#news Бразилия задаёт тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов. Также заморожены активы компаний Маска в стране. Отдельным ноу-хау можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. Около 800 тысяч рублей. В Бразилии 22 миллиона юзеров X. Ждите новинку скоро в каждом доме. 800 тысяч рублей штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
@tomhunter
😁11🤡9🎉2❤1
#news В Штатах оригинальный случай суда над безопасником. Известного под псевдонимом Connor Goodwolf исследователя преследуют за публикацию данных, украденных после рансомварь-атаки у администрации города Колумбус.
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
Администрация стала жертвой атаки от Rhysida 18 июля. Не получив выкупа, злоумышленники опубликовали часть стянутых данных. В день утечки мэр города заявил, что чувствительных данных в сливе нет. Goodwolf опроверг слова мэра — в утечке были личные данные жителей, госслужащих, полиции и жертв преступлений. В ответ мэр заявил, что из опубликованного всё было зашифровано или повреждено. Тогда Goodwolf поделился образцами с прессой, доказав, что в сливе незашифрованные данные. И теперь его за это судят. Подлец незаконно скачал архив из даркнета и мешал расследованию. Все люди в Америке свободны. Но некоторые свободнее других. Политик волен врать в прессе, а безопасник его обличать — нет. Пожелаем ему победы в суде.
@tomhunter
🔥18🤬12🤡4❤3
#cve Опубликовали нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования.
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте на Хабре!
@tomhunter
❤6🔥2🤡1
#news К новинкам малвари. Исследователи обнаружили необычную кампанию по распространению ранее неизвестного бэкдора, который разработчики назвали Voldemort. Доставляют его с 5 августа фишинговыми письмами под видом налоговых служб по организациям США, Европы и Азии.
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
Из необычного у Voldemort Google Таблицы в качестве С2-сервера. Малварь пингует Таблицы для получения команд и хранит в них стянутые данные. Заражённые устройства пишут данные в отдельные ячейки в Таблицах, упрощая менеджмент взломанных систем. В сам клиент вшиты ID, токен и данные доступа от Таблиц. Исходя из функций малвари, её целью, предположительно, является шпионаж. Ранее в использовании Google Таблиц как C2 светились китайские умельцы, но пока кампания никому не приписана. Подробнее о вредоносе-который-нельзя-называть в отчёте.
@tomhunter
🔥7😁1
#news Удивительные последствия возросшего в России числа кибератак: согласно опросам, с начала лета 85,2% организаций начали серьёзнее относиться к инфобезу. Весёлые приключения СДЭК и ретейлера «Верный» массово открыли глаза на существование ИБ по всем индустриям.
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
При этом больше трети компаний не только осознали важность ИБ, но и даже пересмотрели свою политику кибербезопасности. Самыми эффективными мерами по защите названы… антивирусы и бэкапы. Чудо резервного копирования открыли для себя 38,1% опрошенных и начали внедрять или запланировали его внедрение. Больше половины стали чаще делать бэкапы и проводить тренинги. Наше маленькое ИБ-дитятко попало в суровый реальный мир, в котором больше не работает пометка «Кроме стран СНГ», и делает свои первые умилительные шаги. Поблагодарим кибератаки?
@tomhunter
😁25❤6💯3🤡1
#news 27 августа на выставке «Мой Петербург» в Историческом парке «Россия – моя история» прошел Цифровой день Комитета по информатизации и связи. Гости выставки смогли побывать на презентации цифрового сервиса «Я здесь живу», где узнали о разработке приложения, технологиях и языках программирования, а также приняли участие в розыгрыше сувениров. Руководитель департамента киберрасследований T.Hunter Игорь Бедеров поделился с посетителями методами и приемами выявления технической слежки при помощи обычного смартфона. Фотографии и презентации с выставки доступны по ссылке.
@tomhunter
@tomhunter
🔥7🤡5❤3🎉1
#article Опубликовали новую статью «Google Sheets как инструмент OSINT-детектива». В ней речь пойдёт о том, как использовать всю мощь экосистемы Google с её расширениями и скриптами и превратить Google Таблицы в незаменимое подспорье для любого OSINT-специалиста. Это первая статья из цикла, в ней мы разберём автоматизацию дорков для поиска по картинкам, никнеймам и физическим лицам. С формулами и примерами. За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
🔥7❤3💯2😁1
#news Новости из мира, где за бреши в кибербезопасности приходится платить. Производитель камер наблюдения из США Verkada выплатит $2,95 миллиона за взломы, от которых компания пострадала в 2020-м и 2021-м годах.
