Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
1. Предыдущий топ статейа предмет URI, API-эндпоинтов и секретов
2. Глубокое погружение (на примере Linux)
3. План изучения информационной безопасности за 90 дней
4. Мощный инструмент для перехвата и анализа сетевого трафика.
5. Получаем ip-адрес из requests (python)
6. Очистка текста с помощью Python. Часть 1. Часть 2.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
❤2
Защита частных сетевых доступов: Google обезопасит роутеры и принтеры от хакеров
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
Google будет постепенно внедрять эту функцию, чтобы дать разработчикам время на адаптацию.
Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
IT Дайджест / IT Новости / IT / Технологии
❤3💩1
Раскол в Nginx: Разработчик недоволен «корпоративным вмешательством», создает свободный форк
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
Максим Доунин, один из создателей Nginx, покидает проект из-за разногласий с F5.
Один из ключевых разработчиков Nginx, наиболее популярного веб-сервера в мире, объявил о своем уходе из проекта. Он заявил, что проект уже не воспринимается им как "свободный и открытый проект... на благо общественности". Максим Доунин, разработчик, создал форк под названием freenginx , который, по его словам, "будет управляться разработчиками, а не корпоративными структурами" и будет "свободен от произвольных корпоративных действий".
Доунин является одним из первых и наиболее активных участников проекта Nginx и был одним из первых сотрудников компании Nginx, Inc., созданной в 2011 году для коммерческой поддержки этого веб-сервера. В настоящее время Nginx используется примерно на трети веб-серверов мира, опережая Apache.
Nginx Inc. была приобретена компанией F5, базирующейся в Сиэтле, в 2019 году. В том же году двое лидеров Nginx, Максим Коновалов и Игорь Сысоев, были задержаны и допрошены в своих домах в агентами ФСБ. Бывший работодатель Сысоева, интернет-компания Рамблер, утверждала, что владеет правами на исходный код Nginx, поскольку он был разработан во время работы Сысоева в Рамблере (где также работал Доунин). Хотя уголовные обвинения и права, по-видимому, не были реализованы, проникновение российской компании в популярный открытый исходный код веб-инфраструктуры вызвало некоторое беспокойство.
Сысоев покинул F5 и проект Nginx в начале 2022 года. Позже, в том же году, F5 прекратила все операции в России. Некоторые разработчики Nginx, оставшиеся в России, создали Angie , во многом для поддержки пользователей Nginx в России. Доунин технически также прекратил работу в F5, но продолжал участвовать в проекте Nginx "как волонтер", согласно его сообщению в списке рассылки.
IT Дайджест / IT Новости / IT / Технологии
❤3👍1
Примитивные пароли по-прежнему в тренде: что показал анализ 5 млрд скомпрометированных данных?
За последний год специалисты российского сервиса изучения утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) изучили 44 миллиона новых аккаунтов, увеличив общее количество анализируемых учетных записей до 5,52 миллиарда. Новое исследование посвящено изучению паролей, и с 2017 года общий объем проанализированных аккаунтов, включая повторяющиеся, составил 36,6 миллиарда. Из них около 200 миллионов были добавлены только за последний год.
Для сбора данных использовались различные источники, включая сообщества по восстановлению паролей из хэшей, теневые форумы и Telegram-каналы, где публикуются данные о массовых утечках. Важной частью процесса является очистка данных от дубликатов и мусора, а также исключение автоматически сгенерированных паролей и аккаунтов, созданных ботами. Кроме того, Кириллические символы были приведены к стандартной кодировке для удобства анализа.
Среди наиболее значимых утечек 2023 года, попавших в исследование, были данные с игрового сервера lsbg.net (23 млн. учетных записей), аналитической компании zacks.com (16 млн.), медицинской лаборатории helix.ru (13 млн.), мобильного приложения для оплаты парковки в Северной Америке parkmobile.us (12 млн.) и сервиса подбора микрозаймов qzaem.ru (10 млн.).
Исследование показало, что среди всех паролей:
Более 5,5 млрд. уникальных паролей, большая часть которых состоит из цифр, букв, кириллических символов, а также комбинаций букв, цифр и спецсимволов;
Более 3,5 млрд. паролей содержали 8 и более символов, а более 915 млн.— более 10 символов.
В топ-25 самых популярных паролей за все время больших изменений не произошло. «123456» продолжает оставаться на первом месте. А вот так выглядят 10 самых популярных паролей из утечек только за 2023 год:
123456
123456789
1000000
12345678
12345
123123
1234567890
123123qwe
qwerty
Qwerty123
В отдельной категории были рассмотрены пароли для доменных зон .ru и .рф, где также «123456» занял первое место. Анализ показал, что пользователи указанных доменных зон часто используют простые и легко угадываемые пароли.
10 самых популярных паролей зоны «ru» за 2023 год:
123456
123456789
1000000
12345678
12345
123123
12345zz
qwerty
Qwerty123
1234567890
10 самых популярных паролей, содержащих только буквы:
qwerty
password
qwertyuiop
zxcvbnm
iloveyou
asdasd
qazwsx
asdfghjkl
dragon
monkey
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
1qaz@WSX
P@ssw0rd
p@ssw0rd
pass@123
1qaz!QAZ
!QAZ2wsx
Password1!
!QAZ1qaz
Pass@123
abc123!
10 самых популярных кириллических паролей:
йцукен
пароль
любовь
привет
наташа
максим
марина
люблю
андрей
кристина
Кроме паролей, были проанализированы и домены электронной почты, используемые в качестве логинов. Здесь лидируют такие домены, как gmail.com и mail.ru. Среди имен, чаще всего используемых в логинах, наибольшую популярность имеют «info» и «admin».
Исследование подчеркивает необходимость усиления мер безопасности и использования более сложных паролей, учитывая, что многие пользователи по-прежнему полагаются на простые и легко угадываемые комбинации.
В январе прошлого года DLBI заявила, что за 2022 год в интернет попали из-за утечек данные 75% российских граждан. Как отмечается в докладе DLBI, большинство утечек содержали контактные данные пользователей, пароли и информацию об использовании различных интернет-сервисов.
IT Дайджест / IT Новости / IT / Технологии
За последний год специалисты российского сервиса изучения утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) изучили 44 миллиона новых аккаунтов, увеличив общее количество анализируемых учетных записей до 5,52 миллиарда. Новое исследование посвящено изучению паролей, и с 2017 года общий объем проанализированных аккаунтов, включая повторяющиеся, составил 36,6 миллиарда. Из них около 200 миллионов были добавлены только за последний год.
Для сбора данных использовались различные источники, включая сообщества по восстановлению паролей из хэшей, теневые форумы и Telegram-каналы, где публикуются данные о массовых утечках. Важной частью процесса является очистка данных от дубликатов и мусора, а также исключение автоматически сгенерированных паролей и аккаунтов, созданных ботами. Кроме того, Кириллические символы были приведены к стандартной кодировке для удобства анализа.
Среди наиболее значимых утечек 2023 года, попавших в исследование, были данные с игрового сервера lsbg.net (23 млн. учетных записей), аналитической компании zacks.com (16 млн.), медицинской лаборатории helix.ru (13 млн.), мобильного приложения для оплаты парковки в Северной Америке parkmobile.us (12 млн.) и сервиса подбора микрозаймов qzaem.ru (10 млн.).
Исследование показало, что среди всех паролей:
Более 5,5 млрд. уникальных паролей, большая часть которых состоит из цифр, букв, кириллических символов, а также комбинаций букв, цифр и спецсимволов;
Более 3,5 млрд. паролей содержали 8 и более символов, а более 915 млн.— более 10 символов.
В топ-25 самых популярных паролей за все время больших изменений не произошло. «123456» продолжает оставаться на первом месте. А вот так выглядят 10 самых популярных паролей из утечек только за 2023 год:
123456
123456789
1000000
12345678
12345
123123
1234567890
123123qwe
qwerty
Qwerty123
В отдельной категории были рассмотрены пароли для доменных зон .ru и .рф, где также «123456» занял первое место. Анализ показал, что пользователи указанных доменных зон часто используют простые и легко угадываемые пароли.
10 самых популярных паролей зоны «ru» за 2023 год:
123456
123456789
1000000
12345678
12345
123123
12345zz
qwerty
Qwerty123
1234567890
10 самых популярных паролей, содержащих только буквы:
qwerty
password
qwertyuiop
zxcvbnm
iloveyou
asdasd
qazwsx
asdfghjkl
dragon
monkey
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
1qaz@WSX
P@ssw0rd
p@ssw0rd
pass@123
1qaz!QAZ
!QAZ2wsx
Password1!
