Операторы ransomware все чаще нападают на критически важные сети.
Университетская больница Нью-Джерси (UHNJ) была вынуждена заплатить 670 тысяч долларов владельцам вымогателя SunCrypt после того, как последние опубликовали в сети украденный архив из 48 тыс. документов больницы и обещали опубликовать еще 240 Гб слитых данных.
Взлом ресурсов UHNJ произошел из-за нерадивого сотрудника, который слил свои учетные данные в результате фишинга. Хакеры смогли зашифровать всего два больничных сервера, однако, по всей видимости, на них находились персональные данные пациентов и руководство UHNJ решило заплатить выкуп, чтобы не получить кучу исков со стороны пострадавших от утечки личной информации.
Хорошо, что все обошлось практически в прямом смысле малой кровью, поскольку, как мы помним, похожая атака на Университетскую больницу в Дюссельдорфе закончилась гибелью пациента.
Ransomware SunCrypt - вредонос, обнаруженный в декабре 2019 года, активность которого относительно невысока. В конце августа владельцы SunCrypt заявили, что присоединились к Maze Cartel и, действительно, на это указывали признаки использования совместной с Maze инфраструктуры. Однако затем уже представители Maze сообщили журналистам, что у них нет никаких отношений с SunCrypt и что владельцы последнего используют "авторитетное имя" Maze для устрашения своих жертв. Черный PR среди операторов ransomware.
Но тем не менее, факт остается фактом - больничную сеть успешно зашифровали. И это очень неправильно.
Университетская больница Нью-Джерси (UHNJ) была вынуждена заплатить 670 тысяч долларов владельцам вымогателя SunCrypt после того, как последние опубликовали в сети украденный архив из 48 тыс. документов больницы и обещали опубликовать еще 240 Гб слитых данных.
Взлом ресурсов UHNJ произошел из-за нерадивого сотрудника, который слил свои учетные данные в результате фишинга. Хакеры смогли зашифровать всего два больничных сервера, однако, по всей видимости, на них находились персональные данные пациентов и руководство UHNJ решило заплатить выкуп, чтобы не получить кучу исков со стороны пострадавших от утечки личной информации.
Хорошо, что все обошлось практически в прямом смысле малой кровью, поскольку, как мы помним, похожая атака на Университетскую больницу в Дюссельдорфе закончилась гибелью пациента.
Ransomware SunCrypt - вредонос, обнаруженный в декабре 2019 года, активность которого относительно невысока. В конце августа владельцы SunCrypt заявили, что присоединились к Maze Cartel и, действительно, на это указывали признаки использования совместной с Maze инфраструктуры. Однако затем уже представители Maze сообщили журналистам, что у них нет никаких отношений с SunCrypt и что владельцы последнего используют "авторитетное имя" Maze для устрашения своих жертв. Черный PR среди операторов ransomware.
Но тем не менее, факт остается фактом - больничную сеть успешно зашифровали. И это очень неправильно.
BleepingComputer
New Jersey hospital paid ransomware gang $670K to prevent data leak
University Hospital New Jersey in Newark, New Jersey, paid a $670,000 ransomware demand this month to prevent the publishing of 240 GB of stolen data, including patient info.
Исследователи Check Point в пятницу опубликовали отчет, в котором рассказали о своей новой методологии изучения эксплойтов для отслеживания их авторов.
В процессе реагирования на киберинциденты израильские ресерчеры обратили внимание на то, что в ряде случаев вредонос и используемый им эксплойт написаны разными людьми (командами). Об этом явно свидетельствовал анализ кода.
Таким образом, исследователи решили составить своеобразные fingerprint'ы авторов различных эксплойтов. В качестве отправной точки они взяли бинарный файл, являющийся чистым эксплойтом CVE-2019-0859, который был найден во время реагирования на одну из атак.
Для изучения эксплойтов они выделили несколько групп признаков, фактически оценивая бинарные файлы на разных уровнях.
В итоге Check Point смогли установить принадлежность 10 эксплойтов одному и тому же автору, основываясь только на своем методе изучения fingerprint'ов. Его идентифицировали как Volodya, ранее известный как BuggiCorp. Все эксплойты были направлены на повышение локальных привилегий (LPE) в Windows, половина из них основывалась на 0-day уязвимостях. Израильтяне даже составили таблицу клиентов Volodya, покупавших у него эти эксплойты, среди которых нашлись вполне себе серьезные APT - Fancy Bear, Turla, FIN8, Buhtrap и др. Volodya, как считается, является украинским актором (скорее всего, конечно, это группа), специализирующимся на продаже эксплойтов 0-day уязвимостей под Windows.
Кроме того исследователи смогли связать вместе пять эксплойтов, написанных актором PlayBit, которые также были заточены на LPE.
Check Point всячески хвалят свою новую методу и призывают остальные инфосек команды брать ее на вооружение.
В процессе реагирования на киберинциденты израильские ресерчеры обратили внимание на то, что в ряде случаев вредонос и используемый им эксплойт написаны разными людьми (командами). Об этом явно свидетельствовал анализ кода.
