#news Cloudflare, сообщившая о рекордной DDoS-атаке в июне, опубликовала обновление по задействованному в ней ботнету.
Напомню, всего пять тысяч устройств, но 26 миллионов запросов в секунду и всё это по HTTPS. В общем, это мощнейший ботнет из известных, всё за счёт входящих в него серверов и виртуальных машин. В честь своих выдающихся способностей он получил название Mantis. И за один только июнь с ботнета провели 3,000 атак по клиентам компании, половина из них — интернет-провайдеры и новостные агентства.
Любопытны и данные по DDoS-атакам за второй квартал этого года по России и Украине. У них под ударом в основном провайдеры и СМИ, в России же на первом месте банковский сектор. И что интересно, на втором по числу атак — почти треть от всех зафиксированных Cloudflare — у нас оказались компании, занимающиеся криптовалютой. Какой простор для конспирологии, кхм.
@tomhunter
Напомню, всего пять тысяч устройств, но 26 миллионов запросов в секунду и всё это по HTTPS. В общем, это мощнейший ботнет из известных, всё за счёт входящих в него серверов и виртуальных машин. В честь своих выдающихся способностей он получил название Mantis. И за один только июнь с ботнета провели 3,000 атак по клиентам компании, половина из них — интернет-провайдеры и новостные агентства.
Любопытны и данные по DDoS-атакам за второй квартал этого года по России и Украине. У них под ударом в основном провайдеры и СМИ, в России же на первом месте банковский сектор. И что интересно, на втором по числу атак — почти треть от всех зафиксированных Cloudflare — у нас оказались компании, занимающиеся криптовалютой. Какой простор для конспирологии, кхм.
@tomhunter
💩335🔥4🤯3
#news Скучали по сливам от российских компаний? Сегодня в эфире вновь СДЭК. В открытом доступе три базы с заказами и клиентскими данными: 25 миллионов номеров телефонов и сведения об отправителях, база на триста тысяч заказов буквально со всей инфой по ним, информация по десятку тысяч контрагентов компании…
Судя по датам в одной из баз, дамп настолько свежий, что, может, ещё не все заказы в руки получателям-то успели попасть. После такого желающих обзавестись СДЭК ID по паспорту, полагаю, должно поубавиться. Иначе главной привилегией продвинутого юзера их сервиса станет обнаружить свои паспортные данные в очередной утечке вместе с уникальным кодом на получение посылок. Быстро, выгодно, удобно! Но есть нюанс.
@tomhunter
Судя по датам в одной из баз, дамп настолько свежий, что, может, ещё не все заказы в руки получателям-то успели попасть. После такого желающих обзавестись СДЭК ID по паспорту, полагаю, должно поубавиться. Иначе главной привилегией продвинутого юзера их сервиса станет обнаружить свои паспортные данные в очередной утечке вместе с уникальным кодом на получение посылок. Быстро, выгодно, удобно! Но есть нюанс.
@tomhunter
❤8😁5🔥2
#news Google подготовила новый вариант ChromeOS под названием Flex (а заодно убрала пробел из названия системы). Эта версия предназначена для установки на старые компьютеры. Систему тестировали на устройствах Acer, Asus, Dell, HP, Lenovo, LG, Toshiba, а также некоторых Mac — включая 10-летние MacBook. ChromeOS более закрытая по сравнению с Windows, и её сложнее взломать.
@tomhunter
@tomhunter
🤔11
#news Рансомварь-операцию HolyGhost связали с неугомонными северокорейскими хакерами. Они используют ту же инфраструктуру, что и группировка Lazarus, а также спалились на переписке между собой.
