Румынские анивирусники Bitdefender сообщили о том, что выявили серию фишинговых атак, которые, судя по всему, были связаны с проведением в середине апреля консультаций между ОПЕК+ и группой нефтедобывающих стран по ограничению добычи нефти.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
Первая фишинговая кампания началась 31 марта и была нацелена на ряд производителей нефти из Малайзии, Ирана и США. Вторая серия кибератак была направлена на несколько филлипинских компаний, специализирующихся на доставке нефти с помощью танкеров.
Обе кампании были хорошо подготовлены, атаковавшие использовали профессиональный сленг и правильную структуру сообщений, чтобы заинтересовать потенциальных жертв. Так, в одном из случае фишинговые письма рассылались от имени египетской нефтеинжиниринговой фирмы ENPPI.
И в обеих кампаниях конечной целью было подсадить в систему жертвы Agent Tesla, который одновременно имеет функции инфостиллера и RAT.
Как всегда задаемся вопросом - кто мог быть бенефициаром этой интересной кибероперации. На поверхности лежит очевидный ответ - прогосударственная APT, желающая добыть информацию о намерениях участников сделки для получения переговорных преимуществ.
Однако, мы склоняемся к более оригинальной версии. Судя по тому, что один из векторов атаки был направлен на танкерные компании, за атаками стоит коммерческая хакерская группировка, действующая в интересах крупного биржевого игрока.
Потому что знание инсайдов нефтяных переговоров и состояния танкерного парка может помочь поднять много бабла. А там, где много бабла, там и хакеры ко двору.
BleepingComputer
Spearphishing campaigns target oil, gas companies with spyware
Cybercriminals are targeting the oil and gas industry sector with highly targeted spearphishing campaigns impersonating shipment companies and engineering contractors while attempting to infect their targets with Agent Tesla info-stealer malware payloads.
Хьюстон, у нас проблемы!
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Исследователи инфосек компании ZecOps сообщили сегодня, что выявили использование в дикой природе двух 0-day уязвимостей, одна из которых позволяет удаленное исполнение кода на всей линейке устройств Apple под управлением iOS. Уязвимы все iPhone и iPad, начиная с iOS 6 (то есть с iPhone 5).
Основную угрозу представляется уязвимость, которая использует переполнение кучи в предустановленном приложении Mail, что позволяет удаленно исполнять код в этом приложении, прислав жертве специально сформированное почтовое сообщение. Таким образом атакующий получает доступ к содержимому электронной почты и может полностью его модифицировать.
Вместе с тем, ZecOps предполагают, что существует еще одна невыявленная уязвимость нулевого дня в ядре ОС, которая в совокупности с дыркой в приложении Mail позволяет получить полный контроль над атакуемым устройством.
Особую опасность выявленной 0-day уязвимости представляет то, что в iOS 13 ее можно использовать без какого-либо действия со стороны пользователя (т.н. "0-click"), даже в фоновом режиме. В iOS 12 требуется, чтобы пользователь щелкнул по почтовому сообщению.
Более того, в случае использование соответствующего эксплойта жертва не заметит никаких аномалий, кроме возможного временного замедления работы почтового приложения на iOS 12. Присланные вредоносные сообщения злоумышленник, как правило, удаляет после удачной атаки.
ZecOps утверждают, что атаки с использованием этих уязвимостей происходят как минимум с января 2018 года, одним из акторов является неустановленная прогосударственная APT.
На данный момент соответствующего апдейта iOS нет, Apple обещает пофиксить дырку в ближайшем обновлении.
Поэтому рекомендации следующие:
- не использовать приложение Mail, а использовать Outlook или Gmail;
- с нетерпением ждать апдейта iOS, по факту его появления сразу обновить устройство.
Jamf
Jamf Threat Labs | Blog
ZDNet составили список ransomware, операторы которых используют новую тактику по публичному размещению конфиденциальных данных жертвы в Интернете, если она отказывается платить выкуп.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
Таковых на сегодня журналисты насчитали 9 штук:
- CLOP;
- DOPPELPAYMER;
- MAZE (мы писали про них на днях);
- NEFILIM;
- NEMTY;
- RAGNALOCKER (и про них недавно писали);
- SODINOKIBI (про этих вообще куча постов);
- SEKHMET;
- SNATCH.
С учетом того, что пару месяцев назад таковых насчитывалось ровно пять, новая тактика вымогательства стала весьма популярной и берется на вооружение все большим количеством операторов ransomware.
