Компания Wordfence, специализирующаяся на защите CMS WordPress, вчера сообщила о резком всплеске с 28 апреля атак на сайты с WordPress, осуществляемых одним актором.
Под ударом оказались более 900 тыс. сайтов с этой CMS, количество подобных атак за последние несколько дней превысило 20 млн. Злоумышленники используют межсайтовый скриптинг (XSS) в целях внедрения вредоносного JavaScript-кода для перенаправления входящего трафика на подконтрольные сайты.
В атаках используется набор уже известных уязвимостей, таких как ошибка в плагине Easy2Map, выявленная в августе 2019, или уязвимость в Blog Designer, также прикрытая в 2019 году.
WordFence рекомендует своевременно обновлять плагины WordPress, а также отключать плагины, удаленные из репозитория.
Исследователи предполагают, что список используемых в указанной кибероперации уязвимостей может расширяться, поскольку кампания весьма масштабная и стоящая за ней хакерская группа наверняка продолжит совершенствование своих подходов.
Под ударом оказались более 900 тыс. сайтов с этой CMS, количество подобных атак за последние несколько дней превысило 20 млн. Злоумышленники используют межсайтовый скриптинг (XSS) в целях внедрения вредоносного JavaScript-кода для перенаправления входящего трафика на подконтрольные сайты.
В атаках используется набор уже известных уязвимостей, таких как ошибка в плагине Easy2Map, выявленная в августе 2019, или уязвимость в Blog Designer, также прикрытая в 2019 году.
WordFence рекомендует своевременно обновлять плагины WordPress, а также отключать плагины, удаленные из репозитория.
Исследователи предполагают, что список используемых в указанной кибероперации уязвимостей может расширяться, поскольку кампания весьма масштабная и стоящая за ней хакерская группа наверняка продолжит совершенствование своих подходов.
Wordfence
Nearly a Million WP Sites Targeted in Large-Scale Attacks
Our Threat Intelligence Team has been tracking a sudden uptick in attacks targeting Cross-Site Scripting(XSS) vulnerabilities that began on April 28, 2020 and increased over the next few days to approximately 30 times the normal volume we see in our attack…
Иногда истории из инфосек индустрии бывают интереснее любого детективного романа. Что и не удивительно, поскольку они касаются реальной активности хакерских групп, связанных со спецслужбами разных стран, и их тайных войн в киберпространстве.
Вчера Check Point выпустили интересный отчет, в котором раскрываются новые подробности громкого слива секретной информации АНБ США, организованного таинственной группой Shadow Brockers в 2016-2017 годах, а точнее его последней и самой разрушительной части под названием Lost in Translation.
Напомним, что Shadow Brockers осуществили грандиозную утечку внутренних данных АНБ в 5 частях, связанных с деятельностью и инструментарием засекреченной хакерской группы агентства под названием Equation (мы обязательно посвятим этой группе отдельный пост). Одним из последствий Lost in Translation явился слив эксплойта Eternal Blue, использующего уязвимость в протоколе SMB Windows, что привело в дальнейшем к известной всем атаке WannaCry и ряду других.
В последней части слива Shadow Brockers, в числе прочего, был интересный инструмент под названием TeDi или Territorial Dispute, который применялся Equation при проникновении в целевую систему для поиска в ней следов присутствия других хакерских групп. В некоторых случаях это давало гарантию того, что АНБ не будет вмешиваться в операцию дружественных хакеров, в остальных – то, что инструменты и методы Equation не будут обнаружены противниками.
Кстати, в 2019 году Symantec выяснили, что китайская APT UPS (aka APT3 и Gothic Panda) использовала некоторые из инструментов Equation еще до их слива Shadow Brockers. Тогда исследователи пришли к выводу, что китайцы перехватили некоторые из методик АНБ в ходе атаки, которую на них организовали американцы. Так что меры профилактики, применяемые Equation вполне оправданы.
TeDi содержал 45 сигнатур, каждая из которых соответствовала отдельному инструментарию. В 2018 году CrySys Labs провела большое исследование, в результате которого идентифицировала большую часть сигнатур. В частности в TeDi были найдены инструменты, принадлежащие таким APT как Turla, Uroboros, Dark Hotel и другие.
Тогда CrySys Labs идентифицировала сигнатуру №37 как принадлежащую китайской группе Iron Tiger (aka APT 27 и LuckyMouse).
Теперь, спустя два года, исследователь Хуан Андрес Герреро-Сааде и Check Point показали, что сигнатура №37 принадлежит новой, ранее неизвестной кибероперации, которую они назвали Nazar. По данным CheckPoint, Nazar принадлежит иранской хакерской группе и была активна, предположительно, с 2008 по 2013 годы.
Самым интересным является тот факт, что ранее этот инструмент не попадал на радары инфосек вендоров, в то время как АНБ он был прекрасно известен. Непонятно, какая именно иранская APT стоит за Nazar, прекратила ли она свое существование или работает дальше.
В любом случае эта история ярко свидетельствует как много темных пятен в хакерских войнах и не все из них становятся ясны даже инфосек сообществу.
Вчера Check Point выпустили интересный отчет, в котором раскрываются новые подробности громкого слива секретной информации АНБ США, организованного таинственной группой Shadow Brockers в 2016-2017 годах, а точнее его последней и самой разрушительной части под названием Lost in Translation.
Напомним, что Shadow Brockers осуществили грандиозную утечку внутренних данных АНБ в 5 частях, связанных с деятельностью и инструментарием засекреченной хакерской группы агентства под названием Equation (мы обязательно посвятим этой группе отдельный пост). Одним из последствий Lost in Translation явился слив эксплойта Eternal Blue, использующего уязвимость в протоколе SMB Windows, что привело в дальнейшем к известной всем атаке WannaCry и ряду других.
В последней части слива Shadow Brockers, в числе прочего, был интересный инструмент под названием TeDi или Territorial Dispute, который применялся Equation при проникновении в целевую систему для поиска в ней следов присутствия других хакерских групп. В некоторых случаях это давало гарантию того, что АНБ не будет вмешиваться в операцию дружественных хакеров, в остальных – то, что инструменты и методы Equation не будут обнаружены противниками.
