#news Недавно в России начал заметно лагать YouTube, что списали на деградацию кэширующих серверов, совершенно внезапно оставленных без обслуживания Google. Версия про резко пошедшее в отказ оборудование просуществовала недолго: Александр Хинштейн сегодня сообщил, что с YouTube можно прощаться.
До конца текущей недели скорость загрузки видео планируют снизить до 40%, к концу следующей — до 70%. Пока это якобы коснётся десктопных версий и мобильную связь предусмотрительно не затронет, чтобы россияне в отпусках могли напоследок насладиться ютубчиком. Всё это, как водится, связано с возмутительной политикой трясущихся от страха перед правдой западных русофобов и направлено на «приведение их в чувство», а не против российского пользователя. Назло Западу закроем россиянам доступ к YouTube, в общем. Хорошо, что наше правительство нас бережёт.
@tomhunter
До конца текущей недели скорость загрузки видео планируют снизить до 40%, к концу следующей — до 70%. Пока это якобы коснётся десктопных версий и мобильную связь предусмотрительно не затронет, чтобы россияне в отпусках могли напоследок насладиться ютубчиком. Всё это, как водится, связано с возмутительной политикой трясущихся от страха перед правдой западных русофобов и направлено на «приведение их в чувство», а не против российского пользователя. Назло Западу закроем россиянам доступ к YouTube, в общем. Хорошо, что наше правительство нас бережёт.
@tomhunter
🤡28🤬14😁13🎉4💯3🔥2
#news Исследователи опубликовали занятный отчёт о неочевидной уязвимости в GitHub. Вкратце, данные из удалённых репозиториев остаются доступными. Навсегда и без контроля мейнтенера над тем, что лежит на серверах.
Проблема упирается в форки и возможность получить доступ к ним даже после удаления. Но это работает и обратную сторону: в сущности, пока есть форк, коммиты в прежде связанные с ним репозитории upstream/downstream остаются доступны. Вплоть до приватных: в сценарии, где у репы есть приватный форк и исходный делают публичным, к коммитам в форке, пока исходный был приватным, можно получить доступ. Всё это сводится к архитектуре GitHub и возможности напрямую выйти на коммиты через их хэши. Как сообщает компания, это не баг, а задокументированная фича. Что из этого следует? В первую очередь, что ротация API-ключей — единственная защита от их утечек, очевидных и не очень. И что техписы не зря делают свою работу, и документацию надо бы читать.
@tomhunter
Проблема упирается в форки и возможность получить доступ к ним даже после удаления. Но это работает и обратную сторону: в сущности, пока есть форк, коммиты в прежде связанные с ним репозитории upstream/downstream остаются доступны. Вплоть до приватных: в сценарии, где у репы есть приватный форк и исходный делают публичным, к коммитам в форке, пока исходный был приватным, можно получить доступ. Всё это сводится к архитектуре GitHub и возможности напрямую выйти на коммиты через их хэши. Как сообщает компания, это не баг, а задокументированная фича. Что из этого следует? В первую очередь, что ротация API-ключей — единственная защита от их утечек, очевидных и не очень. И что техписы не зря делают свою работу, и документацию надо бы читать.
@tomhunter
🔥3🤯2💯2😁1
#news Американская ИБ-компания KnowBe4 столкнулась с кротом в своих рядах: в штат под видом сотрудника попал северокорейский госхакер. Его наняли в качестве главного разработчика, но вскоре он попался на попытке установить инфостилер на выданный ему ноутбук.
При этом шпион прошёл все проверки, рекомендательные письма подтвердили, а сам он присутствовал на четырёх собеседованиях по видеосвязи — фото в резюме совпало. На деле же была украдена идентичность гражданина США, а фото и видео на созвонах были созданы с помощью ИИ-модели. Ноут же отправился в одну из специализированных ферм в Штатах, и к нему подключались через VPN в рабочие часы по Америке. В итоге EDR-решение компании засекло попытку найти в браузерах токены и данные доступа, шпион попался, дело закрыли. Но детали операций, проворачиваемых сумрачным северокорейским гением, впечатляют. Государство-изгой на острие криптопреступности и кибершпионажа. Говорите, ваша ИБ не киберпанк?