!QAZ1qaz
Pass@123
abc123!
10 самых популярных кириллических паролей:
йцукен
пароль
любовь
привет
наташа
максим
марина
люблю
андрей
кристина
Кроме паролей, были проанализированы и домены электронной почты, используемые в качестве логинов. Здесь лидируют такие домены, как gmail.com и mail.ru. Среди имен, чаще всего используемых в логинах, наибольшую популярность имеют «info» и «admin».
Исследование подчеркивает необходимость усиления мер безопасности и использования более сложных паролей, учитывая, что многие пользователи по-прежнему полагаются на простые и легко угадываемые комбинации.
В январе прошлого года DLBI заявила, что за 2022 год в интернет попали из-за утечек данные 75% российских граждан. Как отмечается в докладе DLBI, большинство утечек содержали контактные данные пользователей, пароли и информацию об использовании различных интернет-сервисов.
IT Дайджест / IT Новости / IT / Технологии
😁4❤2🙈2👍1
Android 15: Google представляет новую версию ОС с акцентом на производительность, безопасность и конфиденциальность
Верим?
Google анонсировала дебютную версию Android 15 для разработчиков, заложив основу для совершенствования опыта использования и разработки на платформе Android. Новая версия операционной системы сосредоточена на оптимизации производительности, улучшении интеграции с аппаратным обеспечением и повышении уровня приватности и безопасности пользователей, а также принесет множество улучшений для удобства использования.
В блоге Дэйва Берка , вице-президента Google по разработке Android, представлен Android 15 как ключевой шаг в усилиях компании по созданию платформы, которая не только повышает продуктивность, но и предлагает впечатляющие медиа возможности. Он подчеркнул, что новая версия минимизирует потребление батареи, не жертвуя при этом производительностью и плавностью работы приложений на разнообразных устройствах.
Одной из заметных особенностей Android 15 является последняя версия " Privacy Sandbox on Android " — многолетней инициативы Google по разработке технологий, которые улучшают приватность пользователей и одновременно позволяют эффективно и персонализированно взаимодействовать с мобильной рекламой.
Новый предварительный выпуск для разработчиков вводит новые API, использующие fs-verity — продвинутую функцию в ядре Linux, которая использует специальные криптографические подписи для защиты от несанкционированного изменения файлов, обеспечивая дополнительный уровень безопасности против вредоносного ПО и неавторизованных изменений файлов.
Улучшения интеграции также затрагивают Android Dynamic Performance Framework, предлагая функции, такие как режим энергоэффективности для сессий, оптимизируя использование энергии вместо производительности для фоновых задач. Благодаря нововведениям в Android 15, разработчики получили доступ к продвинутым инструментам для мониторинга работы GPU и CPU, способствуя более точной адаптации системы.
IT Дайджест / IT Новости / IT / Технологии
Верим?
Google анонсировала дебютную версию Android 15 для разработчиков, заложив основу для совершенствования опыта использования и разработки на платформе Android. Новая версия операционной системы сосредоточена на оптимизации производительности, улучшении интеграции с аппаратным обеспечением и повышении уровня приватности и безопасности пользователей, а также принесет множество улучшений для удобства использования.
В блоге Дэйва Берка , вице-президента Google по разработке Android, представлен Android 15 как ключевой шаг в усилиях компании по созданию платформы, которая не только повышает продуктивность, но и предлагает впечатляющие медиа возможности. Он подчеркнул, что новая версия минимизирует потребление батареи, не жертвуя при этом производительностью и плавностью работы приложений на разнообразных устройствах.
Одной из заметных особенностей Android 15 является последняя версия " Privacy Sandbox on Android " — многолетней инициативы Google по разработке технологий, которые улучшают приватность пользователей и одновременно позволяют эффективно и персонализированно взаимодействовать с мобильной рекламой.
Новый предварительный выпуск для разработчиков вводит новые API, использующие fs-verity — продвинутую функцию в ядре Linux, которая использует специальные криптографические подписи для защиты от несанкционированного изменения файлов, обеспечивая дополнительный уровень безопасности против вредоносного ПО и неавторизованных изменений файлов.
Улучшения интеграции также затрагивают Android Dynamic Performance Framework, предлагая функции, такие как режим энергоэффективности для сессий, оптимизируя использование энергии вместо производительности для фоновых задач. Благодаря нововведениям в Android 15, разработчики получили доступ к продвинутым инструментам для мониторинга работы GPU и CPU, способствуя более точной адаптации системы.
IT Дайджест / IT Новости / IT / Технологии
👍3🤡3
В Google Chrome тестируют блокирование атак на домашние сети
Разработчики Google Chrome тестируют новую функциональность, которая должна блокировать кибератаки на домашние сети через браузер. В версии Chrome 123 её планируют запустить в режиме «только предупреждать».
Основная цель — нивелировать атаки на домашние устройства вроде принтеров, маршрутизаторов и т. п. Как правило, пользователи считают, что такие устройства защищены, хотя на деле всё иначе.
Получившая имя «Private Network Access protections» функциональность будет выполнять ряд проверок при попытке одного ресурса переадресовать пользователя на другой сайт внутри частной сети.
Проверки будут включать отправку предварительного запроса, который должен показать допускает ли конечный сайт доступ с публичного ресурса через определённые запросы — CORS.
IT Дайджест / IT Новости / IT / Технологии
Разработчики Google Chrome тестируют новую функциональность, которая должна блокировать кибератаки на домашние сети через браузер. В версии Chrome 123 её планируют запустить в режиме «только предупреждать».
Основная цель — нивелировать атаки на домашние устройства вроде принтеров, маршрутизаторов и т. п. Как правило, пользователи считают, что такие устройства защищены, хотя на деле всё иначе.
«Нововведение поможет предотвратить действия вредоносных веб-сайтов, владельцы которых нацелены на устройства и службы во внутренних сетях пользователей», — пишет Google.
Получившая имя «Private Network Access protections» функциональность будет выполнять ряд проверок при попытке одного ресурса переадресовать пользователя на другой сайт внутри частной сети.
Проверки будут включать отправку предварительного запроса, который должен показать допускает ли конечный сайт доступ с публичного ресурса через определённые запросы — CORS.
IT Дайджест / IT Новости / IT / Технологии
RustDoor — новый macOS-бэкдор, атакующий криптовалютную сферу
Новый бэкдор для macOS, получивший кодовое имя RustDoor, атакует криптовалютные организации. Название говорит о том, что вредонос написан на Rust, а основная его задача — собирать и передавать операторам важную информацию.
На RustDoor обратили внимание специалисты румынской компании Bitdefender. Бэкдор не только собирает информацию о системе, но и ворует определённые файлы жертвы. При распространении RustDoor маскируют под обновление Visual Studio.
На сегодняшний день «в живой природе» насчитываются как минимум три версии RustDoor, однако исследователи пока не называют основной механизм распространения.
В Bitdefender утверждают, что бэкдор используется в целевых атаках:
Как правило, жертва получает архив с именем «Jobinfo.app.zip» или «Jobinfo.zip», в котором содержится стандартный шелл-скрипт, отвечающий за получение вредоноса с ресурса turkishfurniture[.]blog.
IT Дайджест / IT Новости / IT / Технологии
Новый бэкдор для macOS, получивший кодовое имя RustDoor, атакует криптовалютные организации. Название говорит о том, что вредонос написан на Rust, а основная его задача — собирать и передавать операторам важную информацию.
На RustDoor обратили внимание специалисты румынской компании Bitdefender. Бэкдор не только собирает информацию о системе, но и ворует определённые файлы жертвы. При распространении RustDoor маскируют под обновление Visual Studio.
На сегодняшний день «в живой природе» насчитываются как минимум три версии RustDoor, однако исследователи пока не называют основной механизм распространения.
В Bitdefender утверждают, что бэкдор используется в целевых атаках:
«Загрузчики первой стадии обычно маскируются под PDF-файлы с предложениями работы. На деле же они представляют собой скрипты, скачивающие и выполняющие вредоносную составляющую».
Как правило, жертва получает архив с именем «Jobinfo.app.zip» или «Jobinfo.zip», в котором содержится стандартный шелл-скрипт, отвечающий за получение вредоноса с ресурса turkishfurniture[.]blog.
