440 тысяч билетов на концерты Тейлор Свифт похищены хакерами
#Ticketmaster #взлом #ShinyHunters #BreachForums
В конце мая мы писали о взломе компании Ticketmaster, в рамках которого хакерам удалось похитить 1,3 ТБ данных компании. Как выяснилось позже, скомпрометирована была компания-посредник, работавшая с чувствительной информацией, — Snowflake. Более того, участь Ticketmaster постигла ещё как минимум 165 организаций, не использовавших двухфакторную аутентификацию в системах Snowflake.
Взлом Ticketmaster отгремел на весь мир и уже стал понемногу исчезать с информационных радаров, однако киберпреступники нашли, чем в очередной раз удивить общественность. Всё дело в том, что компрометация Ticketmaster, как оказалось, имеет куда более серьёзные последствия, чем предполагалось ранее.
Хакерская группировка ShinyHunters сообщила на платформе BreachForums, что среди украденных ранее 1,3 ТБ данных были обнаружены 193 миллиона штрих-кодов, включающих 440 тысяч билетов на грядущие концерты популярной американской певицы Тейлор Свифт.
Общая стоимость украденных данных оценивается в 22 миллиарда долларов, однако хакеры потребовали у LiveNation, материнской компании Ticketmaster, лишь 8 миллионов долларов выкупа, чтобы билеты на концерты и прочая ценная информация не была слита в открытый доступ.
Представители ShinyHunters заявили, что изначально согласились на предложение от LiveNation в 1 миллион долларов, чтобы скрыть факт взлома. Однако, осознав реальную ценность данных, хакеры увеличили свои требования до 8 миллионов долларов, указывая на то, что они могут сделать ситуацию ещё более сложной и затратной для компании.
Помимо билетов на концерты Тейлор Свифт, хакеры утверждают, что у них есть ещё 30 миллионов билетов общей стоимостью свыше 4,6 миллиардов долларов на 65 тысяч различных мероприятий.
Киберзлодеи подробно описали украденные данные и отметили среди них:
• 980 миллионов заказов;
• 680 миллионов деталей заказов;
• 1,2 миллиарда записей поиска;
• 440 миллионов уникальных email-адресов;
• 4 миллиона обработанных и дублированных записей;
• 560 миллионов данных системы верификации адресов (AVS);
• 400 миллионов зашифрованных данных кредитных карт с частичной информацией.
LH | Новости | Курсы | Мемы
#Ticketmaster #взлом #ShinyHunters #BreachForums
В конце мая мы писали о взломе компании Ticketmaster, в рамках которого хакерам удалось похитить 1,3 ТБ данных компании. Как выяснилось позже, скомпрометирована была компания-посредник, работавшая с чувствительной информацией, — Snowflake. Более того, участь Ticketmaster постигла ещё как минимум 165 организаций, не использовавших двухфакторную аутентификацию в системах Snowflake.
Взлом Ticketmaster отгремел на весь мир и уже стал понемногу исчезать с информационных радаров, однако киберпреступники нашли, чем в очередной раз удивить общественность. Всё дело в том, что компрометация Ticketmaster, как оказалось, имеет куда более серьёзные последствия, чем предполагалось ранее.
Хакерская группировка ShinyHunters сообщила на платформе BreachForums, что среди украденных ранее 1,3 ТБ данных были обнаружены 193 миллиона штрих-кодов, включающих 440 тысяч билетов на грядущие концерты популярной американской певицы Тейлор Свифт.
Общая стоимость украденных данных оценивается в 22 миллиарда долларов, однако хакеры потребовали у LiveNation, материнской компании Ticketmaster, лишь 8 миллионов долларов выкупа, чтобы билеты на концерты и прочая ценная информация не была слита в открытый доступ.
Представители ShinyHunters заявили, что изначально согласились на предложение от LiveNation в 1 миллион долларов, чтобы скрыть факт взлома. Однако, осознав реальную ценность данных, хакеры увеличили свои требования до 8 миллионов долларов, указывая на то, что они могут сделать ситуацию ещё более сложной и затратной для компании.
Помимо билетов на концерты Тейлор Свифт, хакеры утверждают, что у них есть ещё 30 миллионов билетов общей стоимостью свыше 4,6 миллиардов долларов на 65 тысяч различных мероприятий.
Киберзлодеи подробно описали украденные данные и отметили среди них:
• 980 миллионов заказов;
• 680 миллионов деталей заказов;
• 1,2 миллиарда записей поиска;
• 440 миллионов уникальных email-адресов;
• 4 миллиона обработанных и дублированных записей;
• 560 миллионов данных системы верификации адресов (AVS);
• 400 миллионов зашифрованных данных кредитных карт с частичной информацией.
LH | Новости | Курсы | Мемы
👍1🤬1
IT-ипотека станет менее привлекательной
#Минцифры
В правительстве активно обсуждают возможность изменения условий выдачи IT-ипотеки с 18 млн (действует для регионов, где проживает более 1 млн человек) до 9 млн руб. Источник, близкий к Минцифры, сообщил РБК , что такой шаг направлен на устранение диспропорции в распределении средств: в настоящее время около 40% IT-ипотек выдается в Москве, что считается несправедливым.
Источник также уточнил, что соответствующее распоряжение правительства может быть принято в ближайшее время. Однако рассматривается и альтернативный вариант, который предполагает создание дополнительных стимулов для региональных IT-специалистов, чтобы они активнее участвовали в программе.
Замглавы Минфина Иван Чебесков подтвердил, что обсуждение сокращения предельного размера кредита по IT-ипотеке ведется. По его словам, рассматриваются различные варианты изменений параметров программы, включая возможное изменение ставки. В настоящее время ставка составляет 5%. Чебесков заверил, что программа IT-ипотеки будет продлена, а новые условия станут известны в ближайшее время, когда правительство примет окончательные решения.
Представитель Минцифры не подтвердил конкретно возможность снижения максимального размера кредита до 9 миллионов рублей, отметив, что министерство занимается проработкой продолжения программы. От более детальных комментариев он воздержался, пояснив, что ранее оценка была проведена на основе прогнозов по выдаче ипотеки от банков-участников. По его словам, показатели, прогнозируемые банками, уже достигнуты, что свидетельствует о высокой востребованности IT-ипотеки.
LH | Новости | Курсы | Мемы
#Минцифры
В правительстве активно обсуждают возможность изменения условий выдачи IT-ипотеки с 18 млн (действует для регионов, где проживает более 1 млн человек) до 9 млн руб. Источник, близкий к Минцифры, сообщил РБК , что такой шаг направлен на устранение диспропорции в распределении средств: в настоящее время около 40% IT-ипотек выдается в Москве, что считается несправедливым.
Источник также уточнил, что соответствующее распоряжение правительства может быть принято в ближайшее время. Однако рассматривается и альтернативный вариант, который предполагает создание дополнительных стимулов для региональных IT-специалистов, чтобы они активнее участвовали в программе.
Замглавы Минфина Иван Чебесков подтвердил, что обсуждение сокращения предельного размера кредита по IT-ипотеке ведется. По его словам, рассматриваются различные варианты изменений параметров программы, включая возможное изменение ставки. В настоящее время ставка составляет 5%. Чебесков заверил, что программа IT-ипотеки будет продлена, а новые условия станут известны в ближайшее время, когда правительство примет окончательные решения.
Представитель Минцифры не подтвердил конкретно возможность снижения максимального размера кредита до 9 миллионов рублей, отметив, что министерство занимается проработкой продолжения программы. От более детальных комментариев он воздержался, пояснив, что ранее оценка была проведена на основе прогнозов по выдаче ипотеки от банков-участников. По его словам, показатели, прогнозируемые банками, уже достигнуты, что свидетельствует о высокой востребованности IT-ипотеки.