Таким образом, исследователи решили составить своеобразные fingerprint'ы авторов различных эксплойтов. В качестве отправной точки они взяли бинарный файл, являющийся чистым эксплойтом CVE-2019-0859, который был найден во время реагирования на одну из атак.
Для изучения эксплойтов они выделили несколько групп признаков, фактически оценивая бинарные файлы на разных уровнях.
В итоге Check Point смогли установить принадлежность 10 эксплойтов одному и тому же автору, основываясь только на своем методе изучения fingerprint'ов. Его идентифицировали как Volodya, ранее известный как BuggiCorp. Все эксплойты были направлены на повышение локальных привилегий (LPE) в Windows, половина из них основывалась на 0-day уязвимостях. Израильтяне даже составили таблицу клиентов Volodya, покупавших у него эти эксплойты, среди которых нашлись вполне себе серьезные APT - Fancy Bear, Turla, FIN8, Buhtrap и др. Volodya, как считается, является украинским актором (скорее всего, конечно, это группа), специализирующимся на продаже эксплойтов 0-day уязвимостей под Windows.
Кроме того исследователи смогли связать вместе пять эксплойтов, написанных актором PlayBit, которые также были заточены на LPE.
Check Point всячески хвалят свою новую методу и призывают остальные инфосек команды брать ее на вооружение.
Подборка полезного материала от канала @Social_Engineering для начинающих пентестеров и специалистов в области информационной безопасности.
Practical Network Defense — 19 различных модулей, 10 лабораторных сценариев, 5 часов обучающих видео на тему сетевой и системной безопасности.
Бесплатный курс по взлому от HackerOne — Отличный курс для новичков который охватывает различные темы. Мы рекомендуем начать с этого плейлиста, если ты новичок в пентесте или хочешь освежить память.
Базовый курс по Web Security, от Стэнфордского университета — цель курса состоит в том, чтобы получить представление о наиболее распространенных веб-атаках и способах их противодействия. Ты узнаешь об основах, а также о последних достижениях в области Web Security.
Metasploit Unleashed — бесплатный курс, благодаря которому ты научишься использовать Metasploit, кроме того, данный курс является отличным справочников для пентестеров.
Android App Reverse Engineering 101 — бесплатный курс по реверсу Android приложений.
Введение в реверсинг с нуля используя IDA PRO — интерактивный дизассемблер, который широко используется для реверс-инжиниринга. Он отличается исключительной гибкостью, наличием встроенного командного языка, поддерживает множество форматов исполняемых файлов для большого числа процессоров и операционных систем.
Kubernetes с Нуля для DevOps Инженеров — основы Kubernetes, поднятие и управление Kubernetes кластером, создавать и управлять основными компонентами Kubernetes.
Tradecraft — благодаря этому курсу ты научишься проводить целевую атаку как внешний субъект с Cobalt Strike. В этом сегменте представлены Metasploit Framework, Cobalt Strike и ты узнаешь, как организованы оба этих инструмента.
Practical Network Defense — 19 различных модулей, 10 лабораторных сценариев, 5 часов обучающих видео на тему сетевой и системной безопасности.
Бесплатный курс по взлому от HackerOne — Отличный курс для новичков который охватывает различные темы. Мы рекомендуем начать с этого плейлиста, если ты новичок в пентесте или хочешь освежить память.
Базовый курс по Web Security, от Стэнфордского университета — цель курса состоит в том, чтобы получить представление о наиболее распространенных веб-атаках и способах их противодействия. Ты узнаешь об основах, а также о последних достижениях в области Web Security.
Metasploit Unleashed — бесплатный курс, благодаря которому ты научишься использовать Metasploit, кроме того, данный курс является отличным справочников для пентестеров.
Android App Reverse Engineering 101 — бесплатный курс по реверсу Android приложений.
Введение в реверсинг с нуля используя IDA PRO — интерактивный дизассемблер, который широко используется для реверс-инжиниринга. Он отличается исключительной гибкостью, наличием встроенного командного языка, поддерживает множество форматов исполняемых файлов для большого числа процессоров и операционных систем.
Kubernetes с Нуля для DevOps Инженеров — основы Kubernetes, поднятие и управление Kubernetes кластером, создавать и управлять основными компонентами Kubernetes.
Tradecraft — благодаря этому курсу ты научишься проводить целевую атаку как внешний субъект с Cobalt Strike. В этом сегменте представлены Metasploit Framework, Cobalt Strike и ты узнаешь, как организованы оба этих инструмента.
Telegram
Social Engineering
📚 Курсы по разным темам. Подборка.
🖖🏻 Приветствую тебя user_name.
💬 Давно Я не выкладывал полезные курсы для изучения. Сегодня предлагаю тебе подборку полезного материала на различные темы. Благодаря этим курсам ты получишь знания которые сможешь применить…
🖖🏻 Приветствую тебя user_name.
💬 Давно Я не выкладывал полезные курсы для изучения. Сегодня предлагаю тебе подборку полезного материала на различные темы. Благодаря этим курсам ты получишь знания которые сможешь применить…
Как известно, мы очень любим истории про кибершпионаж, APT, различное специализированное ПО и все такое прочее. Наверное в детстве пересмотрели фильмов про хитрых шпионов и отважных разведчиков.