IT Дайджест / IT Новости / IT / Технологии
Уязвимость KeyTrap, связанную с DNSSEC, называют худшей из всех DNS-атак
Группа исследователей обнаружила связанную с DNS уязвимость (CVE-2023-50387), получившую название KeyTrap. По словам исследователей, эта проблема способна вывести из строя значительную часть интернета.
Уязвимость описывается как критический недостаток в структуре Domain Name System Security Extensions (DNSSEC), наборе расширений протокола DNS, который позволяет гарантировать достоверность и целостность данных, а также минимизировать атаки, связанные с подменой IP-адреса при разрешении доменных имен. Фактически целью DNSSEC является предотвращение «отравления» ответов на DNS-запросы и манипулирования ими.
О проблеме сообщили специалисты из немецкого Национального исследовательского центра прикладной кибербезопасности ATHENE, Дармштадтского технического университета, Франкфуртского университета имени Иоганна Вольфганга Гёте и Fraunhofer SIT. Они предупреждают, что KeyTrap затрагивает все популярные имплементации и сервисы Domain Name System (DNS), а ее эксплуатация может вызвать перебои в работе интернета в целом.
При этом в отчете экспертов подчеркивается, что уязвимость оставалась незамеченной более двух десятилетий (с 1999 года), хотя нет никаких признаков того, что ею когда-либо пользовались хакеры.
Также утверждается, что производители софта для DNS-серверов назвали эту проблему «худшей DNS-атакой из всех когда-либо обнаруженных».
Сообщается, что атакам подвержены системы, использующие DNS-резолверы с валидацией DNSSEC.
IT Дайджест / IT Новости / IT / Технологии
Группа исследователей обнаружила связанную с DNS уязвимость (CVE-2023-50387), получившую название KeyTrap. По словам исследователей, эта проблема способна вывести из строя значительную часть интернета.
Уязвимость описывается как критический недостаток в структуре Domain Name System Security Extensions (DNSSEC), наборе расширений протокола DNS, который позволяет гарантировать достоверность и целостность данных, а также минимизировать атаки, связанные с подменой IP-адреса при разрешении доменных имен. Фактически целью DNSSEC является предотвращение «отравления» ответов на DNS-запросы и манипулирования ими.
О проблеме сообщили специалисты из немецкого Национального исследовательского центра прикладной кибербезопасности ATHENE, Дармштадтского технического университета, Франкфуртского университета имени Иоганна Вольфганга Гёте и Fraunhofer SIT. Они предупреждают, что KeyTrap затрагивает все популярные имплементации и сервисы Domain Name System (DNS), а ее эксплуатация может вызвать перебои в работе интернета в целом.
При этом в отчете экспертов подчеркивается, что уязвимость оставалась незамеченной более двух десятилетий (с 1999 года), хотя нет никаких признаков того, что ею когда-либо пользовались хакеры.
Также утверждается, что производители софта для DNS-серверов назвали эту проблему «худшей DNS-атакой из всех когда-либо обнаруженных».
«Эксплуатация [KeyTrap] приведет к серьезным последствиям для любого приложения, использующего интернет, в том числе к недоступности таких технологий, как веб-браузинг, электронная почта и обмен мгновенными сообщениями. С помощью KeyTrap злоумышленник может полностью вывести из строя большую часть всемирной сети», — рассказывают исследователи.
Сообщается, что атакам подвержены системы, использующие DNS-резолверы с валидацией DNSSEC.
IT Дайджест / IT Новости / IT / Технологии
👍3❤1
Талибан против интернет-культуры: эпоха забавных доменных имён подходит к концу
Неожиданная блокировка национального домена «.af» вызвала широкий резонанс в сети.
Действие более 100 афганских интернет-сайтов с доменным именем «.af» было приостановлено после того, как французская компания-регистратор не смогла выполнить платежи Министерству связи Афганистана, контролируемому Талибаном*. Данное событие стало неожиданным ударом для пользователей Интернета, которые использовали домен «.af» для придания своим сайтам остроты и изюминки.
Домены, образованные от названия конкретных стран, такие как канадский «.ca» или французский «.fr», обычно используются только внутри этих стран, но некоторые из них, например тувалуанский «.tv», ливийский «.ly», а также ангильский «.ai» пользуются популярностью и за рубежом из-за возможности создавать уникальные или выразительные имена сайтов, а также подчёркивать их тематику.
Так, домен «.af» Афганистана приобрёл культовую популярность в Интернете в связи с тем, что в американском сленге аббревиатура «AF» означает «as fuck» или «очень»/«крайне». В сочетании с правильно подобранным доменным именем второго уровня у многих держателей веб-сайтов получались очень креативные и запоминающиеся интернет-адреса.
Однако забавная игра слов не имела отношения к недавним отключениям веб-сайтов на этом домене. По словам представителя Министерства связи и информационных технологий Афганистана, Энайатуллы Алокозая, около 150 доменов, зарегистрированных через парижскую компанию Gandi, были приостановлены до погашения задолженности в размере примерно 17 тысяч долларов США. То есть, речь идёт лишь о малой части доменов «.af», зарегистрированных в Интернете.
Арно Франкене, директор Gandi, уточнил, что речь идёт скорее о 100 доменах. Он сообщил, что международные санкции против Талибана и нестабильная банковская система Афганистана затруднили погашение долга.
IT Дайджест / IT Новости / IT / Технологии
Неожиданная блокировка национального домена «.af» вызвала широкий резонанс в сети.
Действие более 100 афганских интернет-сайтов с доменным именем «.af» было приостановлено после того, как французская компания-регистратор не смогла выполнить платежи Министерству связи Афганистана, контролируемому Талибаном*. Данное событие стало неожиданным ударом для пользователей Интернета, которые использовали домен «.af» для придания своим сайтам остроты и изюминки.
Домены, образованные от названия конкретных стран, такие как канадский «.ca» или французский «.fr», обычно используются только внутри этих стран, но некоторые из них, например тувалуанский «.tv», ливийский «.ly», а также ангильский «.ai» пользуются популярностью и за рубежом из-за возможности создавать уникальные или выразительные имена сайтов, а также подчёркивать их тематику.
Так, домен «.af» Афганистана приобрёл культовую популярность в Интернете в связи с тем, что в американском сленге аббревиатура «AF» означает «as fuck» или «очень»/«крайне». В сочетании с правильно подобранным доменным именем второго уровня у многих держателей веб-сайтов получались очень креативные и запоминающиеся интернет-адреса.
Однако забавная игра слов не имела отношения к недавним отключениям веб-сайтов на этом домене. По словам представителя Министерства связи и информационных технологий Афганистана, Энайатуллы Алокозая, около 150 доменов, зарегистрированных через парижскую компанию Gandi, были приостановлены до погашения задолженности в размере примерно 17 тысяч долларов США. То есть, речь идёт лишь о малой части доменов «.af», зарегистрированных в Интернете.
Арно Франкене, директор Gandi, уточнил, что речь идёт скорее о 100 доменах. Он сообщил, что международные санкции против Талибана и нестабильная банковская система Афганистана затруднили погашение долга.
IT Дайджест / IT Новости / IT / Технологии
🌚5❤1
Хакерам удалось проникнуть в файловую систему клиентов ESET
Критическая уязвимость повышения привилегий ставит под вопрос эффективность популярного защитного решения.
Компания ESET, специализирующаяся на кибербезопасности, недавно устранила критическую уязвимость в ряде своих антивирусных продуктов для операционной системы Windows. Ошибка, получившая обозначение CVE-2024-0353 и оценку 7.8 по шкале CVSS, связана с возможностью локальной эскалации привилегий.
Уязвимость была обнаружена благодаря инициативе Zero Day Initiative (ZDI) и подразумевает злоупотребление файловыми операциями продуктов ESET, выполняемыми системой защиты файловой системы в реальном времени. Успешная эксплуатация уязвимости позволяет потенциальным злоумышленникам удалять пользовательские файлы без соответствующего разрешения.