@tomhunter
При этом шпион прошёл все проверки, рекомендательные письма подтвердили, а сам он присутствовал на четырёх собеседованиях по видеосвязи — фото в резюме совпало. На деле же была украдена идентичность гражданина США, а фото и видео на созвонах были созданы с помощью ИИ-модели. Ноут же отправился в одну из специализированных ферм в Штатах, и к нему подключались через VPN в рабочие часы по Америке. В итоге EDR-решение компании засекло попытку найти в браузерах токены и данные доступа, шпион попался, дело закрыли. Но детали операций, проворачиваемых сумрачным северокорейским гением, впечатляют. Государство-изгой на острие криптопреступности и кибершпионажа. Говорите, ваша ИБ не киберпанк?
@tomhunter
🔥14😁6🤯4❤1🤡1
#news Месяц выдался занятным для кибербезопасности. На очереди компрометация Secure Boot на более чем 500 моделях практически от всех крупных производителей. Проблема сводится к двум отдельным кейсам.
В первом случае в декабре 2022-го был скомпрометирован ключ платформы, которым подписаны 215 устройств. Некто работающий с производителями в Штатах оставил ключ в публичном репозитории под 4-значным паролем. Сколько он там провисел, неизвестно, но уже в январе 2023-го светился в атаках. Во втором случае больше 300 моделей также подписаны уязвимыми ключами. 21 ключ идёт со строками «DO NOT SHIP» и «DO NOT TRUST». Каким образом тестовые ключи массово попали в прод полудюжины производителей, неизвестно. Ни одна из компаний не ответила на этот вопрос, все отделались туманным корпоспиком. При этом ошибка-то критическая, и Secure Boot потенциально скомпрометирован на миллионах устройств, выпущенных с мая 2012-го по июнь 2024-го года.
@tomhunter
В первом случае в декабре 2022-го был скомпрометирован ключ платформы, которым подписаны 215 устройств. Некто работающий с производителями в Штатах оставил ключ в публичном репозитории под 4-значным паролем. Сколько он там провисел, неизвестно, но уже в январе 2023-го светился в атаках. Во втором случае больше 300 моделей также подписаны уязвимыми ключами. 21 ключ идёт со строками «DO NOT SHIP» и «DO NOT TRUST». Каким образом тестовые ключи массово попали в прод полудюжины производителей, неизвестно. Ни одна из компаний не ответила на этот вопрос, все отделались туманным корпоспиком. При этом ошибка-то критическая, и Secure Boot потенциально скомпрометирован на миллионах устройств, выпущенных с мая 2012-го по июнь 2024-го года.
@tomhunter
🤯9🔥3🤬1
#news В текущей версии WhatsApp вложения Python и PHP открываются без каких-либо предупреждений юзеру. Для атаки в системе должен быть установлен Python, что сужает поверхность атаки до разработчиков, исследователей и продвинутых пользователей. В то же время повышая ставки.
Интересна реакция WhatsApp. Исправлять уязвимость в компании отказались, сославшись на то, что она не на их стороне. «Мы уже предупреждаем не открывать файлы от незнакомых отправителей, этого достаточно». Если бы в WhatsApp больше взаимодействовали со средним юзером, они бы знали, что этого совершенно точно недостаточно. При этом фикс сводится к добавлению расширений в блок-лист. Так что, возможно, после шумихи в сети WhatsApp всё же исправит проблему, как было в похожем случае с Telegram весной. А пока можно по-дружески протестировать ИБ-навыки знакомых разрабов на предмет их минимальной адекватности.