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Wired
A China-Linked Group Repurposed Hacking Team’s Stealthy Spyware
The tool attacks a device’s UEFI firmware—which makes it especially hard to detect and destroy.
ZDNet сообщает тревожную новость о новой неустранимой уязвимости устройств Mac и MacBook.
Появилась новая методика взлома вспомогательного сопроцессора T2 устройств Apple, который, помимо прочего, отвечает за криптографические операции, включая обработку паролей, TouchID и шифрование данных.
Атака состоит из объединения двух джейлбрейков для iOS - Checkm8 и Blackbird. Как оказалось они применимы и для T2. Хакер может подключиться через USB-C во время загрузки Mac и запустить эксплойты, что даст ему возможность выполнить код внутри чипа T2 и получить в нем рутовые права. Ну а в дальнейшем получить доступ ко всему содержимому атакованного Mac.
Более того, бета софта под названием Checkra1n v.0.11.0, который эксплуатирует оба джейлбрейка, уже находится в открытом доступе.
А теперь самое худое - уязвимость является аппаратной и в данный момент не может быть устранена. Единственное, что может сделать пользователь, подозревающий, что его T2 взломан, - переустановить стоящую на чипе bridgeOS с помощью Apple Configurator. И это поможет ровно до следующего применения Checkra1n.
Возможно Apple и придумают какую-либо заплатку, но, полагаем, не быстро.
До той же поры рекомендуем не оставлять без присмотра свои MacBook с конфиденциальной информацией, закрывать их в сейфы и не таскать их через пограничные переходы, где их могут изъять для "исследования".
Появилась новая методика взлома вспомогательного сопроцессора T2 устройств Apple, который, помимо прочего, отвечает за криптографические операции, включая обработку паролей, TouchID и шифрование данных.
Атака состоит из объединения двух джейлбрейков для iOS - Checkm8 и Blackbird. Как оказалось они применимы и для T2. Хакер может подключиться через USB-C во время загрузки Mac и запустить эксплойты, что даст ему возможность выполнить код внутри чипа T2 и получить в нем рутовые права. Ну а в дальнейшем получить доступ ко всему содержимому атакованного Mac.
Более того, бета софта под названием Checkra1n v.0.11.0, который эксплуатирует оба джейлбрейка, уже находится в открытом доступе.
А теперь самое худое - уязвимость является аппаратной и в данный момент не может быть устранена. Единственное, что может сделать пользователь, подозревающий, что его T2 взломан, - переустановить стоящую на чипе bridgeOS с помощью Apple Configurator. И это поможет ровно до следующего применения Checkra1n.
Возможно Apple и придумают какую-либо заплатку, но, полагаем, не быстро.
До той же поры рекомендуем не оставлять без присмотра свои MacBook с конфиденциальной информацией, закрывать их в сейфы и не таскать их через пограничные переходы, где их могут изъять для "исследования".
ZDNET
Hackers claim they can now jailbreak Apple's T2 security chip
Jailbreak involves combining last year's checkm8 exploit with the Blackbird vulnerability disclosed this August.
Международная морская организация (IMO) ООН на прошлой неделе подверглась атаке неустановленных хакеров, которая вынудила техническую поддержку отключить ряд сервисов учреждения. IMO отвечает за регулирование международного судоходства, а также за морскую экологию.
Согласно пресс-релизу IMO, кибернападение было проведено в прошлую среду и представляло собой "изощренную кибератаку, в ходе которой были преодолены жесткие меры безопасности" (наверняка сотрудник фишинговую приманку схватил). В результате, в целях предотвращения дальнейшего ущерба от атаки, были отключены ключевые системы, в числе которых сайт imo .org.
Принятыми мерами системы были восстановлены в пятницу.
Упоминание в пресс-релизе "мощной системы резервного копирования", а также того, что она регулярно тестируется, указывает с 90% вероятностью на то, что это была атака ransomware.
С учетом того, что все четыре крупнейших оператора морских перевозок уже были взломаны вымогателями, то атака на IMO - это вполне логичное продолжение истории. Осталось уточнить, почему операторы ransomware так не любят море. Может быть они грезили о парусе и соленых брызгах, а их не взяли в моряки...
Согласно пресс-релизу IMO, кибернападение было проведено в прошлую среду и представляло собой "изощренную кибератаку, в ходе которой были преодолены жесткие меры безопасности" (наверняка сотрудник фишинговую приманку схватил). В результате, в целях предотвращения дальнейшего ущерба от атаки, были отключены ключевые системы, в числе которых сайт imo .org.
Принятыми мерами системы были восстановлены в пятницу.
Упоминание в пресс-релизе "мощной системы резервного копирования", а также того, что она регулярно тестируется, указывает с 90% вероятностью на то, что это была атака ransomware.
С учетом того, что все четыре крупнейших оператора морских перевозок уже были взломаны вымогателями, то атака на IMO - это вполне логичное продолжение истории. Осталось уточнить, почему операторы ransomware так не любят море. Может быть они грезили о парусе и соленых брызгах, а их не взяли в моряки...