Но самое интересное, что HolyGhost лишь изредка атакует мелкие фирмы и просит скромные выкупы в пару-тройку биткоинов. Так что вполне может быть, что эта операция — небольшой междусобойчик правительственных хакеров КНДР на стороне. И пока солнцеликий лидер дремлет, простой рансомварь-стахановец зарабатывает себе копеечку на жизнь. В таком контексте заходы из их незатейливого манифеста про «Помощь бедным и голодающим» обретают неожиданный подтекст. За бедного северокорейского взломщика замолвите слово…
@tomhunter
Но самое интересное, что HolyGhost лишь изредка атакует мелкие фирмы и просит скромные выкупы в пару-тройку биткоинов. Так что вполне может быть, что эта операция — небольшой междусобойчик правительственных хакеров КНДР на стороне. И пока солнцеликий лидер дремлет, простой рансомварь-стахановец зарабатывает себе копеечку на жизнь. В таком контексте заходы из их незатейливого манифеста про «Помощь бедным и голодающим» обретают неожиданный подтекст. За бедного северокорейского взломщика замолвите слово…
@tomhunter
🔥7😁3
This media is not supported in your browser
VIEW IN TELEGRAM
#news Tor Project объявила о выпуске браузера Tor Browser 11.5, который содержит новые функции, помогающие пользователям легче бороться с цензурой. В новой версии пользователям больше не нужно вручную пробовать конфигурации моста, чтобы разблокировать Tor. Еще одна важная новая функция в версии 11.5 — сделать «Режим только HTTPS» режимом просмотра по умолчанию, так что соединение осуществляется через безопасный туннель. Третье значительное улучшение в Tor Browser 11.5 — это сильно переработанное меню «Настройки сети», которое теперь называется «Настройки подключения», что должно упростить поиск и понимание конкретных настроек.
@tomhunter
@tomhunter
🔥10❤1🤔1
#news Попался на глаза небольшой, но занятный отчёт об инфобез-угрозах от мира журналистики. В программе госхакеры из стран с выдающейся свободой слова.
Китайцы рассылают письма с малварью и веб-маяками политжурналистам и тем, кто пишет о программах слежки за жителями и дезинфы Китая. Стахановцы из северокорейской Lazarus проворачивают трюк с липовыми вредоносными офферами, атакуя авторов критических публикаций о своём солнцеликом лидере. Турки занимаются фишингом для угона аккаунтов в соцсетях и распространения госпропаганды и порочащих сведений. Иранцы же выдают себя за журналистов, пытаясь выйти на спецов по Ближнему Востоку и взломать их устройства.
Полный набор ухищрений! Неудивительно, что у журналистов в ходу дистрибутивы вроде Tails. Кому захочется, чтобы до него дотянулись иранские стражи или разгневанный китайский дракон.
@tomhunter
Китайцы рассылают письма с малварью и веб-маяками политжурналистам и тем, кто пишет о программах слежки за жителями и дезинфы Китая. Стахановцы из северокорейской Lazarus проворачивают трюк с липовыми вредоносными офферами, атакуя авторов критических публикаций о своём солнцеликом лидере. Турки занимаются фишингом для угона аккаунтов в соцсетях и распространения госпропаганды и порочащих сведений. Иранцы же выдают себя за журналистов, пытаясь выйти на спецов по Ближнему Востоку и взломать их устройства.
Полный набор ухищрений! Неудивительно, что у журналистов в ходу дистрибутивы вроде Tails. Кому захочется, чтобы до него дотянулись иранские стражи или разгневанный китайский дракон.
@tomhunter
🔥10
#news #OSINT Школота минирует Россию... И снова про виртуальное минирование. Тем более, что раскидка ложных сообщений о терактах ожидается днями в таких российских городах, как: Ангарск, Алушта, Арзамас, Артём, Архангельск, Астрахань, Балашиха, Биробиджан, Благовещенск, Барнаул, Батайск, Волгоград, Владивосток, Владимир, Вологда, Екатеринбург, Иркутск, Йошкар-Ола, Казань, Петропавловск-Камчатский, Курган. Новые сватеры уже взяли на себя ответственность за сообщения о терактах в Волгограде, Московской области, Саратове и Владимире.
А мы взяли и идентифицировали участников данного перфоманса. Организатор также имеет причастность к ведению на территории России колумбайнерско-суицидальных сообществ. Граф, как всегда, слегка размыт в интересах расследования. Заинтересованные органы или журналисты могут обратиться за помощью в официальном порядке.
@tomhunter
А мы взяли и идентифицировали участников данного перфоманса. Организатор также имеет причастность к ведению на территории России колумбайнерско-суицидальных сообществ. Граф, как всегда, слегка размыт в интересах расследования. Заинтересованные органы или журналисты могут обратиться за помощью в официальном порядке.