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
В 2020-м злоумышленник использовал уязвимость в устаревшем сервере для установки ботнета и DDoS-атак. Компания этого не заметила, пока AWS две недели спустя не среагировал на подозрительную активность. А в 2021-м хактивисты получили админку на сервере техподдержки Verkadа и вместе с ней – доступ к 150 тысячам прямых трансляций. И сообщили в деталях СМИ, после того как компания попыталась преуменьшить инцидент. По итогам расследования FTC прошлась по отсутствию базовой ИБ в компании и выписала солидный штраф. А заодно постановила всё это исправить и следующие 20 лет оперативно отчитываться комиссии по каждому ИБ-инциденту. Ибо нечего.
@tomhunter
🔥5😁3💯1
#news Давненько не было новостей про любимый поисковик по лицам всех спецслужб, Clearview AI. Речь, конечно же, об очередном штрафе: Нидерландская DPA выписала компании штраф в €30,5 миллионов, а за отказ прекратить нарушения обещает на сдачу выдать ещё €5,1 миллиона санкционных.
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
В агентстве отметили, что компания грубо нарушает GDPR и незаконно собирает данные. Компания на расследование, как обычно, никак не отреагировала. Представители же сообщают, что Clearview AI в ЕС дел не ведёт, под GDPR не попадает и незаконные штрафы выплачивать не собирается. В связи с этим Нидерланды рассматривают вариант привлечь к ответственности директоров компании. Хотя что-то подсказывает, такое же обращение, как Дуров, они вряд ли получат. Любителям заработать на нарушении приватности вместо её предоставления в нашем цифровом мире слежки всех за всеми живётся гораздо вольготнее.
@tomhunter
🔥7💯4❤3
#news Исследователь опубликовал анализ и проверку концепции к
Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
CVE-2024-38106 — нулевому дню в ядре Windows. Уязвимость на повышение привилегий до System была исправлена в августовском патче и активно эксплуатируется злоумышленниками.Уязвимость затрагивает процесс «ntoskrnl.exe» и сводится к пресловутому Race Condition. Что интересно, эксплуатировали её северокорейцы. Жертвы социнженерии киберстахановцев из КНДР получали RCE через уязвимость в Хромиуме, а дальше злоумышленники эксплуатировали ядро и закидывали руткит FudModule. Разве что время для таких эксплойтов не самое удачное — после небольшого конфуза от CrowdStrike при словах «ядро Windows» и «уязвимость» десятки тысяч админов начинают нервно трястись, лишаются сна и бросаются накатывать обновления. Подробнее об этой CVE в отчёте.
@tomhunter
😁7🔥2🤔1
#news Новые рекорды инфобеза в России, но вновь есть нюанс. В первом полугодии утёк почти миллиард строк персональных данных. Это на треть больше, чем за аналогичный период прошлого года. Количество зарегистрированных утечек выросло до 415 — их на 10% больше.
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
Финтех, IT и часть госучреждений с бюджетом под какую-то там кибербезопасность стали вкладываться в ИБ на фоне перехода РФ во взрослую лигу, так что у них число инцидентов падает. Больше всего страдают онлайн-магазины — у них с ИБ традиционно всё плохо. Как можно заметить, за полгода строк утекло в семь раз больше, чем жителей в стране. Новость из серии «Как объяснить далёким от инфобеза друзьям, почему для регистрации онлайн и посещения разных злачных мест у тебя отдельные почты с телефонами и липовые адреса». Шифропанковая шапочка из фольги кажется смешной до первой утечки данных из «Гемотеста».
@tomhunter
😁9💯4🤯2🤔1
#news Подводим итоги месяца нашим традиционным дайджестом самых интересных новостей. Август принёс страсти по Цукербринам: Дуров, Маск и Цукерберг дружно попали в громкие заголовки. В России же готовят проект о сборах с компаний за иностранное ПО, а в США хотят приравнять киберпреступников к террористам.
Август принёс рекорды: брокер данных в США допустил утечку 2,7 миллиардов записей на американцев, а 2024-й на пути к рекордному году по рансомварь-выплатам. Также в ушедшем месяце форум WWH Club вместе с владельцем из МММ и группировка Dispossessor отправились под нож ФБР. Об этом и другим новостях и ИБ-курьёзах последнего летнего месяца читайте на Хабре!
@tomhunter
Август принёс рекорды: брокер данных в США допустил утечку 2,7 миллиардов записей на американцев, а 2024-й на пути к рекордному году по рансомварь-выплатам. Также в ушедшем месяце форум WWH Club вместе с владельцем из МММ и группировка Dispossessor отправились под нож ФБР. Об этом и другим новостях и ИБ-курьёзах последнего летнего месяца читайте на Хабре!
