услугами, придется в сжатые сроки искать замену.
Как и многие зарубежные вендоры, крупнейший производитель систем ERP, CRM и бизнес-приложений начал сворачивать свои деловые операции в РФ с прекращения продаж и поддержки клиентов, попавших в санкционные списки. Дальше — больше: российским организациям ограничили доступ к облачным сервисам SAP, оставив лишь возможность резервирования данных.
Адекватной замены решениям SAP в России пока нет, а услуги техподдержки, устранения сбоев, консалтинга в этом сегменте рынка предлагают некоторые ИТ-компании, в том числе стартап «Лаб СП».
IT Дайджест / IT Новости / IT / Технологии
САП СНГ начала оповещать российских клиентов о скором закрытии доступа к облачным ресурсам SAP. Во избежание потери данных пользователей просят до 20 марта выгрузить их с серверов германской компании.
Судя по всему, это финальный этап ухода SAP с российского рынка. Тем, кто еще пользуется ее услугами, придется в сжатые сроки искать замену.
Как и многие зарубежные вендоры, крупнейший производитель систем ERP, CRM и бизнес-приложений начал сворачивать свои деловые операции в РФ с прекращения продаж и поддержки клиентов, попавших в санкционные списки. Дальше — больше: российским организациям ограничили доступ к облачным сервисам SAP, оставив лишь возможность резервирования данных.
«Компания сначала перестала продавать софт, потом объявила о закрытии дата-центра, предложив некоторым клиентам переключиться на европейский дата-центр в Амстердаме, — вспоминает гендиректор «Лаб СП» Павел Деверилин, к которому обратился за комментарием РБК. — Потом компания отключила поддержку on-premise-продуктов»
Адекватной замены решениям SAP в России пока нет, а услуги техподдержки, устранения сбоев, консалтинга в этом сегменте рынка предлагают некоторые ИТ-компании, в том числе стартап «Лаб СП».
IT Дайджест / IT Новости / IT / Технологии
👍3
RCE-уязвимость в Shim доставила много хлопот разработчикам Linux и Ко
Разработчики дистрибутивов Linux проводят проверки и вносят изменения в коды, чтобы закрыть возможность обхода UEFI Secure Boot (защиты от буткитов) через уязвимость, объявившуюся в предзагрузчике Shim.
Данная проблема (CVE-2023-40547, 9,8 балла CVSS) связана с ошибкой записи за границами буфера, которая может возникнуть при парсинге HTTP-ответов сервера, получаемых в процессе централизованной загрузки ОС по сети.
Эксплойт позволяет захватить контроль над системой еще до загрузки ядра ОС, то есть получить привилегированный доступ и возможность обхода всех штатных средств защиты, в том числе механизма Lockdown. Можно также внедрить буткит, однако он не переживет очистки и переформатирования жесткого диска.
Атаку можно провести удаленно либо локально:
1. Эксплойт по сети предполагает компрометацию либо подмену HTTP-сервера, с которого отдаются файлы для загрузки ОС. В этом случае злоумышленник сможет вмешаться в процесс через перехват трафика по методу MitM. Задачу сильно осложнит использование HTTPS.
2. Локальный эксплойт требует наличия физического доступа к целевому устройству либо прав администратора, которые можно получить с помощью другой уязвимости. Злоумышленник может, например, с помощью USB-флешки изменить порядок загрузки ОС (данные в переменных EFI или системном разделе EFI), спровоцировав загрузку с удаленного сервера уязвимого Shim и добиться выполнения вредоносного кода из того же источника.
Патч для Shim уже готов и включен в сборку 15.8 софта, однако простая замена не способна полностью решить проблему для Linux и производных (Debian, Ubuntu, SUSE, RHEL, Fedora и проч.). Предзагрузчик заверяется подписью Microsoft, и, как и в случае с BootHole, разработчикам ОС придется также обновить всю цепочку доверия Secure Boot, в том числе список отозванных сертификатов UEFI DBX.
IT Дайджест / IT Новости / IT / Технологии
Разработчики дистрибутивов Linux проводят проверки и вносят изменения в коды, чтобы закрыть возможность обхода UEFI Secure Boot (защиты от буткитов) через уязвимость, объявившуюся в предзагрузчике Shim.
Данная проблема (CVE-2023-40547, 9,8 балла CVSS) связана с ошибкой записи за границами буфера, которая может возникнуть при парсинге HTTP-ответов сервера, получаемых в процессе централизованной загрузки ОС по сети.
Эксплойт позволяет захватить контроль над системой еще до загрузки ядра ОС, то есть получить привилегированный доступ и возможность обхода всех штатных средств защиты, в том числе механизма Lockdown. Можно также внедрить буткит, однако он не переживет очистки и переформатирования жесткого диска.
Атаку можно провести удаленно либо локально:
1. Эксплойт по сети предполагает компрометацию либо подмену HTTP-сервера, с которого отдаются файлы для загрузки ОС. В этом случае злоумышленник сможет вмешаться в процесс через перехват трафика по методу MitM. Задачу сильно осложнит использование HTTPS.