В список программного обеспечения, подверженного этой уязвимости, входят следующие продукты:
- ESET NOD32 Antivirus, Internet Security, Smart Security Premium, Security Ultimate 16.2.15.0 и более ранних версий;
- ESET Endpoint Antivirus для Windows и Endpoint Security для Windows 10.1.2058.0, 10.0.2049.0, 9.1.2066.0, 8.1.2052.0 и более ранних версий из соответствующего семейства версий;
- ESET Server Security для Windows Server 10.0.12014.0, 9.0.12018.0, 8.0.12015.0, 7.3.12011.0 и более ранних версий из соответствующего семейства версий;
- ESET Mail Security для Microsoft Exchange Server 10.1.10010.0, 10.0.10017.0, 9.0.10011.0, 8.0.10022.0, 7.3.10014.0 и более ранних версий из соответствующего семейства версий;
- ESET Mail Security для IBM Domino 10.0.14006.0, 9.0.14007.0, 8.0.14010.0, 7.3.14004.0 и более ранних версий из соответствующего семейства версий;
- ESET Security для Microsoft SharePoint Server 10.0.15004.0, 9.0.15005.0, 8.0.15011.0, 7.3.15004.0 и более ранних версий из соответствующего семейства версий;
- ESET File Security для Microsoft Azure (все версии).
IT Дайджест / IT Новости / IT / Технологии
Критическая уязвимость повышения привилегий ставит под вопрос эффективность популярного защитного решения.
Компания ESET, специализирующаяся на кибербезопасности, недавно устранила критическую уязвимость в ряде своих антивирусных продуктов для операционной системы Windows. Ошибка, получившая обозначение CVE-2024-0353 и оценку 7.8 по шкале CVSS, связана с возможностью локальной эскалации привилегий.
Уязвимость была обнаружена благодаря инициативе Zero Day Initiative (ZDI) и подразумевает злоупотребление файловыми операциями продуктов ESET, выполняемыми системой защиты файловой системы в реальном времени. Успешная эксплуатация уязвимости позволяет потенциальным злоумышленникам удалять пользовательские файлы без соответствующего разрешения.
В список программного обеспечения, подверженного этой уязвимости, входят следующие продукты:
- ESET NOD32 Antivirus, Internet Security, Smart Security Premium, Security Ultimate 16.2.15.0 и более ранних версий;
- ESET Endpoint Antivirus для Windows и Endpoint Security для Windows 10.1.2058.0, 10.0.2049.0, 9.1.2066.0, 8.1.2052.0 и более ранних версий из соответствующего семейства версий;
- ESET Server Security для Windows Server 10.0.12014.0, 9.0.12018.0, 8.0.12015.0, 7.3.12011.0 и более ранних версий из соответствующего семейства версий;
- ESET Mail Security для Microsoft Exchange Server 10.1.10010.0, 10.0.10017.0, 9.0.10011.0, 8.0.10022.0, 7.3.10014.0 и более ранних версий из соответствующего семейства версий;
- ESET Mail Security для IBM Domino 10.0.14006.0, 9.0.14007.0, 8.0.14010.0, 7.3.14004.0 и более ранних версий из соответствующего семейства версий;
- ESET Security для Microsoft SharePoint Server 10.0.15004.0, 9.0.15005.0, 8.0.15011.0, 7.3.15004.0 и более ранних версий из соответствующего семейства версий;
- ESET File Security для Microsoft Azure (все версии).
IT Дайджест / IT Новости / IT / Технологии
👍4
Один из лидеров групп Zeus и IcedID признал себя виновным
Гражданин Украины Вячеслав Игоревич Пенчуков, один из руководителей группировки JabberZeus, признал себя виновным по обвинениям, связанным с его руководящей ролью в создании вредоносов Zeus и IcedID.
Пенчуков (также известный под никами tank и father) был арестован в Швейцарии в октябре 2022 года во время поездки на встречу с женой в Женеву и экстрадирован в США в 2023 году.
Напомним, что впервые Министерство юстиции США предъявило обвинения Пенчукову еще в 2012 году, обвинив его в сговоре с целью кражи миллионов долларов с использованием номеров банковских счетов, паролей, личных идентификационных номеров и другой конфиденциальной информации, похищенной при помощи известного банковского трояна Zeus.
Также тогда сообщалось, что Пенчуков имел отношение к вымогательской малвари Maze и Egregor. Еще в 2021 году СМИ писали, что он был среди подозреваемых, арестованных в январе 2021 года украинской полицией (в рамках международной операции направленной против операторов Egregor). Как тогда сообщал известный ИБ-журналист Брайан Кребс, в итоге Пенчукову удалось избежать судебного преследования, в том числе благодаря своим обширным связям.
Кроме того, Пенчукову приписывают руководство операцией по созданию малвари IcedID (она же Bokbot) в период с ноября 2018 года по февраль 2021 года, уже после того как он был включен в список самых разыскиваемых ФБР киберпреступников.
Как теперь сообщают американские власти, Пенчуков признал себя виновным по обвинению в сговоре, связанном с рэкетом в соответствии с Законом RICO (The Racketeer Influenced and Corrupt Organizations Act, «Закон о коррумпированных и находящихся под влиянием рэкетиров организациях»). Это обвинение связано с его руководящей ролью в разработке Zeus. Также «Танк» признал свою вину по другому пункту обвинения — в сговоре с целью совершения мошенничества с использованием электронных средств связи, что связано с его работой над IcedID.
IT Дайджест / IT Новости / IT / Технологии
Гражданин Украины Вячеслав Игоревич Пенчуков, один из руководителей группировки JabberZeus, признал себя виновным по обвинениям, связанным с его руководящей ролью в создании вредоносов Zeus и IcedID.
Пенчуков (также известный под никами tank и father) был арестован в Швейцарии в октябре 2022 года во время поездки на встречу с женой в Женеву и экстрадирован в США в 2023 году.
Напомним, что впервые Министерство юстиции США предъявило обвинения Пенчукову еще в 2012 году, обвинив его в сговоре с целью кражи миллионов долларов с использованием номеров банковских счетов, паролей, личных идентификационных номеров и другой конфиденциальной информации, похищенной при помощи известного банковского трояна Zeus.
Также тогда сообщалось, что Пенчуков имел отношение к вымогательской малвари Maze и Egregor. Еще в 2021 году СМИ писали, что он был среди подозреваемых, арестованных в январе 2021 года украинской полицией (в рамках международной операции направленной против операторов Egregor). Как тогда сообщал известный ИБ-журналист Брайан Кребс, в итоге Пенчукову удалось избежать судебного преследования, в том числе благодаря своим обширным связям.
Кроме того, Пенчукову приписывают руководство операцией по созданию малвари IcedID (она же Bokbot) в период с ноября 2018 года по февраль 2021 года, уже после того как он был включен в список самых разыскиваемых ФБР киберпреступников.
Как теперь сообщают американские власти, Пенчуков признал себя виновным по обвинению в сговоре, связанном с рэкетом в соответствии с Законом RICO (The Racketeer Influenced and Corrupt Organizations Act, «Закон о коррумпированных и находящихся под влиянием рэкетиров организациях»). Это обвинение связано с его руководящей ролью в разработке Zeus. Также «Танк» признал свою вину по другому пункту обвинения — в сговоре с целью совершения мошенничества с использованием электронных средств связи, что связано с его работой над IcedID.
IT Дайджест / IT Новости / IT / Технологии
🤔3🫡2🤯1
Bitter: индийская группировка терроризирует Китай и Пакистан в киберпространстве
Китайские ИБ-компании раскрывают деятельность хакеров, стоящих за атаками на критическую инфраструктуру.
В последних отчётах китайских ИБ-компаний выделены серии кибератак на критическую инфраструктуру, исходящие из Индии. Атаки были направлены, в том числе, против Китая и Пакистана.
Отмечается, что одна из таких атак на китайскую военную инфраструктуру, перехваченная китайской ИБ-компанией в декабре, была осуществлена группой хакеров из Индии. Атака обладала схожими целями и методами с предыдущими, что указывает на участие одной и той же группировки.
APT-группа, активная с ноября 2013 года, была впервые обнаружена и получила название «Bitter» американской компанией Forcepoint и «Manlinghua» китайской компанией Qihoo 360 в 2016 году. С течением времени, раскрытие деятельности Bitter позволило выявить её политические мотивы, поскольку основными целями являются Пакистан и Китай, включая государственные структуры, военные и ядерные сектора.
Аналитики в области кибербезопасности подозревают, что группа имеет корни в Индии и потенциально поддерживается государством, учитывая местоположение IP-адресов и лингвистических особенностей, наблюдаемых в атаках. Также считается, что Bitter связана с несколькими другими, предположительно индийскими, группами, среди которых Patchwork, SideWinder и Donot.