Prgloo
IMO web services - update 02/10/2020 Access to the www.imo.org website restored
Access to the public website www.imo.org has now been restored (Friday 2 October 14:00 BST)
Джон Макафи, основатель одного из мировых лидеров в производстве антивирусного ПО компании McAfee (в настоящее время он не имеет к ней отношения), как говорится, докатился. Честно говоря, у деда (75 годиков, как-никак) давно крыша потекла.
После всех чудачеств с женскими трусами на голове и более серьезных историй, типа обвинения в убийстве своего соседа в Белизе, ему, похоже, по настоящему прищемили афедрон.
Как сообщает BBC, Макафи был арестован в Барселоне по запросу Минюста США, который обвиняет его в уклонении от уплаты налогов в течение четырех лет с 2014 по 2018 год, несмотря на то, что за это время он заработал 23 миллиона долларов на консультациях, выступлениях, криптовалюте и продаже прав на свою биографию.
Кроме того его обвиняют в сокрытии активов в виде яхты и недвижимости.
По совокупности Макафи грозит 30 лет тюремного заключения, поскольку американские власти относятся к неуплате налогов очень нетерпимо. И если в приговоре будет реальный срок, то для него все может в тюрьме и закончиться.
Sic transit gloria mundi, скм.
После всех чудачеств с женскими трусами на голове и более серьезных историй, типа обвинения в убийстве своего соседа в Белизе, ему, похоже, по настоящему прищемили афедрон.
Как сообщает BBC, Макафи был арестован в Барселоне по запросу Минюста США, который обвиняет его в уклонении от уплаты налогов в течение четырех лет с 2014 по 2018 год, несмотря на то, что за это время он заработал 23 миллиона долларов на консультациях, выступлениях, криптовалюте и продаже прав на свою биографию.
Кроме того его обвиняют в сокрытии активов в виде яхты и недвижимости.
По совокупности Макафи грозит 30 лет тюремного заключения, поскольку американские власти относятся к неуплате налогов очень нетерпимо. И если в приговоре будет реальный срок, то для него все может в тюрьме и закончиться.
Sic transit gloria mundi, скм.
BBC News
Anti-virus creator John McAfee arrested over tax evasion charges
The anti-virus creator faces extradition to the US for allegedly failing to file tax returns.
Позиция канала SecAtor относительно подключенных к сети свистоперделок неоднократно нами озвучивалась и хорошо известна - нет! Потому что чем их больше тем больше уязвимостей.
Вчера британская инфосек компания Pen Test Partners сообщила об уязвимости, выявленной в мужском цифровом замке целомудрия Qiui Cellmate, которым можно управлять удаленно через Bluetooth с помощью мобильного приложения.
Дело в том, что в мобильном приложении оказался ряд уязвимостей, которые теоретически позволили бы злоумышленнику не только в течение пары дней собрать базу всех пользователей Qiui Cellmate, включая информацию об их местоположении, телефонном номере и дате рождения, но и дистанционно навсегда заблокировать устройство в закрытом состоянии.
Исследователи сообщили о проблеме китайскому производителю Qiui и те выпустили новую версию уязвимого API, но старые версии так и остались уязвимыми. В конце концов китайцы пропустили все сроки исправления ошибки и Pen Test Partners решили придать проблему огласке, чтобы легальные пользователи знали о подстерегающей их опасности.
Кстати, для снятия заблокированного Qiui Cellmate требуется УШМ или болторез (нет, срезать надо будет замок, а не болт).
Ну и хвала мирозданию, что эту ошибку не обнаружили операторы ransomware. Вот веселья-то было бы.
И еще одно - готовя этот пост мы узнали о существовании слова теледильдоника (да-да, от слов tele и dildo), которая означает технологии для удаленного секса. Теперь живите с этим.
Вчера британская инфосек компания Pen Test Partners сообщила об уязвимости, выявленной в мужском цифровом замке целомудрия Qiui Cellmate, которым можно управлять удаленно через Bluetooth с помощью мобильного приложения.
Дело в том, что в мобильном приложении оказался ряд уязвимостей, которые теоретически позволили бы злоумышленнику не только в течение пары дней собрать базу всех пользователей Qiui Cellmate, включая информацию об их местоположении, телефонном номере и дате рождения, но и дистанционно навсегда заблокировать устройство в закрытом состоянии.
Исследователи сообщили о проблеме китайскому производителю Qiui и те выпустили новую версию уязвимого API, но старые версии так и остались уязвимыми. В конце концов китайцы пропустили все сроки исправления ошибки и Pen Test Partners решили придать проблему огласке, чтобы легальные пользователи знали о подстерегающей их опасности.
Кстати, для снятия заблокированного Qiui Cellmate требуется УШМ или болторез (нет, срезать надо будет замок, а не болт).
Ну и хвала мирозданию, что эту ошибку не обнаружили операторы ransomware. Вот веселья-то было бы.
И еще одно - готовя этот пост мы узнали о существовании слова теледильдоника (да-да, от слов tele и dildo), которая означает технологии для удаленного секса. Теперь живите с этим.