2. Локальный эксплойт требует наличия физического доступа к целевому устройству либо прав администратора, которые можно получить с помощью другой уязвимости. Злоумышленник может, например, с помощью USB-флешки изменить порядок загрузки ОС (данные в переменных EFI или системном разделе EFI), спровоцировав загрузку с удаленного сервера уязвимого Shim и добиться выполнения вредоносного кода из того же источника.
Патч для Shim уже готов и включен в сборку 15.8 софта, однако простая замена не способна полностью решить проблему для Linux и производных (Debian, Ubuntu, SUSE, RHEL, Fedora и проч.). Предзагрузчик заверяется подписью Microsoft, и, как и в случае с BootHole, разработчикам ОС придется также обновить всю цепочку доверия Secure Boot, в том числе список отозванных сертификатов UEFI DBX.
IT Дайджест / IT Новости / IT / Технологии
🥰2
Не очень белый хакер использовал выявленный баг для скама Apple
Исследователь Ной Роскин-Фрейзи, который в прошлом помог Apple найти и пропатчить ряд уязвимостей, оказался не очень «белым» хакером. Выяснилось, что эксперт использовал один из багов для мошеннической деятельности, стоившей купертиновцам 2,5 миллиона долларов.
Роскин-Фрейзи работает в компании ZeroClicks Lab, ранее Apple не раз отмечала важный вклад этого специалиста в обнаружение уязвимостей в системах корпорации.
Однако исследователь умудрился запятнать свою репутацию после того, как стало известно об использовании одной из брешей в противозаконной деятельности.
Как сообщил новостной ресурс 404Media, Роскин-Фрейзи сначала обнаружил уязвимость в бэкенд-системе Apple — Toolbox, а затем использовал её для повышения прав и получения доступа к закрытым активам.
Toolbox используется для обработки заказов: Apple с её помощью ставит их на паузу, что позволяет редактировать занесённую информацию.
Известно также, что Роскин-Фрейзи задействовал механизм сброса пароля одного из сотрудников сторонней компании, которая управляет службами техподдержки Apple.
IT Дайджест / IT Новости / IT / Технологии
Исследователь Ной Роскин-Фрейзи, который в прошлом помог Apple найти и пропатчить ряд уязвимостей, оказался не очень «белым» хакером. Выяснилось, что эксперт использовал один из багов для мошеннической деятельности, стоившей купертиновцам 2,5 миллиона долларов.
Роскин-Фрейзи работает в компании ZeroClicks Lab, ранее Apple не раз отмечала важный вклад этого специалиста в обнаружение уязвимостей в системах корпорации.
Однако исследователь умудрился запятнать свою репутацию после того, как стало известно об использовании одной из брешей в противозаконной деятельности.
Как сообщил новостной ресурс 404Media, Роскин-Фрейзи сначала обнаружил уязвимость в бэкенд-системе Apple — Toolbox, а затем использовал её для повышения прав и получения доступа к закрытым активам.
Toolbox используется для обработки заказов: Apple с её помощью ставит их на паузу, что позволяет редактировать занесённую информацию.
Известно также, что Роскин-Фрейзи задействовал механизм сброса пароля одного из сотрудников сторонней компании, которая управляет службами техподдержки Apple.
IT Дайджест / IT Новости / IT / Технологии
❤6
Ov3r_Stealer: ваши пароли, крипта и данные – всё в руках хакеров
Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:
- CPL-файлы благодаря удалённым сценариям PowerShell;
- HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
- LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
- SVG-файлы с встроенными RAR-архивами.
Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным.
IT Дайджест / IT Новости / IT / Технологии
Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.
В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.
Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.
Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.
Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:
- CPL-файлы благодаря удалённым сценариям PowerShell;
- HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
- LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
- SVG-файлы с встроенными RAR-архивами.
Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).
После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.
Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.
Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным.
IT Дайджест / IT Новости / IT / Технологии
🔥3
Поддельный LastPass проник в официальный магазин приложений Apple
Как больно данное событие ударит по имиджу яблочной компании?
В свете позиционирования Apple своего фирменного магазина App Store как безопасного и надёжного источника приложений, компания столкнулась с серьёзной угрозой своему имиджу: в официальном каталоге оказалось мошенническое приложение, замаскированное под LastPass.
Несмотря на заявления компании о безопасности, процесс проверки приложений не смог предотвратить появление подделки в App Store. Приложение, названное LassPass и имеющее логотип, сильно напоминающий официальный, было удалено Apple спустя два дня после того, как представители LastPass лично обратились к компании.
Майк Косак, старший аналитик LastPass также опубликовал предупреждение для пользователей в официальном блоге сервиса, прикрепив скриншоты и ссылки как на мошенническое приложение, так и на легитимное.