Вангуем, что в ближайшее время их станет еще больше. И, если что, с этими негодяями придется договариваться. Потому что эффективного механизма противодействия пока не имеется.
ZDNET
Here's a list of all the ransomware gangs who will steal and leak your data if you don't pay
Ransomware gangs are getting more aggressive these days about pursuing payments and have begun stealing and threatening to leak sensitive documents if victims don't pay the requested ransom demand.
А у нас, похоже, нарисовался чемпион по скорости реакции на коронавирус среди прогосударственных APT.
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Как сообщает FireEye, с января по апрель этого года APT32, также известная под названиями Ocean Lotus, Cobalt Kitty и др., проводила активную фишинговую кампанию, направленную на китайские правительственные органы. FireEye полагает, что атака проводилась в целях сбора информации о COVID-19.
APT32 - это вьетнамская хакерская прокси, работающая, как минимум, с 2014 года и неоднократно замеченная в проведении киберопераций в интересах вьетнамского правительства.
По данным FireEye, фишинговая кампания была ориентирована на китайское МЧС и правительство провинции Хубэй, в которой находился эпицентр заражения коронавирусом город Ухань (FireEye пишет "провинция Ухань", вероятно это ошибка). Первое фишинговое письмо, адресованное в МЧС Китая, было зафиксировано 6 января (!!!).
Вспомните, что вы делали 6 января? Отходили от Нового Года, встречали Рождество, планировали мероприятия на первую рабочую неделю 2020 года. Про COVID-19 никто и слыхом не слыхал. А вьетнамские хакеры уже разворачивали кибероперацию по добыванию информации в отношении вспышки коронавируса. Оперативность реакции поражает.
И вот теперь к тому, что нас крайне беспокоит. Данный случай уже второй, который позволяет предположить, что китайские власти действительно скрывают некую информацию, способную существенно помочь в борьбе с коронавирусом.
Когда мы высказывали эту версию в случае с атаками на китайские государственные ресурсы южнокорейцев из DarkHotel и говорили о возможной связи той кампании с успехами Южной Кореи в борьбе с вирусом, мы, честно говоря, в большей степени занимались конспирологией.
Однако теперь, когда мы смотрим на информацию о деятельности вьетнамских хакеров и на цифры заболевших коронавирусом по Вьетнаму, у нас глаз начинает дергаться.
Знаете сколько всего зараженных в азиатской стране, соседней с Китаем и с не самым высоким уровнем медицины в мире? 268, из которых 224 выздоровели. А умерших нет совсем.
Вот такая хакерская арифметика.
#APT #APT32 #OceanLotus
Google Cloud Blog
Vietnamese Threat Actors APT32 Targets Wuhan Government | Google Cloud Blog
Vietnamese threat actors APT32 targets the Chinese Ministry of Emergency Management in the latest example of Covid-19 related espionage.
Голландские исследователи из Tesorion провели анализ кодов двух семейств ransomware Nemty и Nefilim и пришли к выводу, что эти вредоносы являются родственными
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Подобные предположения ранее уже высказывались, в частности журналистами Bleeping Computer, однако технических подтверждений не было.
И вот теперь голландцы, проведя анализ, нашли в обоих ransomware куски кода, скомпилированные из практически идентичных исходников. Кроме того, Nemty 2.6 при шифровании игнорирует файлы с расширением Nefilim (обратное, кстати, не верно). А вот Nemty 2.2 такого исключения не содержит.
Nemty и Nefilim содержат еще ряд принципиальных сходств, например, один и тот же список расширений, игнорируемых при шифровании (вплоть до их порядка), а также список игнорируемых каталогов.
Tesorion полагают, что поскольку у этих ransomware разные модели использования (Nemty - Ransomware as a Service, а Nefilim используется под конкретную крупную цель), то Nefilim является дальнейшим концептуальным развитием Nemty. Тем более, что оператор последнего сообщил, что планирует отказаться от модели RaaS.
Кстати, в коде Nefilim нашлась строчка из песни Drip Catcher модного российского исполнителя песен ртом Kizaru. Что еще больше придает этой ransomware сходство с Nemty, авторы которого прописали в коде лирику Скриптонита.
Tesorion Cybersecurity Solutions
Exploring the link between Nemty and Nefilim » Tesorion Cybersecurity Solutions
Новый скандал с двойными стандартами Facebook.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
Как известно, социальная сеть включилась в активную борьбу с распространением ложной информации о коронавирусе. "Мы убрали сотни тысяч фрагментов дезинформации, связанных с COVID-19" - заявил Цукерберг.