Кстати, в 2019 году Symantec выяснили, что китайская APT UPS (aka APT3 и Gothic Panda) использовала некоторые из инструментов Equation еще до их слива Shadow Brockers. Тогда исследователи пришли к выводу, что китайцы перехватили некоторые из методик АНБ в ходе атаки, которую на них организовали американцы. Так что меры профилактики, применяемые Equation вполне оправданы.
TeDi содержал 45 сигнатур, каждая из которых соответствовала отдельному инструментарию. В 2018 году CrySys Labs провела большое исследование, в результате которого идентифицировала большую часть сигнатур. В частности в TeDi были найдены инструменты, принадлежащие таким APT как Turla, Uroboros, Dark Hotel и другие.
Тогда CrySys Labs идентифицировала сигнатуру №37 как принадлежащую китайской группе Iron Tiger (aka APT 27 и LuckyMouse).
Теперь, спустя два года, исследователь Хуан Андрес Герреро-Сааде и Check Point показали, что сигнатура №37 принадлежит новой, ранее неизвестной кибероперации, которую они назвали Nazar. По данным CheckPoint, Nazar принадлежит иранской хакерской группе и была активна, предположительно, с 2008 по 2013 годы.
Самым интересным является тот факт, что ранее этот инструмент не попадал на радары инфосек вендоров, в то время как АНБ он был прекрасно известен. Непонятно, какая именно иранская APT стоит за Nazar, прекратила ли она свое существование или работает дальше.
В любом случае эта история ярко свидетельствует как много темных пятен в хакерских войнах и не все из них становятся ясны даже инфосек сообществу.
Check Point Research
Nazar: Spirits of the Past - Check Point Research
In mid-2017, The Shadow Brokers exposed NSA files in a leak known as "Lost In Translation".Recently, researcher uncovered "Nazar", a previously-unknown APT that was mentioned in the leak.We decided to dive into each and every one of the components and share…
А у нас продолжение веселой истории, которую устроила инфосек компания F-Secure.
Как мы уже писали, исследователи опубликовали 30 апреля данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. При этом описание уязвимостей было весьма подробное, а исправляющий их патч вышел только накануне.
Соответственно, злодеи пожелали исследователям долгих лет жизни, написали соответствующий эксплойт и с 2 мая начали атаки на различные серверы под управлением Salt
Первой пострадала мобильная операционная система LineageOS. Затем крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей. Потом последовали Digicert, Xen Orchestra и ряд небольших компаний. В выходные под атаку попала поисковая служба Algolia, работающая с крупными сервисами типа Twich и Stripe.
Изначально атаки совершались оператором бот-сети Kinsing, но затем стали подключаться другие акторы. Тем более, что эксплойт, использующий выявленные F-Secure уязвимости в Salt, был опубликован на GitHub сразу несколькими пользователями.
"Хоронили тещу, порвали два баяна", инфосек-ремикс.
Как мы уже писали, исследователи опубликовали 30 апреля данные о двух выявленных уязвимостях в ПО Salt, предназначенном для управления серверной инфраструктурой. При этом описание уязвимостей было весьма подробное, а исправляющий их патч вышел только накануне.
Соответственно, злодеи пожелали исследователям долгих лет жизни, написали соответствующий эксплойт и с 2 мая начали атаки на различные серверы под управлением Salt
Первой пострадала мобильная операционная система LineageOS. Затем крупная блог-платформа Ghost, имеющая более 750 тыс. пользователей. Потом последовали Digicert, Xen Orchestra и ряд небольших компаний. В выходные под атаку попала поисковая служба Algolia, работающая с крупными сервисами типа Twich и Stripe.
Изначально атаки совершались оператором бот-сети Kinsing, но затем стали подключаться другие акторы. Тем более, что эксплойт, использующий выявленные F-Secure уязвимости в Salt, был опубликован на GitHub сразу несколькими пользователями.
"Хоронили тещу, порвали два баяна", инфосек-ремикс.
ZDNET
Search provider Algolia discloses security incident due to Salt vulnerability
Algolia now joins the ranks of LineageOS, Ghost, Digicert, and Xen Orchestra.
А между тем на днях исполнилось ровно 20 лет с появления ILOVEYOU, одного из первых масштабных вредоносов, который потряс молодой тогда еще Интернет.
Тогда, на смене веков, пользователи сети были наивны и открыты, как нецелованные институтки. И когда им приходило письмо под названием ILoveYou, то они смело открывали приложенный файл LOVE-LETTER-FOR-YOU.txt.vbs. Который, на самом деле, являлся вредоносным скриптом VisualBasic.
Спама еще не придумали. Антивирусы были не в моде, да и, честно говоря, это были те еще поделки.
При открытии вложения червь расселялся по всему жесткому диску, заменяя мультимедиа файлы и документы своими копиями, а также рассылал любовные письма дальше по всему адресному списку Outlook зараженной системы.
4 мая 2000 года ILOVEYOU начал распространяться с Филиппин по всему миру. Поскольку червь был написан на VisualBasic, то тут же нашлась куча желающих его модифицировать, изменив вредоносную нагрузку, в результате чего всего появилось 26 штаммов вируса.
По разным оценкам в течение нескольких дней было заражено от 45 до 50 млн. хостов. Некоторые источники говорят, что заражение затронуло 10% компьютеров, подключенных к сети, но мы думаем, что процентное соотношение было больше. На устранение последствий заражения было потрачено около 15 млрд. долларов.
Несколько дней спустя по подозрению в создании и распространении ILOVEYOU были арестованы двое филиппинских программистов - Онел де Гусман и Реонел Рамонес. Но уголовных статей, рассматривающих компьютерные преступления, в тот период на Филиппинах не было и Рамонес и де Гусман были освобождены.
А мир Интернет изменился.
Тогда, на смене веков, пользователи сети были наивны и открыты, как нецелованные институтки. И когда им приходило письмо под названием ILoveYou, то они смело открывали приложенный файл LOVE-LETTER-FOR-YOU.txt.vbs. Который, на самом деле, являлся вредоносным скриптом VisualBasic.
