26 июня компания TeamViewer сообщила об обнаружении аномалии в своей внутренней корпоративной IT-среде. Была активирована группа реагирования и начато расследование совместно с ведущими мировыми экспертами по кибербезопасности. Были также предприняты необходимые меры по устранению последствий инцидента.

TeamViewer уверяет, что корпоративная IT-среда полностью изолирована от среды продуктов компании, и на данный момент нет свидетельств того, что данные клиентов пострадали в результате инцидента. Подробности о том, кто мог стоять за взломом и каким образом он был осуществлен, не разглашаются, но TeamViewer обещает предоставлять обновления по мере поступления новой информации.

Несмотря на декларируемую прозрачность, страница с заявлением о взломе содержит метатег <meta name="robots" content="noindex">, блокирующий индексацию документа поисковыми системами. Это существенно затрудняет доступ пользователей к информации и противоречит заявленным принципам открытости.

Первое сообщение о взломе появилось на Mastodon от ИБ-специалиста Jeffrey, который поделился частью оповещения от команды NCC Group, размещённого на Dutch Digital Trust Center — веб-портале, который используется правительством, экспертами по безопасности и голландскими корпорациями для обмена информацией об угрозах кибербезопасности. В оповещении говорится, что платформа TeamViewer подверглась взлому со стороны APT-группы.

NCC Group сообщила, что ввиду широкого распространения TeamViewer, это предупреждение было разослано всем клиентам программы. Кроме того, сообщество Health-ISAC также сообщило, что услуги TeamViewer активно используются хакерами для получения удаленного доступа. Health-ISAC рекомендовала проверить журналы на наличие необычного трафика удалённого рабочего стола.

Хотя предупреждения от обеих компаний появились одновременно с сообщением TeamViewer об инциденте, не ясно, связаны ли они между собой. NCC Group и TeamViewer сообщили о взломе корпоративной среды, в то время как оповещение от Health-ISAC больше фокусируется на целевых атаках на подключения TeamViewer. Представители NCC Group и TeamViewer отказались предоставить дополнительные комментарии, заявив, что продолжают расследование инцидента.

Группировка Unfurling Hemlock проводит массированные атаки, доставляя на системы жертв до 10 видов вредоносного ПО одновременно, распространяя сотни тысяч вредоносных файлов в системах по всему миру.

Такой метод заражения называется «кассетной бомбой вредоносного ПО». Суть метода в том, что один образец вредоносного ПО распространяет дополнительные на скомпрометированной машине. Среди распространяемых вредоносных программ – стилеры, ботнеты и бэкдоры.

Кампанию обнаружили специалисты KrakenLabs и сообщили, что эта деятельность ведётся с февраля 2023 года. KrakenLabs выявили более 50 000 кассетных вредоносных файлов с уникальными характеристиками, связывающими их с группой Unfurling Hemlock.

Атаки Unfurling Hemlock начинаются с выполнения файла WEXTRACT.EXE, который попадает на устройства жертв через вредоносные письма или загрузчики, к которым Unfurling Hemlock имеет доступ благодаря контракту со своими партнерами. Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и ещё один сжатый файл.

На каждом этапе распаковки на машину жертвы устанавливается очередной вариант вредоносного ПО. Когда достигается финальная стадия, файлы выполняются в обратном порядке – сначала запускается последняя извлечённая вредоносная программа.

KrakenLabs наблюдали от 4 до 7 этапов, то есть количество шагов и объём доставляемого вредоносного ПО в атаках варьируется. Анализ показал, что более половины атак группы были направлены на системы в США, при этом значительная активность также наблюдалась в Германии, Турции, Индии и Канаде.

Доставка множества вредоносных программ на скомпрометированной системе обеспечивает высокий уровень избыточности, предоставляя киберпреступникам больше возможностей для сохранения присутствия и монетизации.

Несмотря на риск обнаружения, многие злоумышленники следуют такой агрессивной стратегии, рассчитывая, что хотя бы часть их вредоносных программ уцелеет после очистки системы.