Pentestpartners
Smart male chastity lock cock-up | Pen Test Partners
TL;DR Smart Bluetooth male chastity lock, designed for user to give remote control to a trusted 3rd party using mobile app/API Multiple API flaws meant anyone could remotely lock all devices and prevent users from releasing themselves Removal then requires…
Malwarebytes представили материал о выявленной 17 сентября атаке Kraken, в ходе которой полезная нагрузка помещается внутрь службы Windows Error Reporting (WER).
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
В качестве первичного проникновения хакеры использовали фишинговые письма с информацией о правах работников на компенсацию (хороший ход). Полезная нагрузка в виде библиотеки kraken.dll загружается с предварительно скомпрометированного сайта и внедряет вредоносный шелл-код в исполняемый файл WerFault.exe.
Далее вредонос осуществляет несколько проверок - например, пытается выяснить находится ли он в песочнице или виртуальной машине. Если проверки прошли нормально, то расшифровывает окончательный шелл-код и помещает его в выделенную область памяти.
Этот шелл-код, в свою очередь, создает еще одну выделенную область памяти и загружает в нее вредоносные модули с предварительно определенного домена. Что это за модули ресерчеры не выяснили, поскольку на момент исследования домен был недоступен.
Таким образом, Kraken является безфайловой атакой, которая очень похожа на активность прогосударственной APT.
Malwarebytes не смогли с достаточной степенью достоверности установить кто из APT является автором Kraken, но некоторые TTPs позволяют предположить, что это были хакеры из вьетнамской Ocean Lotus aka APT 32.
Про вьетнамцев мы писали здесь - это весьма профессиональные хакеры, заточенные на кибершпионаж в отношении как государственных структур (например, МЧС Китая), так и крупных коммерческие компании (вьетнамцы ломали Toyota и Lexus, BMW, Hyundai).
#APT #OceanLotus
Malwarebytes
Release the Kraken: Fileless injection into Windows Error Reporting service | Malwarebytes Labs
We discovered a new attack that injected its payload—dubbed "Kraken—into the Windows Error Reporting (WER) service as a defense evasion mechanism.
Исследователи из команды Netlab китайской компании Qihoo 360 (кстати крупные ресерчеры по теме APT, классификация APT-C-xx хакерских групп принадлежит именно им) нашли новый ботнет HEH, который потенциально может нанести большой ущерб.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Ботнет распространяется путем брутфорса открытых портов 23 и 2323 на системы под операционными системами nix. Список поддерживаемых ботнетом архитектур весьма велик - x86, ARM, MIPS и PowerPC. Это означает, что он способен заражать сервера, маршрутизаторы, устройства IoT и т.п.
Поскольку ботнет пока совсем молодой, то стандартных модулей для вредоносной активности исследователи не нашли. Функциональность нового бота HIH ограничена - дальнейшее заражение, запуск HTTP-сервер с отображением Декларации прав человека на восьми языках, отслеживание других ботов для получения и передачи команд. А также вредонос содержит функцию стирания всех разделов на скомпрометированном устройстве.
И вот это последнее инфосек экспертов крайне волнует, поскольку существует сильно отличная от нуля вероятность того, что удаление всех данных на атакованном устройстве является одной из основных функций ботнета, запланированной с самого начала.
В случае активации этого спящего камикадзе могут выйти из строя миллионы зараженных систем, многие из них - безвозвратно.
Подобные ботнеты уже существовали - это BrickerBot, фактически уничтоживший в 2017 году более десяти миллионов IoT-устройств, и Silex, который появился в 2019 и также был нацелен на интернет вещей.
Команда Cisco Talos выложила обновление своего обзора появившегося в этом году вредоноса PoetRAT, атакующего азербайджанские организации.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Впервые PoetRAT, названный так из-за повторяющихся ссылок на произведения Вильяма, нашего, Шекспира, был выявлен феврале в ходе фишинговой кампании, нацеленной на государственный и энергетический сектора Азербайджана.
Документ-приманка содержал вредоносный скрипт, который сохранял часть документа, которая на самом деле являлась архивом ZIP, на диск. В архиве содержался интерпретатор Python и сам PoetRAT. В качестве дополнительных модулей троян подгружал инструмент поиска и эксфильтрации информации по электронной почте и FTP, скрипт для записи видео с веб-камеры, кейлогер, версию Mimikatz и др.
Несколько фишинговых кампаний по распространению PoetRAT было выявлено в течение 2020 года и все они были направлены на азербайджанские цели.
Новая кампания, выявленная в сентябре 2020 года, содержит приманку, которая якобы представляет собой письмо с гербами Азербайджана по углам. Макрос, как и раньше, содержит ссылки на литературные произведения, только теперь это фрагменты английского текста из романа Достоевского "Братья Карамазовы" (символичненько).
Новая версия PoetRAT использует обфускацию и разбита на несколько разных файлов. Эксфильтрация информации теперь происходит также через HTTP.
В начале октября фишинговая приманка изменилась - теперь это документ от лица Государственной службы призыва и мобилизации Азербайджана. Сам вредоносный скрипт теперь был написан на Lua вместо Python. Исследователи попытались получить полезную загрузку, однако вместо нее получили файл "FUCK-YOU.txt".