@tomhunter
🔥34😁10💩7🤔3🤡1
#news К вопросу об импортозамещении по ту сторону океана. Как ни странно, и у них с этим бывает не всё гладко.
США планируют заменить китайское сетевое оборудование от ZTE и Huawei на родное, и конгресс пока выделил на это около $2 миллиардов. Вот только обойдётся всё это удовольствие миллиардов этак в $5 и больше. И если на программу не пойдут дополнительные средства, оставшиеся затраты операторам придётся компенсировать самостоятельно.
Что ещё занятнее, две трети заявлений от компаний на компенсацию содержали «неточности» и «недостаточные доказательства». Простыми словами, неоправданно завышенные суммы на замену оборудования. Налог на созданные неудобства, не иначе.
@tomhunter
США планируют заменить китайское сетевое оборудование от ZTE и Huawei на родное, и конгресс пока выделил на это около $2 миллиардов. Вот только обойдётся всё это удовольствие миллиардов этак в $5 и больше. И если на программу не пойдут дополнительные средства, оставшиеся затраты операторам придётся компенсировать самостоятельно.
Что ещё занятнее, две трети заявлений от компаний на компенсацию содержали «неточности» и «недостаточные доказательства». Простыми словами, неоправданно завышенные суммы на замену оборудования. Налог на созданные неудобства, не иначе.
@tomhunter
🤯9🔥2🤔1🤡1
#news Поспешать медленно... 22 апреля Генеральная Прокуратура РФ подала на блокировку сайт, распространявший призывы к осуществлению диверсий на железнодорожном транспорте. 14 июля (да-да, прошло почти 3 месяца, вот это скорость) он был заблокирован на территории России. За это время "советами" сайта успели воспользоваться всяческие экстремисты из разных уголков нашей необъятной.
В ходе исследования данного сайта был успешно идентифицирован его администратор. Забавно, но на страницах сайта она предупреждала всех посетителей быть осторожнее, чтобы не допустить попадание их данных в руки спецслужб. Ну и сама спалилась, не поставив однажды галочку напротив пункта "скрыть мои данные" при регистрации доменного имени. Граф, как всегда, слегка размыт в интересах расследования. Заинтересованные органы и журналисты могут обратиться за помощью или комментарием в официальном порядке.
@tomhunter
В ходе исследования данного сайта был успешно идентифицирован его администратор. Забавно, но на страницах сайта она предупреждала всех посетителей быть осторожнее, чтобы не допустить попадание их данных в руки спецслужб. Ну и сама спалилась, не поставив однажды галочку напротив пункта "скрыть мои данные" при регистрации доменного имени. Граф, как всегда, слегка размыт в интересах расследования. Заинтересованные органы и журналисты могут обратиться за помощью или комментарием в официальном порядке.
@tomhunter
🔥15😁2🤔2🤬1🤡1
#news ФБР предупредило, что киберпреступники используют мошеннические приложения для инвестирования в криптовалюту для кражи средств у американских инвесторов. Киберпреступники уже успешно украли примерно 42,7 миллиона долларов у 244 жертв. Владельцам криптовалют рекомендуется включить многофакторную аутентификацию (MFA) для всех своих учетных записей, отклонять запросы на использование приложений удаленного доступа и всегда обращаться к биржам и платежным компаниям, используя официальные номера телефонов и адреса электронной почты.
@tomhunter
@tomhunter
🤯7
#OSINT Как идентифицировать анонимного пользователя сети Интернет? Прием работал при проведении расследований в среде несовершеннолетних в социальных сетях и мессенджере Telegram.
Создаем аккаунт пользователя, предлагающего услуги по настройке ПК в плане анонимности (настройка прокси, VPN, заворачивание трафика в TOR). В качестве теста предлагаются услуги на бесплатной основе. Когда идентифицируемый клюет на общение, ему предлагается установить одну из программ удаленного доступа к его компьютеру для осуществления настройки. В ходе настройки проводится установление реального IP-адреса идентифицируемого лица, а также его авторизаций в онлайн-сервисах.