Однако некоммерческий проект The MarkUp выяснил, что несмотря на грозную риторику, про бабло Facebook не забывает. Так, в категорию "любители псевдонауки" социальная сеть записала аж 78 млн. пользователей. А потом продавала рекламу, ориентированную на этих людей.
И только в понедельник, после обращения The MarkUp, представитель компании сообщил, что Facebook исключили эту категорию интересов из рекламной выдачи. Насколько это соответствует реальности - пока непонятно.
А журналисты вспомнили, что в 2019 году Цукерберга ловили на рекламной категории пользователей "любители теории заговоров" и "противники вакцин". А в 2017 году у Facebook была рекламная группа "ненавистник евреев".
Те они еще поборники морали, эти крупные бизнесмены.
themarkup.org
Want to Find a Misinformed Public? Facebook’s Already Done It – The Markup
While vowing to police COVID-19 misinformation on its platform, Facebook let advertisers target users interested in “pseudoscience”
Фонд свободы прессы (FPF) сравнил 13 приложений для видеоконференций с целью выяснить, какое из них является более безопасным и конфиденциальным.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Оценка проводилась по 4 параметрам:
- поддержка сквозного шифрования;
- поддержка приватного размещения;
- требуется ли аккаунт для того, чтобы присоединиться к встрече;
- как много людей могут присоединиться к встрече.
Сквозное шифрование поддерживает только половина из них, а self-hosting есть у лишь трех приложений. А часть хранит те или иные пользовательские данные на своих серверах.
Короче, можете сами решить, что вам больше подойдет.
Apple демонстрирует искусство PR с человеческим лицом (все по заветам г-на Грефа). А точнее как не надо реагировать на инциденты информационной безопасности если ты крупная компания.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
Напомним, что два дня назад инфосек компания ZecOps заявила об использовании в дикой природе двух 0-day уязвимостей в яблочном приложении Mail, позволяющих полностью контролировать переписку атакованного пользователя на всей линейке устройств iPad и iPhone.
ZecOps сообщила, что зафиксировала использование эксплойтов в отношении:
- сотрудников американских компаний из списка Fortune 500;
- директора компании -перевозчика из Японии;
- немецкий VIP;
- MSSP (Managed Security Service Provider) из Саудовской Аравии и Израиля;
- европейский журналист;
- а также подозрение на взлом руководителя одной из швейцарских компаний.
На это Apple отвечает как и ожидалось - "я не я и корова не моя". А точнее, так - "Мы изучили отчет ZecOps и пришли к выводу, что выявленные ошибки угрозы пользователям не представляют. В ближайших обновлениях мы их закроем."
ZecOps же обещают выложить больше технической информации об ошибках и фактах их использования после выхода патча.
Так что расслабляться не следует. Все говорит о том, что Apple просто отмораживается.
ZDNET
Apple disputes recent iOS zero-day claim
Apple says it "thoroughly investigated" a recent report about three iOS Mail bugs but "found no evidence they were used against customers."
В сети назревает очередное журналистское расследование, посвященное "страшной правде".
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Есть такой журналист Jordan Robertson (@jordanr1000), блеснувший в 2018 году статьей в Bloomberg, в которой раскрыл невероятно коварный заговор китайских производителей чипсетов, "вызвавший дрожь американского разведывательного сообщества".
В своем материале Робертсон рассказал о крошечных микрочипах "размером меньше рисового зернышка", которые солдаты НОАК встраивают в материнские платы, производимые для американской компании Super Micro. А потом эти платы расходятся по серверам Amazon, используемым спецслужбами США, а также по серверам, используемым Apple, в результате чего Китай тайно контролирует всю их деятельность. Все это подавалось со ссылками на многочисленные источники, причастные к расследованию.
От таких откровений охренели, мягко сказать, все. Дошло до того, что и Тим Кук, CEO Apple, и Джефф Безос, владелец и CEO Amazon, дали свои официальные опровержения. Само собой, все отрицали и Super Micro.
Как оказалось, журналистский эксклюзив оказался фейком. Придумал ли эту историю сам Робертсон или он опубликовал непроверенный слив - точно неизвестно.
В 2019 году он получил инфосек премию Pwnie в категории "most over-hyped bug" (с официальной припиской - It seems it was all bullshit), а Bloomberg были награждены за "most epic fail".