Насчет принадлежности PoetRAT пока никакого точного понимания нет. Логично было бы предположить, что его распространением занимаются спецслужбы Армении, однако вредонос является оригинальным, а ранее про армянские APT мы ничего не слышал. Кроме слухов о том, что армяне покупали хакерские инструменты у Hacking Team и GammaGroupu.
И еще одно - в первой выявленной фишинговой кампании в качестве приманки использовалось размытое изображение документа, содержащего логотип Организации оборонных исследований и разработок (DRDO) Минобороны Индии. Возможно, что ранее PoetRAT использовался для атак на Индию или Пакистан, которые вряд ли находятся в зоне интересов Армении. Зато мы знаем одних хитрых персов, которые заинтересованы и в информации в отношении Индии, и больше того в данных из соседнего Азербайджана, являющегося союзником их других заклятых соседей из Турции.
Но это не точно.
Cisco Talos Blog
PoetRAT: Malware targeting public and private sector in Azerbaijan evolves
By Warren Mercer, Paul Rascagneres and Vitor Ventura.
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
* The Azerbaijan public sector and other important organizations are still targeted by new versions of PoetRAT.
* This actor leverages malicious Microsoft Word documents alleged to be from the Azerbaijan…
Немного инфосек юмора.
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
СТО: "Наша сеть на 100% защищена, потому что мы установили рекомендованные Гартнер лидирующие продукты в области сетевой безопасности".
Русские APT:
Forwarded from Информация опасносте
Окей, эта история просто заслуживает войти в the best этого канала!
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
Ну вообще-то это очень странное расследование, типа как пойти на север через юг.
Можно было бы сразу взять данные базовых станций и отследить чужие телефоны в районе поджога. Пробить их принадлежность и установить родственника издателя.
Но ок, мы узнали, что Google хранит всю историю поисковых запросов. Еще один повод использовать VPN и браузеры, которые не дают снимать fingerprint'ы.
Можно было бы сразу взять данные базовых станций и отследить чужие телефоны в районе поджога. Пробить их принадлежность и установить родственника издателя.
Но ок, мы узнали, что Google хранит всю историю поисковых запросов. Еще один повод использовать VPN и браузеры, которые не дают снимать fingerprint'ы.
ФБР выпустили предупреждение о небезопасности использования гостиничных Wi-Fi сетей для работы.
Мол, в период пандемии многие стали работать из гостиничных номеров, потому что там нет отвлекающих факторов как дома, и многие отели стали даже предлагать дневное бронирование номеров как отдельную услугу.
Предупреждение, в общем, правильное, только немного устаревшее. Лет на десять.
Ведь приблизительно десять лет назад, в 2010 году, южнокорейцы из APT Dark Hotel начали свою операцию Dark Hotel, по названию которой группа впоследствии и получила наименование. Хакеры компрометировали гостиничные сети, вытаскивали списки гостей, а потом через Wi-Fi соединение всаживали бэкдоры интересующим их лицам.
Мол, в период пандемии многие стали работать из гостиничных номеров, потому что там нет отвлекающих факторов как дома, и многие отели стали даже предлагать дневное бронирование номеров как отдельную услугу.
Предупреждение, в общем, правильное, только немного устаревшее. Лет на десять.
Ведь приблизительно десять лет назад, в 2010 году, южнокорейцы из APT Dark Hotel начали свою операцию Dark Hotel, по названию которой группа впоследствии и получила наименование. Хакеры компрометировали гостиничные сети, вытаскивали списки гостей, а потом через Wi-Fi соединение всаживали бэкдоры интересующим их лицам.
Telegram
SecAtor
Представьте себе – приехали вы в командировку, заселились в прекрасный дорогой пятизвездочный отель, продуктивно поработали и вечером вернулись в свой номер. Что, казалось бы, может вам угрожать? Вы же приличный человек, клофелинщиц к себе не водите, стулья…
Лаборатория Касперского опубликовала отчет о новой киберкампании, направленной на индустриальный шпионаж.
Использованный в ее ходе вредоносный инструментарий Касперские назвали MontysThree, поскольку его авторы использовали аббревиатуру MT3. Но мы, как люди более близкие к народному хозяйству, можем подсказать, что это аббревиатура означает трактор МТЗ, в простонародье более известный как "Беларусь".
Способ распространения - целевой фишинг. Приманки - список телефонов сотрудников, некое техническое задание и результаты анализов лаборатории Инвитро. И это с ходу указывает нам на две вещи - целью является российская организация и хакеры хорошо разбираются в действующих российских реалиях.
MontysThree состоит из нескольких модулей и активно использует стеганографию и несколько видов шифрования. Так загрузчик извлекает основной модуль вредоноса из растрового изображения и сохраняет его на диске как файл msgslang32.dll. В свою очередь XML конфигурация, которую основной модуль использует для работы, хранится в нем самом в зашифрованном виде, причем ключи шифрования также содержатся в теле основного модуля. Вообще MontysThree напоминает матрешку.
Отдельно стоит модуль HttpTransport, который отвечает за обмен данными с управляющим центром и эксфильтрацию информации. Для этого он использует как легитимные сервисы, такие как RDP, так и общедоступные хранилища Google и Dropbox.
