Власти Швейцарии подтвердили кражу 65 000 правительственных документов.
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
👍4
США готовы платить миллионы долларов за поимку охотника на гостайну
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
🔥5
Кибербандиты похищают SAML-токены из Cisco Secure Client
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
👍4
Хакерский удар по Microsoft: руководители под слежкой, исходный код скомпрометирован
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
👍7🔥2
ИИ-оружие массового поражения: ученые создали противоядие
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
🤔3
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю (сохрани себе и отправь другу):
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
👍1
Уязвимые версии по всему миру.
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
👍3❤2
Прорыв в технологии 6G: маленький чип с большими возможностями.
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
👍3
Последние обновления macOS сносят КриптоПро CSP и Chromium ГОСТ
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
👍3🔥2
Microsoft обвиняет российских хакеров в краже исходного кода
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
LH | Новости | Курсы | Мемы
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
В последние недели мы обнаружили доказательства того, что Midnight Blizzard использует информацию, полученную из наших корпоративных систем электронной почты, для получения или попытки получения несанкционированного доступа. Включая доступ к некоторым репозиториям исходного кода и внутренним системам компании. На данный момент мы не нашли никаких доказательств того, что системы клиентов, размещенные на хостинге Microsoft, были взломаны
LH | Новости | Курсы | Мемы
🤔5🔥3👏3
Сапожник без сапог: хакеры взломали CISA
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы
8 марта российский ретейл пережил в 3 раза больше DDoS-атак, чем год назад
В этом году праздник 8 Марта в России ознаменовался рекордным всплеском DDoS-атак в сфере ретейла. Количество таких инцидентов, в три раза превысило показатель, зафиксированный годом ранее. Большинство атак на интернет-магазины в этот день носили хактивистский характер.
Дидосеры пытались нарушить работу торговых точек, чтобы лишить их ожидаемо большой выручки. Свой вклад внесли также недобросовестные продавцы цветов, старавшиеся отбить клиентуру у конкурентов. В итоге больше прочих от DDoS страдали цветочные бутики и салоны (63% атак). На долю магазинов косметики пришлось 18% атак, электроники — 12%, одежды и обуви — 6%.
По мощности DDoS-потоки не превышали 9 Гбит/c и 6,5 тыс. HTTP-запросов в секунду, однако этого было достаточно, чтобы вывести из строя сайт без спецзащиты. В ходе атак засветился ботнет, расположенный в разных странах; около 20% вредоносных запросов подавались из США, порядка 5% — с территории России.
LH | Новости | Курсы | Мемы
В этом году праздник 8 Марта в России ознаменовался рекордным всплеском DDoS-атак в сфере ретейла. Количество таких инцидентов, в три раза превысило показатель, зафиксированный годом ранее. Большинство атак на интернет-магазины в этот день носили хактивистский характер.
Дидосеры пытались нарушить работу торговых точек, чтобы лишить их ожидаемо большой выручки. Свой вклад внесли также недобросовестные продавцы цветов, старавшиеся отбить клиентуру у конкурентов. В итоге больше прочих от DDoS страдали цветочные бутики и салоны (63% атак). На долю магазинов косметики пришлось 18% атак, электроники — 12%, одежды и обуви — 6%.
По мощности DDoS-потоки не превышали 9 Гбит/c и 6,5 тыс. HTTP-запросов в секунду, однако этого было достаточно, чтобы вывести из строя сайт без спецзащиты. В ходе атак засветился ботнет, расположенный в разных странах; около 20% вредоносных запросов подавались из США, порядка 5% — с территории России.
LH | Новости | Курсы | Мемы
❤2👍1
QNAP патчит проблему обхода аутентификации в своих NAS
Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.
Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.
В QNAP описывают уязвимости так:
— CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
— CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
— CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.
LH | Новости | Курсы | Мемы
Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.
Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.
В QNAP описывают уязвимости так:
— CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
— CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
— CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.
LH | Новости | Курсы | Мемы
👍2
Новая малварь нацелена на Docker, Hadoop, Redis и Confluence ради добычи криптовалюты
Хакеры атакуют неправильно настроенные серверы Apache Hadoop YARN, Docker, Confluence и Redis с помощью новой малвари на базе Go, которая автоматизирует обнаружение и компрометацию новых хостов.