Примечательно, что другое потенциально опасное приложение от этого же разработчика, Парвати Патела, компания удалять не стала, хотя автор явно нарушил правила магазина, загрузив откровенную подделку.
Поддельное приложение LastPass предлагало пользователям вводить личную информацию, включая пароли и данные банковских карт, а также предлагало платные подписки. Тем не менее, собирало ли приложение данные учётных записей LastPass или копировало хранимые данные — установлено не было.
Томас Рид из Malwarebytes отметил, что страница с политикой конфиденциальности подделки была недоступна, а домен, указанный для этой страницы, был зарегистрирован всего пять месяцев назад. Это подчёркивает важность тщательной проверки приложений перед их загрузкой.
IT Дайджест / IT Новости / IT / Технологии
Как больно данное событие ударит по имиджу яблочной компании?
В свете позиционирования Apple своего фирменного магазина App Store как безопасного и надёжного источника приложений, компания столкнулась с серьёзной угрозой своему имиджу: в официальном каталоге оказалось мошенническое приложение, замаскированное под LastPass.
Несмотря на заявления компании о безопасности, процесс проверки приложений не смог предотвратить появление подделки в App Store. Приложение, названное LassPass и имеющее логотип, сильно напоминающий официальный, было удалено Apple спустя два дня после того, как представители LastPass лично обратились к компании.
Майк Косак, старший аналитик LastPass также опубликовал предупреждение для пользователей в официальном блоге сервиса, прикрепив скриншоты и ссылки как на мошенническое приложение, так и на легитимное.
Примечательно, что другое потенциально опасное приложение от этого же разработчика, Парвати Патела, компания удалять не стала, хотя автор явно нарушил правила магазина, загрузив откровенную подделку.
Поддельное приложение LastPass предлагало пользователям вводить личную информацию, включая пароли и данные банковских карт, а также предлагало платные подписки. Тем не менее, собирало ли приложение данные учётных записей LastPass или копировало хранимые данные — установлено не было.
Томас Рид из Malwarebytes отметил, что страница с политикой конфиденциальности подделки была недоступна, а домен, указанный для этой страницы, был зарегистрирован всего пять месяцев назад. Это подчёркивает важность тщательной проверки приложений перед их загрузкой.
IT Дайджест / IT Новости / IT / Технологии
👍2🥰2😁2
Android-вредонос XLoader теперь запускается автоматически после установки
В дикую природу запустили новую версию Android-вредоноса XLoader. Отличаются свежие образцы возможностью автоматически запускаться на устройствах жертв, без всякого взаимодействия с пользователем.
XLoader (его ещё иногда называют MoqHao) управляется финансово мотивированной кибергруппировкой Roaming Mantis, которая ранее атаковала граждан США, Великобритании, Германии, Франции, Японии, Южной Кореи и др.
Вредоносная программа, как правило, доставляется с помощью СМС-сообщений, в которых содержится сокращённая ссылка. Этот URL ведёт на загрузку установочного APK-файла.
Новый варианты XLoader обнаружили и описали специалисты компании McAfee. По их словам, зловред теперь запускается автоматически после инсталляции. Новая функциональность позволяет трояну работать менее заметно.
Стоит также отметить, что Roaming Mantis использует Unicode-строки для маскировки кода вредоносного APK, который, как правило, выдаёт себя за что-нибудь легитимное вроде Google Chrome.
IT Дайджест / IT Новости / IT / Технологии
В дикую природу запустили новую версию Android-вредоноса XLoader. Отличаются свежие образцы возможностью автоматически запускаться на устройствах жертв, без всякого взаимодействия с пользователем.
XLoader (его ещё иногда называют MoqHao) управляется финансово мотивированной кибергруппировкой Roaming Mantis, которая ранее атаковала граждан США, Великобритании, Германии, Франции, Японии, Южной Кореи и др.
Вредоносная программа, как правило, доставляется с помощью СМС-сообщений, в которых содержится сокращённая ссылка. Этот URL ведёт на загрузку установочного APK-файла.
Новый варианты XLoader обнаружили и описали специалисты компании McAfee. По их словам, зловред теперь запускается автоматически после инсталляции. Новая функциональность позволяет трояну работать менее заметно.
«Как только вредоносное приложение установлено, его активность стартует автоматически. Мы уже отправили описание нового поведения XLoader представителям Google», — объясняют в McAfee.
Стоит также отметить, что Roaming Mantis использует Unicode-строки для маскировки кода вредоносного APK, который, как правило, выдаёт себя за что-нибудь легитимное вроде Google Chrome.
IT Дайджест / IT Новости / IT / Технологии
🥰5👏2
Критическая уязвимость в Shim представляет угрозу для Linux-дистрибутивов
В загрузчике Shim нашли критическую уязвимость, которая позволяла злоумышленникам выполнить код и получить контроль над целевой системой до загрузки ядра, обойдя существующие защитные механизмы.