@tomhunter
Создаем аккаунт пользователя, предлагающего услуги по настройке ПК в плане анонимности (настройка прокси, VPN, заворачивание трафика в TOR). В качестве теста предлагаются услуги на бесплатной основе. Когда идентифицируемый клюет на общение, ему предлагается установить одну из программ удаленного доступа к его компьютеру для осуществления настройки. В ходе настройки проводится установление реального IP-адреса идентифицируемого лица, а также его авторизаций в онлайн-сервисах.
@tomhunter
💩22😁16❤2
#news Крайне находчивый безопасник Мордекай Гури представил очередной способ стягивать данные с не подключённых к сети компьютеров. На этот раз он использовал SATA-кабели в компьютерах в качестве беспроводных антенн, передающих данные с помощью радиосигналов.
Кабели могут передавать сигнал на частотах между 5.9995 и 5.9996 GHz во время определённых операций чтения/записи. И если закодировать нужные данные, их затем можно переслать через излучаемый сигнал.
Возможности у метода ограничены: физический доступ к компьютеру, чтобы доставить кодирующую малварь, на расстоянии чуть больше метра коэффициент битовых ошибок лишает процесс смысла, скорость около бита в секунду… Но какая изобретательность! Материал для шпионского боевика, и применение у него было бы соответствующее.
@tomhunter
Кабели могут передавать сигнал на частотах между 5.9995 и 5.9996 GHz во время определённых операций чтения/записи. И если закодировать нужные данные, их затем можно переслать через излучаемый сигнал.
Возможности у метода ограничены: физический доступ к компьютеру, чтобы доставить кодирующую малварь, на расстоянии чуть больше метра коэффициент битовых ошибок лишает процесс смысла, скорость около бита в секунду… Но какая изобретательность! Материал для шпионского боевика, и применение у него было бы соответствующее.
@tomhunter
🔥22🤯1
Новая статья на хабре! В ней мы рассмотрим простые методы и приемы исследования Ethereum, которые применяет в своей работе OSINT-специалист. Ethereum (ETH) он же Эфириум - вторая по популярности криптовалюта в мире, а также платформа для создания децентрализованных онлайн-сервисов на базе блокчейна, работающего на основе умных контрактов (смарт-контрактов). Приятного чтения!
🔥12
#news В копеечном и довольно распространённом GPS-трекере MiCODUS MV720 обнаружили полдюжины критических уязвимостей. Захардкоженный мастер-пароль на API-сервере, админские команды по смс, слабый дефолтный пароль, прямые ссылки на объект на серваке… Всё это позволяет злоумышленникам отслеживать авто с трекером и даже перекрыть подачу бензина.
Сумрачный китайский гений в лице производителя выше всех этих мелочей жизни и не выходит на связь с сентября прошлого года. Запросы исследователей просто проигнорировали. Ситуацию усугубляет то, что этот трекер стоит на гостранспорте в некоторых странах и может стать целью атак. А установлен он, к слову, на 1,5 миллионах авто по всему миру. Так что теперь чем раньше счастливые обладатели этого китайского ширпотреба выломают его из своих машин, тем лучше.
@tomhunter
Сумрачный китайский гений в лице производителя выше всех этих мелочей жизни и не выходит на связь с сентября прошлого года. Запросы исследователей просто проигнорировали. Ситуацию усугубляет то, что этот трекер стоит на гостранспорте в некоторых странах и может стать целью атак. А установлен он, к слову, на 1,5 миллионах авто по всему миру. Так что теперь чем раньше счастливые обладатели этого китайского ширпотреба выломают его из своих машин, тем лучше.
@tomhunter
🔥8❤5😁2
#news Иногда для вывода из строя сетевой инфраструктуры интернет-зубров не нужны никакие продвинутые атаки. Из-за аномальной жары в Британии Google и Oracle пришлось отключить часть оборудования в своих дата-центрах. Охлаждающие системы банально не справились с непогодой, и часть некритичной облачной инфраструктуры вырубили, чтобы избежать выгорания всей прочей.
Несмотря на это, пользователи обеих компаний столкнулись с проблемами при доступе к сервисам: виртуальный машины отвалились или перестали быть доступны. Между тем отключение подали как способ избежать затруднений у пользователей. Видимо, речь шла о проблемах помасштабнее, которые возникли бы, если оборудование в дата-центрах пропеклось до состояния углей на сорокоградусной жаре.