Эксперты Cado Security, обнаружившие эту вредоносную кампанию и назвавшие ее Spinning YARN, изучили полезную нагрузку, используемую в атаках, bash-скрипты и бинарные файлы ELF.
Исследователи отмечают, что набор инструментов похож на ранее зафиксированные облачные атаки, некоторые из которых приписывались таким хак-группам, как TeamTNT, WatchDog и Kiss-a-Dog.
Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и настроили реверс-шелл.
По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.
Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.
Хакеры используют свои Golang-инструменты для сканирования сегментов сети в поисках открытых портов 2375, 8088, 8090 или 6379.
LH | Новости | Курсы | Мемы
Хакеры атакуют неправильно настроенные серверы Apache Hadoop YARN, Docker, Confluence и Redis с помощью новой малвари на базе Go, которая автоматизирует обнаружение и компрометацию новых хостов.
Эксперты Cado Security, обнаружившие эту вредоносную кампанию и назвавшие ее Spinning YARN, изучили полезную нагрузку, используемую в атаках, bash-скрипты и бинарные файлы ELF.
Исследователи отмечают, что набор инструментов похож на ранее зафиксированные облачные атаки, некоторые из которых приписывались таким хак-группам, как TeamTNT, WatchDog и Kiss-a-Dog.
Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и настроили реверс-шелл.
По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.
Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.
«Интересно, что разработчики вредоносного ПО не позаботились об очистке двоичных файлов, оставив нетронутой отладочную информацию DWARF. Также не было предпринято никаких усилий для обфускации строк и других конфиденциальных данных в двоичных файлах, что сделало реверс инжиниринг легкодоступным», — говорят в Cado Security.
Хакеры используют свои Golang-инструменты для сканирования сегментов сети в поисках открытых портов 2375, 8088, 8090 или 6379.
LH | Новости | Курсы | Мемы
👍2
Специалисты Positive Technologies нашли уязвимость в устройствах Moxa
Эксперт Positive Technologies обнаружил уязвимость в промышленных беспроводных преобразователях Moxa. Из-за бага атакующий мог получить полный доступ к оборудованию и вмешаться в технологический процесс.
Проблема, получившая идентификатор CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 балла по шкале CVSS. Уязвимость была выявлена в преобразователях NPort W2150a и W2250a.
Эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство).
Неавторизованные злоумышленники могут выполнить произвольный код и получить полный доступ к устройству, находясь в одной сети с уязвимым преобразователем Moxa NPort W2150a или W2250a.
LH | Новости | Курсы | Мемы
Эксперт Positive Technologies обнаружил уязвимость в промышленных беспроводных преобразователях Moxa. Из-за бага атакующий мог получить полный доступ к оборудованию и вмешаться в технологический процесс.
Проблема, получившая идентификатор CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 балла по шкале CVSS. Уязвимость была выявлена в преобразователях NPort W2150a и W2250a.
Эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство).
Неавторизованные злоумышленники могут выполнить произвольный код и получить полный доступ к устройству, находясь в одной сети с уязвимым преобразователем Moxa NPort W2150a или W2250a.
LH | Новости | Курсы | Мемы
👍2
Хакеры атакуют разработчиков: BianLian использует TeamCity для вымогательства
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
LH | Новости | Курсы | Мемы
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
LH | Новости | Курсы | Мемы
👍1
Уязвимость в Ultimate Member угрожает тысячам WordPress-сайтов
Опасная уязвимость в WordPress-плагине Ultimate Member (более 200 тыс. активных установок) может использоваться для внедрения вредоносных скриптов. Брешь получила идентификатор CVE-2024-2123 и является по своей сути XSS.
Злонамеренные скрипты внедряются таким образом, чтобы запускаться при каждой загрузке веб-страницы. Корень уязвимости кроется в некорректной обработке вводимых данных, а также в недостаточном экранировании вывода. Небезопасная имплементация функциональности списка каталога пользователей позволяет не прошедшим аутентификацию злоумышленникам проводить инъекцию скриптов. Поскольку выводимое имя пользователя отображается в шаблонах файлов без экранирования, атакующих может при регистрации указать в поле для имени вредоносный сценарий.
LH | Новости | Курсы | Мемы
Опасная уязвимость в WordPress-плагине Ultimate Member (более 200 тыс. активных установок) может использоваться для внедрения вредоносных скриптов. Брешь получила идентификатор CVE-2024-2123 и является по своей сути XSS.
