​​Британские антивирусники Sophos выпустили отчет о т.н. fleeceware, выявленных в AppStore.

Термин fleeceware был введен в оборот Sophos в прошлом году и означает легальные приложения для мобильных устройств, которые используют юридические лазейки в процедуре платной подписки у основных мобильных платформ.

Подобное приложение предлагает использовать пробный период, после окончания которого с пользователя будет снята абонентская плата. Хинт состоит в том, что удаление приложения с устройства не рассматривается как отказ от платной подписки, для того же чтобы это сделать необходимо пройти специально усложненную процедуру.

Большинство из этих приложений - редакторы изображений, гороскопы, сканеры QR-кодов и штрих-кодов, фильтры для селфи и т.д. Основной механизм распространения - реклама в мобильных играх и других условно-бесплатных приложениях.

Размер платной подписки варьируется, но у некоторых, особенно оторванных, он может составлять до 30 долларов в месяц и больше. Причем, в ряде случаев подписка специально сделана еженедельной.

В прошлом году Sophos обнаружили более 50 подобных приложений для Android, количество загрузок которых составило около 600 млн.
На этот раз британцы исследовали AppStore, где нашли 32 fleeceware для iOS, которые загрузили в общей сложности более 3,5 млн. раз.

Sophos заявляет, что Apple и Google достаточно лояльно относятся к fleeceware, поскольку имеют процент от каждой абонентской платы, которые получают последние.

Скрин со списком fleeceware для iOS мы прикладываем к этому посту.

В случае, если вы устанавливали на свой смартфон какие-либо приложения с пробным бесплатным периодом, рекомендуем проверить раздел Подписки в настройках вашего устройства.

Наткнулись на неплохой обзор одной из наиболее распространенных в настоящее время ransomware Sodinokibi от Infosec Institute.

https://resources.infosecinstitute.com/malware-spotlight-sodinokibi/

На ZeroDay - прекрасная история о том, как небольшие команды программистов могут помочь медицинской отрасли в условиях эпидемии коронавируса.

В Бостоне, как одном из эпицентров распространения коронавируса в США, остро стояла проблема медицинского обслуживания бездомных, коих в городе, по определенным причинам, большое количество. В рамках существующей программы "Здравоохранение для бездомных" (BHCHP) власти не могли справиться с большим потоком заболевших COVID-19 из-за постоянно меняющейся картины с наличием больничных коек в больницах города, наличием подключенного к ним оборудования и т.д.

На прошлой неделе Бостонский медицинский центр обратился через сеть MIT с просьбой об оказании помощи в управлении потоком больных. На нее отозвался небольшой местный стартап Routable AI, который занимается проектированием транспортных средств и систем управления транспортными сетями на основе искусственного интеллекта (AI).

В течение 48 часов (!) команда не только создала прототип системы управления коечным фондом, которая, учитывая все признаки каждой конкретной койки и относящегося к ней оборудования, автоматически распределяет и ведет учет пациентов, но и прикрутила к нему свою технологию маршрутизации транспортных средств для автоматизации управления каретами скорой помощи.

Еще 2 дня потребовалось на тестирование и доработку. В результате всего через 4 (!) дня после получения задачи Routable AI развернула свою систему управления в Бостонском медицинском центре. И она уже используется.

Что же, суровые времена требуют нестандартных подходов.

Security Week пишет, что исследователи инфосек компании Tenable предупреждают о появившемся около недели назад новом функционале ботнета Hoaxcalls.

Ботнет стал нацелен на использование недавно устраненной уязвимости CVE-2020-5722 в офисных мини-АТС Grandstream UCM6200. Ошибка содержится в функции обработки имени пользователя при восстановлении пароля и приводит либо к выполнению злоумышленником кода с рутовыми правами, либо к вставке произвольного HTML-кода в письмо о восстановлении пароля.

В дальнейшем скомпрометированное устройство используется для проведения DDoS-атак.

Кроме того, по данным Palo Alto Networks, этот ботнет использует уязвимость CVE-2020-8515 для получения контроля над маршрутизаторами Draytek Vigor.