LH | Новости | Курсы | Мемы
🤡2👍1🤣1
Руководство «Формулы-1» сообщило о взломе и утечке данных
#взлом
Международная автомобильная федерация (Federation Internationale de l'Automobile, FIA), сообщила, что злоумышленники взломали несколько ее почтовых ящиков в результате фишинговой атаки и смогли получить доступ к персональным данным.
Некоммерческая организация, основанная в 1904 году и ранее называвшаяся Международной ассоциацией автомобильных клубов (AIACR), представляет собой международную ассоциацию, которая координирует проведение многих чемпионатов в сфере автоспорта, включая «Формулу-1» и Чемпионат мира по ралли (WRC). Также ассоциация объединяет 242 организации из 147 стран мира и управляет Фондом FIA, который продвигает и финансирует исследования в области безопасности дорожного движения.
Как сообщили на этой неделе представители организации, FIA пострадала от хакерской атаки:
«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA, — заявили представители организации. — Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».
При этом в организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе этого инцидента.
Сообщается, что FIA уже уведомила о произошедшем Федерального комиссара по защите данных и информации (FDPIC, швейцарский регулирующий орган по защите данных) и Национальную комиссию информационных данных и свобод (CNIL, французский регулирующий орган по защите данных).
Руководство «Формулы-1» подчеркивает, что были приняты дополнительные меры безопасности для предотвращения подобных атак в будущем, и заявляет, что «сожалеет о любых неудобствах, причиненных пострадавшим».
LH | Новости | Курсы | Мемы
#взлом
Международная автомобильная федерация (Federation Internationale de l'Automobile, FIA), сообщила, что злоумышленники взломали несколько ее почтовых ящиков в результате фишинговой атаки и смогли получить доступ к персональным данным.
Некоммерческая организация, основанная в 1904 году и ранее называвшаяся Международной ассоциацией автомобильных клубов (AIACR), представляет собой международную ассоциацию, которая координирует проведение многих чемпионатов в сфере автоспорта, включая «Формулу-1» и Чемпионат мира по ралли (WRC). Также ассоциация объединяет 242 организации из 147 стран мира и управляет Фондом FIA, который продвигает и финансирует исследования в области безопасности дорожного движения.
Как сообщили на этой неделе представители организации, FIA пострадала от хакерской атаки:
«В результате недавних инцидентов, связанных с фишинговыми атаками, был получен несанкционированный доступ к персональным данным, содержащимся в двух учетных записях электронной почты, принадлежащих FIA, — заявили представители организации. — Как только об этих случаях стало известно, FIA предприняла все необходимые меры для урегулирования ситуации, в частности, в кратчайшие сроки прекратила несанкционированный доступ».
При этом в организации не уточняют, когда была обнаружена атака, и какие именно конфиденциальные данные были раскрыты или украдены в ходе этого инцидента.
Сообщается, что FIA уже уведомила о произошедшем Федерального комиссара по защите данных и информации (FDPIC, швейцарский регулирующий орган по защите данных) и Национальную комиссию информационных данных и свобод (CNIL, французский регулирующий орган по защите данных).
Руководство «Формулы-1» подчеркивает, что были приняты дополнительные меры безопасности для предотвращения подобных атак в будущем, и заявляет, что «сожалеет о любых неудобствах, причиненных пострадавшим».
LH | Новости | Курсы | Мемы
🤬2
Ctrl+Alt+Cancer: Хакеры лишили пациентку груди
#Ransomware #взлом
В мае 2024 года компания Synnovis, предоставляющая патологоанатомические услуги лондонским больницам, подверглась атаке программ-вымогателей . Это привело к отмене около 1500 медицинских процедур в крупнейших медучреждениях британской столицы за четыре недели.
История Ханны Гроутхёйзен ярко иллюстрирует человеческое измерение этой проблемы. 36-летняя менеджер по научным исследованиям в King's College London столкнулась с серьезными осложнениями в лечении агрессивного HER2-положительного рака груди из-за кибератаки.
Диагностированная в конце 2023 года, Ханна прошла курс химиотерапии и готовилась к операции по удалению опухоли 7 июня. Изначально планировалась операция с сохранением кожи и немедленной реконструкцией груди. Однако кибератака, произошедшая за четыре дня до операции, поставила эти планы под угрозу.
За день до процедуры Ханне сообщили, что реконструкция груди слишком рискованна из-за проблем с обеспечением переливания крови. Перед ней встал выбор: отложить операцию или согласиться на простую мастэктомию. Учитывая агрессивный характер рака, Ханна выбрала второй вариант.
Последствия атаки оказались масштабными. Больницы столкнулись с острой нехваткой донорской крови , что привело к срочным призывам о её пожертвовании. За месяц после инцидента было отложено почти 5000 амбулаторных приёмов и более 1300 плановых процедур.
LH | Новости | Курсы | Мемы
#Ransomware #взлом
В мае 2024 года компания Synnovis, предоставляющая патологоанатомические услуги лондонским больницам, подверглась атаке программ-вымогателей . Это привело к отмене около 1500 медицинских процедур в крупнейших медучреждениях британской столицы за четыре недели.
История Ханны Гроутхёйзен ярко иллюстрирует человеческое измерение этой проблемы. 36-летняя менеджер по научным исследованиям в King's College London столкнулась с серьезными осложнениями в лечении агрессивного HER2-положительного рака груди из-за кибератаки.
Диагностированная в конце 2023 года, Ханна прошла курс химиотерапии и готовилась к операции по удалению опухоли 7 июня. Изначально планировалась операция с сохранением кожи и немедленной реконструкцией груди. Однако кибератака, произошедшая за четыре дня до операции, поставила эти планы под угрозу.
За день до процедуры Ханне сообщили, что реконструкция груди слишком рискованна из-за проблем с обеспечением переливания крови. Перед ней встал выбор: отложить операцию или согласиться на простую мастэктомию. Учитывая агрессивный характер рака, Ханна выбрала второй вариант.
Последствия атаки оказались масштабными. Больницы столкнулись с острой нехваткой донорской крови , что привело к срочным призывам о её пожертвовании. За месяц после инцидента было отложено почти 5000 амбулаторных приёмов и более 1300 плановых процедур.
LH | Новости | Курсы | Мемы
👍1
Forwarded from Life-Hack - Хакер
Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. Smap - пассивный сканер портов
3. OSINT или разведка по открытым источникам
4. Топ инструментов анализа контейнеров Docker и Kubernetes
5. Desktop приложение ChatGPT, доступное для Mac, Windows и Linux
6. Поиск по почте и никнейму
7. Скрипт для установки полноценного почтового сервера, со всеми необходимыми функциями
8. Первая неделя курса "Тестирование на проникновение"
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Smap - пассивный сканер портов
3. OSINT или разведка по открытым источникам
4. Топ инструментов анализа контейнеров Docker и Kubernetes
5. Desktop приложение ChatGPT, доступное для Mac, Windows и Linux
6. Поиск по почте и никнейму
7. Скрипт для установки полноценного почтового сервера, со всеми необходимыми функциями
8. Первая неделя курса "Тестирование на проникновение"
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
Данные покупателей алкоголя в сети ВинЛаб выложили в свободный доступ
#утечки #взлом
В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».
В частичном дампе содержится более 408 тыс. строк с данными пользователей:
• ФИО
• телефон
• адрес эл. почты
• хешированный пароль (PBKDF2 SHA-256 в реализации SAP HANA)
• номер карты лояльности, кол-во бонусов и т.п.
В полном дампе, выгруженном хакером из MS SQL Server, содержится: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.
Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.
Данные в дампе датируются 06.07.2024.
LH | Новости | Курсы | Мемы
#утечки #взлом
В свободном доступе появился фрагмент таблицы пользователей из базы данных сети магазинов алкогольных напитков «ВинЛаб».
В частичном дампе содержится более 408 тыс. строк с данными пользователей:
• ФИО
• телефон
• адрес эл. почты
• хешированный пароль (PBKDF2 SHA-256 в реализации SAP HANA)
• номер карты лояльности, кол-во бонусов и т.п.