@tomhunter
Интересна реакция WhatsApp. Исправлять уязвимость в компании отказались, сославшись на то, что она не на их стороне. «Мы уже предупреждаем не открывать файлы от незнакомых отправителей, этого достаточно». Если бы в WhatsApp больше взаимодействовали со средним юзером, они бы знали, что этого совершенно точно недостаточно. При этом фикс сводится к добавлению расширений в блок-лист. Так что, возможно, после шумихи в сети WhatsApp всё же исправит проблему, как было в похожем случае с Telegram весной. А пока можно по-дружески протестировать ИБ-навыки знакомых разрабов на предмет их минимальной адекватности.
@tomhunter
😁5🔥2
#news Мошенничество с помощью дипфейков продолжает набирать обороты. На этот раз крупной целью злоумышленников стала Ferrari: руководитель подразделения получил сообщения и звонки якобы от исполнительного директора компании. Мошенник завёл разговор о крупном приобретении и строжайшей секретности.
Дипфейк голоса был достаточно убедителен, вплоть до акцента. Однако собеседник заметил артефакты звука — механические интонации в голосе — и спросил у своего «руководителя», какую книгу тот ему недавно рекомендовал. На этом мошенник отключился. К секретному вторжению дипфейков публичных фигур, вроде руководителей топ-бизнеса, готовы оказываются не все. В нашумевшем случае с неназванной компанией такой звонок стоил ей $26 миллионов, так что ставки высоки, и в ИБ-программы уже входит обучение отслеживать дипфейки. Вопрос лишь в том, опередит ли оно стремительное развитие технологии.
@tomhunter
Дипфейк голоса был достаточно убедителен, вплоть до акцента. Однако собеседник заметил артефакты звука — механические интонации в голосе — и спросил у своего «руководителя», какую книгу тот ему недавно рекомендовал. На этом мошенник отключился. К секретному вторжению дипфейков публичных фигур, вроде руководителей топ-бизнеса, готовы оказываются не все. В нашумевшем случае с неназванной компанией такой звонок стоил ей $26 миллионов, так что ставки высоки, и в ИБ-программы уже входит обучение отслеживать дипфейки. Вопрос лишь в том, опередит ли оно стремительное развитие технологии.
@tomhunter
🔥8🤯2
#news Господа, горячие новости: Россия стала мировым лидером в одном из аспектов инфобеза. Но есть нюанс. Лидер мы по количеству слитых в даркнет баз данных компаний. 10% от объявлений обеспечили нам первое место, следом идут США с 8% и Китай с 6%. При этом 88% авторов утечек готовы слить их безвозмездно.
Печальная статистика объясняется ростом кибератак с «нефинансовой мотивацией», а именно хактивизмом. По информации наших специалистов, число предложений со слитыми базами выросло на 30% относительно прошлого года, на 15% — число компаний, столкнувшихся с утечками впервые. По некоторым оценкам число утёкших строк на пользователей за первые полгода составило ~200 миллионов, треть из них — данные компаний из розничной торговли. В общем, число взломов активно растёт, а бизнес по понятным причинам всё также активно сопротивляется ужесточению законов об утечке данных. Так и живём.
@tomhunter
Печальная статистика объясняется ростом кибератак с «нефинансовой мотивацией», а именно хактивизмом. По информации наших специалистов, число предложений со слитыми базами выросло на 30% относительно прошлого года, на 15% — число компаний, столкнувшихся с утечками впервые. По некоторым оценкам число утёкших строк на пользователей за первые полгода составило ~200 миллионов, треть из них — данные компаний из розничной торговли. В общем, число взломов активно растёт, а бизнес по понятным причинам всё также активно сопротивляется ужесточению законов об утечке данных. Так и живём.
@tomhunter
😁12🔥4🤯4🎉2👍1😢1💯1
#news Июль закрывает ещё одно фиаско в ИБ-софте компании, обслуживающей топ корпораций мира. Из-за уязвимости в сервисе защиты электронной почты от Proofpoint, стоящем у 87 компаний из Fortune 100, злоумышленники вели масштабную фишинговую рассылку аутентичных писем.