Самое интересное, что исследователи не не нашли каких-либо совпадений в TTPs с уже известными акторами. То есть за MontysThree с большой долей вероятности стоит неизвестная на данный момент хакерская группа. Касперские полагают, что, несмотря на некоторые ложные следы, оставленные авторами вредоносов и указывающие на китайское происхождение MontysThree, эта группа является русскоязычной и работает по русскоязычным целям.
Вместе с тем, несмотря на то, что профилем данной кибератаки являлся индустриальный шпионаж, сложность и изощренность кампании может сравниться с методами ведущих прогосударственных APT. И это означает, что в нее вложены большие деньги. А следовательно востребованность подобных методов конкурентной борьбы среди крупных корпоративных игроков растет.
Использованный в ее ходе вредоносный инструментарий Касперские назвали MontysThree, поскольку его авторы использовали аббревиатуру MT3. Но мы, как люди более близкие к народному хозяйству, можем подсказать, что это аббревиатура означает трактор МТЗ, в простонародье более известный как "Беларусь".
Способ распространения - целевой фишинг. Приманки - список телефонов сотрудников, некое техническое задание и результаты анализов лаборатории Инвитро. И это с ходу указывает нам на две вещи - целью является российская организация и хакеры хорошо разбираются в действующих российских реалиях.
MontysThree состоит из нескольких модулей и активно использует стеганографию и несколько видов шифрования. Так загрузчик извлекает основной модуль вредоноса из растрового изображения и сохраняет его на диске как файл msgslang32.dll. В свою очередь XML конфигурация, которую основной модуль использует для работы, хранится в нем самом в зашифрованном виде, причем ключи шифрования также содержатся в теле основного модуля. Вообще MontysThree напоминает матрешку.
Отдельно стоит модуль HttpTransport, который отвечает за обмен данными с управляющим центром и эксфильтрацию информации. Для этого он использует как легитимные сервисы, такие как RDP, так и общедоступные хранилища Google и Dropbox.
Самое интересное, что исследователи не не нашли каких-либо совпадений в TTPs с уже известными акторами. То есть за MontysThree с большой долей вероятности стоит неизвестная на данный момент хакерская группа. Касперские полагают, что, несмотря на некоторые ложные следы, оставленные авторами вредоносов и указывающие на китайское происхождение MontysThree, эта группа является русскоязычной и работает по русскоязычным целям.
Вместе с тем, несмотря на то, что профилем данной кибератаки являлся индустриальный шпионаж, сложность и изощренность кампании может сравниться с методами ведущих прогосударственных APT. И это означает, что в нее вложены большие деньги. А следовательно востребованность подобных методов конкурентной борьбы среди крупных корпоративных игроков растет.
Securelist
MontysThree: Industrial espionage with steganography and a Russian accent on both sides
In summer 2020 we uncovered a previously unknown multi-module C++ toolset used in highly targeted industrial espionage attacks dating back to 2018.
А вы знали, как ФБР поймало поджигателя, проверив, кто гуглил адрес дома незадолго до поджога.
Или как Великобритании не учли почти 16 тысяч больных COVID-19 из-за того, что в таблице Excel закончилось место.
А то, что фильтры для лица у камер смартфонов Google приводят к самоубийствам.
Нет? Тогда подписывайтесь на Эксплойт | Live - самые необычные и нелепые новости технологий, IT и инфосека.
Или как Великобритании не учли почти 16 тысяч больных COVID-19 из-за того, что в таблице Excel закончилось место.
А то, что фильтры для лица у камер смартфонов Google приводят к самоубийствам.
Нет? Тогда подписывайтесь на Эксплойт | Live - самые необычные и нелепые новости технологий, IT и инфосека.
Telegram
Эксплойт | Live
Описание украли хакеры.
Необычные, нелепые и шокирующие новости технологий, IT и инфосека.
Обратная связь: @earlsky
Необычные, нелепые и шокирующие новости технологий, IT и инфосека.
Обратная связь: @earlsky
Следующая сентябрьская публикация прошла мимо нас, но содержащаяся в ней информация настолько хорошо демонстрирует проблемы в информационной безопасности у больших корпораций, имеющих дело с чувствительными данными, что мы не смогли пройти мимо.
Британская компания Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое исследование с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.
Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру - поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.
На веб-сайтах гостиничной сети Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года - 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Об обнаруженных ошибках было сообщено в Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию Which?.
На 9 доменах авиакомпании EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что "не обнаружено никакой злонамеренной активности" и, вообще, никаких клиентских данных на этих ресурсах не хранится.
На ресурсах British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них - критичные.
American Airlines - 291 уязвимость, из которых 7 критичные.
При этом, ранее на Marriot и British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.
То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.
Хорошо быть тупым (с)
Британская компания Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое исследование с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.
Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру - поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.
На веб-сайтах гостиничной сети Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года - 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Об обнаруженных ошибках было сообщено в Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию Which?.
На 9 доменах авиакомпании EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что "не обнаружено никакой злонамеренной активности" и, вообще, никаких клиентских данных на этих ресурсах не хранится.
На ресурсах British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них - критичные.