Shim представляет собой опенсорсный загрузчик, поддерживаемый Red Hat и предназначается для реализации Secure Boot на компьютерах с UEFI. Инструмент подписан цифровой подписью Microsoft, которая по умолчанию принимается на большинстве материнских плат с UEFI и используется для проверки следующего этапа процесса загрузки (обычно загрузчика GRUB2)
Shim был создан для того, чтобы позволить опенсорсным проектам (включая дистрибутивы Linux) использовать преимущества Secure Boot, включая предотвращение несанкционированного или вредоносного выполнения кода во время загрузки, но при этом сохраняя контроль над аппаратным обеспечением.
Обнаруженная в Shim уязвимость получила идентификатор CVE-2023-40547 и была найдена исследователем Microsoft Биллом Демиркапи (Bill Demirkapi), который впервые сообщил о проблеме еще 24 января 2024 года.
Ошибка кроется в исходном коде httpboot.c для Shim, который используется для загрузки сетевого образа по HTTP.
В результате потенциальный злоумышленник подучает возможность добиться out-of-bounds записи.
Подробная информация об этом дефекте была опубликована еще в начале февраля 2024 года, но на этой неделе компания Eclypsium обнародовала собственный отчет, стремясь привлечь больше внимания к этой проблеме.
IT Дайджест / IT Новости / IT / Технологии
В загрузчике Shim нашли критическую уязвимость, которая позволяла злоумышленникам выполнить код и получить контроль над целевой системой до загрузки ядра, обойдя существующие защитные механизмы.
Shim представляет собой опенсорсный загрузчик, поддерживаемый Red Hat и предназначается для реализации Secure Boot на компьютерах с UEFI. Инструмент подписан цифровой подписью Microsoft, которая по умолчанию принимается на большинстве материнских плат с UEFI и используется для проверки следующего этапа процесса загрузки (обычно загрузчика GRUB2)
Shim был создан для того, чтобы позволить опенсорсным проектам (включая дистрибутивы Linux) использовать преимущества Secure Boot, включая предотвращение несанкционированного или вредоносного выполнения кода во время загрузки, но при этом сохраняя контроль над аппаратным обеспечением.
Обнаруженная в Shim уязвимость получила идентификатор CVE-2023-40547 и была найдена исследователем Microsoft Биллом Демиркапи (Bill Demirkapi), который впервые сообщил о проблеме еще 24 января 2024 года.
Ошибка кроется в исходном коде httpboot.c для Shim, который используется для загрузки сетевого образа по HTTP.
«При получении файлов через HTTP или родственные протоколы, shim пытается выделить буфер для хранения полученных данных, — говорится в коммите для исправления бага в httpboot.c. — К сожалению, это означает получение размера из HTTP-заголовка (Content-Length), которым можно манипулировать, чтобы задать размер, меньший, чем полученные данные».
В результате потенциальный злоумышленник подучает возможность добиться out-of-bounds записи.
Подробная информация об этом дефекте была опубликована еще в начале февраля 2024 года, но на этой неделе компания Eclypsium обнародовала собственный отчет, стремясь привлечь больше внимания к этой проблеме.
IT Дайджест / IT Новости / IT / Технологии
🥰3
$1,5 млн на фальшивых сделках: инженер Hydrogen Technology скоро отправится за решётку
Как раздутый криптотокен HYDRO стал главной проблемой горе-мошенников.
По сообщениям Министерства юстиции США (DoJ), главный инженер финтех-платформы Hydrogen Technology Шейн Хэмптон был признан виновным федеральным судом Южного округа Флориды в манипулировании ценой на криптовалюту компании HYDRO и мошенничестве в отношении инвесторов.
По информации обвинения, Хэмптон в течение нескольких месяцев в сговоре с другими лицами преднамеренно завышал курс HYDRO на одной из криптобирж США, чтобы продать собственные запасы валюты по более выгодной цене. Для реализации мошеннической схемы Хэмптон с подельниками нанял компанию из ЮАР, которая с октября 2018 по апрель 2019 года осуществляла фиктивные сделки при помощи торговых ботов.
Приговор Хэмптону должен быть вынесен 29 апреля. Ему грозит максимальное наказание в виде 5 лет тюремного заключения за сговор с целью совершения мошенничества с ценами на ценные бумаги и 20 лет тюремного заключения за сговор с целью совершения мошенничества с использованием электронных средств.
Помимо Хэмптона, вину также признали гендиректор Hydrogen Technology Майкл Кейн, ожидающий вынесения приговора, и ещё один инженер компании Эндрю Чорлиан. Кроме того, основатель фирмы Moonwalkers Trading Тайлер Остерн, признанный соучастником махинаций, уже приговорён к 2 годам тюрьмы.
Злоумышленники провели сотни поддельных сделок на общую сумму свыше $300 млн, создав видимость ажиотажного спроса на HYDRO. Также ими было осуществлено как минимум $7 млн фиктивных операций купли-продажи криптовалюты, не предполагавших перехода прав собственности.