В полном дампе, выгруженном хакером из MS SQL Server, содержится: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты.
Кроме того, полный дамп этой базы данных содержит адреса покупателей, информацию о заказах, обращения в поддержку и даже коды скидочных купонов.
Данные в дампе датируются 06.07.2024.
LH | Новости | Курсы | Мемы
Девелоперы: Apple блокирует VPN для россиян с iPhone лучше, чем власти
#Apple #VPN #AppStore #блокировки
С прошлой недели известно, что как минимум два персональных VPN-приложения теперь недоступны в российском сегменте магазина App Store. Apple рассылает разработчикам соответствующие уведомления.
Например, разработчики Red Shield VPN, которые ориентируются именно на российских пользователей, утверждают, что получили от Apple уведомление об удалении приложения из российского App Store. Скриншот электронного письма девелоперы выложили в соцсети X. Причина удаления софта: он нарушает местные законы.
В официальном заявлении Red Shield VPN, конечно же, упомянут авторитарный режим и прочите страсти: «Действия Apple, продиктованные желанием зарабатывать на российском рынке, поддерживают авторитарный режим. За последние шесть лет российские власти заблокировали тысячи нод Red Shield VPN, но не смогли помешать гражданам получать доступ к заблокированным сайтам». «Apple оказалась эффективнее российских властей по части блокировки VPN».
Здесь как раз у разработчиков прослеживается обида: у самих теперь не получится зарабатывать на россиянах. Поэтому в ход идут избитые приёмы, рассчитанные на эмоции: «Это просто преступление против гражданского общества. Тот факт, что корпорация, чья капитализация превышает ВВП России, поддерживает авторитарный режим, говорит многое о её моральных принципах».
Девелоперы другого VPN-софта — Le VPN — также сообщили об удалении из российского App Store.
LH | Новости | Курсы | Мемы
#Apple #VPN #AppStore #блокировки
С прошлой недели известно, что как минимум два персональных VPN-приложения теперь недоступны в российском сегменте магазина App Store. Apple рассылает разработчикам соответствующие уведомления.
Например, разработчики Red Shield VPN, которые ориентируются именно на российских пользователей, утверждают, что получили от Apple уведомление об удалении приложения из российского App Store. Скриншот электронного письма девелоперы выложили в соцсети X. Причина удаления софта: он нарушает местные законы.
В официальном заявлении Red Shield VPN, конечно же, упомянут авторитарный режим и прочите страсти: «Действия Apple, продиктованные желанием зарабатывать на российском рынке, поддерживают авторитарный режим. За последние шесть лет российские власти заблокировали тысячи нод Red Shield VPN, но не смогли помешать гражданам получать доступ к заблокированным сайтам». «Apple оказалась эффективнее российских властей по части блокировки VPN».
Здесь как раз у разработчиков прослеживается обида: у самих теперь не получится зарабатывать на россиянах. Поэтому в ход идут избитые приёмы, рассчитанные на эмоции: «Это просто преступление против гражданского общества. Тот факт, что корпорация, чья капитализация превышает ВВП России, поддерживает авторитарный режим, говорит многое о её моральных принципах».
Девелоперы другого VPN-софта — Le VPN — также сообщили об удалении из российского App Store.
LH | Новости | Курсы | Мемы
👍4🔥2
CloudSorcerer — новая кибершпионская кампания против российских госструктур
#Malware
Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.
В качестве командного центра (C2) атакующие используют GitHub. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.
В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы. Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.
На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.
Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.
LH | Новости | Курсы | Мемы
#Malware
Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.
В качестве командного центра (C2) атакующие используют GitHub. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.
В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы. Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.
На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.
Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.
LH | Новости | Курсы | Мемы
Новый Zmiy атакует российские ИТ и телеком через взломанные системы лифтов
#взлом #SCADA
Для размещения C2-серверов злоумышленники взламывают диспетчерские SCADA-системы домовых лифтов и потому получили условное имя Lifting Zmiy — «лифтеры». Управление подключенными к интернету лифтами при этом не страдает; доступ к ПЛК в составе SCADA используется исключительно для проведения атак на госструктуры, ИТ-компании, телеком-провайдеров c целью кражи данных. Иногда такая атака влечет уничтожение части инфраструктуры жертвы.
Для развертывания C2-серверов на ПЛК используется известная с 2022 года уязвимость в контроллерах «Текон-Автоматика», позволяющая создать и запустить в системе LUA-скрипт с правами root.
Проблема была вызвана наличием в паблике дефолтных логина и пароля админа. После публикации PoC вендор закрыл доступ к этим учеткам на своем сайте, однако похоже, что некоторые юзеры до сих пор используют эту комбинацию — или заменили ее легко угадываемым вариантом.
Для проникновения в целевую сеть используется подбор паролей, для закрепления и развития атаки — в основном инструменты с открытым исходным кодом.
LH | Новости | Курсы | Мемы
#взлом #SCADA
Для размещения C2-серверов злоумышленники взламывают диспетчерские SCADA-системы домовых лифтов и потому получили условное имя Lifting Zmiy — «лифтеры». Управление подключенными к интернету лифтами при этом не страдает; доступ к ПЛК в составе SCADA используется исключительно для проведения атак на госструктуры, ИТ-компании, телеком-провайдеров c целью кражи данных. Иногда такая атака влечет уничтожение части инфраструктуры жертвы.
Для развертывания C2-серверов на ПЛК используется известная с 2022 года уязвимость в контроллерах «Текон-Автоматика», позволяющая создать и запустить в системе LUA-скрипт с правами root.
Проблема была вызвана наличием в паблике дефолтных логина и пароля админа. После публикации PoC вендор закрыл доступ к этим учеткам на своем сайте, однако похоже, что некоторые юзеры до сих пор используют эту комбинацию — или заменили ее легко угадываемым вариантом.
Для проникновения в целевую сеть используется подбор паролей, для закрепления и развития атаки — в основном инструменты с открытым исходным кодом.
LH | Новости | Курсы | Мемы
👍2
За месяц Роскомнадзор заблокировал более 4,5 тыс. фишинговых страниц
#Роскомнадзор
В июне 2024 года специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), работающего под эгидой Роскомнадзора, заблокировали 4665 фишинговых ресурсов и 5 сайтов, используемых для распространения вредоносных программ.
В настоящее время фишинговые страницы в рунете чаще всего имитируют инвестиционные площадки, интернет-магазины, банковские сервисы и соцсети. Из-за активной и систематической блокировки таких ловушек злоумышленники вынуждены усложнять мошеннические схемы и мигрировать в мессенджеры.
Благодаря налаженному РКН непрерывному отслеживанию состояния рунета за месяц также удалось заблокировать 16 DDoS-атак. Выявлены и устранены 767 нарушений маршрутизации трафика.
Напомним, в прошлом месяце хактивисты-дидосеры попытались нарушить работу платежной системы «Мир», крупнейших операторов связи России, центра Jet CSIRT компании «Инфосистемы Джет», а также сорвать важные для России события: международный экономический форум в Санкт-Петербурге (ПМЭФ) и спортивные игры БРИКС в Казани.
Кроме перечисленного, в задачи ЦМУ ССОП входит профилактика эксплойт-атак на сети связи. В отчетный период эксперты направили телеоператорам 83 уведомления об уязвимостях в используемом софте, с рекомендациями по устранению.
LH | Новости | Курсы | Мемы
#Роскомнадзор
В июне 2024 года специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), работающего под эгидой Роскомнадзора, заблокировали 4665 фишинговых ресурсов и 5 сайтов, используемых для распространения вредоносных программ.
В настоящее время фишинговые страницы в рунете чаще всего имитируют инвестиционные площадки, интернет-магазины, банковские сервисы и соцсети. Из-за активной и систематической блокировки таких ловушек злоумышленники вынуждены усложнять мошеннические схемы и мигрировать в мессенджеры.