@tomhunter
❤5🔥3😁2
В конце августа прошла конференция по кибербезопасности OFFZONE 2024. На ней выступил наш пентестер Александр Ларин с занятной темой «Ломаем «Битрикс» через мобилку: как мобильные приложения помогают пробить инфраструктуру заказчика».
Уязвимости в мобильном приложении и немного OSINT — и наша команда получила полный доступ с нуля уже к веб-приложению. Как любовь юзера к спортивной рыбалке помогает OSINT-детективу взломать компанию? Об этом и других примерах компрометации веба через мобильный софт из увлекательных будней пентестера в видео с конференции.
@tomhunter
Уязвимости в мобильном приложении и немного OSINT — и наша команда получила полный доступ с нуля уже к веб-приложению. Как любовь юзера к спортивной рыбалке помогает OSINT-детективу взломать компанию? Об этом и других примерах компрометации веба через мобильный софт из увлекательных будней пентестера в видео с конференции.
@tomhunter
🔥10😁3❤2
#news Удар ниже пояса от киберпреступников по своим собратьям: под видом инструмента для взлома аккаунтов на OnlyFans злоумышленники распространяют инфостилер.
Инструмент идёт под видом чекера украденных данных доступа по платформе и их актуальности. Вместо этого он подтягивает с GitHub вредонос Lumma. Судя по Гитхабу, это часть более масштабной кампании: она также нацелена на желающих взломать аккаунты Disney+ и Instagram, а также обзавестись собственным Mirai-ботнетом. Далеко не первый пример огня по своим в киберпреступном сообществе. Но с учётом приманки в виде OnlyFans и Instagram охват максимально широкий — желающих вскрыть аккаунт предмета своего обожания найдётся немало и вне хакерских кругов. Увы, получат они только кражу собственных данных и никакого удовольствия.
@tomhunter
Инструмент идёт под видом чекера украденных данных доступа по платформе и их актуальности. Вместо этого он подтягивает с GitHub вредонос Lumma. Судя по Гитхабу, это часть более масштабной кампании: она также нацелена на желающих взломать аккаунты Disney+ и Instagram, а также обзавестись собственным Mirai-ботнетом. Далеко не первый пример огня по своим в киберпреступном сообществе. Но с учётом приманки в виде OnlyFans и Instagram охват максимально широкий — желающих вскрыть аккаунт предмета своего обожания найдётся немало и вне хакерских кругов. Увы, получат они только кражу собственных данных и никакого удовольствия.
@tomhunter
😁9🔥4🤡3❤1💯1
#news На репозитории PyPI отследили новый метод атаки на цепочку поставок. Он получил название «Revival Hijack», и, как можно догадаться по названию, завязан на перехват удалённых пакетов. Уязвимость сводится к политике удаления с платформы, после которого название пакета сразу доступно для регистрации.
Эксперимент показал, что система PyPI не распознаёт смены авторства пакетов, так что злоумышленники могут с лёгкостью заменить удалённые версии своими. Атаки такого рода уже были по платформе, и исследователи насчитали 22 тысячи уязвимых названий. И не поленились зарезервировать их, загрузив безопасные пустые версии. Это не отменяет возможности продолжения атак по пакетам, которые удалят в дальнейшем, так что разрабам теперь держать в уме очередной возможный вектор атаки. Подробнее о «Revival Hijack» с примером замеченной весной атаки в отчёте.
@tomhunter
Эксперимент показал, что система PyPI не распознаёт смены авторства пакетов, так что злоумышленники могут с лёгкостью заменить удалённые версии своими. Атаки такого рода уже были по платформе, и исследователи насчитали 22 тысячи уязвимых названий. И не поленились зарезервировать их, загрузив безопасные пустые версии. Это не отменяет возможности продолжения атак по пакетам, которые удалят в дальнейшем, так что разрабам теперь держать в уме очередной возможный вектор атаки. Подробнее о «Revival Hijack» с примером замеченной весной атаки в отчёте.
@tomhunter
🔥11❤1😢1💯1
#news Ещё один пример расследования против Pegasus после смены власти. На очереди Колумбия: президент обратился к прокуратуре с просьбой расследовать покупку спайвари. Предположительно, её использовали для слежки за оппозицией и в ходе президентских выборов.