Спама еще не придумали. Антивирусы были не в моде, да и, честно говоря, это были те еще поделки.
При открытии вложения червь расселялся по всему жесткому диску, заменяя мультимедиа файлы и документы своими копиями, а также рассылал любовные письма дальше по всему адресному списку Outlook зараженной системы.
4 мая 2000 года ILOVEYOU начал распространяться с Филиппин по всему миру. Поскольку червь был написан на VisualBasic, то тут же нашлась куча желающих его модифицировать, изменив вредоносную нагрузку, в результате чего всего появилось 26 штаммов вируса.
По разным оценкам в течение нескольких дней было заражено от 45 до 50 млн. хостов. Некоторые источники говорят, что заражение затронуло 10% компьютеров, подключенных к сети, но мы думаем, что процентное соотношение было больше. На устранение последствий заражения было потрачено около 15 млрд. долларов.
Несколько дней спустя по подозрению в создании и распространении ILOVEYOU были арестованы двое филиппинских программистов - Онел де Гусман и Реонел Рамонес. Но уголовных статей, рассматривающих компьютерные преступления, в тот период на Филиппинах не было и Рамонес и де Гусман были освобождены.
А мир Интернет изменился.
Как пишет Bleeping Computer, вчера хакерская группа Shiny Hunters сообщила редакции, что взломала учетную запись Microsoft на GitHub и получила полный доступ к приватному репозиторию софтверной компании.
Shiny Hunter скачали 500Gb закрытых проектов, которые изначально хотели продать, но теперь решили разместить в сети для свободного скачивания. Сам взлом, судя по всему, произошел 28 марта.
В качестве тизера хакеры выложили на закрытом форуме 1Gb украденных данных, но не все пользователи форума посчитали размещенную информацию реальной.
Сотрудники Microsoft также говорят, что утечка является фальшивой, однако официально компания комментариев не дает.
Посмотрим, кто же окажется прав.
Shiny Hunter скачали 500Gb закрытых проектов, которые изначально хотели продать, но теперь решили разместить в сети для свободного скачивания. Сам взлом, судя по всему, произошел 28 марта.
В качестве тизера хакеры выложили на закрытом форуме 1Gb украденных данных, но не все пользователи форума посчитали размещенную информацию реальной.
Сотрудники Microsoft также говорят, что утечка является фальшивой, однако официально компания комментариев не дает.
Посмотрим, кто же окажется прав.
BleepingComputer
Microsoft's GitHub account hacked, private repositories stolen
A hacker has claimed to have hacked into Microsoft's GitHub account and downloaded over 500GB of 'Private' repositories, BleepingComputer has learned.
Samsung на этой неделе выпустили апдейт, устраняющий уязвимость, затрагивающую все смартфоны компании, произведенные с 2014 года, и заключающуюся в способе обработки графической Android-библиотекой Skia изображений формата Qmage.
Используя другую ошибку в приложении Samsung Messages, которое отвечает за обработку SMS и MMS-сообщений, команда Google Project Zero смогла обойти рандомизацию адресного пространства (ASLR) и получить сведения о расположении графической библиотеки Skia в памяти устройства. Для этого требуется от 50 до 300 MMS-сообщений.
Далее исследователи направили на атакуемое устройство MMS-сообщение со специально сформированным изображением Qmage, что привело к удаленному исполнению кода.
Обращает на себя внимание тот факт, что все это проводится в режиме 0-click, то есть не требует каких-либо действий от владельца смартфона.
Уязвимость была выявлена в феврале, но информация о ней сообщена только сейчас, после выпуска соответствующего обновления.
И хотя мы, как всегда, рекомендуем провести апдейт своих смартфонов Samsung, сама актуальность подобной атаки кажется нам весьма надуманной. Поскольку при попытке отправить на один номер несколько сотен MMS в короткий промежуток времени, пусть даже от разных источников, у оператора сотовой связи неизбежно сработают антифродовые системы. После чего незадачлевый хакер поедет на рынок за новой партией sim-карт.
Используя другую ошибку в приложении Samsung Messages, которое отвечает за обработку SMS и MMS-сообщений, команда Google Project Zero смогла обойти рандомизацию адресного пространства (ASLR) и получить сведения о расположении графической библиотеки Skia в памяти устройства. Для этого требуется от 50 до 300 MMS-сообщений.
Далее исследователи направили на атакуемое устройство MMS-сообщение со специально сформированным изображением Qmage, что привело к удаленному исполнению кода.
Обращает на себя внимание тот факт, что все это проводится в режиме 0-click, то есть не требует каких-либо действий от владельца смартфона.
Уязвимость была выявлена в феврале, но информация о ней сообщена только сейчас, после выпуска соответствующего обновления.
И хотя мы, как всегда, рекомендуем провести апдейт своих смартфонов Samsung, сама актуальность подобной атаки кажется нам весьма надуманной. Поскольку при попытке отправить на один номер несколько сотен MMS в короткий промежуток времени, пусть даже от разных источников, у оператора сотовой связи неизбежно сработают антифродовые системы. После чего незадачлевый хакер поедет на рынок за новой партией sim-карт.
ZDNET
Samsung patches 0-click vulnerability impacting all smartphones sold since 2014
Samsung patched this month a critical bug discovered by Google security researchers.
Вчера американская инфосек компания Risk Based Security сообщила журналистам, что в апреле выявила масштабную утечку данных более чем 3,6 млн пользователей мобильного приложения для знакомств MobiFriends.
Утекшие данные не содержат изображений или переписки, но включают в себя адреса электронной почты, номера мобильных телефонов, даты рождения и другие сведения, указанные при регистрации.
Кроме того, в утечке есть MD5-хеши паролей, которые , в силу слабости MD5, практически и есть пароли.
По данным хакеров, продающих украденные сведения на закрытом форуме, взлом MobiFriends был осуществлен в январе 2019 года.
Кстати говоря, то, что в выложенных хакерами данных нет переписки и личных фото, вовсе не означает, что они не были украдены в ходе взлома.
Утекшие данные не содержат изображений или переписки, но включают в себя адреса электронной почты, номера мобильных телефонов, даты рождения и другие сведения, указанные при регистрации.