Злонамеренные скрипты внедряются таким образом, чтобы запускаться при каждой загрузке веб-страницы. Корень уязвимости кроется в некорректной обработке вводимых данных, а также в недостаточном экранировании вывода. Небезопасная имплементация функциональности списка каталога пользователей позволяет не прошедшим аутентификацию злоумышленникам проводить инъекцию скриптов. Поскольку выводимое имя пользователя отображается в шаблонах файлов без экранирования, атакующих может при регистрации указать в поле для имени вредоносный сценарий.
LH | Новости | Курсы | Мемы
👍3
Сбой в сети МТС нарушил работу интернета в Азии
11 марта 2024 года, в результате технического сбоя при настройке оборудования сети МТС, произошла утечка маршрутов интернет-трафика, которая повлекла за собой нарушения в работе сетевых операций не только в Азии, но и у ряда международных интернет-сервисов.
Ключевой момент проблемы заключался в неправильной конфигурации направления интернет-трафика, что привело к его утечке через гонконгскую точку обмена трафиком HKIX, важный узел, к которому подключены многие крупные игроки, включая таких гигантов, как Google и Amazon.
По данным службы мониторинга Qrator.Radar, МТС неправильно анонсировала BGP-префиксы, что затронуло 329 автономных систем в 28 странах. AS8359 (МТС) перенаправила 4 065 префиксов к американскому оператору Level3, вызвав конфликты в азиатских и других префиксах, что особенно остро ощутили пользователи социальной сети X в Азии.
LH | Новости | Курсы | Мемы
11 марта 2024 года, в результате технического сбоя при настройке оборудования сети МТС, произошла утечка маршрутов интернет-трафика, которая повлекла за собой нарушения в работе сетевых операций не только в Азии, но и у ряда международных интернет-сервисов.
Ключевой момент проблемы заключался в неправильной конфигурации направления интернет-трафика, что привело к его утечке через гонконгскую точку обмена трафиком HKIX, важный узел, к которому подключены многие крупные игроки, включая таких гигантов, как Google и Amazon.
По данным службы мониторинга Qrator.Radar, МТС неправильно анонсировала BGP-префиксы, что затронуло 329 автономных систем в 28 странах. AS8359 (МТС) перенаправила 4 065 префиксов к американскому оператору Level3, вызвав конфликты в азиатских и других префиксах, что особенно остро ощутили пользователи социальной сети X в Азии.
LH | Новости | Курсы | Мемы
🤔4😁2
Хакеры используют QEMU в качестве инструмента для создания сетевых туннелей
Специалисты «Лаборатории Касперского» рассказали, что злоумышленники использовали опенсорсный эмулятор QEMU для туннелирования.
QEMU использовался как инструмент для создания сетевых туннелей, который вряд ли вызовет какие-то подозрения (даже если это означает отказ от шифрования трафика). Кроме того, QEMU предоставляет хакерам уникальные возможности, включая эмуляцию широкого спектра аппаратных и виртуальных сетей, позволяя вредоносной активности смешиваться с обычным трафиком виртуализации и соединять сегментированные части сети.
В изученной атаке хакеры постарались оставить как можно меньше следов, выделив виртуальной машине всего 1 МБ оперативной памяти, что значительно снижало вероятность ее обнаружения из-за потребления ресурсов.
Выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам. Каждое сетевое устройство (а их много) определяется своим типом и может иметь дополнительные параметры.
В итоге, используя QEMU, злоумышленники создали сетевой туннель от целевого внутреннего хоста, не имеющего доступа в интернет, к хосту с доступом в интернет, который, в свою очередь, подключался к облачному серверу хакеров, где была установлена виртуальная машина с Kali Linux.
LH | Новости | Курсы | Мемы
Специалисты «Лаборатории Касперского» рассказали, что злоумышленники использовали опенсорсный эмулятор QEMU для туннелирования.
QEMU использовался как инструмент для создания сетевых туннелей, который вряд ли вызовет какие-то подозрения (даже если это означает отказ от шифрования трафика). Кроме того, QEMU предоставляет хакерам уникальные возможности, включая эмуляцию широкого спектра аппаратных и виртуальных сетей, позволяя вредоносной активности смешиваться с обычным трафиком виртуализации и соединять сегментированные части сети.