IT Дайджест / IT Новости / IT / Технологии
Как раздутый криптотокен HYDRO стал главной проблемой горе-мошенников.
По сообщениям Министерства юстиции США (DoJ), главный инженер финтех-платформы Hydrogen Technology Шейн Хэмптон был признан виновным федеральным судом Южного округа Флориды в манипулировании ценой на криптовалюту компании HYDRO и мошенничестве в отношении инвесторов.
По информации обвинения, Хэмптон в течение нескольких месяцев в сговоре с другими лицами преднамеренно завышал курс HYDRO на одной из криптобирж США, чтобы продать собственные запасы валюты по более выгодной цене. Для реализации мошеннической схемы Хэмптон с подельниками нанял компанию из ЮАР, которая с октября 2018 по апрель 2019 года осуществляла фиктивные сделки при помощи торговых ботов.
Приговор Хэмптону должен быть вынесен 29 апреля. Ему грозит максимальное наказание в виде 5 лет тюремного заключения за сговор с целью совершения мошенничества с ценами на ценные бумаги и 20 лет тюремного заключения за сговор с целью совершения мошенничества с использованием электронных средств.
Помимо Хэмптона, вину также признали гендиректор Hydrogen Technology Майкл Кейн, ожидающий вынесения приговора, и ещё один инженер компании Эндрю Чорлиан. Кроме того, основатель фирмы Moonwalkers Trading Тайлер Остерн, признанный соучастником махинаций, уже приговорён к 2 годам тюрьмы.
Злоумышленники провели сотни поддельных сделок на общую сумму свыше $300 млн, создав видимость ажиотажного спроса на HYDRO. Также ими было осуществлено как минимум $7 млн фиктивных операций купли-продажи криптовалюты, не предполагавших перехода прав собственности.
IT Дайджест / IT Новости / IT / Технологии
🥰4👍1
Windows-троян Coyote нацелился на 60+ банковских приложений
Анализ нового банковского трояна, проведенный в «Лаборатории Касперского», показал, что список целей Coyote включает более 60 приложений. Цепочка заражения использует непривычные элементы: установщик Squirrel, NodeJS-скрипт, загрузчик на Nim.
Как и многие собратья, новобранец мониторит запуск программ на зараженной машине. Когда жертва открывает интересующее Coyote приложение или заходит на определенный сайт, банкер сообщает об этом оператору и в ответ получает инструкции.
Судя по списку команд, вредонос умеет регистрировать клавиатурный ввод, делать скриншоты, пользоваться оверлеями, перемещать курсор в указанную точку, а также прибивать процессы и выключать компьютер. Обмен с C2-сервером осуществляется по SSL-каналам, с обоюдной верификацией; для этого Coyote придан сертификат.
Строки кода зловреда зашифрованы по AES, никакой другой обфускации не используется. От обнаружения его призвана уберечь многоступенчатая схема заражения. Вместо привычного MSI используется opensource-инсталлятор Squirrel; с его помощью Coyote прячет начальный загрузчик, выдавая его за апдейтер.
При запуске лоадера второй ступени (приложение NodeJS) отрабатывает сценарий, который переносит исполняемые файлы из /temp в папку клипов, сохраненных жертвой (captures в коллекции видео), и запускает один из них — легитимное приложение, необходимое для загрузки вредоносного кода в память по методу DLL sideloading.
Финальный лоадер написан на Nim, что пока редкость в мире вредоносов и потому пока исправно помогает им обходить антивирусы. Главной задачей этого загрузчика является распаковка NET-экзешника и запуск его в памяти своего процесса.
Почти 90% случаев заражения Coyote зафиксированы на территории Бразилии, однако практика показывает, что зловреды, нацеленные на местный онлайн-банкинг, после обкатки могут использоваться и за пределами страны.
IT Дайджест / IT Новости / IT / Технологии
Анализ нового банковского трояна, проведенный в «Лаборатории Касперского», показал, что список целей Coyote включает более 60 приложений. Цепочка заражения использует непривычные элементы: установщик Squirrel, NodeJS-скрипт, загрузчик на Nim.
Как и многие собратья, новобранец мониторит запуск программ на зараженной машине. Когда жертва открывает интересующее Coyote приложение или заходит на определенный сайт, банкер сообщает об этом оператору и в ответ получает инструкции.
Судя по списку команд, вредонос умеет регистрировать клавиатурный ввод, делать скриншоты, пользоваться оверлеями, перемещать курсор в указанную точку, а также прибивать процессы и выключать компьютер. Обмен с C2-сервером осуществляется по SSL-каналам, с обоюдной верификацией; для этого Coyote придан сертификат.
Строки кода зловреда зашифрованы по AES, никакой другой обфускации не используется. От обнаружения его призвана уберечь многоступенчатая схема заражения. Вместо привычного MSI используется opensource-инсталлятор Squirrel; с его помощью Coyote прячет начальный загрузчик, выдавая его за апдейтер.