В ходе атаки Unfurling Hemlock аналитики KrakenLabs наблюдали следующее вредоносное ПО и утилиты:

- Redline: популярный стиллер, похищающий чувствительную информацию, такую как учетные данные, финансовые данные и криптокошельки. Может красть данные из веб-браузеров, FTP-клиентов и почтовых клиентов;
- RisePro: новый стиллер, специализирующийся на краже учетных данных и эксфильтрации данных. Еацелен на информацию из браузера, криптовалютные кошельки и другие личные данные;
- Mystic Stealer: работает по модели Malware-as-a-Service, способный красть данные из различных браузеров, криптовалютных кошельков и приложений Steam и Telegram;
- Amadey: специальный загрузчик для скачивания и выполнения дополнительных вредоносных программ;
- SmokeLoader: универсальный загрузчик и бэкдор, широко используемый в киберпреступности. Часто используется для загрузки других типов вредоносного ПО и может маскировать свой трафик C2, имитируя запросы к легитимным сайтам.
- Protection disabler: утилита для отключения Защитника Windows и других средств безопасности.
- Enigma Packer: инструмент для упаковки и сокрытия вредоносных полезных нагрузок.
- Healer.exe: утилита, нацеленная на отключение защитных мер, в частности Защитника Windows.
- Performance checker: утилита для проверки и регистрации производительности выполнения вредоносного ПО, сбора статистической информации о системе жертвы и успешности процесса заражения;
- Прочие утилиты, использующие встроенные инструменты Windows для сбора системной информации.

KrakenLabs предполагает, что Unfurling Hemlock продает логи стиллеров и начальный доступ другим злоумышленникам. На основе собранных данных исследователи с уверенностью считают, что Unfurling Hemlock базируется в одной из стран Восточной Европы.

KrakenLabs рекомендует пользователям проверять загруженные файлы с помощью актуальных антивирусных инструментов перед их выполнением, так как всё вредоносное ПО, распространяемое в данной кампании, хорошо задокументировано и имеет известные сигнатуры.

В даркнете растет число объявлений о продаже аккаунтов Госуслуг «для миграционного учета».

Доступ к личным кабинетам на «Госуслугах» позволяет мошенникам регистрировать приезжих без ведома владельца жилья. Купля-продажа ключей осуществляется через боты Telegram.

По данным DLBI, некоторые выставленные на продажу «аккаунты под миграционный учет» раздобыты с помощью купленных у телеоператора симок б/у.

По данным Reuters, в начале 2024 года хакеры из России проникли в компьютерные системы Microsoft и шпионили за почтовыми ящиками сотрудников компании, а также перехватывали электронные письма её клиентов. Об этом в Microsoft рассказали примерно через полгода после того как хакерская атака была раскрыта.

Те же хакеры из группировки Midnight Blizzard, как указывает Microsoft, пытались атаковать специалистов по кибербезопасности, которые расследовали их действия. Сейчас компания уведомляет своих клиентов о произошедшем и предоставляет им подробную информацию о масштабах утечки. Сколько клиентов пострадало в ходе атаки, не раскрывается.

В январе компания Mirosoft говорила, что группировка Midnight Blizzard получила доступ к «очень небольшому проценту» корпоративных почтовых ящиков. Спустя четыре месяца сообщалось, что хакеры всё ещё пытаются проникнуть в систему, что встревожило многих клиентов Mirosoft. Эти вторжения стали причиной слушаний в Конгрессе в начале этого месяца — на них президент Microsoft заявил, что компания работает над пересмотром своих методов обеспечения безопасности.

Президент Индонезии распорядился провести аудит государственных центров обработки данных после выявления отсутствия резервных копий для большей части хранящейся информации. Это упущение обнаружилось в результате масштабной хакерской атаки на Временный национальный центр обработки данных.

Злоумышленники использовали новую версию вируса-вымогателя LockBit под названием Brain Cipher. Заместитель министра связи и информации сообщил, что вредоносное ПО зашифровало все файлы на атакованных серверах. Хакеры требуют выкуп в размере 131 миллиарда рупий за разблокировку данных.