В изученной атаке хакеры постарались оставить как можно меньше следов, выделив виртуальной машине всего 1 МБ оперативной памяти, что значительно снижало вероятность ее обнаружения из-за потребления ресурсов.
Выяснилось, что QEMU позволяет создать сетевое соединение между виртуальными машинами: опция -netdev используется для создания сетевых устройств (backend), которые затем могут быть подключены к виртуальным машинам. Каждое сетевое устройство (а их много) определяется своим типом и может иметь дополнительные параметры.
В итоге, используя QEMU, злоумышленники создали сетевой туннель от целевого внутреннего хоста, не имеющего доступа в интернет, к хосту с доступом в интернет, который, в свою очередь, подключался к облачному серверу хакеров, где была установлена виртуальная машина с Kali Linux.
LH | Новости | Курсы | Мемы
👍5❤1
Вспышка атак на WordPress: 3900 сайтов взломаны через Popup Builder
В последние три недели свыше 3900 сайтов на WordPress подверглись атаке в рамках новой злонамеренной кампании, основной целью которой стало использование уязвимости в плагине Popup Builder для внедрения на сайты вредоносного JavaScript-содержимого.
Исследователи сообщают, что атаки ведутся с доменов, зарегистрированных менее месяца назад, начиная с 12 февраля 2024 года. Основной вектор атаки связан с уязвимостью CVE-2023-6000, через которую злоумышленники создают фальшивые учётные записи администраторов и устанавливают произвольные плагины.
Ранее эта же уязвимость уже была использована хакерами для компрометации не менее 7000 веб-сайтов в рамках вредоносной операции с применением Balada Injector. Тем временем, новая серия атак внедряет ещё два варианта вредоносного кода, направленного на перенаправление посетителей сайтов на фишинговые и мошеннические страницы.
LH | Новости | Курсы | Мемы
В последние три недели свыше 3900 сайтов на WordPress подверглись атаке в рамках новой злонамеренной кампании, основной целью которой стало использование уязвимости в плагине Popup Builder для внедрения на сайты вредоносного JavaScript-содержимого.
Исследователи сообщают, что атаки ведутся с доменов, зарегистрированных менее месяца назад, начиная с 12 февраля 2024 года. Основной вектор атаки связан с уязвимостью CVE-2023-6000, через которую злоумышленники создают фальшивые учётные записи администраторов и устанавливают произвольные плагины.
Ранее эта же уязвимость уже была использована хакерами для компрометации не менее 7000 веб-сайтов в рамках вредоносной операции с применением Balada Injector. Тем временем, новая серия атак внедряет ещё два варианта вредоносного кода, направленного на перенаправление посетителей сайтов на фишинговые и мошеннические страницы.
LH | Новости | Курсы | Мемы
👍3
60 дыр безопасности закрыты в рамках очередного Patch Tuesday
В рамках ежемесячного обновления безопасности, известного как Patch Tuesday, компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.
Количество исправленных уязвимостей в каждой категории указано ниже:
Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:
LH | Новости | Курсы | Мемы
В рамках ежемесячного обновления безопасности, известного как Patch Tuesday, компания Microsoft выпустила исправления для 60 уязвимостей, среди которых выделяются 18 уязвимостей удалённого выполнения кода. Особое внимание также было уделено исправлению двух критических ошибок, связанных с удалённым выполнением кода и отказом в обслуживании в Hyper-V.
Количество исправленных уязвимостей в каждой категории указано ниже:
24 уязвимости повышения привилегий;
3 уязвимости обхода системы безопасности;
18 уязвимостей удалённого выполнения кода;
6 уязвимостей раскрытия информации;
6 уязвимостей отказа в обслуживании;
2 уязвимости спуфинга данных.
Тем не менее, из общего перечня уязвимостей стоит особенно выделить следующие:
— CVE-2024-21400: уязвимость в Azure Kubernetes Service, позволяющая злоумышленникам повысить свои привилегии и похитить учётные данные.
— CVE-2024-26199: уязвимость в Microsoft Office, позволяющая любому аутентифицированному пользователю получить привилегии SYSTEM.
— CVE-2024-20671: уязвимость в Microsoft Defender, позволяющая обойти функцию безопасности и предотвратить запуск Defender.
— CVE-2024-21411: уязвимость в Skype for Consumer, позволяющая выполнить удалённый код посредством мошеннической ссылки или изображения.
LH | Новости | Курсы | Мемы
👍2