#news В сетевых дебрях засветилась новая спайварь под Android, судя по всему, коммерческая. Её использовали в атаках через нулевой день по Самсунгам с середины 2024-го. Спайварь получила название LandFall, она эксплойтила уязвимость с нулевой интеракцией в моделях Galaxy.
В атаке использовали вредоносные DNG-файлы — популярный сейчас эксплойт уязвимых библиотек для обработки формата. Уязвимость закрыли в сентябре в Samsung, схожую раньше исправила Apple. Но операторы остались, люди работают, так что найдутся и новые. Спайварь засветилась в атаках на Ближнем Востоке по ряду стран, но с атрибуцией исследователи не спешат. Часть артефактов связывают с операцией от Variston, которая была активна в ОАЭ, в загрузчике же компонент с названием, встречающимся в продуктах известных спайварь-поделий от израильских умельцев. Так что, возможно, выходцы из Unit 8200 занимаются привычным делом. Пока под него есть многомиллиардный рынок, никуда от этого не деться, сколько Variston'ов ни прикрой. Теханализ здесь.
@tomhunter
В атаке использовали вредоносные DNG-файлы — популярный сейчас эксплойт уязвимых библиотек для обработки формата. Уязвимость закрыли в сентябре в Samsung, схожую раньше исправила Apple. Но операторы остались, люди работают, так что найдутся и новые. Спайварь засветилась в атаках на Ближнем Востоке по ряду стран, но с атрибуцией исследователи не спешат. Часть артефактов связывают с операцией от Variston, которая была активна в ОАЭ, в загрузчике же компонент с названием, встречающимся в продуктах известных спайварь-поделий от израильских умельцев. Так что, возможно, выходцы из Unit 8200 занимаются привычным делом. Пока под него есть многомиллиардный рынок, никуда от этого не деться, сколько Variston'ов ни прикрой. Теханализ здесь.
@tomhunter
👍7🔥2❤1
#news В США судят брокера начального доступа рансомварь-группировки Yanluowang. Алексей Волков, он же chubaka.kor и nets, признал вину по восьми эпизодам атак по американским компаниям в 2021-м и 2022-м.
ФБР получило доступ к серверу операции вместе с логами, данными и почтовыми ящиками. Волкова отследили по его Apple ID, криптотранзакциям и аккаунтам в соцсетях — твиттерный был на его номер и, соответственно, паспорт. А где заказ из Яндекс.Лавки или визит в Гемотест, там и база со всеми твоими данными для всех желающих, чтобы никто не ушёл обиженным. Включая ФБР. В яблочном облаке у рансомварь-чубаки нашёлся скриншот с перепиской с кем-то под ником LockBit, так что Волкову только и оставалось, что на сделку со следствием идти. По максимальной совокупности обвинений его ждут 53 года срока и $9,1 миллиона штрафа. По реалиям же штатовских приговоров уедет лет на 5-10 — в зависимости от того, насколько удачной была сделка в царстве любителей удачных сделок.
@tomhunter
ФБР получило доступ к серверу операции вместе с логами, данными и почтовыми ящиками. Волкова отследили по его Apple ID, криптотранзакциям и аккаунтам в соцсетях — твиттерный был на его номер и, соответственно, паспорт. А где заказ из Яндекс.Лавки или визит в Гемотест, там и база со всеми твоими данными для всех желающих, чтобы никто не ушёл обиженным. Включая ФБР. В яблочном облаке у рансомварь-чубаки нашёлся скриншот с перепиской с кем-то под ником LockBit, так что Волкову только и оставалось, что на сделку со следствием идти. По максимальной совокупности обвинений его ждут 53 года срока и $9,1 миллиона штрафа. По реалиям же штатовских приговоров уедет лет на 5-10 — в зависимости от того, насколько удачной была сделка в царстве любителей удачных сделок.
@tomhunter
🔥7😁4❤2👍1🤯1
#news Исследователи представили занятную атаку по сторонним каналам по LLM’кам. Она позволяет анализировать перехваченный трафик с токенами и определять, на какие темы юзер общается с моделью.
В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее шли 10 тысяч диалогов, из которых только один был целевой — ни одного ложноположительного и до 50% точности определения. Условное трёхбуквенное агентство, слушающее трафик от чатботов, вполне может отслеживать интересные ему темы. Всякое противозаконное и диссидентское, например. Часть разработчиков, включая OpenAI, уязвимость закрыли, другие молчат. Между тем на Github тулкит под атаку. Так что любознательному исследователю есть, чем заняться на досуге.