При запуске лоадера второй ступени (приложение NodeJS) отрабатывает сценарий, который переносит исполняемые файлы из /temp в папку клипов, сохраненных жертвой (captures в коллекции видео), и запускает один из них — легитимное приложение, необходимое для загрузки вредоносного кода в память по методу DLL sideloading.
Финальный лоадер написан на Nim, что пока редкость в мире вредоносов и потому пока исправно помогает им обходить антивирусы. Главной задачей этого загрузчика является распаковка NET-экзешника и запуск его в памяти своего процесса.
Почти 90% случаев заражения Coyote зафиксированы на территории Бразилии, однако практика показывает, что зловреды, нацеленные на местный онлайн-банкинг, после обкатки могут использоваться и за пределами страны.
IT Дайджест / IT Новости / IT / Технологии
👍7🥰4❤2
RustDoor: шпион-диверсант для macOS, нацеленный на разработчиков
Исследователи выявили связь опасного вредоноса с вымогателями из ALPHV/BlackCat.
В сети обнаружен новый вид вредоносного ПО для macOS, распространяющийся под видом обновления для Microsoft Visual Studio. Этот макрос-бэкдор, написанный на языке программирования Rust, может работать как на архитектурах Intel (x86_64), так и на ARM (Apple Silicon).
Исследователи из компании Bitdefender, отслеживающие эту угрозу , назвали её «RustDoor». Сообщается, что операция по распространению бэкдора началась ещё в ноябре 2023 года и продолжается до сих пор.
Особое внимание привлекает возможная связь RustDoor с операциями по распространению вымогательского ПО, в частности с деятельностью известной группировки ALPHV/BlackCat.
Так, исследователи обнаружили, что вредоносное ПО общается с четырьмя C2-серверами, три из которых ранее использовались в атаках, потенциально связанных с действиями аффилированных с ALPHV/BlackCat злоумышленников. Тем не менее, специалисты подчёркивают, что этого недостаточно для однозначного утверждения о причастности RustDoor к определённому субъекту угроз.
Распространение RustDoor осуществляется в основном под видом обновления Visual Studio для Mac, интегрированной среды разработки от Microsoft, поддержка которой для macOS будет прекращена 31 августа этого года.
Вредоносное ПО поставляется под разными названиями и, по данным Bitdefender, активно распространялось в течение как минимум трёх месяцев, оставаясь при этом незамеченным.
IT Дайджест / IT Новости / IT / Технологии
Исследователи выявили связь опасного вредоноса с вымогателями из ALPHV/BlackCat.
В сети обнаружен новый вид вредоносного ПО для macOS, распространяющийся под видом обновления для Microsoft Visual Studio. Этот макрос-бэкдор, написанный на языке программирования Rust, может работать как на архитектурах Intel (x86_64), так и на ARM (Apple Silicon).
Исследователи из компании Bitdefender, отслеживающие эту угрозу , назвали её «RustDoor». Сообщается, что операция по распространению бэкдора началась ещё в ноябре 2023 года и продолжается до сих пор.
Особое внимание привлекает возможная связь RustDoor с операциями по распространению вымогательского ПО, в частности с деятельностью известной группировки ALPHV/BlackCat.
Так, исследователи обнаружили, что вредоносное ПО общается с четырьмя C2-серверами, три из которых ранее использовались в атаках, потенциально связанных с действиями аффилированных с ALPHV/BlackCat злоумышленников. Тем не менее, специалисты подчёркивают, что этого недостаточно для однозначного утверждения о причастности RustDoor к определённому субъекту угроз.
Распространение RustDoor осуществляется в основном под видом обновления Visual Studio для Mac, интегрированной среды разработки от Microsoft, поддержка которой для macOS будет прекращена 31 августа этого года.
Вредоносное ПО поставляется под разными названиями и, по данным Bitdefender, активно распространялось в течение как минимум трёх месяцев, оставаясь при этом незамеченным.
IT Дайджест / IT Новости / IT / Технологии
👍4
Хак-группа Volt Typhoon провела более пяти лет в сетях критически важных организаций США
Китайская группа кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет, говорится в совместном заявлении CISA, АНБ, ФБР и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих атаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
«Недавно американские правительственные ведомства обнаружили признаки того, что злоумышленники Volt Typhoon сохраняли доступ и позиции в некоторых ИТ-средах жертв в течение как минимум пяти лет, — гласит заявление. — Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы собрать информацию о целевой организации и ее окружении, адаптируют свои тактики к окружению жертвы, а также выделяют ресурсы для сохранения доступа и понимания целевой среды на протяжении долгого времени после изначальной компрометации».
Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации. Названия пострадавших организаций не раскрываются.
Полученный доступ позволял хакерам провоцировать различные сбои, например «манипулировать системами отопления, вентиляции и кондиционирования воздуха (HVAC) в серверных или нарушать работу критически важных систем управления энергоснабжением и водоснабжением.