Спуфингу подверглись такие бренды, как IBM, Disney, Coca-Cola и многие другие. В операции использовали SMTP-сервера, а затем гнали письма через релеи Proofpoint, где те обзаводились нужными подписями и не попадали в спам. А уязвимость проста: релеи доверяли письмам от аккаунтов Office 365. Если не настроены дополнительные разрешения, от любых. Вообще. С вредоносных аккаунтов от Microsoft письма и улетали получателям. С января по июль, в среднем 3 миллиона писем в день, а на пике до 14 миллионов. Несмотря на репорты, часть аккаунтов была активна все семь месяцев. Иными словами, фишинг на качественно ином уровне. Подробнее об операции в отчёте.
@tomhunter
Спуфингу подверглись такие бренды, как IBM, Disney, Coca-Cola и многие другие. В операции использовали SMTP-сервера, а затем гнали письма через релеи Proofpoint, где те обзаводились нужными подписями и не попадали в спам. А уязвимость проста: релеи доверяли письмам от аккаунтов Office 365. Если не настроены дополнительные разрешения, от любых. Вообще. С вредоносных аккаунтов от Microsoft письма и улетали получателям. С января по июль, в среднем 3 миллиона писем в день, а на пике до 14 миллионов. Несмотря на репорты, часть аккаунтов была активна все семь месяцев. Иными словами, фишинг на качественно ином уровне. Подробнее об операции в отчёте.
@tomhunter
🔥4🤯4
#news Охота на крупного зверя в рансомварь-среде приносит плоды: исследователи раскрыли крупнейший известный выкуп. Неназванная компания из Fortune 50 выплатила группировке Dark Angels 75 миллионов долларов.
Выплата была зафиксирована в начале 2024-го года, блокчейн-аналитики также подтвердили её проведение. Прежним рекордом были $40 миллионов от страхового гиганта CNA после атаки Evil Corp весной 2021-го. Хотя источник нового сомнительного рекорда не назван, в феврале этого года была взломана фармацевтическая мегакорпорация Cencora, десятая в списке Fortune 50. Ответственность за атаку тогда не взяла на себя ни одна группировка, что может указывать на уплаченный выкуп. С четвертью триллиона долларов доходов представить рекордную сумму несложно. Для Cencora это так, небольшой бонус для CEO.
@tomhunter
Выплата была зафиксирована в начале 2024-го года, блокчейн-аналитики также подтвердили её проведение. Прежним рекордом были $40 миллионов от страхового гиганта CNA после атаки Evil Corp весной 2021-го. Хотя источник нового сомнительного рекорда не назван, в феврале этого года была взломана фармацевтическая мегакорпорация Cencora, десятая в списке Fortune 50. Ответственность за атаку тогда не взяла на себя ни одна группировка, что может указывать на уплаченный выкуп. С четвертью триллиона долларов доходов представить рекордную сумму несложно. Для Cencora это так, небольшой бонус для CEO.
@tomhunter
🔥6🤯2😁1
#news Одна запрещённая в России компания Meta пришла к соглашению с Техасом по делу о незаконном сборе биометрии пользователей. Корпорация выплатит 1,4 миллиарда долларов, что станет одним из крупнейших в истории штрафов техгигантам от регуляторов.
Соглашение стало итогом двухлетних разбирательств по следам сбора данных распознаванием лиц по фотографиям, которые пользователи загружали на Facebook. Согласно техасским законам, юзеры должны быть проинформированы о сборе данных и дать согласие, чего не было в случае с функцией Tag Suggestions, положившей начало разбирательствам. В 2021-м Meta заявила об отключении системы распознавания лиц и удалении собранных данных, а в 2015-м выплатила $650 миллионов по такому же иску в Иллинойсе, а теперь история достигла кульминации. Между тем аналогичное дело Техас ведёт против Google. Так что второй корпорации добра стоит приготовиться.