Благодаря налаженному РКН непрерывному отслеживанию состояния рунета за месяц также удалось заблокировать 16 DDoS-атак. Выявлены и устранены 767 нарушений маршрутизации трафика.
Напомним, в прошлом месяце хактивисты-дидосеры попытались нарушить работу платежной системы «Мир», крупнейших операторов связи России, центра Jet CSIRT компании «Инфосистемы Джет», а также сорвать важные для России события: международный экономический форум в Санкт-Петербурге (ПМЭФ) и спортивные игры БРИКС в Казани.
Кроме перечисленного, в задачи ЦМУ ССОП входит профилактика эксплойт-атак на сети связи. В отчетный период эксперты направили телеоператорам 83 уведомления об уязвимостях в используемом софте, с рекомендациями по устранению.
LH | Новости | Курсы | Мемы
🤡4👍2
Разработчик заставил Arch Linux загружаться прямо с Google Диска
#Linux
Мир технологий полон удивительных и необычных проектов. Ранее, например, Doom запустили на кишечной палочке. На этот раз один разработчик сделал нечто действительно потрясающее: он запустил Arch Linux прямо с Google Drive на старом ноутбуке без встроенной памяти. Это достижение можно считать как важным техническим прорывом, так и весьма необычным экспериментом.
Чтобы оценить сложность выполненной задачи, стоит разобраться в процессе загрузки Linux:
• Прошивка (BIOS/UEFI) инициирует и загружает загрузчик.
• Загрузчик загружает ядро операционной системы.
• Ядро распаковывает временную файловую систему в оперативную память, содержащую инструменты для монтирования основной файловой системы.
• Ядро монтирует основную файловую систему и переключает процесс на init систему на новой файловой системе.
Разработчик по имени Ersei воспользовался третьим шагом, чтобы смонтировать FUSE файловую систему, что позволило бы Linux загружаться как обычно. FUSE – это файловая система в пользовательском пространстве, которая позволяет создавать файловые системы без необходимости привилегированных разрешений. Сначала Ersei удалось загрузить систему с Amazon S3, а затем он решил попробовать использовать Google Drive.
Запуск Arch Linux на ноутбуке напрямую с Google Drive стал действительно впечатляющим достижением. Однако процесс не обошёлся без трудностей. Использование FUSE для монтирования Google Drive с помощью google-drive-ocamlfuse вызвало множество проблем:
• Неработающие символические ссылки: ссылки на ссылки не работали, что было критично для файлов в /usr/lib.
• Нефункциональные жесткие ссылки: Жесткие ссылки, которые крайне важны для многих Unix-систем, также не работали, создавая серьезные препятствия.
• Проблемы с производительностью: всё работало очень медленно.
• Права доступа и атрибуты: они работали некорректно, еще больше усложняя настройку.
Несмотря на все трудности, Ersei продолжал упорно работать над проектом, вручную настраивая параметры и конфигурации, чтобы система заработала. В итоге ему удалось создать единый EFI файл с инструкциями для загрузки системы напрямую с Google Drive. Проект может показаться странным, но у него есть практическое применение. Например, можно создать действительно портативную версию Linux, хранящуюся в облаке. Хотя доступ и использование такой системы могут быть медленными, она всё же позволяет упростить облачную загрузку и может стать полезной для обучения.
LH | Новости | Курсы | Мемы
#Linux
Мир технологий полон удивительных и необычных проектов. Ранее, например, Doom запустили на кишечной палочке. На этот раз один разработчик сделал нечто действительно потрясающее: он запустил Arch Linux прямо с Google Drive на старом ноутбуке без встроенной памяти. Это достижение можно считать как важным техническим прорывом, так и весьма необычным экспериментом.
Чтобы оценить сложность выполненной задачи, стоит разобраться в процессе загрузки Linux:
• Прошивка (BIOS/UEFI) инициирует и загружает загрузчик.
• Загрузчик загружает ядро операционной системы.
• Ядро распаковывает временную файловую систему в оперативную память, содержащую инструменты для монтирования основной файловой системы.
• Ядро монтирует основную файловую систему и переключает процесс на init систему на новой файловой системе.
Разработчик по имени Ersei воспользовался третьим шагом, чтобы смонтировать FUSE файловую систему, что позволило бы Linux загружаться как обычно. FUSE – это файловая система в пользовательском пространстве, которая позволяет создавать файловые системы без необходимости привилегированных разрешений. Сначала Ersei удалось загрузить систему с Amazon S3, а затем он решил попробовать использовать Google Drive.
Запуск Arch Linux на ноутбуке напрямую с Google Drive стал действительно впечатляющим достижением. Однако процесс не обошёлся без трудностей. Использование FUSE для монтирования Google Drive с помощью google-drive-ocamlfuse вызвало множество проблем:
• Неработающие символические ссылки: ссылки на ссылки не работали, что было критично для файлов в /usr/lib.
• Нефункциональные жесткие ссылки: Жесткие ссылки, которые крайне важны для многих Unix-систем, также не работали, создавая серьезные препятствия.
• Проблемы с производительностью: всё работало очень медленно.
• Права доступа и атрибуты: они работали некорректно, еще больше усложняя настройку.
Несмотря на все трудности, Ersei продолжал упорно работать над проектом, вручную настраивая параметры и конфигурации, чтобы система заработала. В итоге ему удалось создать единый EFI файл с инструкциями для загрузки системы напрямую с Google Drive. Проект может показаться странным, но у него есть практическое применение. Например, можно создать действительно портативную версию Linux, хранящуюся в облаке. Хотя доступ и использование такой системы могут быть медленными, она всё же позволяет упростить облачную загрузку и может стать полезной для обучения.
LH | Новости | Курсы | Мемы
👍4🔥1
Свежая RCE-уязвимость в Ghostscript уже используется хакерами
#взлом #cve #RCE
Уязвимость удаленного выполнения кода в тулките Ghostscript, который широко применяется в *nix, Windows, MacOS и различных встроенных ОС, позволяет обойти песочницу -dSAFER и уже используется злоумышленниками.
Ghostscript — это интерпретатор для языка PostScript и документов PDF, который входит в состав многих дистрибутивов Linux и используется в различном ПО для конвертации документов (включая ImageMagick, LibreOffice, GIMP, Inkscape, Scribus и CUPS), а также встречается в приложениях для Windows и macOS, и различных встраиваемых системах.
Свежая уязвимость CVE-2024-29510, обнаруженная экспертами Codean Labs, затрагивает все версии Ghostscript до 10.03.0 и более ранние. Она позволяет злоумышленникам обойти песочницу -dSAFER (включенную по умолчанию), и связана с uniprint (universal printer device), который поддерживает формирование командных данных для широкого спектра моделей принтеров путем изменения параметров конфигурации.
Исследователи пишут, что такой обход песочницы опасен тем, что позволяет выполнять опасные операции (включая выполнение команд и I/O файлов) с помощью интерпретатора Ghostscript Postscript, что в обычных условиях блокируется песочницей. При этом отмечается, что уязвимость можно использовать как в процессорах изображений, так и в текстовых процессорах.
«Эта уязвимость серьезно влияет на веб-приложения и другие сервисы, предлагающие функции конвертации и предварительного просмотра документов, поскольку они часто используют Ghostscript под капотом».
Проблема CVE-2024-29510 была устранена разработчиками еще в мае текущего года, а специалисты Codean Labs опубликовали свой отчет с техническими подробностями и PoC-эксплоитом лишь два месяца спустя. Однако это не помешало злоумышленникам оперативно взять свежий баг на вооружение.
Как предупреждает разработчик ReadMe Билл Милл (Bill Mill), хакеры уже эксплуатируют CVE-2024-29510 в реальных атаках. Злоумышленники используют файлы EPS (PostScript), замаскированные под файлы JPG, чтобы получить доступ к уязвимым системам.