Выражение же "рисовое зернышко" (grain of rice) стало крылатым в инфосек сообществе.
И вот, придя в себя после многочисленных ударов злой судьбы (после скандала Робертсон был на время сослан в Отдел погоды), американский расследователь снова занялся журнализмом. По отрасли пошли слухи, что в этот раз чипы "размером с рисовое зернышко" Робертсон решил найти во всех роутерах китайского производства.
Народ закупил попкорн и ждет от Робертсона нового взрывного материала, после которого он точно будет номинирован на Pwnie-2020.
https://twitter.com/craiu/status/1253407417305649153
Twitter
Costin Raiu
Somewhere, someone is implanting a router into a grain of rice.
Иск Facebook к израильскому инфосек вендору NSO Group примечателен двумя вещами.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
Во-первых, не часто происходят суды между крупными ИТ компаниями таких старых геополитических союзников как США и Израиль. Тем более, когда они крайне близки к государственным органам, в том числе спецслужбам.
Во-вторых, в пылу судебной тяжбы обе стороны начинают вываливать на публику вещи, которые в ином случае оказались бы под сукном.
Ну а для нас, как для сторонних наблюдателей, это прекрасный шанс взглянуть на темную изнанку блестящего фасада индустрии информационных технологий и инфосека.
Напомним, что Facebook обвиняет NSO в разработке и продаже спецслужбам разных стран шпионского ПО Pegasus, с помощью которого последние могли взламывать WhatsApp интересующих их лиц.
В прошлый раз в ходе слушаний NSO заявили, что в 2017 году представители Facebook хотели приобрести право на использование некоторых возможностей Pegasus. Тогда Facebook планировали использовать эти механизмы внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.
Теперь же Facebook сообщили, что технический анализ выявил - в 720 зафиксированных случаях атаки взломанное приложение WhatsApp обращалось на один и тот же сервер, принадлежащий QuadraNet Enterprises LLC, хостинг-провайдеру из Лос-Анджелеса.
Facebook утверждают, что в рамках проекта Pegasus израильтяне получали финансирование от частной инвестиционной компании из Калифорнии и размещали свои управляющие сервера в этом штате. Это было подтверждено договором NSO Group с QuadraNet.
Вот такое прекрасное сетевое настоящее - все шпионят за всеми, да еще и договорами подтверждают. Посмотрим, какие еще темные секреты всплывут в рамках рассмотрения этого иска.
ZDNet
Facebook-NSO lawsuit: Hundreds of WhatsApp attacks linked to one IP address
Facebook fights to keep the lawsuit on track after NSO filed a motion to dismiss the case earlier this month.
Group IB, которая в очередной раз называет себя "сингапурской компанией по кибербезопасности" (Сачкову надо быть осторожнее, с таким позиционированием и от госконтрактов могут отлучить), вчера сообщила, что обнаружила выставленную на продажу на крупнейшем кардерском ресурсе Jocker's Stash базу данных, содержащую информацию о 400 тысячах платежных банковских карт.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
БД продается почти за 2 млн. долларов, по уверениям продавца она валидна на 30-40%. Почти половину составляют южнокорейские карты, еще 49,3% - карты банков США.
Как говорят Group IB, это самый крупный слив данных по платежным картам банков Южной Кореи за последние 8 месяцев.
Group-IB
South Korean and US payment card details worth nearly $2M up for sale in the underground
Group-IB, a Singapore-based cybersecurity company, has detected a dump containing details for nearly 400,000 payment card records uploaded to a popular darknet cardshop on April 9. The database was comprised almost entirely of the payment records related…
Подъехали новости про передовые британские практики в области приватности пользователей сети.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
Как пишет The Register, британская Guardian обнаружила меморандум законопроекта, в котором предлагается добавить в список государственных организаций (на данный момент более 50 агентств), которые могут получать доступ к пользовательским данным без получения судебных ордеров, еще 5 организаций.
Помимо уже присутствующих в списке Агентства по стандартам пищевых продуктов и Комиссии по азартным играм, среди прочих, предлагается дать доступ Агентству окружающей среды и Пенсионному фонду.
Ну то есть, Пенсионному фонду позарез необходимо видеть траффик британских пользователей, перлюстрировать их электронную переписку и слушать телефонные переговоры.
В самой Британии по этому поводу поднялся большой шум, но, скорее всего, законодательную инициативу продавят.
Правда, неохваченными остаются еще Профсоюз сантехников Уэльса и Шотландии и некоммерческий фонд "Свет ангельских сердец". Этим дадут доступ в следующий раз.