@tomhunter
Соглашение стало итогом двухлетних разбирательств по следам сбора данных распознаванием лиц по фотографиям, которые пользователи загружали на Facebook. Согласно техасским законам, юзеры должны быть проинформированы о сборе данных и дать согласие, чего не было в случае с функцией Tag Suggestions, положившей начало разбирательствам. В 2021-м Meta заявила об отключении системы распознавания лиц и удалении собранных данных, а в 2015-м выплатила $650 миллионов по такому же иску в Иллинойсе, а теперь история достигла кульминации. Между тем аналогичное дело Техас ведёт против Google. Так что второй корпорации добра стоит приготовиться.
@tomhunter
❤3🎉3🔥2😁1
#news Интересный прецедент и потенциальный юридический кошмар от индийской криптобиржи WazirX. Пару недель назад она потеряла $230 миллионов после взлома от неутомимых северокорейских хакеров. А теперь планирует «социализировать» потери.
Биржа заявила, что «перебалансирует» портфели клиентов, вернув им лишь 55% активов. Оставшиеся 45% пойдут на покрытие кражи. Меры коснутся даже тех пользователей, чьи кошельки не были затронуты взломом. Более того, приоритет по восстановлению активов будет у тех, кто ограничит вывод средств. У тех, кто деньги решит вывести, приоритет по возврату будет ниже. Ну а усилия по восстановлению, как сообщают, могут не увенчаться успехом и занять годы. В общем, совершенно особенная блокчейн-культура Индии. А партия может отдельно наградить криптостахановцев из Lazarus за привнесение лучших практик социализма на отдельно взятую биржу.
@tomhunter
Биржа заявила, что «перебалансирует» портфели клиентов, вернув им лишь 55% активов. Оставшиеся 45% пойдут на покрытие кражи. Меры коснутся даже тех пользователей, чьи кошельки не были затронуты взломом. Более того, приоритет по восстановлению активов будет у тех, кто ограничит вывод средств. У тех, кто деньги решит вывести, приоритет по возврату будет ниже. Ну а усилия по восстановлению, как сообщают, могут не увенчаться успехом и занять годы. В общем, совершенно особенная блокчейн-культура Индии. А партия может отдельно наградить криптостахановцев из Lazarus за привнесение лучших практик социализма на отдельно взятую биржу.
@tomhunter
😁14🔥1🤯1🤡1
#news Утечка документов из Министерства юстиции Израиля раскрыла внутреннюю кухню разработчика Pegasus в плане взаимодействия с правительством. Очевидное-невероятное: основанная израильской разведкой компания плотно сотрудничает с государством.
Так, в 2020-м Израиль был с первых дней вовлечён в расследование по иску WhatsApp и выпустил засекреченный приказ, запретивший NSO Group передавать документы и техматериалы за рубеж без разрешения властей. Вместе с этим шёл запрет на разглашение, чтобы информация о приказе не просочилась в прессу. Иными словами, Израиль обеспечил NSO Group отговорку от требований США предоставить данные для расследования. Как утверждает WhatsApp, разработчик Pegasus активно препятствует ходу дела и не даёт доступ к внутренним документам. А разгадка проста: на его стороне играет правительство Израиля. В принципе, это мало кого удивит. Но иметь подтверждение в виде судебных ордеров — не лишнее.
@tomhunter
Так, в 2020-м Израиль был с первых дней вовлечён в расследование по иску WhatsApp и выпустил засекреченный приказ, запретивший NSO Group передавать документы и техматериалы за рубеж без разрешения властей. Вместе с этим шёл запрет на разглашение, чтобы информация о приказе не просочилась в прессу. Иными словами, Израиль обеспечил NSO Group отговорку от требований США предоставить данные для расследования. Как утверждает WhatsApp, разработчик Pegasus активно препятствует ходу дела и не даёт доступ к внутренним документам. А разгадка проста: на его стороне играет правительство Израиля. В принципе, это мало кого удивит. Но иметь подтверждение в виде судебных ордеров — не лишнее.