LH | Новости | Курсы | Мемы
#взлом #cve #RCE
Уязвимость удаленного выполнения кода в тулките Ghostscript, который широко применяется в *nix, Windows, MacOS и различных встроенных ОС, позволяет обойти песочницу -dSAFER и уже используется злоумышленниками.
Ghostscript — это интерпретатор для языка PostScript и документов PDF, который входит в состав многих дистрибутивов Linux и используется в различном ПО для конвертации документов (включая ImageMagick, LibreOffice, GIMP, Inkscape, Scribus и CUPS), а также встречается в приложениях для Windows и macOS, и различных встраиваемых системах.
Свежая уязвимость CVE-2024-29510, обнаруженная экспертами Codean Labs, затрагивает все версии Ghostscript до 10.03.0 и более ранние. Она позволяет злоумышленникам обойти песочницу -dSAFER (включенную по умолчанию), и связана с uniprint (universal printer device), который поддерживает формирование командных данных для широкого спектра моделей принтеров путем изменения параметров конфигурации.
Исследователи пишут, что такой обход песочницы опасен тем, что позволяет выполнять опасные операции (включая выполнение команд и I/O файлов) с помощью интерпретатора Ghostscript Postscript, что в обычных условиях блокируется песочницей. При этом отмечается, что уязвимость можно использовать как в процессорах изображений, так и в текстовых процессорах.
«Эта уязвимость серьезно влияет на веб-приложения и другие сервисы, предлагающие функции конвертации и предварительного просмотра документов, поскольку они часто используют Ghostscript под капотом».
Проблема CVE-2024-29510 была устранена разработчиками еще в мае текущего года, а специалисты Codean Labs опубликовали свой отчет с техническими подробностями и PoC-эксплоитом лишь два месяца спустя. Однако это не помешало злоумышленникам оперативно взять свежий баг на вооружение.
Как предупреждает разработчик ReadMe Билл Милл (Bill Mill), хакеры уже эксплуатируют CVE-2024-29510 в реальных атаках. Злоумышленники используют файлы EPS (PostScript), замаскированные под файлы JPG, чтобы получить доступ к уязвимым системам.
LH | Новости | Курсы | Мемы
Религия как приманка: Нигерия в лапах AndroRAT
#взлом #Android #Malware
Нигерия отличается ярким религиозным ландшафтом со множеством различных конфессий, формирующих страну. Но значительное влияние религии в стране также представляет собой плодородную почву для атак социальной инженерии как против обычных пользователей, так и против организаций.
Специалисты Symantec обнаружили кампанию, в ходе которой злоумышленники распространяют поддельное мобильное приложение, связанное с Кораном (AssunnahQuranApp.apk), для заражения пользователей.
Вредоносное приложение на самом деле является замаскированным AndroRAT — троян удаленного доступа (Remote Access Trojan, RAT) для Android, работающий по модели клиент-сервер, позволяющий удаленно управлять телефоном жертвы после установки. Среди функций – доступ к данным местоположения, журналам вызовов и контактам, а также отправка SMS-сообщений и съемка фото.
Ранее мы писали, что среди пользователей Android распространяются фейковые приложения, которые, помимо обещанных функций, поставляются с имплантированным трояном CapraRAT, модифицированной версией AndroRAT с открытым исходным кодом.
Бэкдор оснащен обширным набором функций, которые позволяют делать снимки экрана и фотографии, записывать телефонные звонки и окружающий звук, а также извлекать другую конфиденциальную информацию. Он также может совершать звонки, отправлять SMS-сообщения и получать команды для загрузки файлов.
LH | Новости | Курсы | Мемы
#взлом #Android #Malware
Нигерия отличается ярким религиозным ландшафтом со множеством различных конфессий, формирующих страну. Но значительное влияние религии в стране также представляет собой плодородную почву для атак социальной инженерии как против обычных пользователей, так и против организаций.
Специалисты Symantec обнаружили кампанию, в ходе которой злоумышленники распространяют поддельное мобильное приложение, связанное с Кораном (AssunnahQuranApp.apk), для заражения пользователей.
Вредоносное приложение на самом деле является замаскированным AndroRAT — троян удаленного доступа (Remote Access Trojan, RAT) для Android, работающий по модели клиент-сервер, позволяющий удаленно управлять телефоном жертвы после установки. Среди функций – доступ к данным местоположения, журналам вызовов и контактам, а также отправка SMS-сообщений и съемка фото.
Ранее мы писали, что среди пользователей Android распространяются фейковые приложения, которые, помимо обещанных функций, поставляются с имплантированным трояном CapraRAT, модифицированной версией AndroRAT с открытым исходным кодом.
Бэкдор оснащен обширным набором функций, которые позволяют делать снимки экрана и фотографии, записывать телефонные звонки и окружающий звук, а также извлекать другую конфиденциальную информацию. Он также может совершать звонки, отправлять SMS-сообщения и получать команды для загрузки файлов.
LH | Новости | Курсы | Мемы
👍3
Под прикрытием БПЛА: файл о дронах ворует документы Word и данные Telegram Desktop
#Malware
7 июля специалисты «Лаборатории Касперского» обнаружили новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
LH | Новости | Курсы | Мемы
#Malware
7 июля специалисты «Лаборатории Касперского» обнаружили новую серию целенаправленных кибератак. Злоумышленники рассылают вредоносный файл, маскирующийся под документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». Масштаб атаки указывает на то, что её целью является сбор конфиденциальной информации.
Коварный файл с расширением .scr на самом деле является инсталлятором. Чтобы усыпить бдительность пользователя, он извлекает из себя и открывает PDF-документ по теме БПЛА, одновременно скрытно загружая дополнительное вредоносное ПО и утилиту для работы с RAR-архивами.
Хакеры нацелены на офисные документы форматов .doc и .docx, хранящиеся на дисках C:, D: и E:, а также на содержимое папки «Telegram Desktop\tdata», где находятся данные десктопной версии популярного мессенджера. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлеченной из скачанного архива.
Кроме того, атакующие используют утилиту Web Browser Pass View для кражи паролей из браузеров и устанавливают легитимную программу для мониторинга активности пользователя. Эта программа способна перехватывать нажатия клавиш, отслеживать интернет-активность, делать скриншоты и отправлять отчеты злоумышленникам.
Эксперты отмечают, что подобные атаки не новы и встречаются с 2019 года. Основные различия заключаются в теме документа-приманки и названии вредоносного инсталлятора. В 2023 году файлы часто содержали фразу «1C.Предприятие Платежная накладная». В 2024 году используются разнообразные названия, связанные с техническими и аналитическими документами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».
В ходе этой атаки вредоносные архивы загружались с ресурса accouts-verification[.]ru, а данные жертв отправлялись на сервер hostingforme[.]nl. Ранее для этих целей использовался сайт detectis[.]ru.
LH | Новости | Курсы | Мемы
👍1
В июле Microsoft закрыла 142 дыры, включая четыре уязвимости нулевого дня
#cve #Microsoft
Июльский набор патчей от Microsoft закрыл в общей сложности 142 уязвимости, включая две бреши, которые активно используются в реальных кибератаках, и ещё две с готовым эксплойтом.
Среди закрытых дыр есть пять критических, в случае эксплуатации они могут привести к удалённому выполнению кода. По классам уязвимости распределились в этом месяце так: 26 проблем повышения привилегий; 24 возможности обхода защитных функций; 59 уязвимостей удалённого выполнения кода; 9 багов, приводящих к раскрытию информации; 17 DoS; 7 проблем спуфинга.
Что касается упомянутых четырёх 0-day, они получили следующие идентификаторы:
• CVE-2024-38080 — возможность повышения прав в Windows Hyper-V, открывает атакующему привилегии уровня SYSTEM. Microsoft признаёт, что эта брешь фигурирует в реальных кибератаках, однако никаких деталей не раскрывает.