@tomhunter
В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее шли 10 тысяч диалогов, из которых только один был целевой — ни одного ложноположительного и до 50% точности определения. Условное трёхбуквенное агентство, слушающее трафик от чатботов, вполне может отслеживать интересные ему темы. Всякое противозаконное и диссидентское, например. Часть разработчиков, включая OpenAI, уязвимость закрыли, другие молчат. Между тем на Github тулкит под атаку. Так что любознательному исследователю есть, чем заняться на досуге.
@tomhunter
👍5🔥3❤2
#news Китайский ИБ-регулятор заявил, что американское правительство может быть ответственно за взлом майнингового пула LuBian в 2020-м. От создателей “Тайваньский скрипт-кидди нам не товарищ“ и “Американский лаовай взламывает себя сам”.
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
😁6🔥3👍2
#news Google продолжает нагнетать на тему ИИ. Согласно прогнозу на 2026-й, ИИ-модельки перестанут обслуживать базовые запросы киберпреступников — они будут во главе угла, вплоть до автоматизации целых кампаний.
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
😁9👍2💯2🫡1
Media is too big
VIEW IN TELEGRAM
#news На днях у инфостилера Rhadamanthys отвалился доступ к панели, а теперь предположения подтвердились: вышел сиквел Operation Endgame. В свежем эпизоде также перехватили инфраструктуру VenomRAT и ботнета Elysium.
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
😁7👍4🔥3
#news В США анонсировали создание спецподразделения для борьбы со скам-центрами из Юго-Восточной Азии. Дружная компания из ФБР, Госдепа и разведки займётся индустрией скама в Мьянме, Камбодже и Лаосе.
О существовании скам-лагерей смерти широкая публика узнала недавно, между тем проблема разрослась до таких масштабов, что игнорировать не получается. Мошенничества на десятки миллиардов, сидящие в рабстве страдальцы из соседних стран, пропадающие девушки со всего мира. Всё это под патронажем местных царьков — вплоть до того, что в недавнем замесе Камбоджа-Таиланд последний грозил местным скам-центрам обстрелами и отключением электроэнергии. Иными словами, ЮВА в эпоху позднего капитализма принимает радушно. Что может противопоставить этому одно маленькое, но гордое спецподразделение — вопрос хороший. Но как минимум бурную деятельность на фоне бешеных сумм, сливаемых американцами в скамы, изобразить надо. А вот будет ли результат, пока можно не загадывать.
@tomhunter
О существовании скам-лагерей смерти широкая публика узнала недавно, между тем проблема разрослась до таких масштабов, что игнорировать не получается. Мошенничества на десятки миллиардов, сидящие в рабстве страдальцы из соседних стран, пропадающие девушки со всего мира. Всё это под патронажем местных царьков — вплоть до того, что в недавнем замесе Камбоджа-Таиланд последний грозил местным скам-центрам обстрелами и отключением электроэнергии. Иными словами, ЮВА в эпоху позднего капитализма принимает радушно. Что может противопоставить этому одно маленькое, но гордое спецподразделение — вопрос хороший. Но как минимум бурную деятельность на фоне бешеных сумм, сливаемых американцами в скамы, изобразить надо. А вот будет ли результат, пока можно не загадывать.
@tomhunter
👍11💯3🤯2
#news Anthropic присоединилась к хайпу от Google вокруг ближайшего будущего киберпреступных ИИ-агентов. Компания опубликовала отчёт о событии в своей экосистеме, обозначенном как “первая компания кибершпионажа под контролем ИИ”.
Согласно отчёту, сумрачный китайский гений использовал Claude Code и MCP для атак на 30 крупных компаний, они по большей части были автономными, в отдельных случаях преуспели. Запитанные от Claude субагенты занимались базовым краснокомандным: от маппинга поверхностей атаки и скана инфры, до эксплойта и стягивания данных. Оператор участие принимал минимальное — ревью и одобрений действий. Оговариваются, что моделька часто галлюцинировала, преувеличивая и дорисовывая результаты пентеста(как и некоторые из вас) , но посыл понятен: “Покайтесь, ибо грядёт”. Грядёт или нет, узнаем уже совсем скоро — 2026-й на пороге, можно предвкушать обещанные ИБ-революции в формате трансгуманизма на минималках. Но можно и не предвкушать — здравый скептицизм приветствуется.