American Airlines - 291 уязвимость, из которых 7 критичные.
При этом, ранее на Marriot и British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.
То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.
Хорошо быть тупым (с)
Which? News
Hundreds of Marriott, British Airways and easyJet fail data security risks exposed by Which? – Which? News
Our experts find hundreds of data security vulnerabilities on the websites of major tour operators, airlines and hotel chains.
Очередной скандал вокруг корпорации Apple.
Вчера исследователь Тим Карри опубликовал в своем блоге историю того, как он и еще четверо этичных хакеров в течение трех месяцев искали уязвимости в инфраструктуре Apple в рамках программы Apple bug bounty.
Всего было обнаружено 55 уязвимостей, 11 из которых оказались критичными. Их эксплуатация позволила бы хакерам полностью скомпрометировать клиентские приложения, внедрять червя, захватывающего iCloud жертвы, воровать исходники внутренних проектов Apple, перехватывать сеансы сотрудников Apple с возможностью доступа к инструментам управления и внутренним ресурсам и т.д.
Предоставленный Карри материал весьма объемен (вы можете подробнее изучить его по приведенной ссылке, это интересно), но заканчивает он свое повествование вроде бы положительным финалом - об уязвимостях сообщили Apple, которые их исправили (некоторые критичные уязвимости были устранены в течение 4 часов), исследователи получили 55 с половиной тысяч долларов в качестве вознаграждения. Так и хочется воскликнуть - "Мы счастливы!" (с)
Однако у инфосек сообщества тут же пригорело. Все дело в том, что сумма в 55 тысяч долларов команде из 5 человек, которые работали 3 месяца и нашли 55 уязвимостей, из которых 11 критичных, - это, извините, насмешка над самим понятием bug bounty. Такую сумму какой-нибудь из топ-менеджеров Apple тратит за месяц на винишко.
Apple тут же окрестили "дешевыми ублюдками" (и это еще не самое грубое) и высказали мнение, что им надо больше денег перераспределять в сторону информационной безопасности. Мы, как вы сами понимаете, с этим полностью согласны, поскольку выражение "информационная безопасность за мелкий прайс" - одно из наших любимых, характеризующих отношение к инфосеку в крупных корпорациях.
Тут уже пригорело у Apple, они настучали Карри по голове и тот исправил сумму вознаграждения на 288 тысяч долларов и сказал, что видимо оплата будет больше, поскольку "похоже, Apple производит платежи поэтапно". Это, конечно, лол.
Тот самый случай, когда проблемы инфосека решить не могут, но на негативный информационный повод реагируют молниеносно. И пока PR будет в приоритете перед ИБ - ситуация будет все хуже и хуже.
Вчера исследователь Тим Карри опубликовал в своем блоге историю того, как он и еще четверо этичных хакеров в течение трех месяцев искали уязвимости в инфраструктуре Apple в рамках программы Apple bug bounty.
Всего было обнаружено 55 уязвимостей, 11 из которых оказались критичными. Их эксплуатация позволила бы хакерам полностью скомпрометировать клиентские приложения, внедрять червя, захватывающего iCloud жертвы, воровать исходники внутренних проектов Apple, перехватывать сеансы сотрудников Apple с возможностью доступа к инструментам управления и внутренним ресурсам и т.д.
Предоставленный Карри материал весьма объемен (вы можете подробнее изучить его по приведенной ссылке, это интересно), но заканчивает он свое повествование вроде бы положительным финалом - об уязвимостях сообщили Apple, которые их исправили (некоторые критичные уязвимости были устранены в течение 4 часов), исследователи получили 55 с половиной тысяч долларов в качестве вознаграждения. Так и хочется воскликнуть - "Мы счастливы!" (с)
Однако у инфосек сообщества тут же пригорело. Все дело в том, что сумма в 55 тысяч долларов команде из 5 человек, которые работали 3 месяца и нашли 55 уязвимостей, из которых 11 критичных, - это, извините, насмешка над самим понятием bug bounty. Такую сумму какой-нибудь из топ-менеджеров Apple тратит за месяц на винишко.
Apple тут же окрестили "дешевыми ублюдками" (и это еще не самое грубое) и высказали мнение, что им надо больше денег перераспределять в сторону информационной безопасности. Мы, как вы сами понимаете, с этим полностью согласны, поскольку выражение "информационная безопасность за мелкий прайс" - одно из наших любимых, характеризующих отношение к инфосеку в крупных корпорациях.
Тут уже пригорело у Apple, они настучали Карри по голове и тот исправил сумму вознаграждения на 288 тысяч долларов и сказал, что видимо оплата будет больше, поскольку "похоже, Apple производит платежи поэтапно". Это, конечно, лол.
Тот самый случай, когда проблемы инфосека решить не могут, но на негативный информационный повод реагируют молниеносно. И пока PR будет в приоритете перед ИБ - ситуация будет все хуже и хуже.
Twitter
x0rz
Apple, you cheap bastards. Your customers privacy is only worth $51k? Pretty sure the useless ads you paid advocating privacy was 10x more than this. Scandalous. You should seriously rethink how you’re budgeting your billions. Apple employees working in infosec…