• CVE-2024-38112 — возможность спуфинга в Windows MSHTML. Эксплуатация этого бага требует определённой подготовки: злоумышленнику придётся отправить жертве вредоносные файл, который та должна открыть.
• CVE-2024-35264 — проблема удалённого выполнения кода в .NET и Visual Studio. Здесь атакующий может вызвать «состояние гонки», отправив поток http/3 в то время, пока обрабатывается тело запроса.
• CVE-2024-37985 — эта брешь позволяет провести атаку по сторонним каналам. Ранее Microsoft называла её FetchBench и утверждала, что с её помощью киберпреступники могут получить «секретную информацию».
LH | Новости | Курсы | Мемы
#cve #Microsoft
Июльский набор патчей от Microsoft закрыл в общей сложности 142 уязвимости, включая две бреши, которые активно используются в реальных кибератаках, и ещё две с готовым эксплойтом.
Среди закрытых дыр есть пять критических, в случае эксплуатации они могут привести к удалённому выполнению кода. По классам уязвимости распределились в этом месяце так: 26 проблем повышения привилегий; 24 возможности обхода защитных функций; 59 уязвимостей удалённого выполнения кода; 9 багов, приводящих к раскрытию информации; 17 DoS; 7 проблем спуфинга.
Что касается упомянутых четырёх 0-day, они получили следующие идентификаторы:
• CVE-2024-38080 — возможность повышения прав в Windows Hyper-V, открывает атакующему привилегии уровня SYSTEM. Microsoft признаёт, что эта брешь фигурирует в реальных кибератаках, однако никаких деталей не раскрывает.
• CVE-2024-38112 — возможность спуфинга в Windows MSHTML. Эксплуатация этого бага требует определённой подготовки: злоумышленнику придётся отправить жертве вредоносные файл, который та должна открыть.
• CVE-2024-35264 — проблема удалённого выполнения кода в .NET и Visual Studio. Здесь атакующий может вызвать «состояние гонки», отправив поток http/3 в то время, пока обрабатывается тело запроса.
• CVE-2024-37985 — эта брешь позволяет провести атаку по сторонним каналам. Ранее Microsoft называла её FetchBench и утверждала, что с её помощью киберпреступники могут получить «секретную информацию».
LH | Новости | Курсы | Мемы
👍1
Blast-RADIUS (CVE-2024-3596) позволяет обойти аутентификацию в широко распространенном протоколе RADIUS
#cve
Атака позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS (Remote Authentication Dial-In User Service) был разработан еще в 1991 году. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
• VPN-доступа;
• DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами,
• работы Wi-Fi и аутентификация 802.1X;
• роуминга в сетях 2G и 3G;
• DNN-аутентификации в сетях 5G;
• аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
• аутентификации на устройствах управления КИИ;
• Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами (как правило, роутерами, коммутаторами и другими устройствами, предоставляющими доступ к сети) и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP (Extensible Authentication Protocol).
«Атака Blast-RADIUS позволяет злоумышленнику, находящемуся между клиентом и сервером RADIUS, подделать настоящее accept-сообщение протокола в ответ на неудачный запрос аутентификации, — объясняют исследователи. — Это может дать злоумышленнику доступ к сетевым устройствам и сервисам без необходимости угадывать или взламывать пароли или shared-секреты. В итоге атакующий не получает учетные данные пользователя. Злоумышленник, использующий нашу атаку, имеет возможность повысить свои привилегии от частичного доступа к сети до входа на любое устройство, использующее RADIUS для аутентификации, или присвоить себе произвольные сетевые права».
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
LH | Новости | Курсы | Мемы
#cve
Атака позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS (Remote Authentication Dial-In User Service) был разработан еще в 1991 году. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
• VPN-доступа;
• DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами,
• работы Wi-Fi и аутентификация 802.1X;
• роуминга в сетях 2G и 3G;
• DNN-аутентификации в сетях 5G;
• аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
• аутентификации на устройствах управления КИИ;
• Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами (как правило, роутерами, коммутаторами и другими устройствами, предоставляющими доступ к сети) и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP (Extensible Authentication Protocol).
«Атака Blast-RADIUS позволяет злоумышленнику, находящемуся между клиентом и сервером RADIUS, подделать настоящее accept-сообщение протокола в ответ на неудачный запрос аутентификации, — объясняют исследователи. — Это может дать злоумышленнику доступ к сетевым устройствам и сервисам без необходимости угадывать или взламывать пароли или shared-секреты. В итоге атакующий не получает учетные данные пользователя. Злоумышленник, использующий нашу атаку, имеет возможность повысить свои привилегии от частичного доступа к сети до входа на любое устройство, использующее RADIUS для аутентификации, или присвоить себе произвольные сетевые права».
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
LH | Новости | Курсы | Мемы
👍2
Контекстные карточки WhatsApp расскажут все о подозрительных групповых чатах
#WhatsApp
В WhatsApp появится новая функция, которая повысит безопасность пользователей при общении в групповых чатах . Специальные контекстные карточки будут предоставлять важные сведения о незнакомых сообществах. Цель - защитить людей от вовлечения в мошеннические схемы и снизить связанные с ними потенциальные риски.
Функция будет активироваться, когда пользователя добавляют в групповой чат люди, отсутствующие в списке контактов. На экране появится окошко с ключевой информацией:
• Имя пригласившего пользователя
• Дату создания сообщества
• Имя основателя
• Описание (при наличии)
Человек сможет быстро оценить, знаком ли ему данный чат, представляет ли он интерес или может оказаться источником спама.
Идея нововведения появилась у разработчиков не просто так – она основана на реальном негативном опыте. Например, в Индии в последнее время участились случаи финансового мошенничества. Злоумышленники добавляют пользователей в группы, предлагающие выгодные инвестиции. Многие, не проверив достоверность предложений, поддаются на уловки и теряют крупные суммы денег. Потери некоторых жертв исчисляются сотнями тысяч рупий.
Контекстная карточка, помимо базовой информации о сообществе, содержит специальную кнопку, с помощью которой можно моментально покинуть группу. Здесь же будет размещена ссылка на рекомендации WhatsApp по безопасности.
Внедрение этого инструмента окажется особенно полезным для тех, кто часто взаимодействует с новыми людьми или сообществами, например, в рамках социальных или профессиональных сетей. Это поможет им удостовериться в подлинности групповых чатов, прежде чем продолжить общение.
Функция станет доступна для всех в течение нескольких недель. Стоит отметить, что она дополняет существующий набор мер безопасности мессенджера, который включает в себя такие опции, как отключение звука для неизвестных абонентов, блокировка чатов, встроенная проверка настроек конфиденциальности и контроль над тем, кто может добавлять вас в групповые чаты.
LH | Новости | Курсы | Мемы
В WhatsApp появится новая функция, которая повысит безопасность пользователей при общении в групповых чатах . Специальные контекстные карточки будут предоставлять важные сведения о незнакомых сообществах. Цель - защитить людей от вовлечения в мошеннические схемы и снизить связанные с ними потенциальные риски.
Функция будет активироваться, когда пользователя добавляют в групповой чат люди, отсутствующие в списке контактов. На экране появится окошко с ключевой информацией:
• Имя пригласившего пользователя
• Дату создания сообщества
• Имя основателя
• Описание (при наличии)
Человек сможет быстро оценить, знаком ли ему данный чат, представляет ли он интерес или может оказаться источником спама.
Идея нововведения появилась у разработчиков не просто так – она основана на реальном негативном опыте. Например, в Индии в последнее время участились случаи финансового мошенничества. Злоумышленники добавляют пользователей в группы, предлагающие выгодные инвестиции. Многие, не проверив достоверность предложений, поддаются на уловки и теряют крупные суммы денег. Потери некоторых жертв исчисляются сотнями тысяч рупий.