@tomhunter
🔥12💯4😁2🤡2🤔1🎉1
#news К оригинальным крипто-скамам. Мошенники изображают утечку данных криптокошельков, чтобы заманить желающих их опустошить. На опубликованном скриншоте засветили сид-фразу от кошелька с солидным кушем — миллионом долларов в Monero. При попытке же залогиниться в этот кошелёк Electrum потенциальные жертвы обнаруживали, что тот поддерживает только битки, а для доступа нужен приватный ключ. Который из сид-фразы конвертеры почему-то не вытягивают.
Что делает замечтавшийся криптовор дальше? Гуглит «Electrum Monero». И попадает на фишинговую страницу от мошенников, где под видом форка Electrum скачивает вредонос. Скорее всего, инфостилер/криптодрейнер. Судя по тому, что скам вышел на второй круг, криптоловушка сработала на отлично. Ну а в том, что без средств остаются несостоявшиеся криптоворишки, как всегда присутствует солидная доля иронии.
@tomhunter
Что делает замечтавшийся криптовор дальше? Гуглит «Electrum Monero». И попадает на фишинговую страницу от мошенников, где под видом форка Electrum скачивает вредонос. Скорее всего, инфостилер/криптодрейнер. Судя по тому, что скам вышел на второй круг, криптоловушка сработала на отлично. Ну а в том, что без средств остаются несостоявшиеся криптоворишки, как всегда присутствует солидная доля иронии.
@tomhunter
🔥10😁7🤡1💯1
#news Великобританская NCA объявила об отключении фишинговой платформы Russian Coms. Сервис был активен с 2021-го и использовался злоумышленниками для мошеннических звонков с подменой номеров.
Звонки шли от лица банков и иных организаций. В одной только Великобритании число жертв составляет ~170 тысяч, всего же с платформы звонили в 107 стран мира, нанеся ущерб на десятки миллионов долларов. Трое злоумышленников, двое из которых ответственны за разработку, были арестованы и выпущены под залог. NCA также грозит преследованием клиентам Russian Coms в ближайшие месяцы. Несмотря на говорящее название, как считается, с Россией мошеннический сервис не связан. Так что пресловутые русские хакеры и прочие лучшие сыны ИБ-отечества, триумфально возвращающиеся на родину с почётным караулом, к нему отношения не имеют.
@tomhunter
Звонки шли от лица банков и иных организаций. В одной только Великобритании число жертв составляет ~170 тысяч, всего же с платформы звонили в 107 стран мира, нанеся ущерб на десятки миллионов долларов. Трое злоумышленников, двое из которых ответственны за разработку, были арестованы и выпущены под залог. NCA также грозит преследованием клиентам Russian Coms в ближайшие месяцы. Несмотря на говорящее название, как считается, с Россией мошеннический сервис не связан. Так что пресловутые русские хакеры и прочие лучшие сыны ИБ-отечества, триумфально возвращающиеся на родину с почётным караулом, к нему отношения не имеют.
@tomhunter
❤8😁6🔥3
#cve Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем.
Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте на Хабре!
@tomhunter
Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте на Хабре!
@tomhunter
🔥6❤2
#news Пятничные новости из серии «Как один маленький файлик похоронил многомиллиардную компанию». К многочисленным искам против CrowdStrike ожидаемо присоединились инвесторы: падение акций почти на 40% стоило им серьёзных финансовых потерь.
