#news Конец недели принёс занятный прецедент из мира криптомиксеров. В Нидерландах арестовали разработчика Tornado Cash, недавно попавшего под санкции США. Некоего Алексея Перцева подозревают в отмывании денег и организации нелегальных финансовых потоков. Тех самых, которые северокорейские и прочие хакеры прогоняли через их платформу. И новые аресты, похоже, на подходе.
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
🤯10😁5🤬2💩1
#news Исследователи насчитали в сети более 9000 незапароленных VNC-серверов в открытом доступе. Между тем среди них есть системы по контролю на промышленном производстве — SCADA, HMI и рабочие станции.
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
😁10
#news В новой версии банковского трояна SOVA под Андроид появился рансомварь-модуль. Меньше чем за полгода малварь трижды сменила версию и теперь нацелена на 200 всевозможных банковских и крипто- приложений по всему миру.
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
🔥11💯4🤯1
#news Приз за самый оригинальный вектор атаки этого лета получает некто devfather777. Злоумышленник загрузил дюжину тайпсквот-пакетов с малварью на репозиторий Python. При установке которых компьютер подключается к ботнету… ддосящему российский сервер Counter-Strike 1.6.
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
😁24❤2
#news Рансомварь-группировка Clop взломала компанию по водоснабжению в Англии, стянув 5TB данных. Переговоры по выкупу несмотря на рекордную жару якобы зашли в тупик, и злоумышленники начали публиковать инфу. Но есть нюанс…
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
😁21
#news Второй крупнейший банк Мексики нанял одну базирующуюся в Сингапуре инфобез-компанию для работы с последствиями взлома. Обычно в таких случаях утёкшие данные тихонько выкупают. Что сделали эти большие оригиналы? Начали строчить на Breached претензии и угрожать DMCA. Претензии. На хакерский форум. «Удали или пожалеешь!».
Администратор форума товарищ Pompompurin такие заходы не оценил, выкупил у хакера слитую базу и выложил в открытый доступ. 11 миллионов клиентов. И банк, и безопасники сделали вид, что ничего не произошло. Дорогая сингапурская компания! Я, э-э-э, изрядно озадачен.
@tomhunter
Администратор форума товарищ Pompompurin такие заходы не оценил, выкупил у хакера слитую базу и выложил в открытый доступ. 11 миллионов клиентов. И банк, и безопасники сделали вид, что ничего не произошло. Дорогая сингапурская компания! Я, э-э-э, изрядно озадачен.
@tomhunter
😁40💩3🤯1🎉1
#OSINT Уголовка-административка... Изучим классический трабл любой службы безопасности - как получить данные об уголовных и административных нарушениях проверяемого физлица. Добавлю от себя - еще и не нарушить законодательство, при такой проверке.
Легальных источников для проверки нарушений россиян не так много. В первую очередь, это данные судов общей юрисдикции, содержащиеся в сервисах ГАС Правосудие и СудАкт. Опускаемся на уровень ниже и находим отдельные порталы решений мировых судов по Москве и Санкт-Петербургу. У всех этих порталов есть основная беда - сложность идентификации участников судебного производства, которых могут записывать по полным ФИО, а также по фамилии и инициалам. Решается эта проблема только сужением поиска по конкретному городу, суду или статье.
Кроме этого, часть административных нарушений доступна на сайтах ГИБДД и ФССП. Чаще всего, это нарушения правил дорожного движения. Для запроса на сайте ГИБДД вам потребуется госномер автомобиля и СТС. У ФССП все проще - ФИО и дата рождения.
Наконец, доркинг (использование расширенных поисковых операторов) для поиска через Яндекс и Google. Доркинг может позволить вам искать факты нарушений как на конкретном сайте, например, СудАкте, так и по всему Интернету. Удачи!
@tomhunter
Легальных источников для проверки нарушений россиян не так много. В первую очередь, это данные судов общей юрисдикции, содержащиеся в сервисах ГАС Правосудие и СудАкт. Опускаемся на уровень ниже и находим отдельные порталы решений мировых судов по Москве и Санкт-Петербургу. У всех этих порталов есть основная беда - сложность идентификации участников судебного производства, которых могут записывать по полным ФИО, а также по фамилии и инициалам. Решается эта проблема только сужением поиска по конкретному городу, суду или статье.
Кроме этого, часть административных нарушений доступна на сайтах ГИБДД и ФССП. Чаще всего, это нарушения правил дорожного движения. Для запроса на сайте ГИБДД вам потребуется госномер автомобиля и СТС. У ФССП все проще - ФИО и дата рождения.
Наконец, доркинг (использование расширенных поисковых операторов) для поиска через Яндекс и Google. Доркинг может позволить вам искать факты нарушений как на конкретном сайте, например, СудАкте, так и по всему Интернету. Удачи!