Правительство Индонезии отказывается выполнять требования киберпреступников. Министр коммуникаций и информатики Буди Ари Сетиади заявил журналистам, что власти не намерены платить выкуп. Вместо этого специалисты пытаются самостоятельно расшифровать захваченную информацию.

Ситуация вызвала острую реакцию в парламенте страны. Глава Национального агентства по кибербезопасности и шифрованию признал, что 98% данных в одном из двух скомпрометированных дата-центров не имели резервных копий. Председатель Первой комиссии Совета народных представителей высказалась о серьезности ситуации, назвав отсутствие резервных копий национальных данных проблемой управления.

По словам министра Буди, возможность создания резервных копий была доступна государственным учреждениям, но ее использование оставалось необязательным. Большинство ведомств отказывались от бэкапов из-за бюджетных ограничений. В будущем создание резервных копий станет обязательным требованием.

Вице-президент Индонезии сообщил, что масштаб ущерба от атаки связан с недавней централизацией данных различных учреждений и министерств. Он отметил, что после централизации, взлом одной системы повлиял на всех. Вице-президент также признался, что не представлял себе столь разрушительных последствий хакерской атаки в прошлом.

Компания TeamViewer утверждает, что за недавним киберинцидентом, в ходе которого злоумышленникам удалось проникнуть в корпоративную ИТ-инфраструктуру, стоит российская киберпреступная группировка Midnight Blizzard.

В TeamViewer также отметили, что инцидент произошёл 26 июня, но продуктовая среда при этом никак не пострадала. Для проникновения в сеть использовались учётные данные одного из сотрудников.

Современные процессоры Intel — например, 12 и 13 поколение Raptor Lake и Alder Lake — уязвимы для нового вектора инъекции целевой линии, получившего название «Indirector». В случае его эксплуатации злоумышленники могут слить конфиденциальные данные из CPU.

Indirector использует уязвимости в двух аппаратных компонентах современных процессоров — Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB). Такой подход позволяет управлять спекулятивным выполнением для извлечения данных.

На Indirector указали специалисты Калифорнийского университета в Сан-Диего. Они же обещают представить все подробности атаки на предстоящем мероприятии USENIX Security Symposium, запланированном на август 2024 года.

Indirect Branch Predictor предназначена для прогнозирования целевых адресов косвенных линий, для чего используется информация о прошлых выполнениях. Branch Target Buffer, в свою очередь, прогнозирует целевые адреса прямых линий через структуру кеша.

Как выяснили исследователи, эти две аппаратные возможности содержат бреши в механизмах индексации, тегирования и совместного использования записей. Поскольку они построены на предсказуемой структуре, допускаются целевые и высокоточные манипуляции.

Отталкиваясь от этих вводных, Indirector проводит атаку с помощью трёх основных подходов:

- iBranch Locator — специально подготовленный инструмент, который может идентифицировать индексы и теги целевых линий и точно определить IBP-записи для конкретных линий.
- Инъекция IBP/BTB. Осуществляет внедрения в структуры прогнозирования для спекулятивного выполнения кода.
- Обход ASLR. Прерывает рандомизацию размещения адресного пространства с помощью точного определения местоположения косвенных линий и их целей. Этот подход упрощает прогнозирование и управление потоком контроля защищённых процессов.

Известно, что Indirector работает против процессоров семейств Raptor Lake и Alder Lake. На GitHub эксперты разместили код демонстрационного эксплойта.

Компания Cisco исправляет уязвимость нулевого дня в NX-OS, связанную с внедрением команд. Еще в апреле этот баг эксплуатировала связанная с Китаем кибершпионская хак-группа Velvet Ant, устанавливая на уязвимые коммутаторы малварь с правами root.

Уязвимость получила идентификатор CVE-2024-20399 и затрагивает интерфейс командной строки NX-OS, позволяя локальному злоумышленнику выполнять произвольные команды с root-правами.

Подчеркивается, что для успешной эксплуатации этого бага злоумышленнику придется сначала пройти аутентификацию в качестве администратора на уязвимом устройстве.