Обе используемые ошибки исправлены в последних версиях прошивок обоих устройств, поэтому, если вы используете что-то из перечисленного, следует срочно сделать апдейт.

​​Немного инфосек юмора.

Рано или поздно попытки некоторых независимых браузеров, таких как Firefox или Brave, по скрытию пользовательских fingerprint'ов, практически однозначно идентифицирующих используемое устройство, должны были столкнуться с интересами тех, кто эти самые fingerprint'ы активно продвигает. А именно - с интересами крупных корпоративных игроков, которые получают пользовательскую статистику и потом ее монетизируют самыми разными способами.

И, вот, началось.

Пользователи Firefox стали замечать, что при включенной в браузере функции privacy.resistFingerprinting, которая затрудняет Интернет-сервисам снятие fingerprint'а, принадлежащая Google платформа YouTube стала обрезать видео.

Причем, с помощью нехитрых манипуляций мышкой это обрезание вроде устраняется, но каждый раз их делать замучаешься.

Сразу после отключения privacy.resistFingerprinting обрезание видео YouTube пропадает. Волшебство, не иначе.

На Reddit активно обсуждают проблему и пришли к выводу, что скрипт на стороне YouTube добавляет при включенной privacy.resistFingerprinting белый прямоугольник поверх видео. Кроме того, пользователи нашли способ пофиксить ошибку путем блокировки обрезающего видео элемента с помощью uBlock Origin или Stylus (технические подробности есть по ссылке).

Конечно, есть некая вероятность, что эта ошибка случайна. Но лично мы сомневаемся.

Заодно, мы рекомендуем всем запомнить функцию privacy.resistFingerprinting в Firefox. Поверьте, это очень важная функция для вашей приватности.

Оператор одного из самых распространенных ransomware Sodinokibi начинает принимать выкупы за расшифровку данных от своих жертв в криптовалюте Monero.

Более того, хакеры объявили, что со временем полностью откажутся от приема денег в биткоинах.

Причина проста - сочетание использования Tor и Monero делает финансовую деятельность практически невидимой для каких-либо государственных структур и правоохранительных органов.

Если Вы из инфосек отрасли и Вам есть чем поделиться - пишите на mschniperson@mailfence.com

Очередная жертва ransomware не смогла или не захотела выплатить деньги вымогателям, в результате чего в сеть попали секретные данные, касающиеся военных разработок США.

Оператор ransomware DoppelPaymer выложил в сеть информацию принадлежащую американской компании Visser Precision, которая является контрагентом американских аэрокосмических корпораций - Lockheed Martin, SpaceX, Tesla, Boeing, Blue Origin и ряда других. Соответственно, данные об исполняемых в их интересах работах были слиты в Интернет.

Среди них - формы счетов, информация о поставщиках, отчеты об анализе данных и юридические документы, а также документы в отношении партнерской программы SpaceX.

Но вишенкой на торте стали сведения о военном оборудовании, разработанном Lockheed Martin в интересах армии США, например, спецификации антенны системы защиты от минометов.

Вот так отказ от выплаты денежных средств владельцам ransomware может подорвать обороноспособность отдельно взятого государства.

https://www.theregister.co.uk/2020/04/10/lockheed_martin_spacex_ransomware_leak/

​​От коронавируса скончался Джон Конвей, известнейший британский математик, автор знаменитой математической игры Жизнь.

Если кто-то не знает, что это такое - советуем ознакомиться.

Печально.

Кажется, стало понятным почему в США коронавирусная эпидемия развивается со столь впечатляющими темпами.

Исследователи из Центра здоровья Langone в Нью-Йорке провели анализ данных более 4100 госпитализированных с COVID-19 в городские больницы. Результаты статьи были размещены в субботу в виде предпринта на медицинском сервере medRxiv.

Как выяснили авторы, ожирение явилось основным признаком (кроме возраста > 65 лет), который присутствовал у большинства госпитализированных.

"Хроническим состоянием с самым сильным влиянием на критическое протекание заболевания, значительно более сильным чем любые сердечно-сосудистые или легочные заболеваниях, стало ожирение", - пишет один из авторов исследования Кристофер Петрилли.