@tomhunter
Несмотря на это, пользователи обеих компаний столкнулись с проблемами при доступе к сервисам: виртуальный машины отвалились или перестали быть доступны. Между тем отключение подали как способ избежать затруднений у пользователей. Видимо, речь шла о проблемах помасштабнее, которые возникли бы, если оборудование в дата-центрах пропеклось до состояния углей на сорокоградусной жаре.
@tomhunter
🔥13🤔1
#news В рядах кросс-платформенной рансомвари пополнение: Касперский рапортует о новом шифровальщике, получившем название Luna. Он написан на Rust и за счёт этого может использоваться для атак на платформы Windows, Linux и ESXi с минимальными изменениями в исходниках. Кроме того, Rust позволяет обходить статический анализ.
Рансомварь пока в разработке, но уже может похвастаться стандартом шифрования AES в сочетании с x25519 в своём коде. И, собственно, это ещё один пример тренда на кросс-платформенную малварь с прицелом на виртуалки по следам группировок BlackCat и Hive. А судя по ошибкам в рансомварь-записке и рекламе на русскоязычную аудиторию, высока вероятность, что авторы у Luna — наши соотечественники. Вновь, так сказать, на острие, да не там, где следовало бы.
@tomhunter
Рансомварь пока в разработке, но уже может похвастаться стандартом шифрования AES в сочетании с x25519 в своём коде. И, собственно, это ещё один пример тренда на кросс-платформенную малварь с прицелом на виртуалки по следам группировок BlackCat и Hive. А судя по ошибкам в рансомварь-записке и рекламе на русскоязычную аудиторию, высока вероятность, что авторы у Luna — наши соотечественники. Вновь, так сказать, на острие, да не там, где следовало бы.
@tomhunter
🔥13❤2
#news Хакер взломал популярный сайт с тамагочи Neopets и стянул исходники и базу данных на 69 миллионов пользователей со всей подноготной, включая ящики и пароли.
Деталей взлома нет, но сайт известен своими многочисленными дырами в защите и эксплойтами, которые особо некому чинить ввиду раздутого кода и нехватки разработчиков. А теперь база продаётся всего за 4 битка, и, более того, у взломщика сохраняется к ней доступ: модераторы сообщают, что смысла менять пароли нет, и что сейчас делать, неясно.
С учётом того, у скольких из этих 69 миллионов один пароль и ящик на все случаи жизни, возможности для брутфорса база предоставляет довольно внушительные. Такой вот суровый удар по ностальгическим чувствам вчерашних девочек-подростков.
@tomhunter
Деталей взлома нет, но сайт известен своими многочисленными дырами в защите и эксплойтами, которые особо некому чинить ввиду раздутого кода и нехватки разработчиков. А теперь база продаётся всего за 4 битка, и, более того, у взломщика сохраняется к ней доступ: модераторы сообщают, что смысла менять пароли нет, и что сейчас делать, неясно.
С учётом того, у скольких из этих 69 миллионов один пароль и ящик на все случаи жизни, возможности для брутфорса база предоставляет довольно внушительные. Такой вот суровый удар по ностальгическим чувствам вчерашних девочек-подростков.
@tomhunter
🔥15😁3
#news На просторах киберпреступного мира новая занятная бизнес-схема. Предоставляющая различные услуги группировка, известная как Atlas Intelligence Group, не держит постоянные команды взломщиков, а нанимает их под конкретные задачи.
Такой подход позволяет группировке предлагать широкий спектр услуг: в их арсенале кражи данных, DDoS-атаки, начальный доступ к сетям, угон RDP-сессий. Плюс запросы в полицейские базы данных в Европе, что в тех краях — редкость. После выполнения задачи нанятые хакеры дальнейшего участия в атаке не принимают, и только узкий круг админов и стоящий во главе некто Mr. Eagle имеют полную картину.
Такая схема даёт солидный бонус к опсеку: в ней рядовой взломщик — низшее, постоянно сменяющееся звено, и ценности для следствия не представляет. Да и в целом подход оригинальный. В сущности ушедшая на аутосорс киберпреступность с картельским душком.