CVE-2024-20399 затрагивает коммутаторы Cisco серий MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000. В настоящее время для всех устройств уже доступны обновленные версии прошивки.

Также в отчете компании отмечается, что Cisco известно об эксплуатации этой проблемы в апреле 2024 года.

Исходно уязвимость и связанные с ней атаки обнаружили специалисты ИБ-компании Sygnia, которая отмечают, что эта активность была связана с кибершпионажем и китайской хак-группой Velvet Ant.

Хак-группа использовала ошибку в Cisco NX-OS для запуска ранее неизвестной малвари на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения кода.

Однако в компании также отметили, что, несмотря на трудности в эксплуатации таких уязвимостей, как CVE-2024-20399, группировки подобные Velvet Ant обычно используют плохо защищенные сетевые устройства для обеспечения себе постоянного доступа к корпоративным средам.

Тысячи пользователей даркнета, связанных с распространением CSAM-материалов, могут быть разоблачены благодаря информации, похищенной киберпреступниками. Компания Recorded Future опубликовала исследование, в котором проанализировала данные инфостилеров для выявления и идентификации потребителей CSAM-материалов.

Пользователи сайтов, чьи подключения анонимизируются за счет многократных пересылок через зашифрованную сеть Tor, могут быть разоблачены благодаря данным из логов инфостилеров. Логи содержат учетные записи с реальными именами на открытых платформах, что предоставляет правоохранительным органам возможность расследовать действия преступников и защищать детей

Собранные данные также включают имена пользователей, IP-адреса и системную информацию, что помогает правоохранительным органам понять инфраструктуру сайтов CSAM и выявить методы, используемые для маскировки личности.

Было обнаружено 3 324 уникальных пользователей, имеющих учетные записи на известных сайтах-источниках CSAM. Примечательно, что 4,2% из них имели учетные данные для доступа к нескольким таким ресурсам, что свидетельствует о высокой вероятности их участия в преступной деятельности. Все данные переданы в правоохранительные органы для дальнейших действий.

В трех примерах из доклада исследователи смогли идентифицировать двух реальных лиц, которые, вероятно, совершали или могли бы совершить преступления против детей. В одном случае человек уже был осужден за эксплуатацию детей. В другом случае данные автозаполнения браузера позволили идентифицировать полное имя, физический адрес и несколько телефонных номеров пользователя, что привело к обнаружению некролога, упоминающего его активное волонтерство в детских больницах.

Исследование Recorded Future показывает, что логи инфостилеров могут быть эффективным инструментом для выявления потребителей CSAM и изучения тенденций в сообществах CSAM. С ростом спроса на логи инфостилеров и экосистемы «вредоносное ПО как услуга», специалисты ожидают, что наборы данных инфостилеров будут продолжать предоставлять актуальную информацию о потребителях CSAM.

Критические уязвимости, обнаруженные в менеджере зависимостей CocoaPods, позволяли злоумышленникам перехватывать контроль над тысячами заброшенных пакетов, выполнять shell-команды и захватывать учетные записи. В итоге это могло повлиять на миллионы приложений для iOS и macOS, обернувшись массовыми атаками на цепочки поставок.

CocoaPods — опенсорсный менеджер зависимостей для проектов Swift и Objective-C, насчитывающий более 100 000 библиотек и используемый как минимум тремя миллионами приложений в экосистеме Apple.

В 2014 году CocoaPods перешел на trunk-сервер, который выступает в качестве централизованного репозитория и платформы распространения. В результате этой миграции тысячи пакетов оказались заброшены, так как авторство было обнулено для всех, и во многих случаях предыдущие владельцы оказались неизвестны.

Хотя авторам предлагалось заявить о своем праве на пакеты и восстановить контроль, 1870 пакетов, включая широко используемые в других библиотеках, так и остались невостребованными.

Специалисты компании EVA Information Security обнаружили, что все пакеты, владельцы которых так и не заявили о своих правах, автоматически ассоциировались с владельцем по умолчанию с одинаковым email-адресом, а публичный API для заявления прав собственности оставался доступным почти 10 лет, позволяя любому желающему захватить чужие пакеты.