@tomhunter
Согласно отчёту, сумрачный китайский гений использовал Claude Code и MCP для атак на 30 крупных компаний, они по большей части были автономными, в отдельных случаях преуспели. Запитанные от Claude субагенты занимались базовым краснокомандным: от маппинга поверхностей атаки и скана инфры, до эксплойта и стягивания данных. Оператор участие принимал минимальное — ревью и одобрений действий. Оговариваются, что моделька часто галлюцинировала, преувеличивая и дорисовывая результаты пентеста
@tomhunter
😁8👍4🔥1🤬1🤝1
#article В мире OSINT-расследований одна из самых сложных задач — работа с анонимными каналами, форумами и закрытыми сообществами. В сегодняшней статье мы разберём, как генеративные нейросети можно использовать для анализа массивов текстовых данных, которые раньше приходилось обрабатывать вручную.
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
❤8👍6🔥2💯1
#news В сканере малвари ImunifyAV для линукс-серверов нашли уязвимость под удалённое выполнение кода. Он крутится на доступных хостинговых платформах и прочих виртуальных хостингах, так что охват по затронутым сайтам солидный.
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
😁9💯2👍1🔥1🤬1🤡1
#news Jaguar Land Rover докладывает по ущербу после кибератаки в начале сентября. Цифры впечатляющие: только сама атака обошлась компании в 220 миллионов долларов.
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
😁7👍6🤯3🔥1
#news ClickFix настолько распространён, что в нём можно найти самые экзотические вещи. В одной из кампаний засветился оригинальный метод доставки вредоноса: его подтягивает протокол Finger. Первая версия была написана в 1971-м.
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
😁6👍2❤1
#news Если у вас опять отвалилась половина интернета, не спешите ругаться на наше всё и подключать что-нибудь этакое. Тот редкий случай, когда проблема за кордоном: прилёг Cloudflare. Причём прилёг масштабно.
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
😁15👍5❤3
#news На ВВС интервью с Вячеславом Пенчуковым, он же Танк и DJ Slava Rich. Первое, эксклюзивное, с заголовком про раскрытые тайны его кибербанды и всё прочее. На деле же по тексту нового мало.
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
👍9❤2🔥2🤡1🫡1
#news Исследователи проверили, как у экстремистов из WhatsApp с ограничением запросов на поиск контактов. Оказалось, не очень. И перебором номеров удалось вытянуть базу пользователей — на 3,5 миллиарда номеров.
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
🤯9👍4🔥4
#news Вчера у Cloudflare был крупнейший перебой в работе систем с 2019-го. Как и следовало ожидать, постинцидентный отчёт прекрасен. Сбой был вызван… изменением в контроле доступа к базе данных.
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
😁9👍8🔥2🤡1
#news США, Великобритания и Австралия обложили санкциями российский хостинг Media Land и связанные с ним компании. Вместе с ними под санкции улетели гендиректор и ещё пара аффилированных с сервисом лиц, чьи лица теперь украшают сайт Минфина США.
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
💯5👍4😁3❤1
#news Юные дарования из ShinyHunters обещали свою собственную RaaS-операцию с энкриптором и выкупами, и, похоже, она на подходе. На VT залетели сэмплы шифровальщика.
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
💯7❤4👍3🤡1
#news Максимально неловкий момент для Oracle: Cl0p закинула на свой сайт пост о взломе компании. Собственно, через уязвимость в Oracle EBS — ту самую, эксплойт которой шёл месяцы до патчей. Круг замкнулся.
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
👍6😁4🔥3
#news Mozilla объявила о сворачивании программы Monitor Plus по удалению данных юзеров с брокерских сайтов. Той самой, которую обслуживала белорусская OneRep, и выяснилось, что её владелец параллельно держит те самые сайты брокеров данных.
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
😁15👍4🔥1
#news Яндекс с утра решил косплеить Cloudflare с AWS. Потому как чем мы хуже? Так что понедельник начался со сбоев: часть сайтов и сервисов, висящих на Yandex Cloud, оказались недоступны в некоторых регионах.
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
😁17👍3🔥3❤1