Согласно иску, компания обманула инвесторов касаемо качества софта, его надёжности и адекватности тестирования. По некоторым оценкам, дефектное обновление обошлось бизнесу в $5,4 миллиарда. Так что желающих компенсировать убытки достаточно: Delta Airlines, потерявшая полмиллиарда на отменённых рейсах, рассчитывает на компенсацию и от CrowdStrike, и от Microsoft. И хотя засудить последнюю за чужой кривой софт едва ли получится, в памяти широкой публики инцидент с Falcon Sensor, видимо, так и останется как «Упала Windows, и всё сломалось». CrowdStrike же разблокировала плохую концовку, и на горизонте маячит потенциальное банкротство. Модуль ядра и автоматическое тестирование — что могло пойти не так?
@tomhunter
Согласно иску, компания обманула инвесторов касаемо качества софта, его надёжности и адекватности тестирования. По некоторым оценкам, дефектное обновление обошлось бизнесу в $5,4 миллиарда. Так что желающих компенсировать убытки достаточно: Delta Airlines, потерявшая полмиллиарда на отменённых рейсах, рассчитывает на компенсацию и от CrowdStrike, и от Microsoft. И хотя засудить последнюю за чужой кривой софт едва ли получится, в памяти широкой публики инцидент с Falcon Sensor, видимо, так и останется как «Упала Windows, и всё сломалось». CrowdStrike же разблокировала плохую концовку, и на горизонте маячит потенциальное банкротство. Модуль ядра и автоматическое тестирование — что могло пойти не так?
@tomhunter
😁15🔥3😢3
#news Китайские госхакеры продолжают демонстрировать смекалочку в деле доставки малвари. На этот раз группировка StormBamboo скомпрометировала неназванного интернет-провайдера и отравила DNS-запросы автообновлений софта.
Группировка использовала плохо защищённые механизмы обновлений, не проверяющие цифровые подписи, и HTTP-запросы перенаправлялись на C2-сервер злоумышленников, с которого подтягивался вредонос. Инструментом для атаки стали несколько производителей софта. Так, в случае с 5KPlayer на С2 лежал модифицированный Youtube.config, сообщивший о доступном обновлении youtube-dl, которое шло с бэкдором. Отравление DNS от китайских умельцев не первый раз светится в сетевых дебрях, но механизм интересный. Подробнее об атаке в отчёте.
@tomhunter
Группировка использовала плохо защищённые механизмы обновлений, не проверяющие цифровые подписи, и HTTP-запросы перенаправлялись на C2-сервер злоумышленников, с которого подтягивался вредонос. Инструментом для атаки стали несколько производителей софта. Так, в случае с 5KPlayer на С2 лежал модифицированный Youtube.config, сообщивший о доступном обновлении youtube-dl, которое шло с бэкдором. Отравление DNS от китайских умельцев не первый раз светится в сетевых дебрях, но механизм интересный. Подробнее об атаке в отчёте.
@tomhunter
🔥6🤯1
#digest Опубликовали наш традиционный дайджест ключевых ИБ-новостей прошлого месяца. Главным событием июля, несомненно, стал инцидент с CrowdStrike, приведший к одному из крупнейших падений систем по всему миру в истории.
Прошлый месяц принёс и другие рекорды. Крупнейшую выплату после рансомварь-атаки, уязвимость с компрометацией Secure Boot на миллионах устройств с 2012-го года и мировое лидерство России по числу выложенных в даркнет баз данных. В июле «Лаборатория Касперского» ушла с рынка в США, а печально известная FIN7 активно прокладывала путь обратно на киберпреступную сцену. Об этом и других интересных новостях инфобеза выдавшегося очень горячим летнего месяца читайте на Хабре!
@tomhunter
Прошлый месяц принёс и другие рекорды. Крупнейшую выплату после рансомварь-атаки, уязвимость с компрометацией Secure Boot на миллионах устройств с 2012-го года и мировое лидерство России по числу выложенных в даркнет баз данных. В июле «Лаборатория Касперского» ушла с рынка в США, а печально известная FIN7 активно прокладывала путь обратно на киберпреступную сцену. Об этом и других интересных новостях инфобеза выдавшегося очень горячим летнего месяца читайте на Хабре!