Кроме того, в утечке есть MD5-хеши паролей, которые , в силу слабости MD5, практически и есть пароли.
По данным хакеров, продающих украденные сведения на закрытом форуме, взлом MobiFriends был осуществлен в январе 2019 года.
Кстати говоря, то, что в выложенных хакерами данных нет переписки и личных фото, вовсе не означает, что они не были украдены в ходе взлома.
ZDNet
Dating app MobiFriends silent on security breach impacting 3.6 million users
The personal details of 3.68 million MobiFriends users have been posted online in April 2020.
Мы хотели, если честно, дать эту тему отдельным большим постом, но информация уже разошлась по большинству новостных инфосек ресурсов, поэтому напишем кратко, без лишнего погружения в подробности.
Вчера Check Point выпустила отчет, в котором сообщила о недавнем раскрытии длительной и крупной кибероперации, связанной с использованием нового бэкдора Aria-body и направленной на государственные органы стран Азиатско-Тихоокеанского региона, включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Компания идет как минимум с 2018 года, а скорее всего - с 2017.
В число целей кибератаки входят национальные министерства иностранных дел, министерства науки и техники, а также госкомпании. Стоящий за Aria-body актор активно использует уже скомпрометированные государственные ресурсы для дальнейшего продвижения к другим целям. Например, посольство одной из стран стало источником распространения зараженных вредоносом документов.
Основываясь на анализе функционала Aria-body, Check Point делает вывод, что главная цель кибероперации - сбор разведданных. Это включает в себя не только охоту за интересующими хакеров документами, но и извлечение данных со съемных носителей, запись скриншотов и кейлоггинг.
Интересная деталь - один из найденных исследователями управляющих центров был размещен хакерами на взломанном ресурсе Министерства науки и техники Филиппин.
Анализ кода Aria-body выявил достаточное сходство с кодом бэкдора XsFunction, что, вместе с частичным пересечением инфраструктуры управляющих центров, позволило говорить о причастности к новой кибероперации китайской APT Naikon aka APT 30 и Override Panda.
Об APT Naikon не было новостей с 2015 года. Ранее группа активно работала против стран, прилежащих к Южно-Китайскому морю. Считается, что за Naikon стоит Подразделение 78020, входящее в состав НОАК (Народно-освободительная армия Китая), и располагающееся в городе Куньмин провинции Юньнань.
#APT #APT30 #Naikon #OverridePanda
Вчера Check Point выпустила отчет, в котором сообщила о недавнем раскрытии длительной и крупной кибероперации, связанной с использованием нового бэкдора Aria-body и направленной на государственные органы стран Азиатско-Тихоокеанского региона, включая Австралию, Индонезию, Филиппины, Вьетнам, Таиланд, Мьянму и Бруней. Компания идет как минимум с 2018 года, а скорее всего - с 2017.
В число целей кибератаки входят национальные министерства иностранных дел, министерства науки и техники, а также госкомпании. Стоящий за Aria-body актор активно использует уже скомпрометированные государственные ресурсы для дальнейшего продвижения к другим целям. Например, посольство одной из стран стало источником распространения зараженных вредоносом документов.
Основываясь на анализе функционала Aria-body, Check Point делает вывод, что главная цель кибероперации - сбор разведданных. Это включает в себя не только охоту за интересующими хакеров документами, но и извлечение данных со съемных носителей, запись скриншотов и кейлоггинг.
Интересная деталь - один из найденных исследователями управляющих центров был размещен хакерами на взломанном ресурсе Министерства науки и техники Филиппин.
Анализ кода Aria-body выявил достаточное сходство с кодом бэкдора XsFunction, что, вместе с частичным пересечением инфраструктуры управляющих центров, позволило говорить о причастности к новой кибероперации китайской APT Naikon aka APT 30 и Override Panda.
Об APT Naikon не было новостей с 2015 года. Ранее группа активно работала против стран, прилежащих к Южно-Китайскому морю. Считается, что за Naikon стоит Подразделение 78020, входящее в состав НОАК (Народно-освободительная армия Китая), и располагающееся в городе Куньмин провинции Юньнань.
#APT #APT30 #Naikon #OverridePanda
Check Point Research
Naikon APT: Cyber Espionage Reloaded - Check Point Research
Introduction Recently Check Point Research discovered new evidence of an ongoing cyber espionage operation against several national government entities in the Asia Pacific (APAC) region. This operation, which we were able to attribute to the Naikon APT…
ESET, видимо, копались в своих прошлых исследованиях и обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой группе Winnti, с аналогичным кодом из утечки Lost in Translation, организованной в 2017 году группой Shadow Brokers.
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Twitter
#ESETresearch stumbled upon strange samples which use the packer we described in publications on the #Winnti Group. The payload in these samples is an implant attributed to Equation. It is known as PeddleCheap according to the project names seen in the Shadow…
Северокорейские хакеры скомпрометировали приложение MinaOTP для MacOS, внедрив в него троян Dacls.
MinaOTP представляет собой свободно распространяемое приложение для двухфакторной аутентификации (2FA), в основном распространенное среди китайских пользователей. Заряженный образец программы был выявлен в Гонконге. В настоящее время Dacls выявляется 23 из 59 антивирусными движками.
Dacls - это RAT, ранее замеченный на Windows и Linux. Китайцы из Qihoo 360 Netlab утверждают, что за данной малварью стоит APT Lazarus aka Dark Seoul, северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР.
Обновленный малыш Ким, теперь доступен и на Вашем Macbook!
MinaOTP представляет собой свободно распространяемое приложение для двухфакторной аутентификации (2FA), в основном распространенное среди китайских пользователей. Заряженный образец программы был выявлен в Гонконге. В настоящее время Dacls выявляется 23 из 59 антивирусными движками.
Dacls - это RAT, ранее замеченный на Windows и Linux. Китайцы из Qihoo 360 Netlab утверждают, что за данной малварью стоит APT Lazarus aka Dark Seoul, северокорейская государственная хакерская группа, работающая под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР.
Обновленный малыш Ким, теперь доступен и на Вашем Macbook!