По словам экспертов, проблемы затрагивали «значительную часть экосистемы приложений на Swift и Objective-C». То есть количество уязвимых приложений исчислялось тысячами или даже миллионами.

Дело в том, что когда разработчики вносят изменения в один из своих подов, зависимые приложения обычно автоматически включают их в обновления, без какого-либо участия конечных пользователей.

Так, злоумышленники могли использовать уязвимость CVE-2024-38368, чтобы завладеть брошенными подами, а затем модифицировать их содержимое или подменить его вредоносным кодом.

Вторая уязвимость, CVE-2024-38366, представляла собой ошибку удаленного выполнения кода на сервере аутентификации CocoaPods, что позволяло выполнить shell-команду для валидации почтового домена в процессе регистрации разработчика в качестве владельца пода.

По данным исследователей, уязвимые методы, используемые RFC822 для верификации электронной почты, позволяли злоумышленникам осуществить инъекцию команды, которая в итоге выполнялась на trunk-сервере. В результате атакующий получал возможность эксплуатировать ненадежный процесс верификации email для манипулирования загружаемыми пакетами или их подмены.

Третья уязвимость, CVE-2024-38367, тоже была связана с процессом аутентификации, позволяя злоумышленнику перехватить сессию владельца пода и завладеть чужим trunk-аккаунтом CocoaPods.

Дело в том, что CocoaPods аутентифицирует новые устройства, создавая сессию, которая становится активной лишь после того, как человек перейдет по ссылке, которую trunk-сервер сгенерировал и отправил на email-адрес, указанный клиентом при запросе сессии.

Обнаружилось, что злоумышленник может подделать заголовок X-Forwarded-Host, используемый для идентификации, и сервер использует этот заголовок для создания URL, отправляемого по электронной почте. Полученный в результате URL может привести пользователя на сторонний сайт, который может оказаться вредоносным и похитить сессионные токены.

Разработчики CocoaPods устранили все перечисленные уязвимости на стороне сервера в сентябре и октябре 2023 года, то есть теперь их эксплуатация уже невозможна. Подчеркивалось, что никаких признаков их использования обнаружено не было.

После того как исследователи EVA в частном порядке уведомили разработчиков CocoaPods о проблемах, те стерли все сессионные ключи, чтобы гарантировать, что никто не сможет получить доступ к чужим учетным записям, не имея контроля над зарегистрированным email-адресом.

Также сопровождающие CocoaPods обновили процедуру восстановления заброшенных подов, и теперь она требует прямого обращения к сопровождающим.

Европол провёл скоординированную между правоохранительными органами операцию «Морфеус», в ходе которой удалось положить почти 600 серверов Cobalt Strike. Последние использовались киберпреступниками для взлома сетей организаций.

В конце июня правоохранителям удалось зафиксировать IP-адреса, связанные с вредоносной активностью, а также доменные имена, ставшие частью инфраструктуры злоумышленников.

После сбора всех необходимых данных полицейские передали их интернет-провайдерам, чтобы последние отключили нелицензионные версии инструмента.

В операции «Морфеус» принимали участие полицейские из Австралии, Канады, Германии, Нидерландов, Польши и США. Им помогало Национальное агентство по борьбе с преступностью Соединённого Королевства.

Специалисты BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse ch также предложили свою помощь в борьбе с вредоносными серверами.

Совсем недавно компания OpenAI запустила macOS-версию приложения ChatGPT. Интересно, что специалисты уже обнаружили брешь в реализации: все чаты хранились локально в виде простого текста.

На деле это значит, что условный злоумышленник или вредоносное приложение могут легко прочитать, о чём вы общаетесь с чат-ботом, а также вытащить всю конфиденциальную информацию, если она присутствует в переписках.

Исследователь Педро Хосе Перейра Виейто продемонстрировал на площадке Threads эксплуатацию этой уязвимости: стороннее приложение получает доступ к файлам, в которых хранятся чаты с ChatGPT в виде простого текста.