@tomhunter
❤10
#news Опубликован эксплойт для критической уязвимости в однокристальных системах RTL819x от Realtek. CVE-2022-27255 — занятный зверь. Участия юзера или админского интерфейса в эксплойт не требует, достаточно одного UDP-пакета на айпишник устройства. А там и бэкдоры, и перехват трафика, и произвольный код, и падение устройства.
Потенциально затронуты миллионы устройств от роутеров до усилителей сигнала. Между тем патчей от многих производителей всё ещё нет. Остаётся надеяться, что эксплойт не пустят червём гулять по сети. Иначе в считанные минуты станет очень неприятно.
@tomhunter
Потенциально затронуты миллионы устройств от роутеров до усилителей сигнала. Между тем патчей от многих производителей всё ещё нет. Остаётся надеяться, что эксплойт не пустят червём гулять по сети. Иначе в считанные минуты станет очень неприятно.
@tomhunter
🔥11
#news Немного инсайтов в работу северокорейской Lazarus. Они продолжают фишинг по крупным криптокомпаниям и финтеху. На скрине пример их заманухи августа якобы от Coinbase. В новой кампании злоумышленники используют как вредонос под винду, так и подписанную в конце июля малварь под маки и на старых, и на новых процах. Хорошо знают свою целевую аудиторию, в общем.
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
❤13🔥2💩1
#news Группировка LockBit стояла за взломом инфобез-компании Entrust в июне. На сайте злоумышленников начался суточный отчёт до публикации стянутых данных. Всех данных, а это означает, что компания, видимо, даже не стала вступать с ними в переговоры.
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
🔥13
#news Пятничная новость про, пожалуй, самую оригинальную уязвимость в базе MITRE на годы вперёд. Музыкальному видео «Rhythm Nation» 1989-го от Джанет Джексон присвоили код CVE. В песне оказалась та же частота резонансных колебаний, что и в стареньких моделях ноутбучных жёстких на 5400 RPM образца 2005-го. При её прослушивании жёсткие падают. Их можно понять.
Когда это обнаружили, производители затронутых моделей добавили аудиофильтр для вредоносных частот. Может, он всё так же и остался в их ноутах в качестве legacy-артефакта, о котором никто не помнит. Джанис Джоплин однажды сказала, что не хотела бы стать Мадонной. Хотела ли Джанет Джексон стать курьёзной ИБ-угрозой? Вот в чём вопрос.
@tomhunter
Когда это обнаружили, производители затронутых моделей добавили аудиофильтр для вредоносных частот. Может, он всё так же и остался в их ноутах в качестве legacy-артефакта, о котором никто не помнит. Джанис Джоплин однажды сказала, что не хотела бы стать Мадонной. Хотела ли Джанет Джексон стать курьёзной ИБ-угрозой? Вот в чём вопрос.
@tomhunter
😁23🔥2
#news Хакеры использовали нулевой день в криптоматах от General Bytes для их взлома. Эксплойт позволил взломщикам получить админские права с помощью URL-запроса для дефолтного запуска сервера. Затем они просто подменили настройки на покупку-продажу крипты своим кошельком, прямиком на который отправлялись цифровые монетки незадачливых пользователей.
Причём хакеры просто просканировали сеть на предмет уязвимых серверов — они даже не были зафайерволены под доверенные айпи. «Мы приносим блокчейн-технологии в неожиданные места» — гласит слоган компании. И криптовалюту своих клиентов неожиданным адресатам.
@tomhunter
Причём хакеры просто просканировали сеть на предмет уязвимых серверов — они даже не были зафайерволены под доверенные айпи. «Мы приносим блокчейн-технологии в неожиданные места» — гласит слоган компании. И криптовалюту своих клиентов неожиданным адресатам.
@tomhunter
😁14🤔2
На хабре новая полезная статья! Затронута тема ограниченного делегирования kerberos. На просторах интернета существует множество статей как злоупотреблять этим типом делегирования, но на хабре нет статей про обход ограничений. А конкретно о настройке делегирования с Protocol Transition и олицетворяемом пользователе в группе Protected Users. Приятного чтения 😊
❤8🤡2🔥1
#news На днях публиковал письмо с претензиями от IB-езопасников на хакерский форум. Казалось бы, есть ли методы борьбы с утечками оригинальней? Есть. Сайты LockBit в Торе на выходных прилегли от DDoS-атаки. Группировка утверждает, что это дело рук взломанной ими компании Entrust. Послание в запросах на сайты как бы намекает.