BleepingComputer
North Korean hackers infect real 2FA app to compromise Macs
Hackers have hidden malware in a legitimate two-factor authentication (2FA) app for macOS to distribute Dacls, a remote access trojan associated with the North Korean Lazarus group.
Ну что же, это завершающий пост разбора деятельности APT 41, работающей на китайские государственные органы. И закончится он неожиданно.
В январе 2019 года Лаборатория Касперского выявила кампанию ShadowHammer, которая происходила с июня по ноябрь 2018 года. В ходе атаки, являющейся классическим примером атаки на цепочку поставок, хакеры смогли скомпрометировать сервера производителя компьютерной техники ASUS и внедрить свой бэкдор в утилиту ASUS Live Update. По самым скромным оценкам зараженное ПО скачали более полумиллиона пользователей. В реальности их число могло превысить миллион.
Однако, в этой атаке была интересна не масштабность, а то, что за всем своим гигантским размахом она имела четкую и компактную цель. В теле вредоноса были жестко прописаны более 600 уникальных MAC-адресов, которые интересовали инициатора атаки. Правда, как прокомментировали Касперские, подобных МАС-адресов могло быть и больше. В любом случае, их количество несоизмеримо меньше общего числа атакованных компьютеров.
В каком случае имела смысл подобная операция? Ну, например, в том, если инициатор атаки смог бы получить список MAC-адресов партии компьютеров ASUS, поставленных в одно или несколько интересующих его государственных ведомств. Что, опять же, можно сделать, например, скомпрометировав сеть ASUS. А именно это и было сделано.
Эту атаку Касперские приписали группе Winnti, Microsoft – группе Barium (сейчас они считаются одной и той же группой). А наши "любимцы" из FireEye – группе APT 41.
В октябре 2019 года FireEye заявили, что APT 41 скомпрометировала технологическую сеть неназванного сотового оператора, заразила его SMS-центр вредоносом под названием MESSAGETAP и собирала содержание SMS по фильтру телефонных номеров и IMEI. Также в рамках этого вторжения хакеры каким-то образом получили доступ к CDR (Call Detail Record, первичная запись об активности сотового абонента), и тоже отбирали их по определенному признаку, доставая, таким образом, биллинг интересующих их лиц. Если верить FireEye, получается, что APT 41 распотрошила пострадавшего телеком оператора чуть более чем полностью.
Технических признаков принадлежности атаки именно APT 41 предоставлено не было, лишь утверждения, что списки интересующих хакеров номеров телефонов и IMEI касались высокопоставленных лиц, представляющих интерес для китайской разведки и находящихся в оппозиции Китаю. Косвенно это может указывать на то, что взломанный телеком оператор находится в Азии.
По утверждениям американской компании, всего APT 41 атаковала четырех операторов, были ли в остальных случаях атаки удачными не сообщалось.
В том же октябре 2019 года произошла странная история – один из ведущих сотрудников FireEye Кристофер Глаер в своем Twitter заявил, что APT 41 еще в 2016 году взломала приложение для удаленного доступа TeamViewer, благодаря чему могла на протяжении долгого времени контролировать компьютеры с установленным на них клиентом TeamViewer.
Тогда же FireEye озвучила эту информацию на конференции Cyber Defense Summit 2019. Однако после возмущения TeamViewer по поводу недостоверности этого заявления, FireEye включила заднюю, а Глаер стер твит и написал, что он вообще не это имел в виду.
Ну, а теперь, собственно, неожиданное завершение постов про APT 41.
Изучив имеющиеся материалы, мы пришли к выводу, что, на самом деле, никакого APT 41 нет.
APT 41 - это симулякр, придуманные FireEye. Кадавр, составленный из деятельности других китайских хакерских групп, фантазий американских исследователей и, частично, из неподчищенных следов APT, работающих на США.
Туловище, ноги и руки APT 41 взяты от Winnti, голова от APT 40 aka Leviathan, шея от APT 10 aka Stone Panda, и еще по кусочку от разных групп. А длинный лисий хвост – от американских киберопераций. По крайней мере, таковой мы склонны считать странный кейс с TeamViewer.
В январе 2019 года Лаборатория Касперского выявила кампанию ShadowHammer, которая происходила с июня по ноябрь 2018 года. В ходе атаки, являющейся классическим примером атаки на цепочку поставок, хакеры смогли скомпрометировать сервера производителя компьютерной техники ASUS и внедрить свой бэкдор в утилиту ASUS Live Update. По самым скромным оценкам зараженное ПО скачали более полумиллиона пользователей. В реальности их число могло превысить миллион.
Однако, в этой атаке была интересна не масштабность, а то, что за всем своим гигантским размахом она имела четкую и компактную цель. В теле вредоноса были жестко прописаны более 600 уникальных MAC-адресов, которые интересовали инициатора атаки. Правда, как прокомментировали Касперские, подобных МАС-адресов могло быть и больше. В любом случае, их количество несоизмеримо меньше общего числа атакованных компьютеров.
В каком случае имела смысл подобная операция? Ну, например, в том, если инициатор атаки смог бы получить список MAC-адресов партии компьютеров ASUS, поставленных в одно или несколько интересующих его государственных ведомств. Что, опять же, можно сделать, например, скомпрометировав сеть ASUS. А именно это и было сделано.
Эту атаку Касперские приписали группе Winnti, Microsoft – группе Barium (сейчас они считаются одной и той же группой). А наши "любимцы" из FireEye – группе APT 41.
В октябре 2019 года FireEye заявили, что APT 41 скомпрометировала технологическую сеть неназванного сотового оператора, заразила его SMS-центр вредоносом под названием MESSAGETAP и собирала содержание SMS по фильтру телефонных номеров и IMEI. Также в рамках этого вторжения хакеры каким-то образом получили доступ к CDR (Call Detail Record, первичная запись об активности сотового абонента), и тоже отбирали их по определенному признаку, доставая, таким образом, биллинг интересующих их лиц. Если верить FireEye, получается, что APT 41 распотрошила пострадавшего телеком оператора чуть более чем полностью.