Как говорится, VPN - залог здоровья.
The Register
Why should the UK pensions watchdog be able to spy on your internet activities? Same reason as the Environment Agency and many…
Extraordinary surveillance powers set to be injected into govt orgs
В классификации APT сам Джигурда ногу сломит. Поскольку точно подтвержденных данных в наличие у инфосек вендоров немного, то при рассмотрении крупных хакерских групп, используемых ими инструментов и осуществляемых ими операций многие отпускают свою фантазию на волю.
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В последнее время было множество новостей о дырках в сервисе видеоконфереций ZOOM. Но, как выясняется, его конкуренты тоже не отстают.
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
В корпоративной платформе Microsoft Teams, которую мелкомягкие продвигают как альтернативу небезопасному ZOOM, исследователи из CyberArk выявили уязвимость, связанную с механизмом обработки изображений .GIF. Ошибке подвержены приложение для десктопа, а также версия для веб.
Ресерчеры выяснили, что в процессе доставки изображений Microsoft Teams использует два токена аутентификации "authtoken" и "skypetoken", второй генерится при помощи первого и с его помощью можно перехватить учетную запись Microsoft Teams.
А токен "authtoken" можно получить совершив атаку на поддомены "teams .microsoft .com". И два таких поддомена CyberArk нашли - это "aadsync-test .teams .microsoft .com" и "data-dev .teams .microsoft .com".
Теперь злоумышленникам осталось бы взять под контроль один из этих поддоменов и направить пользователю Microsoft Teams изображение-приманку, при загрузке которого приложение отправит "authtoken" на скомпрометированный поддомен. А уже дальше сгенерировать "skypetoken", с помощью которого угнать учетку Microsoft Teams.
Как сообщают CyberArk, они передали все данные в Microsoft и те устранили уязвимость, включая неверную настройку домена "teams .microsoft .com".
BleepingComputer
Microsoft Teams patched against image-based account takeover
After looking at how Microsoft Teams handles image resources, security researchers found a way to take over accounts by sending recipients a regular GIF.
RedDrip Team, команда исследователей китайской компании Qianxin, сообщает, что выявили фишинговую кампанию, проводимую APT Lazarus и направленную на пользователей Южной Кореи.
Рассылка происходит от имени Центра по контролю заболеваемости в Инчхоне и содержит фейковый отчет о расследовании распространения коронавируса. Ну а дальше как обычно - скрипт, подгружаемый вредонос и пр.
APT Lazarus (aka Dark Seoul, Labyrinth Chollima, Hidden Cobra) - это северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Мы про нее обязательно поговорим отдельно.
Кстати, Lazarus - не первая северокорейская APT, эксплуатирующая тему COVID-19 в своих атаках. Ранее в этом были замечены APT Kimsuky (aka Velvet Chollima) и APT 37 (aka Konni).
Рассылка происходит от имени Центра по контролю заболеваемости в Инчхоне и содержит фейковый отчет о расследовании распространения коронавируса. Ну а дальше как обычно - скрипт, подгружаемый вредонос и пр.
APT Lazarus (aka Dark Seoul, Labyrinth Chollima, Hidden Cobra) - это северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Мы про нее обязательно поговорим отдельно.
Кстати, Lazarus - не первая северокорейская APT, эксплуатирующая тему COVID-19 в своих атаках. Ранее в этом были замечены APT Kimsuky (aka Velvet Chollima) и APT 37 (aka Konni).
Qianxin
奇安信威胁情报中心
Nuxt.js project
Израильский национальный киберцентр (INCD) выпустил предупреждение, предназначенное для энергетических компаний и компаний, специализирующихся на водоснабжении. В своем сообщении INCD призывает поменять пароли на всех подключенных к сети машинах либо отключить их до момента соответствующей настройки систем безопасности. Также предлагается провести срочный апдейт всего ПО.
Аналогичные алерты выпустили израильский CERT и Управление водными ресурсами Израиля. По данным израильского новостного портала Ynet, особое внимание уделяется операционным системам, в частности устройствам контроля хлора на водоочистительных сооружениях.
ZDNet пишет, что указанные предупреждения были выпущены после доклада в израильское правительство отчета инфосек компании ClearSky.
По слухам, ClearSky выявила кибератаку исламской хакерской группы, которая называет себя Иерусалимская электронная армия (JEArmy). Ранее хакеры заявляли, что получили доступ к ресурсам израильских государственных ведомств и университетов. ClearSky связывают JEArmy с палестинской хакерской группой Gaza Cybergang.