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
Кто на самом деле дудосил злоумышленников, мы вряд ли узнаем. Могли быть и конкуренты по рансомварь-бизнесу. Но если за этим и правда стояла инфобез-компания, это нечто совсем новенькое. И в таком случае им полагается приз за слабоумие и отвагу — группировка в отместку решила залить все украденные данные на торренты.
@tomhunter
😁14
#news Пока раскручивается маховик судебного дела против больниц в штатах, сливавших Meta данные клиентов через трекер, творятся странные дела.
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
Сеть клиник Novant Health заявила, что вся подноготная на 1,3 миллиона пациентов утекла в Meta и рекламщикам из-за «неправильно настроенного трекера». Два года Meta Pixel у них шпионил, после шокирующего осознания в мае его сразу отключили, Meta слезливо удалить данные просили, а теперь расследование завершили и ответственно о нём рассказывают.
Такая вот неубедительная попытка соскочить и не попасть под суд вместе с коллегами по бизнесу. Товарищ Новант ничего не знал, в больницу пробрались мета-враги.
@tomhunter
😁10🤯2🤡1
#news Новый метод Мордекая Гури по краже данных с изолированных от сети систем под названием ETHERLED. Теперь в качестве источника выступают LED-индикаторы на оборудовании от сетевых карт до принтеров. Неугомонному спецу удалось использовать их для передачи сигнала Азбукой Морзе.
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
Малварь либо подменяет прошивку сетевой платы, либо напрямую атакует её драйвер. Дальше начинается LED-магия, которую злоумышленнику достаточно записать на камеру и дешифровать. Причём это может быть и дрон за окном, и взломанная уличная камера. В считанные секунды индикатор может намигать пароль, крипто-фразу или RSA-ключ. За полторы минуты двухцветный LED-предатель передаст килобит текста. Такая вот шпионская романтика в эпоху любви, смерти и роботов.
@tomhunter
🔥18🤯4😁2❤1
#news Минцифры планирует запустить реестр недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ). Реестр будет открытым. В него могут попасть взлом официальной страницы или рассылка ложных данных от имени организации.
@tomhunter
@tomhunter
😁13💩4🎉2🔥1😢1
#news В открытом доступе оказалась информация пользователей OneTwoTrip. Что говорит компания? Мы нечаянно порт открыли, а там всё равно только данные по активности части юзеров за короткий срок. Что показывает исследователь? У OneTwoTrip был незапароленный Elasticsearch-сервер с 21 миллиардом записей. Судя по всему, вся их инфраструктура, включая клиентскую базу.
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
На скрине примеры инфы, найденной по запросам на сервере. Можно ли назвать это «активностью пользователей»? Ну, юзеры активно делились с OneTwoTrip личными данными, этого не отнять. ФИО, номера телефонов, почты, данные паспортов, частично инфа с карт. Компания не ответила на запрос исследователя и зашевелилась только после его публикации в Твиттере. Заявляют, что утечек не было. Верим?
@tomhunter
😁14🤬5🤡4❤1🤯1🎉1💩1
#news Злоумышленники, стоящие за крупномасштабной фишинговой кампанией , нацеленной на корпоративных пользователей почтовых сервисов Microsoft, также нацелились на пользователей Google Workspace. Сообщается, что фишинговые атаки AiTM начались в середине июля 2022 года по тому же принципу, что и кампания социальной инженерии, направленная на перехват учетных данных пользователей Microsoft и даже на обход многофакторной аутентификации.
@tomhunter
@tomhunter
❤7
В новой статье на хабре поговорим о простых приемах предупреждения и расследования утечек информации. Вероятно, защита конфиденциальной информации предполагает использование DLP-систем, но это не решает все проблемы. Всегда будут сотрудники, стоящие выше системы безопасности, да и снимок с экрана никто не отменял. Акцент, как всегда, я сделаю на общедоступном и бесплатном программном обеспечении.
❤7
#news Бывший глава безопасности Твиттера опубликовал критику внутренней кухни медиа-гиганта. Крайне занятное чтиво. По его словам, в половине систем платформы (250 тысяч серверов) нет шифрования из-за устаревшего и непатченного софта. Компания врала на аудитах, игнорирует запросы юзеров на удаление их данных из-за техограничений, не может посчитать фейки и ботов по той же причине. Пентест отсутствует как таковой, в системах проходной двор, а среди работников затесалась агентура чужих стран. Автор также утверждает, что топ-менеджеры скрывали его отчёты от совета директоров.
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
Звучит довольно правдоподобно. Компания открестилась от осведомителя и назвала его недовольным и паршивым сотрудником. А речь о полулегендарном товарище, известном как Mudge. Кто победит, индусское девелоперское лобби или хакерский реликт из 90-х?
@tomhunter
🔥17😁6🤔2