Но так как речь про Латинскую Америку, есть интересный поворот. Покупку не провели через бюджет, а деньги вывезли из страны в Тель-Авив наличкой на самолёте. Цена Pegasus в Колумбии — $11 миллионов. Так что возникли некоторые подозрения, что прежняя администрация немножко незаконно провела сделку. В принципе, представить участие NSO Group в схемах по отмыву денег не так трудно. Им не привыкать работать с коррумпированными режимами и прочими банановыми республиками. Израильские СМИ также пишут, сделку проводил готовящийся к пенсии глава по контролю над экспортом Минобороны. Ох уж эти счастливые торговцы.
@tomhunter
Но так как речь про Латинскую Америку, есть интересный поворот. Покупку не провели через бюджет, а деньги вывезли из страны в Тель-Авив наличкой на самолёте. Цена Pegasus в Колумбии — $11 миллионов. Так что возникли некоторые подозрения, что прежняя администрация немножко незаконно провела сделку. В принципе, представить участие NSO Group в схемах по отмыву денег не так трудно. Им не привыкать работать с коррумпированными режимами и прочими банановыми республиками. Израильские СМИ также пишут, сделку проводил готовящийся к пенсии глава по контролю над экспортом Минобороны. Ох уж эти счастливые торговцы.
@tomhunter
😁7❤5🔥2🤔2
#news В США предъявили обвинения создателям WWH-Club. По данным следствия, Ходырев и Кублицкий управляли форумом, а также связанными с ним сайтами Skynetzone, Opencard и Center-Club. По совокупности обвинений в мошенничестве и сговоре им грозят до 20 лет тюрьмы.
Между тем WWH-Club ушёл в полное отрицание произошедшего. Арестованные названы модераторами, их аккаунты с форума удалили, а юзерам предложено сменить никнеймы, чтобы запутать следствие и спать спокойнее. Увы, такие оригинальные контрмеры вряд ли существенно помогут с учётом того, что у ФБР, как сообщило бюро, был доступ к админке и базе данных форума. Отдельным личностям, вовлечённым в его работу, вместе с никнеймами стоит менять и места проживания на те, из которых нет экстрадиции. Иначе шансы составить компанию простым модераторам Ходыреву и Кублицкому довольно высоки.
@tomhunter
Между тем WWH-Club ушёл в полное отрицание произошедшего. Арестованные названы модераторами, их аккаунты с форума удалили, а юзерам предложено сменить никнеймы, чтобы запутать следствие и спать спокойнее. Увы, такие оригинальные контрмеры вряд ли существенно помогут с учётом того, что у ФБР, как сообщило бюро, был доступ к админке и базе данных форума. Отдельным личностям, вовлечённым в его работу, вместе с никнеймами стоит менять и места проживания на те, из которых нет экстрадиции. Иначе шансы составить компанию простым модераторам Ходыреву и Кублицкому довольно высоки.
@tomhunter
😁8🔥4💯2
#news Мордекай Гури и изолированные от сети системы созданы друг для друга. Список хардварных предателей пополнила оперативная память: учёный разработал атаку для стягивания данных с помощью её электромагнитного излучения. Она получила название «RAMBO», Radiation of Air-gapped Memory Bus for Offense.
Вредонос в этом случае генерирует излучение, которое может перехватить радиоприёмник. В ход идёт двоичный код по Манчестерскому кодированию. Скорость передачи достигает 128 байт в секунду, что вполне позволяет стянуть текстовую информацию и небольшие файлы. Из ограничений, как обычно, физический доступ к устройству и расстояние — до 7 метров. При этом RAMBO эффективна даже при виртуализации: хотя связка хост-виртуалка может нарушать передачу данных, метод всё ещё работоспособен. Так или иначе, теоретический чемоданчик цифрового шпиона пополнился новым инструментом. Митигация тоже интересная — глушение сигнала оперативки и клетки Фарадея. Подробнее об атаке в научной работе.
@tomhunter
Вредонос в этом случае генерирует излучение, которое может перехватить радиоприёмник. В ход идёт двоичный код по Манчестерскому кодированию. Скорость передачи достигает 128 байт в секунду, что вполне позволяет стянуть текстовую информацию и небольшие файлы. Из ограничений, как обычно, физический доступ к устройству и расстояние — до 7 метров. При этом RAMBO эффективна даже при виртуализации: хотя связка хост-виртуалка может нарушать передачу данных, метод всё ещё работоспособен. Так или иначе, теоретический чемоданчик цифрового шпиона пополнился новым инструментом. Митигация тоже интересная — глушение сигнала оперативки и клетки Фарадея. Подробнее об атаке в научной работе.
@tomhunter
🔥10👍1🤯1