Bitter использует две основные стратегии атак: целевой фишинг (Spear phishing) и атаки типа Watering hole:
-
-
IT Дайджест / IT Новости / IT / Технологии
Китайские ИБ-компании раскрывают деятельность хакеров, стоящих за атаками на критическую инфраструктуру.
В последних отчётах китайских ИБ-компаний выделены серии кибератак на критическую инфраструктуру, исходящие из Индии. Атаки были направлены, в том числе, против Китая и Пакистана.
Отмечается, что одна из таких атак на китайскую военную инфраструктуру, перехваченная китайской ИБ-компанией в декабре, была осуществлена группой хакеров из Индии. Атака обладала схожими целями и методами с предыдущими, что указывает на участие одной и той же группировки.
APT-группа, активная с ноября 2013 года, была впервые обнаружена и получила название «Bitter» американской компанией Forcepoint и «Manlinghua» китайской компанией Qihoo 360 в 2016 году. С течением времени, раскрытие деятельности Bitter позволило выявить её политические мотивы, поскольку основными целями являются Пакистан и Китай, включая государственные структуры, военные и ядерные сектора.
Аналитики в области кибербезопасности подозревают, что группа имеет корни в Индии и потенциально поддерживается государством, учитывая местоположение IP-адресов и лингвистических особенностей, наблюдаемых в атаках. Также считается, что Bitter связана с несколькими другими, предположительно индийскими, группами, среди которых Patchwork, SideWinder и Donot.
Bitter использует две основные стратегии атак: целевой фишинг (Spear phishing) и атаки типа Watering hole:
-
Spear phishing включает отправку целевым лицам заражённых документов или ссылок по электронной почте, которые при открытии загружают троянские программы для кражи данных и дальнейших инструкций от атакующих;-
Watering hole заключаются в компрометации легитимных веб-сайтов для размещения вредоносных файлов или создании фальшивых веб-сайтов для ловушек жертв, обычно с использованием интересующего их контента.IT Дайджест / IT Новости / IT / Технологии
😢2
Вирус Alpha: новый игрок или старый вымогатель, восставший из пепла?
Группа Netwalker пропала с радаров еще в 2021 году, но исследователи заметили подозрительные сходства, изучая другое ПО.
Эксперты обнаружили тревожные связи между появившимся недавно вирусом-вымогателем Alpha и преступной группировкой Netwalker, которая была ликвидирована несколько лет назад.
Netwalker действовала с октября 2019 по январь 2021 года, предоставляя свое ПО другим злоумышленникам по принципу «вымогательство как услуга» (ransomware-as-a-service, RaaS). После того, как правоохранительные органы заблокировали сайты группировки в даркнете, операторы Netwalker прекратили свою противозаконную деятельность и пропали с радаров.
Вирус Alpha впервые появился в феврале 2023 года, но первое время действовал скрытно, не рекламируя себя на хакерских форумах и не проводя масштабных атак. Спустя время злоумышленники создали сайт, на котором стали выкладывать украденные данные компаний и требовать за них выкуп.
Symantec установили связь вируса Alpha с преступной деятельностью Netwalker в своем недавнем отчете . Эта связь прослеживается в используемых новой группой инструментах и методах кибератак.
Основные сходства:
- Использование похожих загрузчиков на основе PowerShell для незаметной доставки вируса.
- Совпадение структуры и фрагментов кода, особенно в функциях шифрования файлов, отключения процессов и служб, вызова системных API.
- Схожая конфигурация правил исключения файлов, папок, процессов и служб из процедуры шифрования.
- Вредоносная программа автоматически удаляется после завершения шифрования с использованием специальных временных бат-файлов.
- На платёжных страницах о необходимости ввода пользовательского кода размещено идентичное сообщение.
- Кроме того, в последних атаках Alpha активно использовал встроенные инструменты Windows, что характерно для многих хакерских групп.
Таким образом, немало оснований полагать, что разработчики Netwalker и Alpha тесно связаны.
IT Дайджест / IT Новости / IT / Технологии
Группа Netwalker пропала с радаров еще в 2021 году, но исследователи заметили подозрительные сходства, изучая другое ПО.
Эксперты обнаружили тревожные связи между появившимся недавно вирусом-вымогателем Alpha и преступной группировкой Netwalker, которая была ликвидирована несколько лет назад.
Netwalker действовала с октября 2019 по январь 2021 года, предоставляя свое ПО другим злоумышленникам по принципу «вымогательство как услуга» (ransomware-as-a-service, RaaS). После того, как правоохранительные органы заблокировали сайты группировки в даркнете, операторы Netwalker прекратили свою противозаконную деятельность и пропали с радаров.
Вирус Alpha впервые появился в феврале 2023 года, но первое время действовал скрытно, не рекламируя себя на хакерских форумах и не проводя масштабных атак. Спустя время злоумышленники создали сайт, на котором стали выкладывать украденные данные компаний и требовать за них выкуп.
Symantec установили связь вируса Alpha с преступной деятельностью Netwalker в своем недавнем отчете . Эта связь прослеживается в используемых новой группой инструментах и методах кибератак.
Основные сходства:
- Использование похожих загрузчиков на основе PowerShell для незаметной доставки вируса.
- Совпадение структуры и фрагментов кода, особенно в функциях шифрования файлов, отключения процессов и служб, вызова системных API.
- Схожая конфигурация правил исключения файлов, папок, процессов и служб из процедуры шифрования.
- Вредоносная программа автоматически удаляется после завершения шифрования с использованием специальных временных бат-файлов.
- На платёжных страницах о необходимости ввода пользовательского кода размещено идентичное сообщение.
- Кроме того, в последних атаках Alpha активно использовал встроенные инструменты Windows, что характерно для многих хакерских групп.
Таким образом, немало оснований полагать, что разработчики Netwalker и Alpha тесно связаны.
IT Дайджест / IT Новости / IT / Технологии
👍2
ФБР: Китай готовится к глобальной кибервойне с США
Кристофер Рэй рассказал, как Пекин пытается ослабить США изнутри.
На ежегодной конференции по безопасности директор ФБР Кристофер Рэй подчеркнул необходимость обратить внимание на угрозу со стороны Китая. Рэй указал на масштабные усилия Пекина по скрытному размещению вредоносного ПО в критической инфраструктуре США, охарактеризовав это как угрозу национальной безопасности.
Ссылаясь на группировку Volt Typhoon, которая была обнаружена в сетях критически важной инфраструктуры США, Рэй сообщил, что поддерживаемые Китаем хакеры предварительно размещают вредоносное ПО, которое может быть активировано в любой момент для нарушения работы целевых сетей. По словам Рэя, это только верхушка айсберга в рамках множества подобных усилий со стороны Китая.
Рэй подчеркнул, что ФБР ведет активную работу в этом направлении, но отказался уточнить, какие именно объекты критической инфраструктуры были целями, подчеркнув масштаб и сложность китайских хакерских операций, ускорившихся за последнее десятилетие. Особую тревогу вызывает интерес Пекина к проникновению в сети США с целью проведения разрушительных кибератак.
В ходе встреч с коллегами из альянса Five Eyes и визитов в Малайзию и Индию Рэй обсуждал стратегии киберзащиты и кампанию китайского хакинга, подчеркивая важность международного сотрудничества в противостоянии угрозе. Нидерланды также сообщили о кибератаках китайских хакеров, подчеркнув масштаб проблемы.
Китай традиционно отрицает обвинения в кибератаках и шпионаже, однако доказательства государственной поддержки кибероперация Китая накапливаются. США обвинили ряд офицеров киберподразделений Народно-освободительной армии Китая (НОАК) в краже секретов.
Рэй также отметил, что кибератаки усиливаются с помощью инструментов искусственного интеллекта, что позволяет китайским агентам спецслужб убедительно вербовать агентов, похищать секреты и обрабатывать собранную информацию.
IT Дайджест / IT Новости / IT / Технологии
Кристофер Рэй рассказал, как Пекин пытается ослабить США изнутри.
На ежегодной конференции по безопасности директор ФБР Кристофер Рэй подчеркнул необходимость обратить внимание на угрозу со стороны Китая. Рэй указал на масштабные усилия Пекина по скрытному размещению вредоносного ПО в критической инфраструктуре США, охарактеризовав это как угрозу национальной безопасности.