Технических признаков принадлежности атаки именно APT 41 предоставлено не было, лишь утверждения, что списки интересующих хакеров номеров телефонов и IMEI касались высокопоставленных лиц, представляющих интерес для китайской разведки и находящихся в оппозиции Китаю. Косвенно это может указывать на то, что взломанный телеком оператор находится в Азии.
По утверждениям американской компании, всего APT 41 атаковала четырех операторов, были ли в остальных случаях атаки удачными не сообщалось.
В том же октябре 2019 года произошла странная история – один из ведущих сотрудников FireEye Кристофер Глаер в своем Twitter заявил, что APT 41 еще в 2016 году взломала приложение для удаленного доступа TeamViewer, благодаря чему могла на протяжении долгого времени контролировать компьютеры с установленным на них клиентом TeamViewer.
Тогда же FireEye озвучила эту информацию на конференции Cyber Defense Summit 2019. Однако после возмущения TeamViewer по поводу недостоверности этого заявления, FireEye включила заднюю, а Глаер стер твит и написал, что он вообще не это имел в виду.
Ну, а теперь, собственно, неожиданное завершение постов про APT 41.
Изучив имеющиеся материалы, мы пришли к выводу, что, на самом деле, никакого APT 41 нет.
APT 41 - это симулякр, придуманные FireEye. Кадавр, составленный из деятельности других китайских хакерских групп, фантазий американских исследователей и, частично, из неподчищенных следов APT, работающих на США.
Туловище, ноги и руки APT 41 взяты от Winnti, голова от APT 40 aka Leviathan, шея от APT 10 aka Stone Panda, и еще по кусочку от разных групп. А длинный лисий хвост – от американских киберопераций. По крайней мере, таковой мы склонны считать странный кейс с TeamViewer.
Telegram
SecAtor
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Цель очевидна – иметь под рукой удобного болванчика, на которого, в случае необходимости, можно списать ту или иную киберкампанию. Иногда в геополитических целях, а иногда в целях сокрытия следов активности дружественных хакерских групп по созданию позиций для добывания разведывательной информации.
Собственно, это мы и наблюдаем, в этом году APT 41 уже была назначена виновной в "глобальной кампании по проникновению" через дырки в Citrix ADC и Gateway, а также маршрутизаторах Cisco.
За сим оставим пока китайские группы (хотя потом обязательно вернемся к ним).
#APT #APT41 #DoubleDragon
Собственно, это мы и наблюдаем, в этом году APT 41 уже была назначена виновной в "глобальной кампании по проникновению" через дырки в Citrix ADC и Gateway, а также маршрутизаторах Cisco.
За сим оставим пока китайские группы (хотя потом обязательно вернемся к ним).
#APT #APT41 #DoubleDragon
Forwarded from Информация опасносте
три года с момента атаки WannaCry, помните, как весело всем было?
https://t.me/alexmakus/1131
https://t.me/alexmakus/1131
Telegram
Информация опасносте
Стоило мне сегодня отлучиться от интернета по семейным обстоятельствам, как на интернет обрушилась крупная вирусная атака "вымогательского" ПО. Первой большой жертвой стали больницы в Великобритании, компьютеры которых оказались заблокированными, а файлы…
В воскресенье исследователи из Университета Эйндховена сообщили о выявленной в феврале уязвимости под названием Thunderspy в интерфейсе Thunderbolt, которая актуальна для всех устройств под управлением Windows, Linux и, отчасти, macOS, выпущенных до 2019 года.
Thunderspy позволяет создавать произвольные идентификаторы устройств Thunderbolt и клонировать авторизованные пользователем устройства, в результате чего получать DMA (Direct Memory Access) - прямой доступ к системной памяти, минуя процессор.
Используя Thunderspy злоумышленник может, имея физический доступ к компьютеру, путем подключения через Thunderbolt получить в течение нескольких минут доступ к данным жестких дисков и памяти даже в том случае, если атакуемый компьютер находится в режиме блокировки, а диски зашифрованы.
На приведенном демонстрационном видео Бьёрн Райтенберг получает доступ к данным ноутбука ThinkPad за пять минут, просто отвинтив заднюю крышку бука и подключившись к порту. И, хотя, использованное оборудование достаточно громоздко, Райтенберг утверждает, что при вложении примерно 10 тыс. долларов все это дело замечательно ужимается до размеров небольшой коробки - "У трехбуквенных агентств не возникнет проблем с миниатюризацией этого".
Другим методом эксплуатации Thunderspy, не имеющем необходимости в физическом доступе, является подключение через Thunderbolt предварительно скомпрометированного периферийного устройства. Правда, в этом случае требуется, чтобы в установках Thunderbolt было разрешено использование доверенных устройств.
Защиты для уязвимых устройств, кроме физического отключения Thunderbolt, нет. Даже программное отключение Thunderbolt было обойдено Райтенбергом.
Intel говорит, что данная атака предотвращается функцией Kernel DMA Protection, введенной в 2019 году. Однако, какая часть производителей ноутбуков ее использует - вопрос. HP уверенно заявляет, что у них защита от DMA-атак через Thunderbolt стоит по умолчанию. Остальные отмораживаются.
Кстати, пользователей macOS уязвимость тоже касается, но, благодаря другой системе безопасности Thunderbolt, атаки через DMA исключены. Тем не менее, атакованная машина становится уязвимой для атак типа BadUSB. Правда, если пользователь Macbook загрузит Windows через BootCamp, то он становится полностью беззащитен перед Thunderspy.
А мы выпустим из стенного шкафа нашего штатного эксперта-параноика Калерию Петровну, любительницу РенТВ и знатока тайных заговоров спецслужб.
Итак, ей слово - "Райтенберг не зря упомянул трехбуквенные агентства применительно к Thunderspy. Подобные уязвимости мало применимы к коммерческому взлому, потому что требуют, пусть и краткосрочного, но обязательного физического доступа к атакуемому устройству. А вот для спецслужб организовать подобный доступ - дело привычное. Досмотр в аэропорте, уборка в номере гостиницы, краткосрочное задержание и досмотр нарядом полиции - варианты давным-давно отработаны. То есть осведомленные агентства имели возможность получать безуликовый доступ к содержимому компьютеров как минимум с 2011 года, когда появился Thunderbolt".