Аналогичные алерты выпустили израильский CERT и Управление водными ресурсами Израиля. По данным израильского новостного портала Ynet, особое внимание уделяется операционным системам, в частности устройствам контроля хлора на водоочистительных сооружениях.
ZDNet пишет, что указанные предупреждения были выпущены после доклада в израильское правительство отчета инфосек компании ClearSky.
По слухам, ClearSky выявила кибератаку исламской хакерской группы, которая называет себя Иерусалимская электронная армия (JEArmy). Ранее хакеры заявляли, что получили доступ к ресурсам израильских государственных ведомств и университетов. ClearSky связывают JEArmy с палестинской хакерской группой Gaza Cybergang.
ZDNET
Israel government tells water treatment companies to change passwords
Israel cyber-security agency reported intrusion attempts last week.
Британская The Register сообщает, что в результате неправильно сконфигурированной системы автоматического распознавания автомобильных номеров (ANPR) в открытый доступ попали 8,6 млн. записей поездок жителей городского округа Шеффилд.
На прошлой неделе исследователи Крис Кубецки и Джерард Янсен обнаружили незакрытый сетевой доступ к панели управления системы ANPR, состоящую из 100 камер наблюдения. Какие-либо механизмы аутентификации отсутствовали.
Данные в системе содержали информацию о номере автомобиля, времени его фиксации камерой и ее местоположении, что позволяло восстановить историю перемещения конкретной машины. Предположительно также были доступны необработанные изображения, сделанные камерами в процессе распознавания автомобильных номеров. Кроме того, через панель управления были видны IP-адреса всех камер.
Доступ к панели управления ANPR позволял не только считывать данные, но и полноценно ими управлять - изменить реквизиты камер, стереть нужные сведения из базы и пр.
ANPR-система Register the Sheffield была смонтирована в 2014 году американской компанией 3M. Позднее подразделение, занимающееся разработкой подобных систем было продано компании Neology, в силу чего, как обычно в таких случаях бывает, виноватых не нашлось. В документах местных органов власти, регламентирующих установку ANPR-системы, слово "конфиденциальность" не упоминается ни разу.
Панель управления была запущена 20 ноября 2018 года. Сколько времени с тех пор она была в открытом доступе - неясно. Возможно, что весь период времени до конца апреля этого года, когда об уязвимости сообщили властям.
На прошлой неделе исследователи Крис Кубецки и Джерард Янсен обнаружили незакрытый сетевой доступ к панели управления системы ANPR, состоящую из 100 камер наблюдения. Какие-либо механизмы аутентификации отсутствовали.
Данные в системе содержали информацию о номере автомобиля, времени его фиксации камерой и ее местоположении, что позволяло восстановить историю перемещения конкретной машины. Предположительно также были доступны необработанные изображения, сделанные камерами в процессе распознавания автомобильных номеров. Кроме того, через панель управления были видны IP-адреса всех камер.
Доступ к панели управления ANPR позволял не только считывать данные, но и полноценно ими управлять - изменить реквизиты камер, стереть нужные сведения из базы и пр.
ANPR-система Register the Sheffield была смонтирована в 2014 году американской компанией 3M. Позднее подразделение, занимающееся разработкой подобных систем было продано компании Neology, в силу чего, как обычно в таких случаях бывает, виноватых не нашлось. В документах местных органов власти, регламентирующих установку ANPR-системы, слово "конфиденциальность" не упоминается ни разу.
Панель управления была запущена 20 ноября 2018 года. Сколько времени с тех пор она была в открытом доступе - неясно. Возможно, что весь период времени до конца апреля этого года, когда об уязвимости сообщили властям.
The Register
Nine million logs of Brits' road journeys spill onto the internet from password-less number-plate camera dashboard
Democratising mass surveillance, one snafu at a time
Motherboard разузнала, что несколько лет назад сотрудник NSO Group был пойман на использовании производимого компанией шпионского ПО Pegasus в личных целях.
Напомним, что израильская NSO производит ПО Pegasus, которое предназначено для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет гешефт и иск от Facebook.
По данным источников, сотрудник NSO был командирован в ОАЭ для технической поддержки программного комплекса Pegasus, установленного в одной из национальных спецслужб. В ходе своего нахождения в командировке работник NSO несанкционированно воспользовался Pegasus для взлома WhatsApp своей знакомой, предположительно в "любовных интересах".