Ссылаясь на группировку Volt Typhoon, которая была обнаружена в сетях критически важной инфраструктуры США, Рэй сообщил, что поддерживаемые Китаем хакеры предварительно размещают вредоносное ПО, которое может быть активировано в любой момент для нарушения работы целевых сетей. По словам Рэя, это только верхушка айсберга в рамках множества подобных усилий со стороны Китая.
Рэй подчеркнул, что ФБР ведет активную работу в этом направлении, но отказался уточнить, какие именно объекты критической инфраструктуры были целями, подчеркнув масштаб и сложность китайских хакерских операций, ускорившихся за последнее десятилетие. Особую тревогу вызывает интерес Пекина к проникновению в сети США с целью проведения разрушительных кибератак.
В ходе встреч с коллегами из альянса Five Eyes и визитов в Малайзию и Индию Рэй обсуждал стратегии киберзащиты и кампанию китайского хакинга, подчеркивая важность международного сотрудничества в противостоянии угрозе. Нидерланды также сообщили о кибератаках китайских хакеров, подчеркнув масштаб проблемы.
Китай традиционно отрицает обвинения в кибератаках и шпионаже, однако доказательства государственной поддержки кибероперация Китая накапливаются. США обвинили ряд офицеров киберподразделений Народно-освободительной армии Китая (НОАК) в краже секретов.
Рэй также отметил, что кибератаки усиливаются с помощью инструментов искусственного интеллекта, что позволяет китайским агентам спецслужб убедительно вербовать агентов, похищать секреты и обрабатывать собранную информацию.
IT Дайджест / IT Новости / IT / Технологии
👍3
Атаки VoltSchemer позволяют внедрить голосовые команды и перегреть смартфон
Исследователи разработали новый вектор атаки на мобильные устройства и назвали его «VoltSchemer». С помощью описанного метода можно внедрять голосовые команды для управления помощником на смартфоне и даже нагревать устройства до физического повреждения.
Используя VoltSchemer, условный злоумышленник может раскалить находящийся рядом с беспроводной зарядкой девайс до температуры выше 280 °С.
В отчёте специалистов Университета Флориды и CertiK отмечается, что для реализации VoltSchemer используются электромагнитные помехи, с помощью которых можно управлять поведением зарядного устройства.
Для демонстрации состоятельности атаки эксперты провели тестирования (PDF) на девяти наиболее популярных беспроводных зарядок, доступных по всему миру. Результаты тестов показали, что такие устройства содержат аппаратные проблемы.
По словам исследователей, атакующие могут манипулировать напряжением, которое подаётся на вход зарядного устройства, и подстраивать колебания напряжения для создания сигнала помех.
В случае VoltSchemer злоумышленники могут задействовать сторонний девайс, при этом не потребуется физически модифицировать зарядку или заражать смартфон вредоносом.
Проблема в том, что действия атакующего могут мешать мобильному устройству обмениваться данными с зарядной станицей. Как известно, они оба используют микроконтролеры для управления процессом зарядки, но VoltSchemer может искажать передаваемые сигналы.
Вектор задействует уязвимости в аппаратной составляющей беспроводных зарядных устройств, а также в протоколах, управляющих их связью. В случае успешной атаки VoltSchemer может перегреть целевой смартфон, обойти стандарты безопасности Qi и внедрить голосовые команды для управления помощником.
IT Дайджест / IT Новости / IT / Технологии
Исследователи разработали новый вектор атаки на мобильные устройства и назвали его «VoltSchemer». С помощью описанного метода можно внедрять голосовые команды для управления помощником на смартфоне и даже нагревать устройства до физического повреждения.
Используя VoltSchemer, условный злоумышленник может раскалить находящийся рядом с беспроводной зарядкой девайс до температуры выше 280 °С.
В отчёте специалистов Университета Флориды и CertiK отмечается, что для реализации VoltSchemer используются электромагнитные помехи, с помощью которых можно управлять поведением зарядного устройства.
Для демонстрации состоятельности атаки эксперты провели тестирования (PDF) на девяти наиболее популярных беспроводных зарядок, доступных по всему миру. Результаты тестов показали, что такие устройства содержат аппаратные проблемы.
По словам исследователей, атакующие могут манипулировать напряжением, которое подаётся на вход зарядного устройства, и подстраивать колебания напряжения для создания сигнала помех.
В случае VoltSchemer злоумышленники могут задействовать сторонний девайс, при этом не потребуется физически модифицировать зарядку или заражать смартфон вредоносом.
Проблема в том, что действия атакующего могут мешать мобильному устройству обмениваться данными с зарядной станицей. Как известно, они оба используют микроконтролеры для управления процессом зарядки, но VoltSchemer может искажать передаваемые сигналы.
Вектор задействует уязвимости в аппаратной составляющей беспроводных зарядных устройств, а также в протоколах, управляющих их связью. В случае успешной атаки VoltSchemer может перегреть целевой смартфон, обойти стандарты безопасности Qi и внедрить голосовые команды для управления помощником.
IT Дайджест / IT Новости / IT / Технологии
❤3
Хакеры нанесли удар по немецкой энергетике: PSI Software экстренно отключает свои сети
Как одна атака на цепочку поставок способна парализовать десятки предприятий по всей стране.
PSI Software SE, немецкий разработчик программного обеспечения для сложных производственных и логистических процессов, подтвердил, что стал жертвой кибератаки с использованием программы-вымогателя, затронувшей внутреннюю инфраструктуру.
Компания ведёт бизнес на глобальном уровне и имеет штат более 2000 сотрудников. Она специализируется на разработке программных решений для крупных поставщиков энергии, а также предлагает ряд решений для управления и обслуживания готовой энергетической инфраструктуры, управления портфелем и сбыта энергоресурсов.
15 февраля PSI Software объявила о кибератаке прямо на главной странице своего веб-сайта, временно скрыв остальное его содержимое. Из-за атаки компании пришлось отключить несколько IT-систем, включая электронную почту, чтобы снизить риск потери данных.
В последующем обновлении информации PSI Software подтвердила, что причиной нарушения работы стали действия киберпреступников, использующих программу-вымогатель. Пока компания не смогла определить точный способ проникновения злоумышленников.
«В ночь на 15 февраля в нашей сети была обнаружена необычная активность. В целях безопасности все внешние соединения и системы были незамедлительно отключены», — сообщили в PSI Software.
На данный момент нет доказательств, что атакующий получил доступ к клиентским системам, но расследование продолжается.
Информацию о том, функционируют ли сейчас клиентские системы хоть в каком-то виде, компания не предоставила. Вполне возможно, что все операции клиентов PSI Software также приостановлены на неопределённый срок, что особенно критично, когда речь идёт об энергетической отрасли.
Власти были проинформированы о происшествии, а эксперты Федерального ведомства по информационной безопасности активно помогают компании свести к минимуму последствия инцидента.
IT Дайджест / IT Новости / IT / Технологии
Как одна атака на цепочку поставок способна парализовать десятки предприятий по всей стране.
PSI Software SE, немецкий разработчик программного обеспечения для сложных производственных и логистических процессов, подтвердил, что стал жертвой кибератаки с использованием программы-вымогателя, затронувшей внутреннюю инфраструктуру.
Компания ведёт бизнес на глобальном уровне и имеет штат более 2000 сотрудников. Она специализируется на разработке программных решений для крупных поставщиков энергии, а также предлагает ряд решений для управления и обслуживания готовой энергетической инфраструктуры, управления портфелем и сбыта энергоресурсов.
15 февраля PSI Software объявила о кибератаке прямо на главной странице своего веб-сайта, временно скрыв остальное его содержимое. Из-за атаки компании пришлось отключить несколько IT-систем, включая электронную почту, чтобы снизить риск потери данных.
В последующем обновлении информации PSI Software подтвердила, что причиной нарушения работы стали действия киберпреступников, использующих программу-вымогатель. Пока компания не смогла определить точный способ проникновения злоумышленников.
«В ночь на 15 февраля в нашей сети была обнаружена необычная активность. В целях безопасности все внешние соединения и системы были незамедлительно отключены», — сообщили в PSI Software.
На данный момент нет доказательств, что атакующий получил доступ к клиентским системам, но расследование продолжается.
Информацию о том, функционируют ли сейчас клиентские системы хоть в каком-то виде, компания не предоставила. Вполне возможно, что все операции клиентов PSI Software также приостановлены на неопределённый срок, что особенно критично, когда речь идёт об энергетической отрасли.