Добавить, пожалуй, нечего. Следи за собой, будь осторожен (с)
Thunderspy позволяет создавать произвольные идентификаторы устройств Thunderbolt и клонировать авторизованные пользователем устройства, в результате чего получать DMA (Direct Memory Access) - прямой доступ к системной памяти, минуя процессор.
Используя Thunderspy злоумышленник может, имея физический доступ к компьютеру, путем подключения через Thunderbolt получить в течение нескольких минут доступ к данным жестких дисков и памяти даже в том случае, если атакуемый компьютер находится в режиме блокировки, а диски зашифрованы.
На приведенном демонстрационном видео Бьёрн Райтенберг получает доступ к данным ноутбука ThinkPad за пять минут, просто отвинтив заднюю крышку бука и подключившись к порту. И, хотя, использованное оборудование достаточно громоздко, Райтенберг утверждает, что при вложении примерно 10 тыс. долларов все это дело замечательно ужимается до размеров небольшой коробки - "У трехбуквенных агентств не возникнет проблем с миниатюризацией этого".
Другим методом эксплуатации Thunderspy, не имеющем необходимости в физическом доступе, является подключение через Thunderbolt предварительно скомпрометированного периферийного устройства. Правда, в этом случае требуется, чтобы в установках Thunderbolt было разрешено использование доверенных устройств.
Защиты для уязвимых устройств, кроме физического отключения Thunderbolt, нет. Даже программное отключение Thunderbolt было обойдено Райтенбергом.
Intel говорит, что данная атака предотвращается функцией Kernel DMA Protection, введенной в 2019 году. Однако, какая часть производителей ноутбуков ее использует - вопрос. HP уверенно заявляет, что у них защита от DMA-атак через Thunderbolt стоит по умолчанию. Остальные отмораживаются.
Кстати, пользователей macOS уязвимость тоже касается, но, благодаря другой системе безопасности Thunderbolt, атаки через DMA исключены. Тем не менее, атакованная машина становится уязвимой для атак типа BadUSB. Правда, если пользователь Macbook загрузит Windows через BootCamp, то он становится полностью беззащитен перед Thunderspy.
А мы выпустим из стенного шкафа нашего штатного эксперта-параноика Калерию Петровну, любительницу РенТВ и знатока тайных заговоров спецслужб.
Итак, ей слово - "Райтенберг не зря упомянул трехбуквенные агентства применительно к Thunderspy. Подобные уязвимости мало применимы к коммерческому взлому, потому что требуют, пусть и краткосрочного, но обязательного физического доступа к атакуемому устройству. А вот для спецслужб организовать подобный доступ - дело привычное. Досмотр в аэропорте, уборка в номере гостиницы, краткосрочное задержание и досмотр нарядом полиции - варианты давным-давно отработаны. То есть осведомленные агентства имели возможность получать безуликовый доступ к содержимому компьютеров как минимум с 2011 года, когда появился Thunderbolt".
Добавить, пожалуй, нечего. Следи за собой, будь осторожен (с)
YouTube
Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes
Thunderspy - When Lightning Strikes Thrice: Breaking Thunderbolt 3 Security
More information: https://thunderspy.io
This video demonstrates an attack exploiting Thunderspy vulnerability variant 5, "Use of unauthenticated controller configurations".
In…
More information: https://thunderspy.io
This video demonstrates an attack exploiting Thunderspy vulnerability variant 5, "Use of unauthenticated controller configurations".
In…
ESET обнаружили вредоносное приложение для Android, предназначенное для проведения DDoS-атак.
В январе этого года сайт ESET подвергся DDoS-атаке, которая продолжалась более 7 часов и проводилась с более чем 4000 уникальных IP-адресов.
В результате дальнейшего расследования выяснилось, что атака была осуществлена с помощью приложения Updates for Android, которое легально загружалось пользователями из Play Store. В оригинальной версии приложения отсутствовал функционал для DDoS, в силу чего оно прошло проверку Play Store. Всего Updates for Android было загружено более 50 тыс. раз.
В одном из обновлений в приложение была добавлена функция загрузки вредоносного JavaScript с сервера, принадлежащего хакерам. После загрузки идентификатор устройства передавался на управляющий центр злоумышленников, а сам скрипт каждые 150 минут запрашивал команды на атаку.
С момента выявления бот-сети ESET стали отслеживать ее активность и зафиксировали еще 6 DDoS-атак, большая часть которых была направлена на турецкие сайты. В результате обращения в Google приложение Updates for Android было удалено из Play Store.
ESET обращает внимание, что с подобными механизмами внедрения вредоносов на устройства Android тяжело бороться , поскольку до загрузки вредоносной составляющей оснований для удаления приложения из Play Store не имеется.
В январе этого года сайт ESET подвергся DDoS-атаке, которая продолжалась более 7 часов и проводилась с более чем 4000 уникальных IP-адресов.
В результате дальнейшего расследования выяснилось, что атака была осуществлена с помощью приложения Updates for Android, которое легально загружалось пользователями из Play Store. В оригинальной версии приложения отсутствовал функционал для DDoS, в силу чего оно прошло проверку Play Store. Всего Updates for Android было загружено более 50 тыс. раз.
В одном из обновлений в приложение была добавлена функция загрузки вредоносного JavaScript с сервера, принадлежащего хакерам. После загрузки идентификатор устройства передавался на управляющий центр злоумышленников, а сам скрипт каждые 150 минут запрашивал команды на атаку.
С момента выявления бот-сети ESET стали отслеживать ее активность и зафиксировали еще 6 DDoS-атак, большая часть которых была направлена на турецкие сайты. В результате обращения в Google приложение Updates for Android было удалено из Play Store.
ESET обращает внимание, что с подобными механизмами внедрения вредоносов на устройства Android тяжело бороться , поскольку до загрузки вредоносной составляющей оснований для удаления приложения из Play Store не имеется.
WeLiveSecurity
Breaking news? App promises news feeds, brings DDoS attacks instead
ESET researchers discovered a malicious Android app used for launching DDoS attacks that targeted ESET’s website. Here's what the subsequent research showed.