Заказчик зафиксировал нецелевое использование купленного ПО, после чего устроил маленький тихий скандальчик. Сотрудника уволили (хорошо не расчленили, у арабов это в моде).
И, как всегда, отметим пару моментов.
Во-первых, уверены, что подобное использование Pegasus в личных целях сотрудниками NSO было (а может и есть) в порядке вещей. В данном случае просто заказчик запалил.
Во-вторых, странно - почему неугодных журналистов и политиков ломать можно, а близких сердцу барышень нельзя? Нет ли тут известной степени лицемерия?
И, в третьих, это каким надо быть волшебным дундуком, чтобы будучи откомандированным в спецслужбу другой страны попытаться втихаря использовать ее ресурсы (неважно, ты их обслуживаешь или нет) в личных целях.
Напомним, что израильская NSO производит ПО Pegasus, которое предназначено для взлома WhatsApp, и продает его all over the world правоохранительным органам, спецслужбам и, немножечко, частным охранным компаниям. По поводу чего имеет гешефт и иск от Facebook.
По данным источников, сотрудник NSO был командирован в ОАЭ для технической поддержки программного комплекса Pegasus, установленного в одной из национальных спецслужб. В ходе своего нахождения в командировке работник NSO несанкционированно воспользовался Pegasus для взлома WhatsApp своей знакомой, предположительно в "любовных интересах".
Заказчик зафиксировал нецелевое использование купленного ПО, после чего устроил маленький тихий скандальчик. Сотрудника уволили (хорошо не расчленили, у арабов это в моде).
И, как всегда, отметим пару моментов.
Во-первых, уверены, что подобное использование Pegasus в личных целях сотрудниками NSO было (а может и есть) в порядке вещей. В данном случае просто заказчик запалил.
Во-вторых, странно - почему неугодных журналистов и политиков ломать можно, а близких сердцу барышень нельзя? Нет ли тут известной степени лицемерия?
И, в третьих, это каким надо быть волшебным дундуком, чтобы будучи откомандированным в спецслужбу другой страны попытаться втихаря использовать ее ресурсы (неважно, ты их обслуживаешь или нет) в личных целях.
Vice
NSO Employee Abused Phone Hacking Tech to Target a Love Interest
The previously unreported news is a serious abuse of NSO's products, which are typically used by governments and authoritarian regimes.
Вы знаете почему Брайан Кребс так хорош в информационной безопасности? Все потому, что он использует Крем для пикселизации лица каждый день.
Это высококачественное решение, которое мягко преобразует кожу Вашего лица в пиксели, оставляя Вам ощущения гладкости и полной анонимности. 86% пользователей крема признают, что их лицо сохраняется расплывчатым и неузнаваемым в течение 2 часов.
- теперь нет необходимости использовать балаклаву или заклеивать камеру Вашего ноутбука;
- можно спокойно ходить в публичные места, не боясь быть распознанным системами видеонаблюдения;
- и, самое главное, можно спокойно смотреть порнографию онлайн, не боясь тайной фиксации малолетними хакерами.
Внимание! Крем предназначен только для пикселизации лица! Не пытайтесь пикселизировать другие части Вашего тела.
На правах юмора.
Это высококачественное решение, которое мягко преобразует кожу Вашего лица в пиксели, оставляя Вам ощущения гладкости и полной анонимности. 86% пользователей крема признают, что их лицо сохраняется расплывчатым и неузнаваемым в течение 2 часов.
- теперь нет необходимости использовать балаклаву или заклеивать камеру Вашего ноутбука;
- можно спокойно ходить в публичные места, не боясь быть распознанным системами видеонаблюдения;
- и, самое главное, можно спокойно смотреть порнографию онлайн, не боясь тайной фиксации малолетними хакерами.
Внимание! Крем предназначен только для пикселизации лица! Не пытайтесь пикселизировать другие части Вашего тела.
На правах юмора.
Google решили, что самое время немного опустить акции конкурентов из Apple, и вчера опубликовали отчет о выявленных ранее уязвимостях яблочных операционных систем.
Как сообщает ZDNet, принадлежащая Google команда исследователей Project Zero изучила фреймворк Image I/O, отвечающий во всех операционных системах Apple (iOS, macOS, tvOS и watchOS) за обработку файлов изображений.