Власти были проинформированы о происшествии, а эксперты Федерального ведомства по информационной безопасности активно помогают компании свести к минимуму последствия инцидента.
IT Дайджест / IT Новости / IT / Технологии
👍2
FACCT и МВД сообщили о ликвидации вымогательской группы SugarLocker
МВД России при поддержке специалистов компании FAССT (бывшая Group-IB), вычислило и задержало участников хак-группы SugarLocker. Сообщается, что хакеры работали «под вывеской» легальной ИТ-компании Shtazi-IT, якобы предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов.
SugarLocker (он же Encoded01) появился еще в начале 2021 года, но в первое время малварь не использовалась активно. В ноябре того же года на хак-форуме RAMP от участника под ником gustavedore было опубликовано объявление о запуске партнерской программы по модели RaaS (Ransomware-as-a-Service, «Вымогатель как услуга») и наборе партнеров в группу вымогателей.
В объявлении говорилось, что группировка атакует цели через сети и RDP и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — создатели SugarLocker. В случае, если доход превысит 5 млн долларов США, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.
В начале января 2022 года эксперты FACCT установили, что некоторые элементы инфраструктуры SugarLocker расположены на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить и панель управления программой-вымогателем.
Также отмечается, что в ходе расследования были установлено несколько лиц, которые не только занимались продвижением шифровальщика, но и разрабатывали малварь на заказ, создавали фишинговые сайты интернет-магазинов, привлекали трафик в популярные в России и СНГ мошеннические схемы.
Отдельно подчеркивается, что хакеры работали под видом легальной фирмы Shtazi-IT, предлагающей услуги по созданию лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых разработчиков, и в контактах был указан Telegram-аккаунт уже упомянуто выше GustaveDore.
IT Дайджест / IT Новости / IT / Технологии
МВД России при поддержке специалистов компании FAССT (бывшая Group-IB), вычислило и задержало участников хак-группы SugarLocker. Сообщается, что хакеры работали «под вывеской» легальной ИТ-компании Shtazi-IT, якобы предлагающей услуги по разработке лендингов, мобильных приложений и интернет-магазинов.
SugarLocker (он же Encoded01) появился еще в начале 2021 года, но в первое время малварь не использовалась активно. В ноябре того же года на хак-форуме RAMP от участника под ником gustavedore было опубликовано объявление о запуске партнерской программы по модели RaaS (Ransomware-as-a-Service, «Вымогатель как услуга») и наборе партнеров в группу вымогателей.
В объявлении говорилось, что группировка атакует цели через сети и RDP и готова незамедлительно начать работу с партнерами на условиях: 70% от выручки получает партнер, а 30% — создатели SugarLocker. В случае, если доход превысит 5 млн долларов США, прибыль будет распределена на более выгодных условиях: 90% на 10%, соответственно.
В начале января 2022 года эксперты FACCT установили, что некоторые элементы инфраструктуры SugarLocker расположены на российских хостингах. Из-за того, что злоумышленники допустили ошибку в конфигурации веб-сервера, удалось обнаружить и панель управления программой-вымогателем.
Также отмечается, что в ходе расследования были установлено несколько лиц, которые не только занимались продвижением шифровальщика, но и разрабатывали малварь на заказ, создавали фишинговые сайты интернет-магазинов, привлекали трафик в популярные в России и СНГ мошеннические схемы.
Отдельно подчеркивается, что хакеры работали под видом легальной фирмы Shtazi-IT, предлагающей услуги по созданию лендингов, мобильных приложений, скриптов, парсеров и интернет-магазинов. Компания открыто размещала объявления о найме новых разработчиков, и в контактах был указан Telegram-аккаунт уже упомянуто выше GustaveDore.
IT Дайджест / IT Новости / IT / Технологии
❤5🫡3👍1
NCA: каждый пятый ребёнок в Британии – латентный киберпреступник
Как череда неосознанных правонарушений может перечеркнуть жизни молодых ребят.
В недавнем отчёте Национального агентства по борьбе с преступностью Великобритании (NCA) раскрыта тревожная тенденция: каждый пятый ребёнок в возрасте от 10 до 16 лет участвует в онлайн-деятельности, нарушающей местный закон о злоупотреблении компьютерами.
Отчёт выделяет несколько видов опасного онлайн-поведения. К ним относятся несанкционированный доступ к чужим аккаунтам или данным, скачивание нелегального программного обеспечения, кибербуллинг, нарушение авторских прав путём незаконного скачивания или распространения материалов, а также различные нарушения в рамках онлайн-игр.
Особое внимание в отчёте уделяется тому факту, что многие дети могут совершать эти действия, не осознавая их юридических последствий и потенциального вреда. Это подчёркивает необходимость открытого диалога между родителями, образовательными учреждениями и детьми о безопасности в интернете и ответственном поведении в сети.
В документе также подчёркивается значимость превентивного образования и кампаний по повышению осведомлённости, направленных на молодёжь и взрослых. Повышение информированности о киберпреступности, её формах и юридических последствиях может существенно снизить вероятность участия подростков в рискованном онлайн-поведении.
Кроме того, NCA выступает за продвижение положительных альтернатив, стимулируя детей к участию в безопасных и продуктивных онлайн-деятельностях. Это может включать в себя поддержку их интереса к образовательным ресурсам, творческим увлечениям и различным онлайн-сообществам.
Заместитель директора NCA и глава Национального центра по борьбе с киберпреступностью Пол Фостер выразил обеспокоенность по поводу того, что многие молодые люди вовлечены в киберпреступность, не осознавая последствий своих действий.
IT Дайджест / IT Новости / IT / Технологии
Как череда неосознанных правонарушений может перечеркнуть жизни молодых ребят.
В недавнем отчёте Национального агентства по борьбе с преступностью Великобритании (NCA) раскрыта тревожная тенденция: каждый пятый ребёнок в возрасте от 10 до 16 лет участвует в онлайн-деятельности, нарушающей местный закон о злоупотреблении компьютерами.
Отчёт выделяет несколько видов опасного онлайн-поведения. К ним относятся несанкционированный доступ к чужим аккаунтам или данным, скачивание нелегального программного обеспечения, кибербуллинг, нарушение авторских прав путём незаконного скачивания или распространения материалов, а также различные нарушения в рамках онлайн-игр.
Особое внимание в отчёте уделяется тому факту, что многие дети могут совершать эти действия, не осознавая их юридических последствий и потенциального вреда. Это подчёркивает необходимость открытого диалога между родителями, образовательными учреждениями и детьми о безопасности в интернете и ответственном поведении в сети.
В документе также подчёркивается значимость превентивного образования и кампаний по повышению осведомлённости, направленных на молодёжь и взрослых. Повышение информированности о киберпреступности, её формах и юридических последствиях может существенно снизить вероятность участия подростков в рискованном онлайн-поведении.
Кроме того, NCA выступает за продвижение положительных альтернатив, стимулируя детей к участию в безопасных и продуктивных онлайн-деятельностях. Это может включать в себя поддержку их интереса к образовательным ресурсам, творческим увлечениям и различным онлайн-сообществам.
Заместитель директора NCA и глава Национального центра по борьбе с киберпреступностью Пол Фостер выразил обеспокоенность по поводу того, что многие молодые люди вовлечены в киберпреступность, не осознавая последствий своих действий.
IT Дайджест / IT Новости / IT / Технологии
🤣10👍2
Число жертв целевых атак операторов вымогателей увеличилось на 70%
За 2023 год по сравнению с 2022-м количество кибергрупп, проводящих целевые атаки с использованием программ-вымогателей, увеличилось в мире на 30%, а число их жертв — на 70%. Такие данные были получены специалистами «Лаборатории Касперского» и представлены в рамках Kaspersky CyberSecurity Weekend в Малайзии.
Целевые атаки с использованием программ-вымогателей — это целый бизнес. Кибергруппы находят «партнёров» для проведения масштабных вредоносных операций.
В отличие от массовых атак, в которых жертвой может стать кто угодно, организаторы целевых тщательно выбирают мишени — правительства, конкретные организации или отдельные группы людей внутри того или иного предприятия. В 2023 году хакеры-вымогатели получили платежи на сумму более 1 млрд долларов США.