Иранские государственные органы подтвердили, что в прошлую пятницу была зафиксирована кибератака, происходившая "из-за пределов Ирана", которая была направлена на информационные ресурсы порта Бендер-Аббас.
Согласно Министерству дорог и городского развития Ирана, атака затронула ограниченное количество частных операционных ресурсов в порту и не нанесла существенного ущерба.
Бендер-Аббас - портовый город на юге Ирана, занимающий стратегическую позицию в Ормузском проливе. Это тот самый пролив, через который идут танкеры с нефтью из Саудовской Аравии. Подобный выбор цели существенно сужает круг потенциальных исполнителей кибератаки.
После того, как в воскресенье иранский фрегат Jamaran по ошибке обстрелял на учениях свой же вспомогательный корабль Konarak, по индустрии пошли слухи, что кибератака на иранский порт могла быть связана с этим инцидентом. Однако, официальные лица Ирана эту связь опровергают.
В то же время мы все прекрасно помним кибероперацию Stuxnet, которую успешно провели спецслужбы США и Израиля на иранскую ядерную программу.
С учетом того, что фрегат Jamaran не только был построен в Бендер-Аббасе, но и приписан к местной военно-морской базе, вероятность того, что произошедшая в пятницу кибератака на местный порт и ошибка на стрельбах в воскресенье являются звеньями одной цепи, существенно возрастает.
Согласно Министерству дорог и городского развития Ирана, атака затронула ограниченное количество частных операционных ресурсов в порту и не нанесла существенного ущерба.
Бендер-Аббас - портовый город на юге Ирана, занимающий стратегическую позицию в Ормузском проливе. Это тот самый пролив, через который идут танкеры с нефтью из Саудовской Аравии. Подобный выбор цели существенно сужает круг потенциальных исполнителей кибератаки.
После того, как в воскресенье иранский фрегат Jamaran по ошибке обстрелял на учениях свой же вспомогательный корабль Konarak, по индустрии пошли слухи, что кибератака на иранский порт могла быть связана с этим инцидентом. Однако, официальные лица Ирана эту связь опровергают.
В то же время мы все прекрасно помним кибероперацию Stuxnet, которую успешно провели спецслужбы США и Израиля на иранскую ядерную программу.
С учетом того, что фрегат Jamaran не только был построен в Бендер-Аббасе, но и приписан к местной военно-морской базе, вероятность того, что произошедшая в пятницу кибератака на местный порт и ошибка на стрельбах в воскресенье являются звеньями одной цепи, существенно возрастает.
ZDNet
Iran reports failed cyber-attack on Strait of Hormuz port
Iranian officials said hackers infiltrated and damaged a small number of computers at the port of Shahid Rajaei in the city of Bandar Abbas.
ФБР и Министерство национальной безопасности (МНБ) США решили разогреть ситуацию - как заявила сегодня CyberScoop на этой неделе ведомства готовятся к большому разоблачению хакерской деятельности, осуществляемой APT Hidden Cobra, работающей на правительство КНДР.
Hidden Cobra, которая больше известна под названием Lazarus, является наиболее активной северокорейской группой. Считается, что она работает с 2009 года под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Большинство инфосек экспертов полагает, что именно Lazarus является автором WannaCry, эпидемии которого сегодня исполнилось ровно 3 года.
Позже сегодня МНБ выложили документы с описанием трех новых видов вредоносного ПО - Copperhedge, Taintedscribe и Pebbledash, а US Cyber Command выгрузили образцы на VirusTotal.
Непонятно, остановятся ли американцы на этом или будут набрасывать дальше. И если будут продолжать, то с какой целью. Ведь, согласно национальной стратегии кибербезопасности, США допускают возможность наступательных операций в ответ на кибератаки.
Hidden Cobra, которая больше известна под названием Lazarus, является наиболее активной северокорейской группой. Считается, что она работает с 2009 года под контролем Bureau 121, агентства киберопераций, входящего в структуру Главного разведывательного бюро армии КНДР. Большинство инфосек экспертов полагает, что именно Lazarus является автором WannaCry, эпидемии которого сегодня исполнилось ровно 3 года.
Позже сегодня МНБ выложили документы с описанием трех новых видов вредоносного ПО - Copperhedge, Taintedscribe и Pebbledash, а US Cyber Command выгрузили образцы на VirusTotal.
Непонятно, остановятся ли американцы на этом или будут набрасывать дальше. И если будут продолжать, то с какой целью. Ведь, согласно национальной стратегии кибербезопасности, США допускают возможность наступательных операций в ответ на кибератаки.
CyberScoop
FBI, DHS to go public with suspected North Korean hacking tools
The report drops on the third anniversary of the WannaCry attack, which the U.S. blamed on North Korea.
Канал "Пиратская баржа" (https://t.me/piratebarge) в рамках рубрики "Абордаж" запускает цикл интерактивных интервью с экспертами из разных отраслей. Вопросы гостям задают подписчики в чате канала.
В ближайшее время на канале выступит специалист по связи с движущимися объектами, радио и телекоммуникациям Михаил Мозговой. Он расскажет о спутниках, спуффинге, истории возникновения и развития телекоммуникаций в России, принципах радиоэлектронной борьбы и много разного другого.
Нам такой формат общения с экспертами показался весьма интересным, поэтому мы решили поделиться с вами. Сами тоже подумаем над каким-нибудь заковыристым вопросом. Например, про возможность использования стандарта LTE 450 для обеспечения сотовой связи в летящем самолете 😉
В ближайшее время на канале выступит специалист по связи с движущимися объектами, радио и телекоммуникациям Михаил Мозговой. Он расскажет о спутниках, спуффинге, истории возникновения и развития телекоммуникаций в России, принципах радиоэлектронной борьбы и много разного другого.
Нам такой формат общения с экспертами показался весьма интересным, поэтому мы решили поделиться с вами. Сами тоже подумаем над каким-нибудь заковыристым вопросом. Например, про возможность использования стандарта LTE 450 для обеспечения сотовой связи в летящем самолете 😉
Telegram
Пиратская баржа
Лучший канал о спуффинге, джемминге и морской логистике 📡⛴️