IT Дайджест / IT Новости / IT / Технологии
Китайская группа кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет, говорится в совместном заявлении CISA, АНБ, ФБР и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих атаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
«Недавно американские правительственные ведомства обнаружили признаки того, что злоумышленники Volt Typhoon сохраняли доступ и позиции в некоторых ИТ-средах жертв в течение как минимум пяти лет, — гласит заявление. — Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы собрать информацию о целевой организации и ее окружении, адаптируют свои тактики к окружению жертвы, а также выделяют ресурсы для сохранения доступа и понимания целевой среды на протяжении долгого времени после изначальной компрометации».
Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации. Названия пострадавших организаций не раскрываются.
Полученный доступ позволял хакерам провоцировать различные сбои, например «манипулировать системами отопления, вентиляции и кондиционирования воздуха (HVAC) в серверных или нарушать работу критически важных систем управления энергоснабжением и водоснабжением.
IT Дайджест / IT Новости / IT / Технологии
👍3❤1🔥1
Взлом эфира: как собрать цифровой сканер за 250 долларов
Из гаража в массы — история одного изобретения.
В последнее время прослушка радиоперехватов полиции и пожарных стало не таким уж простым делом. Раньше достаточно было приобрести сканер, настроить частоты, и можно было наслаждаться процессом. Однако с развитием технологий, таких как транкинговое радио и цифровая модуляция, потребовалось всё более сложное оборудование, стоимость которого может быть весьма высокой.
Отказавшись смириться с завышенными ценами, энтузиаст, известный под псевдонимом Top DNG, самостоятельно создал цифровой сканер с поддержкой транкинга, минимизировав затраты. В качестве основы для своего устройства он использовал USB-тюнер RTL-SDR и мини-компьютер Raspberry Pi 5, настроенный в безголовом режиме для работы с программой sdrtrunk. Данная конфигурация обеспечивает мониторинг управляющих и частотных каналов транкинговых радиосистем, а также возможность декодирования цифровой модуляции P25, при условии отсутствия шифрования.
Помимо этого, приёмник оснащён небольшим сенсорным экраном HDMI и может питаться через USB, что делает его портативным. Самое приятное, что все компоненты можно приобрести примерно за 250 долларов, что значительно дешевле, чем стоимость специализированных цифровых сканеров, ценник на которые может достигать 600 долларов.
Второе видео содержит полную информацию и пошаговое описание сборки от начала до конца. В дополнение к экономии, создатель проекта подчеркивает необходимость использования радиатора и вентилятора для охлаждения Raspberry Pi, так как программа sdrtrunk интенсивно использует ресурсы мини-компьютера. Также рекомендуется обзавестись качественной антенной для улучшения приёма, особенно если вы находитесь в местности с плотным расположением радиовышек, как, например, в Лос-Анджелесе.
IT Дайджест / IT Новости / IT / Технологии
Из гаража в массы — история одного изобретения.
В последнее время прослушка радиоперехватов полиции и пожарных стало не таким уж простым делом. Раньше достаточно было приобрести сканер, настроить частоты, и можно было наслаждаться процессом. Однако с развитием технологий, таких как транкинговое радио и цифровая модуляция, потребовалось всё более сложное оборудование, стоимость которого может быть весьма высокой.
Отказавшись смириться с завышенными ценами, энтузиаст, известный под псевдонимом Top DNG, самостоятельно создал цифровой сканер с поддержкой транкинга, минимизировав затраты. В качестве основы для своего устройства он использовал USB-тюнер RTL-SDR и мини-компьютер Raspberry Pi 5, настроенный в безголовом режиме для работы с программой sdrtrunk. Данная конфигурация обеспечивает мониторинг управляющих и частотных каналов транкинговых радиосистем, а также возможность декодирования цифровой модуляции P25, при условии отсутствия шифрования.
Помимо этого, приёмник оснащён небольшим сенсорным экраном HDMI и может питаться через USB, что делает его портативным. Самое приятное, что все компоненты можно приобрести примерно за 250 долларов, что значительно дешевле, чем стоимость специализированных цифровых сканеров, ценник на которые может достигать 600 долларов.
Второе видео содержит полную информацию и пошаговое описание сборки от начала до конца. В дополнение к экономии, создатель проекта подчеркивает необходимость использования радиатора и вентилятора для охлаждения Raspberry Pi, так как программа sdrtrunk интенсивно использует ресурсы мини-компьютера. Также рекомендуется обзавестись качественной антенной для улучшения приёма, особенно если вы находитесь в местности с плотным расположением радиовышек, как, например, в Лос-Анджелесе.
IT Дайджест / IT Новости / IT / Технологии
👍3❤2💯2
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статей
2. Большая коллекция примеров старых и новых вредоносных программ со скриншотами и описанием.
3. Розыгрыш 10-ти премиум подписок.