Специалист записал ролик, на котором видно, что условный вредоносный софт сразу выводит введённую в ChatGPT информацию. Текст можно посмотреть, просто поменяв имена файлов.

Представители издания The Verge связались с разработчиками ChatGPT, попросив прояснить ситуацию.

Новая киберпреступная группа под названием Pryx совершила свою первую значимую атаку, взломав системы колледжа Роуэн в округе Берлингтон, штат Нью-Джерси, США. Об этом сообщили эксперты компании Red Hot Cyber. Злоумышленникам удалось похитить 30 000 заявок абитуриентов на поступление, которые сопровождались обширным количеством личной информации.

Хакеры Pryx утверждают, что получили доступ к IT-системам колледжа и завладели конфиденциальной информацией. Об этом было объявлено на их сайте утечек данных, доступном как через традиционный интернет, так и через даркнет.

По заявлению Pryx, украденные данные включают:

- Личную информацию;
- Демографические данные;
- Сведения о гражданстве и военной службе;
- Информацию об образовании.

На данный момент колледж Роуэн не выпустил официального заявления по поводу инцидента. Отсутствие ответа со стороны учреждения затрудняет проверку заявлений Pryx.

Объём и характер потенциально утекших данных вызывают серьёзные опасения. Личная информация студентов, включая номера социального страхования и контактные данные, может быть использована для мошенничества и других незаконных действий, таких как кража личности.

Сайт утечек данных Pryx служит платформой, где группа публикует информацию о жертвах, не заплативших выкуп. Платформа доступна как через интернет, так и через даркнет. Интерфейс сайта выполнен в мрачном стиле, с изображением паука, окутанного паутиной, и слоганом «Get pryxed». На сайте можно найти контактную информацию, публичный PGP-ключ, обновления и информацию о свежих взломах Pryx.

Данный инцидент служит суровым напоминанием о важности кибербезопасности в образовательном секторе. Учебные заведения хранят огромные объёмы чувствительных данных и потому становятся привлекательными мишенями для киберпреступников. Необходимо не только усиливать технические меры защиты, но и повышать осведомлённость сотрудников и студентов о цифровой гигиене.

В марте Microsoft сообщала о целевых атаках кибергруппировки Midnight Blizzard. Тогда писали, что злоумышленники утащили исходный код, однако теперь прошла информация, что атаки группы затронули и федеральные агентства США.

Впервые о кампании Midnight Blizzard заговорили в январе 2024 года. Microsoft тогда жаловалась на «пробив» электронной почты как обычных сотрудников, так и руководящего штата.

В марте корпорация уже писала, что нашла доказательства использования информации, похищенной из систем, для получения несанкционированного доступа.

Теперь Bloomberg пишет, что в ходе таргетированной кибератаки были затронуты системы Департамента по делам ветеранов США и одно из подразделений Госдепа США.

Есть также информация, что Midnight Blizzard добралась и до Агентства США по глобальным медиа, чьи внутренние данные могли попасть в руки киберпреступников. Тем не менее считается, что ПДн и другая конфиденциальная информация не пострадали.

Интересно, что Microsoft уведомила о возможном взломе и независимое федеральное агентство правительства США «Корпус мира».

Представители Роскомнадзора сообщили СМИ, что по требованию ведомства компания Apple заблокировала в App Store на территории РФ 25 приложений различных VPN-сервисов.

Информацию об удалении из российского App Store уже подтвердили разработчики Le VPN и Red Shield VPN. По их словам, Apple направила им соответствующее письмо и предложила им самим связаться с представителями Роскомнадзора для решения вопроса.

Помимо Red Shield VPN и Le VPN из российского App Store были удалены Proton VPN и NordVPN, сообщает в своем Telegram-канале зампред комитета Госдумы по информационной политике.

Также, по данным СМИ, в числе удаленных были приложения Planet VPN, Hidemy.Name VPN и PIA VPN. Названия других заблокированных в App Store VPN-сервисов в Роскомнадзоре пока не сообщили.

В сеть выложили фрагмент таблицы базы данных, содержащей, предположительно, данные покупателей в сети магазинов алкогольных напитков «ВинЛаб».