@tomhunter
Такой подход позволяет группировке предлагать широкий спектр услуг: в их арсенале кражи данных, DDoS-атаки, начальный доступ к сетям, угон RDP-сессий. Плюс запросы в полицейские базы данных в Европе, что в тех краях — редкость. После выполнения задачи нанятые хакеры дальнейшего участия в атаке не принимают, и только узкий круг админов и стоящий во главе некто Mr. Eagle имеют полную картину.
Такая схема даёт солидный бонус к опсеку: в ней рядовой взломщик — низшее, постоянно сменяющееся звено, и ценности для следствия не представляет. Да и в целом подход оригинальный. В сущности ушедшая на аутосорс киберпреступность с картельским душком.
@tomhunter
🔥20🤔1
#news Объем утечек данных в России вырос в первом полугодии на порядок, а основным их источником стал взлом серверов баз данных, тогда как раньше ключевой причиной были действия сотрудников. В общем числе утечек доля таких взломов составила 68%, а в объеме похищенных данных — 83%. В прошлом году источниками данных были преимущественно инсайдерские утечки, происходившие по вине недобросовестных сотрудников. В январе—июне общий объем утечек ценных данных увеличился до 61 млн уникальных записей по сравнению с 6 млн за тот же период 2021 года. И это только те данные, которые стали известны исследователям. Реальность гораздо интереснее...
@tomhunter
@tomhunter
❤5🤬3🤔1
#news Данные 5,5 миллионов аккаунтов в Твиттере выставлены на продажу. Ящики и телефоны плюс содержимое профилей знаменитостей, компаний и случайных людей всего за $30 тысяч.
Злоумышленник использовал уязвимость, позволявшую вытянуть Twitter ID юзера, скормив сайту API-запрос с ящиком или номером телефона. Это работало, даже если пользователь отключил возможность найти его в настройках профиля. Аналогичный баг год назад позволил стянуть данные полумиллиарда пользователей Фейсбука.
Об эксплойте сообщили на H1 в начале года, и тогда же починили, но хакер использовал его ещё в декабре. И утверждает, что с тем белошляпочником по кличке zhirinovskiy никак не связан. Инфа в основном публичная и вытянутая в сущности через скрапинг, но потенциал для фишинга неплохой. Больше криптоскама от людей с галочкой на подходе!
@tomhunter
Злоумышленник использовал уязвимость, позволявшую вытянуть Twitter ID юзера, скормив сайту API-запрос с ящиком или номером телефона. Это работало, даже если пользователь отключил возможность найти его в настройках профиля. Аналогичный баг год назад позволил стянуть данные полумиллиарда пользователей Фейсбука.
Об эксплойте сообщили на H1 в начале года, и тогда же починили, но хакер использовал его ещё в декабре. И утверждает, что с тем белошляпочником по кличке zhirinovskiy никак не связан. Инфа в основном публичная и вытянутая в сущности через скрапинг, но потенциал для фишинга неплохой. Больше криптоскама от людей с галочкой на подходе!
@tomhunter
🔥13
#news Сказ о том, как патч для серверов Confluence стал делом ещё более насущным. В приложении для вопросов по продуктам Atlassian не только были захардкоженные данные доступа, но они ещё и мгновенно утекли в сеть.
Мегамозги из Atlassian додумались поставлять приложение вместе с автоматически создаваемым аккаунтом с захардкоженным паролем. И теперь любой желающий, взяв пароль в твиттере, может получить доступ к страницам группы confluence-users на уязвимом сервере. А приложение установили больше 8 тысяч раз.
По задумке троянский аккаунт должен был помочь админам переносить данные из приложения в облако сервера. Но в итоге он стал критической уязвимостью, требующей срочного патча.
@tomhunter
Мегамозги из Atlassian додумались поставлять приложение вместе с автоматически создаваемым аккаунтом с захардкоженным паролем. И теперь любой желающий, взяв пароль в твиттере, может получить доступ к страницам группы confluence-users на уязвимом сервере. А приложение установили больше 8 тысяч раз.
По задумке троянский аккаунт должен был помочь админам переносить данные из приложения в облако сервера. Но в итоге он стал критической уязвимостью, требующей срочного патча.
@tomhunter
🤡13😁8🤔1