По мнению врачей, ожирение, являясь провоспалительным состоянием, значительно усиливает протекающий при COVID-19 воспалительный процесс.

Всем худеть.

https://www.zdnet.com/article/nyu-scientists-largest-u-s-study-of-covid-19-finds-obesity-the-single-biggest-factor-in-new-york-critical-cases/

Нам подсказывают, что скрин о подготовке штабом Навального в Краснодаре DoS-атаки на телефон горячей линии по коронавирусу, который мы обсудили в своем посте, - это фейк.

По этому поводу наша позиция предельно конкретная.

Если так, то приносим свои извинения ребятам. Если нет - то пусть на ноль помножатся.

Dixi.

Лукацкий, как известно, шарит.

Сегодня он разместил хорошую статью, в которой дает рекомендации по приоритезации направлений ИБ в условиях удаленной работы по причине эпидемии коронавируса.

Не все бесспорно, скажем сразу. Но как одну из обоснованных точек зрения учитывать необходимо.

Голландская полиция арестовала 19-летнего молодого человека по обвинению в DDoS-атаке на правительственный ресурс Overheid.nl.

По данным правоохранительных органов, подозреваемый 19 марта с.г. устроил DDoS-атаку, в результате которой Overheid.nl и один из его поддоменов Mijn.Overheid.nl стали недоступны на несколько часов.

В связи с тем, что в ходе коронавирусной эпидемии граждане Нидерландов активно используют Overheid.nl, то арестованного официально подозревают в том, что "он подверг опасности жизненно важные процессы, которые могут поставить под угрозу национальную безопасность".

Ожидаем, что его закроют надолго. Желательно без медицинского обеспечения.

​​Немного юмора

ZDNet сообщает, что данные более чем 4 млн. пользователей оказались скомпрометированы в результате взлома онлайн-площадки предметами коллекционирования Quidd.

Судя по всему, взлом произошел в прошлом году, поскольку некоторые данные с Quidd появлялись в привате еще в октябре 2019 года. А в марте хакер ProTag стал продавать полную базу данных на одном из публичных хакерских форумов.

И хотя пароли в БД содержатся в хэше bcrypt, отдельные представители хакерской сцены уже приступили к их расшифровке. Так, в продаже уже появились более 135 тыс. взломанных паролей, а один из хакеров обещает в ближайшее время выставить более 1 млн.

Не знаем, есть ли среди подписчиков пользователи Quidd, но есть так - срочно меняйте пароли. И, на всякий случай, явки.

Хакеры уронили старейшую компанию Дании DESMI.

Как сообщил на официальном сайте компании ее CEO Хенрик Соренсен, на прошлой неделе, в ночь со среды на четверг, DESMI подверглась кибератаке, в результате чего все ее системы упали.

По словам Соренсена на восстановление деятельности компании потребуется до нескольких недель. Возможность потери данных уточняется. Судя по всему, компания попала на ransomware.

DESMI - старейшая компания в Дании, основанная аж в 1834 году. Занимается производством и поставкой насосов и насосного оборудования. Оборот в 2018 году - более 120 млн. евро.

https://www.desmi.com/pumps.aspx

В связи с бушующей в мире эпидемией коронавируса отрасль инфосек новостей несколько скукожилась. Все сидят дома, обсуждают COVID-19, интересных кейсов все меньше.

Инсайдов – кот наплакал, источники самоизолируются и на конспиративные встречи у тополя ходить отказываются.

Как могли заметить наши подписчики, нас всегда интересовал вопрос APT и их активности, особенно с привязкой к реальной геополитике. Иногда, анализируя деятельность той или иной хакерской группы, можно прийти к неожиданным выводам о реальной заинтересованности государств и крупных корпораций.

Примером, на наш взгляд, может служить история с атакой DarkHotel на китайские правительственные ресуры.

Для тех подписчиков, которые могут не знать все тонкости инфосек определений немного раскроем термин APT. Advanced Persistent Threat – целевая кибер операция, изначально этим термином назывались сложные комплексные кибератаки, ориентированные на государственные ресурсы той или иной страны.