Контекстная карточка, помимо базовой информации о сообществе, содержит специальную кнопку, с помощью которой можно моментально покинуть группу. Здесь же будет размещена ссылка на рекомендации WhatsApp по безопасности.
Внедрение этого инструмента окажется особенно полезным для тех, кто часто взаимодействует с новыми людьми или сообществами, например, в рамках социальных или профессиональных сетей. Это поможет им удостовериться в подлинности групповых чатов, прежде чем продолжить общение.
Функция станет доступна для всех в течение нескольких недель. Стоит отметить, что она дополняет существующий набор мер безопасности мессенджера, который включает в себя такие опции, как отключение звука для неизвестных абонентов, блокировка чатов, встроенная проверка настроек конфиденциальности и контроль над тем, кто может добавлять вас в групповые чаты.
LH | Новости | Курсы | Мемы
👍3
Россияне, которых считают админами теневой библиотеки Z-Library, сбежали из-под домашнего ареста
СМИ сообщают, что двое россиян, в 2022 году арестованные в Аргентине по запросу США и считавшиеся администраторами теневой библиотеки Z-Library, сбежали из-под домашнего ареста. Гражданам России Антону Напольскому и Валерии Ермаковой грозила экстрадиция в США, которую уже одобрил судья. Подав прошение в Верховный суд страны с просьбой о предоставлении статуса политических беженцев, пара скрылась в неизвестном направлении.
В ноябре 2022 года Министерство юстиции США и ФБР начали конфискацию доменов Z-Library в рамках масштабной операции по закрытию библиотеки. Тогда в ходе расследования было установлено, что предполагаемыми операторами сайта являются два гражданина России — Антон Напольский и Валерия Ермакова.
В итоге их задержали в Аргентине по запросу американских властей и обвинили в нарушении прав интеллектуальной собственности, так как Z-Library считается одним из крупнейших хранилищ пиратских книг, научных статей и академических текстов в интернете.
Поскольку в США их ждало обвинение в нарушении авторских прав, мошенничестве и отмывании денег, приоритетной задачей для Напольского и Ермаковой стала борьба против экстрадиции. Наняв адвоката, пара продолжала отрицать все обвинения. К тому же в присутствии дипломатов из российского посольства защитник Напольского заявил, что запрос об экстрадиции не отвечает требованиям, поскольку в нем не указано, какие именно произведения, защищенные авторским правом, предположительно пострадали.
В январе 2023 года судья разрешил поместить россиян под домашний арест. При этом согласие прокурора, который отвечал за запрос об экстрадиции Напольского и Ермаковой в США, получено не было.
Пока Напольский и Ермакова находились под домашним арестом в Кордове, они подали прошение в Верховный суд с просьбой предоставить им статус политических беженцев. В случае успеха этой затеи россиян нельзя было бы экстрадировать США.
Однако вскоре после одобрения запроса на экстрадицию сотрудники Patronato del Liberado (службы, отвечающей за оказание помощи людям, ранее содержавшимся под стражей, в задачи которой также входит контроль за соблюдением режима испытательного срока и домашнего ареста) обнаружили, что Напольский и Ермакова исчезли.
Позже, в ходе очередных слушаний по экстрадиции, адвокат пары заявил, что ему тоже не удалось связаться со своими подзащитными. В итоге судья Фрейтес выдал международный ордер на арест, но с тех пор прошло уже два месяца. Так как нет никаких новостей, свидетельствующих о повторном задержании Напольского и Ермаковой, журналисты Torrent Freak полагают, что россияне уже покинули Аргентину и теперь могут находиться где угодно.
Стоит отметить, что все это время команда Z-Library защищала Напольского и Ермакову, настаивая на их невиновности. В петиции представители Z-Library писали, что россияне действительно были «участниками проекта, обеспечивающими работу платформы», но «не были вовлечены в загрузку файлов», которые американские власти сочли нарушающими авторские права, а само задержание называли «несправедливым и неприемлемым».
LH | Новости | Курсы | Мемы
СМИ сообщают, что двое россиян, в 2022 году арестованные в Аргентине по запросу США и считавшиеся администраторами теневой библиотеки Z-Library, сбежали из-под домашнего ареста. Гражданам России Антону Напольскому и Валерии Ермаковой грозила экстрадиция в США, которую уже одобрил судья. Подав прошение в Верховный суд страны с просьбой о предоставлении статуса политических беженцев, пара скрылась в неизвестном направлении.
В ноябре 2022 года Министерство юстиции США и ФБР начали конфискацию доменов Z-Library в рамках масштабной операции по закрытию библиотеки. Тогда в ходе расследования было установлено, что предполагаемыми операторами сайта являются два гражданина России — Антон Напольский и Валерия Ермакова.
В итоге их задержали в Аргентине по запросу американских властей и обвинили в нарушении прав интеллектуальной собственности, так как Z-Library считается одним из крупнейших хранилищ пиратских книг, научных статей и академических текстов в интернете.
Поскольку в США их ждало обвинение в нарушении авторских прав, мошенничестве и отмывании денег, приоритетной задачей для Напольского и Ермаковой стала борьба против экстрадиции. Наняв адвоката, пара продолжала отрицать все обвинения. К тому же в присутствии дипломатов из российского посольства защитник Напольского заявил, что запрос об экстрадиции не отвечает требованиям, поскольку в нем не указано, какие именно произведения, защищенные авторским правом, предположительно пострадали.
В январе 2023 года судья разрешил поместить россиян под домашний арест. При этом согласие прокурора, который отвечал за запрос об экстрадиции Напольского и Ермаковой в США, получено не было.
Пока Напольский и Ермакова находились под домашним арестом в Кордове, они подали прошение в Верховный суд с просьбой предоставить им статус политических беженцев. В случае успеха этой затеи россиян нельзя было бы экстрадировать США.
Однако вскоре после одобрения запроса на экстрадицию сотрудники Patronato del Liberado (службы, отвечающей за оказание помощи людям, ранее содержавшимся под стражей, в задачи которой также входит контроль за соблюдением режима испытательного срока и домашнего ареста) обнаружили, что Напольский и Ермакова исчезли.
Позже, в ходе очередных слушаний по экстрадиции, адвокат пары заявил, что ему тоже не удалось связаться со своими подзащитными. В итоге судья Фрейтес выдал международный ордер на арест, но с тех пор прошло уже два месяца. Так как нет никаких новостей, свидетельствующих о повторном задержании Напольского и Ермаковой, журналисты Torrent Freak полагают, что россияне уже покинули Аргентину и теперь могут находиться где угодно.
Стоит отметить, что все это время команда Z-Library защищала Напольского и Ермакову, настаивая на их невиновности. В петиции представители Z-Library писали, что россияне действительно были «участниками проекта, обеспечивающими работу платформы», но «не были вовлечены в загрузку файлов», которые американские власти сочли нарушающими авторские права, а само задержание называли «несправедливым и неприемлемым».
LH | Новости | Курсы | Мемы
❤5🤬3
Вымогательская атака на банк Evolve Bank & Trust привела к утечке данных 7,6 млн человек
#Ransomware #LockBit #взлом
Представители Evolve Bank & Trust направили уведомления более чем 7,6 млн человек, предупреждая, что их личная информация была скомпрометирована в результате недавней атаки вымогательской группировки LockBit.
Финансовая организация из Арканзаса подтвердила факт взлома 1 июля 2024 года, вскоре после того как злоумышленники начали публиковать данные, похищенные в ходе атаки. Компания отметила, что не заплатила выкуп хакерам, поэтому те сливают украденные данные в сеть.
По данным Evolve Bank & Trust, хакеры похитили личные данные большинства клиентов банка, а также партнеров организации по Open Banking, включая: имена, номера социального страхования, номера банковских счетов и контактную информацию и так далее.