@tomhunter
🔥5❤4😁1
#news В апреле брокер данных в США под брендом National Public Data, занимающийся аналогом проверок СБ, допустил масштабную утечку: 2,9 миллиарда записей на американцев. Тогда базу выставили на продажу за $3,5 миллиона, а теперь злоумышленники планируют её слить.
Журналисты запросили доступ к базе, файл массивный — 277,1GB. И предварительно данные по базе бьются, так что утечка реальна. ФИО, адреса за 30+ лет, страховые номера. В базе также информация на родителей и ближайших родственников и многое другое. Потенциально это может стать одной из крупнейших утечек в истории. По масштабам она вполне может сравниться со взломом Yahoo в 2013-м, когда утечка затронула все три миллиарда пользовательских аккаунтов на платформе. Тогда это обошлось Yahoo в $150 миллионов по судебным делам. Допустившему эту утечку брокеру данных, судя по всему, тоже стоит морально готовиться.
@tomhunter
Журналисты запросили доступ к базе, файл массивный — 277,1GB. И предварительно данные по базе бьются, так что утечка реальна. ФИО, адреса за 30+ лет, страховые номера. В базе также информация на родителей и ближайших родственников и многое другое. Потенциально это может стать одной из крупнейших утечек в истории. По масштабам она вполне может сравниться со взломом Yahoo в 2013-м, когда утечка затронула все три миллиарда пользовательских аккаунтов на платформе. Тогда это обошлось Yahoo в $150 миллионов по судебным делам. Допустившему эту утечку брокеру данных, судя по всему, тоже стоит морально готовиться.
@tomhunter
🔥5
#news ФБР на пару с немецкой полицией на выходных перехватили очередную сомнительную криптоплафторму. На этот раз под раздачу попал старичок Cryptonator. Как обычно, через него шла крипта в подсанкционные режимы, украденные киберпреступниками деньги и платежи с маркетов в даркнете.
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
Cryptonator был основан в 2013-м году, его CEO числится наш соотечественник, проживающий в Германии. Роман Пикулев, он же Роман Босс, родом из Норильска. Ему предъявлены обвинения в отмывании денег и ведении нелицензированного бизнеса по денежным переводам. О судьбе бывшего босса Cryptonator, впрочем, Министерство юстиции США не сообщает и на вопросы о том, где он находится и арестован ли, не ответило. Возможно, ему посчастливилось на момент предъявления обвинений и перехвата находиться в России, откуда, как известно, для таких персонажей при определённых обстоятельствах выдачи нет.
@tomhunter
🔥7😁2
#news Proton VPN добавил оригинальную фичу в свои приложения под Android. Пользователи смогут сменить иконку на нейтральную, маскирующую приложение под погодное, записки или калькулятор. Помимо этого, под Windows перекочевала уже стандартная фича маскировки VPN-трафика под обычный. А в страны на дне списка свобод и демократии отправятся дополнительные сервера.
Сделано это всё, как водится, для помощи пользователям, обитающим в таких светочах цивилизации как Эфиопия, Йемен, Судан и прочих злачных местах. Но и тем, кому в жизни повезло чуть больше, нововведения тоже могут пригодиться. А то вдруг вы там ютубчик на непозволительных скоростях смотреть отказываетесь и занимаетесь прочими неблагонадёжными вещами, не желая на VK Видео переходить. Всё для вас, мои маленькие любители бытового экстремизма.
@tomhunter
Сделано это всё, как водится, для помощи пользователям, обитающим в таких светочах цивилизации как Эфиопия, Йемен, Судан и прочих злачных местах. Но и тем, кому в жизни повезло чуть больше, нововведения тоже могут пригодиться. А то вдруг вы там ютубчик на непозволительных скоростях смотреть отказываетесь и занимаетесь прочими неблагонадёжными вещами, не желая на VK Видео переходить. Всё для вас, мои маленькие любители бытового экстремизма.
@tomhunter
😁23❤6🤡3🔥2