Исследователи применили технику под названием "фаззинг" (подача на вход ПО кучи рандомной информации в целях выявления аномалии его поведения) и выявили шесть (!) уязвимостей в фреймворке и еще восемь (!) в библиотеке анализа файлов изображений OpenEXR.
Возможности использования выявленных уязвимостей для удаленного исполнения кода в целевой системе Project Zero не изучались, но это не значит, что их нет.
Все выявленные уязвимости были устранены Apple в обновлениях в январе и апреле. Но интересно здесь другое - ошибки Google нашли еще в октябре 2019 года. Это означает, что в течение полугода уязвимости вполне могли эксплуатироваться в дикой природе.
Напомним, что все это происходит на фоне заявлений инфосек компании ZecOps о выявленных дырках в предустановленном яблочном приложении Mail, позволяющих получить контроль над почтовой перепиской жертвы на всей линейке устройств iPhone и iPad.
Похоже, что годами непоколебимый миф о безопасности устройств Apple начинает сыпаться как карточный домик. И это печально. Потому что ситуация с дырявым Android и дырявой iOS возвращает нас к безопасным, но малофункциональным кнопкофонам. Ведь Ubuntu сдохла, а Sailfish купил Ростелеком и переименовал в Aurora.
Одна надежда на китайцев, уж они-то наверняка создадут безопасную мобильную ОС, которая защитит ваши данные от хакеров. Но отправит их в НОАК.
Как сообщает ZDNet, принадлежащая Google команда исследователей Project Zero изучила фреймворк Image I/O, отвечающий во всех операционных системах Apple (iOS, macOS, tvOS и watchOS) за обработку файлов изображений.
Исследователи применили технику под названием "фаззинг" (подача на вход ПО кучи рандомной информации в целях выявления аномалии его поведения) и выявили шесть (!) уязвимостей в фреймворке и еще восемь (!) в библиотеке анализа файлов изображений OpenEXR.
Возможности использования выявленных уязвимостей для удаленного исполнения кода в целевой системе Project Zero не изучались, но это не значит, что их нет.
Все выявленные уязвимости были устранены Apple в обновлениях в январе и апреле. Но интересно здесь другое - ошибки Google нашли еще в октябре 2019 года. Это означает, что в течение полугода уязвимости вполне могли эксплуатироваться в дикой природе.
Напомним, что все это происходит на фоне заявлений инфосек компании ZecOps о выявленных дырках в предустановленном яблочном приложении Mail, позволяющих получить контроль над почтовой перепиской жертвы на всей линейке устройств iPhone и iPad.
Похоже, что годами непоколебимый миф о безопасности устройств Apple начинает сыпаться как карточный домик. И это печально. Потому что ситуация с дырявым Android и дырявой iOS возвращает нас к безопасным, но малофункциональным кнопкофонам. Ведь Ubuntu сдохла, а Sailfish купил Ростелеком и переименовал в Aurora.
Одна надежда на китайцев, уж они-то наверняка создадут безопасную мобильную ОС, которая защитит ваши данные от хакеров. Но отправит их в НОАК.
ZDNet
Google discloses zero-click bugs impacting several Apple operating systems | ZDNet
Apple needs to follow in Google and Mozilla's footsteps and secure its multimedia processing libraries.
Эстонская служба внутренней безопасности (KaPo) сообщила, что в прошлом году неназванная прогосударственная APT, используя 0-day уязвимости, взломала некоторое количество учетных записей эстонского почтового сервиса Mail.ee.
Взломанные учетные записи принадлежали лицам, представляющим интерес для иностранного государства, сообщает KaPo. Способ атаки - целевой фишинг. После взлома все получаемые жертвой электронные письма копировались на отдельный ящик электронной почты.
Готовы биться об заклад, что под неназванной APT эстонцы подразумевают группу, последним словом в одном из названий которой фигурирует Bear. Ну не вьетнамцы же с их Chollima, в самом деле.
Взломанные учетные записи принадлежали лицам, представляющим интерес для иностранного государства, сообщает KaPo. Способ атаки - целевой фишинг. После взлома все получаемые жертвой электронные письма копировались на отдельный ящик электронной почты.
Готовы биться об заклад, что под неназванной APT эстонцы подразумевают группу, последним словом в одном из названий которой фигурирует Bear. Ну не вьетнамцы же с их Chollima, в самом деле.
ZDNet
Estonia: Foreign hackers breached local email provider for targeted attacks | ZDNet
Hackers hijacked a small number of Mail.ee accounts "belonging to persons of interest to a foreign country."