По результатам расследования инцидента со взломом министерства обороны Нидерландов в феврале этого года правительство страны заявило, что причастные к атаке китайские хакеры на самом деле действовали с более широким размахом, чем предполагалось ранее.

Как полагают официальные лица, с использованием CVE-2022-42475 (CVSS: 9,8) им удалось получить доступ к более чем 20 000 системам Fortinet FortiGate по всему миру.

Кампания привела к развертыванию бэкдора COATHANGER и была нацелена на десятки западных правительств, международные организации и большое количество компаний в сфере оборонной промышленности.

Названия структур не разглашаются. При этом также неясно, сколько жертв было заражено имплантатом.

Причем атаки начались в 2022 году, когда уязвимость относилась к 0-day, и продолжались в течение 2023 года.

За т.н. период нулевого дня один только актер заразил 14 000 устройств, а остальные 6 тысяч положили уже после (!), включая голландских военных.

Последние, вообще без комментариев.

͏Поскольку IP-камер Dahua в России продается dahua, да и вообще это ведущий китайский производитель подобных девайсов, мы решили что на этот факт стоит обратить внимание.

Некто на известном ресурсе анонсировал продажу 0-day для камер Dahua, которая, как утверждается, совместима со всеми версиями устройства.

Заявленная RCE-уязвимость обеспечивает неограниченный доступ ко всем функциям камеры, включая возможности полного управления и контроля.

За столь редкую возможность получить доступ к ключевому решению на рынке наблюдения селлер просит 400 000 долларов США.

При этом потенциальным покупателям также предлагается подробное техническое описание и рабочий PoC.

Цена, конечно, не dahua, но тоже не мало.

Исследователи из Лаборатории Касперского провели исследование и оценили возможности брута паролей (на выборке из 193 млн. из доступных в даркнете утечек) с использованием современных графических процессоров.

Выводы оказались неутешительными.

Уже не секрет, что вычислительные мощности компьютеров растут с неимоверной динамикой, позволяя быстрее решать все более сложные задачи.

Обратной стороной прогресса можно считать тот факт, что пароли, которые несколько лет назад было невозможно подобрать, в 2024 году злоумышленники теперь могут взломать за считаные секунды.

В большинстве случаев пароли хранятся в виде хэшей с добавлением соли, чтобы в случае утечки злоумышленники не смогли ими воспользоваться.

При этом хэши по сути своей необратимы, но имея доступ к утекшей базе данных, злоумышленник может попытаться подобрать пароли.

На практике выяснилось, что графический процессор RTX 4090 способен подобрать восьмизначный пароль, состоящий из латинских букв одного регистра и цифр (это 36 различных символов, доступных для комбинации), всего за 17 секунд (!).

Любой пароль длиной до 8 символов взламывается менее чем за день простейшим алгоритмом брутфорса. Умные способны быстро подбирать даже длинные пароли. 

При этом согласно данным исследования, многие пользовательские пароли в принципе недостаточно стойкие, 59% (!) из них можно взломать за один час, а использование осмысленных слов, имен и стандартных последовательностей и того сокращает это время.

Про стойкость полностью состоящего из цифр или только из слов пароля в современных условиях вообще нет смыла говорить.

Конкретные статистические показатели по простым и умным алгоритмам брута в корреляции с различными вариациями реальных паролей достаточно подробно представлена в отчете Лаборатории Касперского.

Расследуя очередной инцидент с загрузкой Vidar на рабочее устройство в одной российской компании, исследователи F.A.C.C.T. раскрыли на масштабную кампанию по распространению вредоносных ПО.

Изучили сетевую инфраструктуру вредоносного сайта, на котором предлагались для скачивания взломанные версии и активаторы популярных утилит, офисных приложений и редакторов, исследователи вышли на сеть из тысячи доменов, задействованных в распространении вредоносных ПО.

Как оказалось, пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.

Удивило даже не количество ресурсов для загрузки вредоносного ПО под видом взломанного софта (1316 уникальных доменов), но и способы продвижения этих сайтов.

Оказалось, что злоумышленники создали целую сеть поддельных аккаунтов в различных соцсетях, массово размещая посты рекламного характера на видеохостингах и образовательных платформах.

Например только в LinkedIn было обнаружено более 300 уникальных аккаунтов, продвигающий сайты со взломанным ПО.

При этом некоторые посты были опубликованы еще в 2017 году.

Пик активности аккаунтов был зафиксирован в 2022 и 2023 годах, при этом за первый квартал 2024 года было найдено почти столько же новых постов, как за весь 2023 год. 

Во всех рассмотренных случаях вредоносное ПО в итоге загружается с файлообменников. Самым популярным была MEGA, использование которого было замечено еще в 2018 году.

С 2023 года у злоумышленников начал набирать популярность Dropbox, в редких случаях применялся MediaFire.

В большинстве случаев жертвы загружали файлы, содержащие вредоносное ПО семейства Amadey. В качестве дополнительного модуля подгружался криптомайнер Coinminer.

Другая часть вредоносных экземпляров относится к стилерам, среди которых RedLine Stealer, Vidar, CryptBot и др.

Таким образом, как предостерегают F.A.C.C.T., подобные предложения установить взломанное ПО или нелегальные активаторы в конечном счете могут доставлять вредоносную нагрузку и привести к утечке корпоративных данных, а в худшем случае - компрометации всей инфраструктуры организации.

Вчера американские госорганы таки забанили Лабораторию Касперского на территории США. Теперь запрещено "напрямую или косвенно предоставлять антивирусное программное обеспечение, продукты или услуги в области кибербезопасности в Соединенных Штатах или гражданам США".

Что можем сказать по этому поводу.

С одной стороны, это конечно не SDN, как у Позитивов, но тоже приятного мало.

С другой стороны, как мы понимаем, американский рынок Касперских схлопывался уже в течение семи лет с тех самых пор, как администрация Трампа фактически запретила Лаборатории работать с B2G и B2B сегментом. Плюс постоянная пропаганда в западных СМИ, выставляющая компанию в качестве "киберстолпа Путинского режима", тоже делала свое дело.

В итоге ситуация характеризуется известной поговоркой - "Помер Максим и хрен с ним".

Между тем вчера же ЛК выкатила пресс-релиз по финансовым результатам 2023 года (наверняка просто совпало, бгггг), в котором заявила, что продажи YoY выросли на 11%. Вспоминается другая поговорка - "Любят нас, а мы крепчаем".

Все движется по сценарию, который мы описали еще в 2020 году:

"Все формальные правила, которые существовали в кибервойнах, к примеру, прятать под ковер участие спецслужб в атаках на информационные ресурсы геополитических конкурентов, на наших глазах сливаются в треш. Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется."

Скажите кто-нибудь Школьникову, что он нуб, хе-хе.

͏Срочно в номер! Корабли лавировали, лавировали, да не вылавировали!

В смысле LockBit мочили, мочили, да не замочили. Объявленая несколько месяцев назад побежденной эта групировка RaaS не только отживела и снова стала ведущей бандой вымогателей в мире, но и ухитрилась распотрошить Федеральную резервную систему США (она же ФРС, она же The Fed, она же Центробанк США, она же главный и единственный станок по печати американских долларов).

И вынести оттуда 33 ТБ данных. Которые грозится опубликовать уже 25 июня.

Такого громкого взлома от рансомварщиков, пожалуй, еще не было. Интересно, заплатят или нет?