4. Как мошенники научились подтверждать личность в банке
5. Подборка ресурсов по поиску уязвимостей
6. Продвинутый инструмент поиска эксплойтов
7. SOC - страшный сон хакера или как я работал в SOC'e
8. Практический гайд по регулярным выражениям
9. Список полезных ресурсов для пентестеров и хакеров
10. Утилита, которая сканирует APK-файлы на предмет URI, API-эндпоинтов и секретов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статей
2. Большая коллекция примеров старых и новых вредоносных программ со скриншотами и описанием.
3. Розыгрыш 10-ти премиум подписок.
4. Как мошенники научились подтверждать личность в банке
5. Подборка ресурсов по поиску уязвимостей
6. Продвинутый инструмент поиска эксплойтов
7. SOC - страшный сон хакера или как я работал в SOC'e
8. Практический гайд по регулярным выражениям
9. Список полезных ресурсов для пентестеров и хакеров
10. Утилита, которая сканирует APK-файлы на предмет URI, API-эндпоинтов и секретов
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
👍2🔥2💯2
GST467: прорыв в области универсальной памяти сделает компьютеры в 100 раз быстрее
Познакомьтесь с материалом, который сделает устройства быстрее, долговечнее и энергоэффективнее.
Учёные совершили значительный прорыв в разработке универсальной компьютерной памяти, создав прототип, который обещает быть одновременно сверхбыстрым и энергоэффективным. Исследователи использовали совершенно новый материал под названием "GST467", состоящий из германия, сурьмы и тербия. Этот материал, применённый в структуре суперрешётки, может заменить как краткосрочную, так и долгосрочную память, при этом будучи быстрее, дешевле и менее требовательным к энергии, согласно исследованию, опубликованному в журнале Nature.
На сегодняшний день компьютеры используют краткосрочную память, такую как оперативная память (ОЗУ), и долгосрочную флеш-память — например, твердотельные накопители (SSD) или жёсткие диски. ОЗУ быстро работает, но требует постоянного питания, что приводит к потере данных при выключении компьютера. Флеш-память, в свою очередь, сохраняет данные без питания и занимает меньше места, но передача данных процессору происходит медленнее, чем в ОЗУ.
Новый прототип представляет собой фазово-переключаемую память (PCM), которая создаёт данные компьютера в виде единиц и нулей, переключаясь между состояниями высокого и низкого сопротивления на стеклоподобном материале. При кристаллизации материала, обозначающей "единицу", высвобождается большое количество энергии и сопротивление становится низким. При плавлении, обозначающем "ноль", материал поглощает такое же количество энергии и имеет высокое сопротивление.
Группа исследователей обнаружила, что GST467 является идеальным кандидатом для использования в PCM благодаря более высоким температурам кристаллизации и более низким температурам плавления по сравнению с другими альтернативами. Устройства памяти на основе GST467 демонстрируют высокие скорости работы при низком энергопотреблении.
IT Дайджест / IT Новости / IT / Технологии
Познакомьтесь с материалом, который сделает устройства быстрее, долговечнее и энергоэффективнее.
Учёные совершили значительный прорыв в разработке универсальной компьютерной памяти, создав прототип, который обещает быть одновременно сверхбыстрым и энергоэффективным. Исследователи использовали совершенно новый материал под названием "GST467", состоящий из германия, сурьмы и тербия. Этот материал, применённый в структуре суперрешётки, может заменить как краткосрочную, так и долгосрочную память, при этом будучи быстрее, дешевле и менее требовательным к энергии, согласно исследованию, опубликованному в журнале Nature.
На сегодняшний день компьютеры используют краткосрочную память, такую как оперативная память (ОЗУ), и долгосрочную флеш-память — например, твердотельные накопители (SSD) или жёсткие диски. ОЗУ быстро работает, но требует постоянного питания, что приводит к потере данных при выключении компьютера. Флеш-память, в свою очередь, сохраняет данные без питания и занимает меньше места, но передача данных процессору происходит медленнее, чем в ОЗУ.
Новый прототип представляет собой фазово-переключаемую память (PCM), которая создаёт данные компьютера в виде единиц и нулей, переключаясь между состояниями высокого и низкого сопротивления на стеклоподобном материале. При кристаллизации материала, обозначающей "единицу", высвобождается большое количество энергии и сопротивление становится низким. При плавлении, обозначающем "ноль", материал поглощает такое же количество энергии и имеет высокое сопротивление.
Группа исследователей обнаружила, что GST467 является идеальным кандидатом для использования в PCM благодаря более высоким температурам кристаллизации и более низким температурам плавления по сравнению с другими альтернативами. Устройства памяти на основе GST467 демонстрируют высокие скорости работы при низком энергопотреблении.
IT Дайджест / IT Новости / IT / Технологии
👍4❤2🔥2😍1
Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner
Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT.
Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
IT Дайджест / IT Новости / IT / Технологии
Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT.
Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
IT Дайджест / IT Новости / IT / Технологии