В начале текущей недели финансовое учреждение уведомило Генеральную прокуратуру штата Мэн о том, что в результате атаки была скомпрометирована личная информация 7 640 112 человек, и теперь им будет предоставлено 24 месяца бесплатного кредитного мониторинга и услуги по защите от кражи личности.
В уведомлениях пострадавшим компания объясняет, что вымогательская атака была обнаружена 29 мая, но злоумышленники имели доступ к сети Evolve Bank & Trust как минимум с февраля 2024 года.
«29 мая 2024 года Evolve обнаружила, что некоторые из ее систем не функционируют должным образом. Изначально казалось, что это аппаратный сбой, но впоследствии мы выяснили, что это была несанкционированная активность», — сообщают в компании.
Также сообщается, что среди пострадавших числятся и сами сотрудники банка, но в настоящее время не найдено никаких доказательств того, что средства клиентов были затронуты этим инцидентом.
LH | Новости | Курсы | Мемы
#Ransomware #LockBit #взлом
Представители Evolve Bank & Trust направили уведомления более чем 7,6 млн человек, предупреждая, что их личная информация была скомпрометирована в результате недавней атаки вымогательской группировки LockBit.
Финансовая организация из Арканзаса подтвердила факт взлома 1 июля 2024 года, вскоре после того как злоумышленники начали публиковать данные, похищенные в ходе атаки. Компания отметила, что не заплатила выкуп хакерам, поэтому те сливают украденные данные в сеть.
По данным Evolve Bank & Trust, хакеры похитили личные данные большинства клиентов банка, а также партнеров организации по Open Banking, включая: имена, номера социального страхования, номера банковских счетов и контактную информацию и так далее.
В начале текущей недели финансовое учреждение уведомило Генеральную прокуратуру штата Мэн о том, что в результате атаки была скомпрометирована личная информация 7 640 112 человек, и теперь им будет предоставлено 24 месяца бесплатного кредитного мониторинга и услуги по защите от кражи личности.
В уведомлениях пострадавшим компания объясняет, что вымогательская атака была обнаружена 29 мая, но злоумышленники имели доступ к сети Evolve Bank & Trust как минимум с февраля 2024 года.
«29 мая 2024 года Evolve обнаружила, что некоторые из ее систем не функционируют должным образом. Изначально казалось, что это аппаратный сбой, но впоследствии мы выяснили, что это была несанкционированная активность», — сообщают в компании.
Также сообщается, что среди пострадавших числятся и сами сотрудники банка, но в настоящее время не найдено никаких доказательств того, что средства клиентов были затронуты этим инцидентом.
LH | Новости | Курсы | Мемы
Один смартфон в секунду: новая фабрика Xiaomi будет работать без людей
#Xiaomi
Гендиректор Xiaomi Лэй Цзюнь объявил о скором открытии нового завода по производству смартфонов в районе Чанпин, Пекин. Также был опубликован видеообзор, раскрывающий детали и возможности фабрики.
Одна из самых впечатляющих особенностей нового завода – его способность работать круглосуточно без участия людей, представляя собой так называемую «тёмную фабрику». Машины здесь могут не только взаимодействовать друг с другом, но и обеспечивать полное отсутствие пыли, используя технологии удаления частиц на микронном уровне.
Контроль за качеством продукции будет осуществляться интеллектуальными машинами, разработанными самой компанией. Утверждается, что производственный процесс способен производить один смартфон в секунду.
На развитие нового производственного процесса было вложено 2,4 млрд. юаней (около 330 млн. долларов). Завод в Чанпине занимает площадь в 81 000 м2 и уже получил статус «национального образцового предприятия умного производства». Годовая производственная мощность составит 10 миллионов флагманских смартфонов. Здесь будут производиться новые складные модели – Xiaomi MIX Fold 4 и Xiaomi MIX Flip.
Автоматизация производства – не новинка для Xiaomi. Умная фабрика в Ичжуан, Пекин, была введена в эксплуатацию еще в 2019 году. Производство первого складного смартфона Xiaomi Mix Fold осуществлялось на первой фазе умной фабрики в Ичжуан.
LH | Новости | Курсы | Мемы
#Xiaomi
Гендиректор Xiaomi Лэй Цзюнь объявил о скором открытии нового завода по производству смартфонов в районе Чанпин, Пекин. Также был опубликован видеообзор, раскрывающий детали и возможности фабрики.
Одна из самых впечатляющих особенностей нового завода – его способность работать круглосуточно без участия людей, представляя собой так называемую «тёмную фабрику». Машины здесь могут не только взаимодействовать друг с другом, но и обеспечивать полное отсутствие пыли, используя технологии удаления частиц на микронном уровне.
Контроль за качеством продукции будет осуществляться интеллектуальными машинами, разработанными самой компанией. Утверждается, что производственный процесс способен производить один смартфон в секунду.
На развитие нового производственного процесса было вложено 2,4 млрд. юаней (около 330 млн. долларов). Завод в Чанпине занимает площадь в 81 000 м2 и уже получил статус «национального образцового предприятия умного производства». Годовая производственная мощность составит 10 миллионов флагманских смартфонов. Здесь будут производиться новые складные модели – Xiaomi MIX Fold 4 и Xiaomi MIX Flip.
Автоматизация производства – не новинка для Xiaomi. Умная фабрика в Ичжуан, Пекин, была введена в эксплуатацию еще в 2019 году. Производство первого складного смартфона Xiaomi Mix Fold осуществлялось на первой фазе умной фабрики в Ичжуан.
LH | Новости | Курсы | Мемы
🔥3
В первом полугодии 2024-го число DDoS-атак составило 1 209 828
#DDoS
Исследователи в области кибербезопасности отмечают рекордный рост DDoS-атак в пером полугодии 2024-го: общее число таких инцидентов перевалило за миллион (1 209 828).
Как подчёркивают специалисты компании DDoS-Guard, 2024 год может поставить рекорд, поскольку за весь 2022-й было зафиксировано 1 255 573 DDoS-атак.
На выложенной аналитиками инфографике видно, что пока наибольшее число таких кибернападений пришлось на июнь. Просадки наблюдались в феврале и апреле.
Один из самых мощный всплесков вредоносного трафика эксперты зафиксировали в начале года — 350 млн пакетов в секунду. В 2022 году Microsoft отразила атаку сопоставимой мощности, но тогда это считалось рекордом.
Подавляющее большинство DDoS-атак затрагивают веб-приложения: например, на этом уровне отмечается в 3-4 больше вредоносного трафике, чем на сетевом и транспортном уровнях модели OSI.
Тем не менее последние продемонстрировали новый тренд — DDoS по протоколу GRE. За считаные минуты поток трафика злоумышленников разгоняется до 600 гигабит в секунду.
LH | Новости | Курсы | Мемы
#DDoS
Исследователи в области кибербезопасности отмечают рекордный рост DDoS-атак в пером полугодии 2024-го: общее число таких инцидентов перевалило за миллион (1 209 828).
Как подчёркивают специалисты компании DDoS-Guard, 2024 год может поставить рекорд, поскольку за весь 2022-й было зафиксировано 1 255 573 DDoS-атак.
На выложенной аналитиками инфографике видно, что пока наибольшее число таких кибернападений пришлось на июнь. Просадки наблюдались в феврале и апреле.
Один из самых мощный всплесков вредоносного трафика эксперты зафиксировали в начале года — 350 млн пакетов в секунду. В 2022 году Microsoft отразила атаку сопоставимой мощности, но тогда это считалось рекордом.
Подавляющее большинство DDoS-атак затрагивают веб-приложения: например, на этом уровне отмечается в 3-4 больше вредоносного трафике, чем на сетевом и транспортном уровнях модели OSI.
Тем не менее последние продемонстрировали новый тренд — DDoS по протоколу GRE. За считаные минуты поток трафика злоумышленников разгоняется до 600 гигабит в секунду.
LH | Новости | Курсы | Мемы
🤡2