В слитом дампе содержатся более 408 тысяч строк, где можно найти следующие сведения о гражданах: ФИО, телефонные номера, адреса электронной почты, хешированные пароли, номера карт лояльности, привязанное к ним число бонусов и пр.

Исследователи отмечают, что в полном дампе, который киберпреступник выгрузил из сервера MS SQL, содержится гораздо больше данных: 8,2 миллиона уникальных телефонных номеров и 1,6 млн уникальных адресов электронной почты.

Более того, среди данных можно найти адреса покупателей, сведения о заказах, обращения в техподдержку и коды скидочных купонов. Информация датируется 6 июля 2024 года.

Хакерская группировка Lifting Zmiy из Восточной Европы совершила серию кибератак на российские компании, используя в качестве точки входа серверы, управляющие лифтами в подъездах.

Злоумышленники взламывали контроллеры, являющиеся частью SCADA-систем, и размещали на них серверы, которые затем использовали для атак на другие цели. Речь идет о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке. Среди пострадавших — государственные учреждения, IT-компании, представители телекома и других отраслей.

Для своих операций хакеры использовали инфраструктуру спутникового интернета Starlink компании SpaceX Илона Маска. Представители «Солар» подчеркнули, что атаки на сами лифты не совершались, однако уязвимость могла позволить злоумышленникам получить контроль над оборудованием.

Специалисты предполагают, что истинной целью хакеров было не нарушение работы лифтов, а маскировка своих действий. Размещая управляющие серверы на контроллерах лифтового оборудования, они пытались усложнить обнаружение своих операций.

Как отметили в компании, в 2022 году был опубликован метод взлома контроллеров «Текон-Автоматика», который предполагает, что, успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Однако все обнаруженные специалистами серверы управления хакеров были развернуты уже после принятия этих мер. Это может означать, что либо некоторые пользователи не обновили настройки безопасности на своих устройствах, либо хакерам удалось подобрать новые пароли методом перебора.

Хакеры опубликовали в даркнете штриходы 166 000 билетов на концерты Тейлор Свифт. Злоумышленники предупредили, что если они не получат выкуп в размере 2 млн долларов, слив данных продолжится.

Эта история началась еще весной текущего года, когда в мае хакер под ником ShinyHunters выставил на продажу данные 560 млн клиентов Ticketmaster за 500 000 долларов.

Тогда сообщалось, что дамп содержит полные имена пользователей, их адреса, адреса электронной почты, номера телефонов, информацию о продажах билетов и мероприятиях, а также последние четыре цифры номеров банковских карт и связанные с ними даты истечения срока действия.

Впоследствии представители Ticketmaster подтвердили факт утечки и объяснили, что инцидент был связан со взломом учетной записью Snowflake, облачного хранилища, которое компании используют для хранения баз данных, обработки данных и проведения аналитики.

Теперь же хакер под ником Sp1d3rHunters опубликовал в даркнете штрихкоды для 166 000 билетов на различные концерты тура Eras Tour певицы Тейлор Свифт. Отметим, что в прошлом именно Sp1d3rHunters продавал данные, украденные из аккаунтов Snowflake, и публично вымогал деньги у компаний.

Согласно заявлению злоумышленника, уже опубликованные штрихкоды связаны с предстоящим концертам Тейлор Свифт в Майами, Новом Орлеане и Индианаполисе.

В сообщении приведен пример данных из дампа, в котором содержатся: значение, используемое для создания сканируемого штрихкода, информация о местах, номинальной стоимости билета и так далее. Также хакер поделился деталями о том, как превратить эти данные в работающий и сканируемый штрихкод.

Представители Ticketmaster уже сообщили СМИ, что уникальные штрихкоды обновляются каждые несколько секунд, и поэтому украденные данные билетов не получится использовать для посещения концертов.

Также в Ticketmaster подчеркнули, что не вступали с хакерами в переговоры о выплате выкупа, опровергнув утверждения ShinyHunter о том, что злоумышленникам предложили 1 млн долларов за удаление похищенных данных.