Самый известный пример такой APT – операция Stuxnet по выведению из строя иранских центрифуг по обогащению урана, работавших в рамках иранской ядерной программы, проведенная спецслужбами Израиля и США.

Со временем термином APT стали называть мощные хакерские группы, как правило, ассоциированные с государственными спецслужбами разных стран.

К сожалению, признанные эксперты в области APT зачастую политизированы и склонны делать отмодерированные в соответствии со своими интересами заключения. Мы сейчас, конечно, говорим про FireEye, CrowdStrike, Microsoft, Касперского, Group IB, NSO Group, Cisco Talos и ряд других.

Поэтому мы решили начать делать свои собственные обзоры активности APT, основываясь на OSINT и собственном понимании этой сферы хакерской деятельности. Тема эта сложная, поэтому писать будем размеренно и вдумчиво.

Само собой, ресурсно наша редакция не может сравниться с вышеперечисленными командами, поэтому мы тоже можем ошибаться. Зато и модерировать нас некому.

Все посты, посвященные этой теме, мы будем помечать хэштегом #APT.

Надеемся, что вам это будет также интересно, как и нам.

Как только мы заговорили об APT, тут же всплывают новости на эту тему.

ESET заявили, что за недавним взломом ресурсов аэропорта Сан-Франциско стоит APT Energetic Bear (она же Dragonfly), якобы являющаяся российской хакерской прокси.

Атаки были направлены на сайты SFOConnect .com, используемый сотрудниками аэропорта, и SFOConstruction .com, используемый его строительными подрядчиками. По данным представителей аэропорта Сан-Франциско, хакеры сайты были взломаны и в них был внедрен код, использовавший уязвимость Internet Explorer для кражи учетных данных.

Сегодня ESET объявили, что целью хакеров являлись учетные данные Windows, принадлежащие посетителям сайта. С помощью инъекции вредоносной ссылки пользователь перенаправлялся на подконтрольный сайт по SMB и передавал на него логин и NTLM-хэш пароля. Последний в наше время достаточно легко вскрывается.

Про потенциальное использование подобной уязвимости в ZOOM мы писали две недели назад.

А дальше на основании того, что в данной атаке использовался SMB relay, а подобную же тактику в 2018 году использовали Energetic Bear, словаки на голубом глазу утверждают, что аэропорт взламывала русская хакерская группа.

О спорности данного заявления говорят и комментаторы новости в Твиттере. На что ESET тут же отвечает, что вообще-то это могли быть и другие хакеры.

Но часть журналистов это не смутило и Каталин Чимпану, неровно дышащий к русским APT (румын, что с него взять), тут же написал материал "Русские правительственные хакеры взломали аэропорт Сан-Франциско".

Кстати, Energetic Bear стали в своей время именно правительственной хакерской группой с подачи US-CERT и британского Национального центра кибербезопасности (NCSC). При том, что часть их целей была вполне себе на территории России. Что, вообще говоря, свойственно коммерческим группам, но никак не хакерским прокси.

ESET же, как и любое ласковое теля, двух маток сосет. Прописанная в Калифорнии компания, со штаб-квартирой в Словакии и русскими ресерчерами в штате. Которая пыталась попасть в реестр российского обеспечения, но ей отказали.

Мелко, Хоботов.

#APT #EnergeticBear #ESET

Согласно эксклюзивному материалу ZDNet, на прошлой неделе Google удалили из своего Интернет-магазина несколько десятков расширений для Chrome, которые крали криптоключи пользователей.

Гарри Денли, директор по безопасности платформы MyCrypto, сообщил, что его подразделением выявлены 49 расширений, разработанных предположительно одним актором и мимикрирующих под криптоприложения Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus и KeepKey.

Все расширения содержали код, отсылающий пользовательские криптоключи и мнемонические фразы на сервер, принадлежащий злоумышленникам.

Остается вопрос, почему Google допускает такие массовые вбросы malware в свой Интернет-магазин.

Полный список Extension ID указанных вредоносов приведен в статье ZDNet. Можно использовать для проверки.