Специалисты «Лаборатории Касперского» исследовали в 2023 году деятельность около 60 кибергрупп, проводящих атаки с использованием программ-вымогателей (в 2022-м таких групп было 46), и обнаружили инциденты, которые свидетельствуют о сотрудничестве между злоумышленниками. В некоторых случаях одни группы продавали доступ к корпоративным сетям и системам другим — способным проводить сложные атаки.
Целевые атаки с использованием программ-вымогателей включают несколько этапов, и сотрудничество такого рода позволяет кибергруппам сэкономить время и сразу приступить к анализу сети или её заражению.
IT Дайджест / IT Новости / IT / Технологии
За 2023 год по сравнению с 2022-м количество кибергрупп, проводящих целевые атаки с использованием программ-вымогателей, увеличилось в мире на 30%, а число их жертв — на 70%. Такие данные были получены специалистами «Лаборатории Касперского» и представлены в рамках Kaspersky CyberSecurity Weekend в Малайзии.
Целевые атаки с использованием программ-вымогателей — это целый бизнес. Кибергруппы находят «партнёров» для проведения масштабных вредоносных операций.
В отличие от массовых атак, в которых жертвой может стать кто угодно, организаторы целевых тщательно выбирают мишени — правительства, конкретные организации или отдельные группы людей внутри того или иного предприятия. В 2023 году хакеры-вымогатели получили платежи на сумму более 1 млрд долларов США.
Специалисты «Лаборатории Касперского» исследовали в 2023 году деятельность около 60 кибергрупп, проводящих атаки с использованием программ-вымогателей (в 2022-м таких групп было 46), и обнаружили инциденты, которые свидетельствуют о сотрудничестве между злоумышленниками. В некоторых случаях одни группы продавали доступ к корпоративным сетям и системам другим — способным проводить сложные атаки.
Целевые атаки с использованием программ-вымогателей включают несколько этапов, и сотрудничество такого рода позволяет кибергруппам сэкономить время и сразу приступить к анализу сети или её заражению.
«Хакеры-вымогатели очень упорны и требуют огромные выкупы. Если жертва отказывается платить, они часто угрожают обнародовать похищенные данные. Мы напоминаем, что в рамках инициативы No More Ransom доступны бесплатные инструменты для дешифровки, разработанные нашими специалистами. Их скачали более 360 тысяч раз за пять лет», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».
IT Дайджест / IT Новости / IT / Технологии
👀3😁2
Более 13 000 пользователей камер Wyze заглянули в чужие дома
Компания Wyze Labs поделилась новыми подробностями об инциденте с камерами наблюдения, который произошел в конце прошлой недели. Оказалось, не менее 13 000 человек получили доступ к чужим устройствам и трансляциям.
Напомним, что ранее пользователи камер наблюдения Wyze Labs столкнулись с серьезными проблемами. Многочасовой сбой, начавшийся 16 февраля 2024 года, привел к тому, что камеры исчезали из приложения Wyze и сообщали об ошибках при попытке подключения. При этом многие пользователи обнаружили, что имеют доступ к чужим девайсам.
Ранее представители Wyze Labs объясняли происходящее «проблемами со связью с AWS», а также утверждали, что на самом деле пользователи видели только превью чужих трансляций, подчеркивая, что было выявлено лишь 14 сообщений о подобных ситуациях. При этом вкладка «События» (Events) в приложении Wyze была временно отключена, так как Wyze Labs изучала некую «вероятную проблему безопасности».
Как стало известно теперь, реальный масштаб произошедшего был куда серьезнее. Теперь разработчики Wyze Labs обвинили в случившемся неназванную стороннюю клиентскую библиотеку для кэширования, недавно добавленную в системы компании.
IT Дайджест / IT Новости / IT / Технологии
Компания Wyze Labs поделилась новыми подробностями об инциденте с камерами наблюдения, который произошел в конце прошлой недели. Оказалось, не менее 13 000 человек получили доступ к чужим устройствам и трансляциям.
Напомним, что ранее пользователи камер наблюдения Wyze Labs столкнулись с серьезными проблемами. Многочасовой сбой, начавшийся 16 февраля 2024 года, привел к тому, что камеры исчезали из приложения Wyze и сообщали об ошибках при попытке подключения. При этом многие пользователи обнаружили, что имеют доступ к чужим девайсам.
Ранее представители Wyze Labs объясняли происходящее «проблемами со связью с AWS», а также утверждали, что на самом деле пользователи видели только превью чужих трансляций, подчеркивая, что было выявлено лишь 14 сообщений о подобных ситуациях. При этом вкладка «События» (Events) в приложении Wyze была временно отключена, так как Wyze Labs изучала некую «вероятную проблему безопасности».
Как стало известно теперь, реальный масштаб произошедшего был куда серьезнее. Теперь разработчики Wyze Labs обвинили в случившемся неназванную стороннюю клиентскую библиотеку для кэширования, недавно добавленную в системы компании.
«Перебои возникли у нашего партнера AWS, и утром пятницы это привело к отключению устройств Wyze на несколько часов. Если вы пытались просматривать камеры или события в режиме реального времени в этот период, то, скорее всего, не могли этого сделать. Мы очень сожалеем о причиненном беспокойстве и возникших недоразумениях, — говорится в письмах, которые компания направила пострадавшим пользователям. — В процессе восстановительных работ мы столкнулись с проблемой безопасности. Некоторые пользователи сообщили, что видят чужие превью и видеозаписи событий на вкладке “События”. Мы немедленно отключили доступ к вкладке “События” и начали расследование».
IT Дайджест / IT Новости / IT / Технологии
👍3
Исходники вымогателя Knight выставлены на продажу
Исходный код третьей версии вымогателя Knight выставлен на продажу на хакерском форуме одним из представителей группировки, сообщают исследователи компании KELA.
Шифровальщик Knight появился в конце июля 2023 года и представлял собой ребрендинг Cyclops, нацеленного на системы под управлением Windows, macOS и Linux/ESXi. Малварь приобрела определенную популярность в хакерских кругах, так как клиентам группировки также предлагались инфостилеры и облеченная версия вымогателя для партнеров начального уровня, которые атаковали небольшие организации.
Аналитики KELA сообщили изданию Bleeping Computer, что обнаружили рекламу продажи исходников, размещенную на хак-форуме RAMP, два дня назад. Объявление разместил человеком под ником Cyclops, который известен как представитель группировки Knight.
Злоумышленник не указал цену, но подчеркнул, что исходный код будет продан только одному покупателю, что позволит сохранить ценность Knight как закрытого инструмента. Также Cyclops заявил, что отдаст предпочтение авторитетным пользователям с депозитом, а покупка будет осуществляться через гаранта либо на RAMP, либо на хак-форуме XSS.
Исследователи отмечают, что третья версия Knight появилась 5 ноября 2023 года и предлагала более быстрое шифрование (на 40% быстрее), переписанный модуль ESXi, поддержку последних версий гипервизора и ряд других улучшений.
IT Дайджест / IT Новости / IT / Технологии
Исходный код третьей версии вымогателя Knight выставлен на продажу на хакерском форуме одним из представителей группировки, сообщают исследователи компании KELA.
Шифровальщик Knight появился в конце июля 2023 года и представлял собой ребрендинг Cyclops, нацеленного на системы под управлением Windows, macOS и Linux/ESXi. Малварь приобрела определенную популярность в хакерских кругах, так как клиентам группировки также предлагались инфостилеры и облеченная версия вымогателя для партнеров начального уровня, которые атаковали небольшие организации.
Аналитики KELA сообщили изданию Bleeping Computer, что обнаружили рекламу продажи исходников, размещенную на хак-форуме RAMP, два дня назад. Объявление разместил человеком под ником Cyclops, который известен как представитель группировки Knight.
«Продаю исходный код программы-вымогателя Knight 3.0, в комплект входит исходный код панели и локера, весь исходный код находится в собственности и написан на Glong C++», — пишет Cyclops.
Злоумышленник не указал цену, но подчеркнул, что исходный код будет продан только одному покупателю, что позволит сохранить ценность Knight как закрытого инструмента. Также Cyclops заявил, что отдаст предпочтение авторитетным пользователям с депозитом, а покупка будет осуществляться через гаранта либо на RAMP, либо на хак-форуме XSS.
Исследователи отмечают, что третья версия Knight появилась 5 ноября 2023 года и предлагала более быстрое шифрование (на 40% быстрее), переписанный модуль ESXi, поддержку последних версий гипервизора и ряд других улучшений.
IT Дайджест / IT Новости / IT / Технологии
👍3