Хакеры-мигранты

IT-специалисты из России массово примыкают к турецким хакерским сообществам и атакуют компьютеры граждан во всем мире, включая жителей русскоязычных стран.

По данным турецкой полиции и зарубежных ИБ-исследователей, некоторые из IT-релокантов выбирают далеко не самые законные способы заработка на новой «родине». Уже сейчас полиция сталкивается с активизацией в стране мелкого онлайн-мошенничества.

Российские хакеры объединяются с местными преступниками для легализации доходов и продажи сведений, полученных в результате глобальных атак, в Западную Европу по более выгодному прайсу. Зачастую российские специалисты могут просто обучать турецких хакеров сложным кодам взамен на помощь в заключении выгодных сделок.

Турецкие хакерские онлайн-площадки уже переполнены миллионами украденных кредитных карт и самых актуальных учетных данных. ИБ-исследования говорят о том, что турецкие злоумышленники даже начали профессиональнее подходить к рекламе своих услуг и давать рекомендации клиентам относительно работы с украденными сведениями. Интересно, почему?

НеКасперский

Сертифицируемся?

В России планируется создание единой системы сертификации IT-специалистов.

Меморандум о сотрудничестве крупнейших IT-компаний, фонда «Сколково» и «Иннополиса» в части формирования единых методик и подходов к сертификации уже запланирован на ближайший четверг.

Требования сертификации коснутся в первую очередь специалистов, работающих исключительно с программным обеспечением из РРПО. Цель – «сформировать работающую и признанную всеми игроками систему», которая ранее существовала в условиях присутствия иностранных вендоров на отечественном рынке ПО. Под игроками подразумеваются как сами разработчики, так и заказчики, IT-интеграторы и госкомпании.

Что же касается безопасников, то неделю назад в Минцифры предложили пересмотреть существующие стандарты подготовки специалистов по кибербезопасности с учетом текущего уровня угроз. Более того, в конце прошлого года в ведомстве вообще заявили о планах сформировать собственную систему сертификации для российских специалистов по информационной и кибербезопасности. Всё в рамках внедрения параллельной сертификации для внутреннего пользования в стране по аналогии с зарубежными ИБ-сертификатами типа CISA, СISM, CISSP, CCNA Security и т.п. О ходе продвижения инициативы, правда, более не сообщалось.

Повесите на стену рядом со своими сертификатами ALCSA и ALCP отечественный аналог CompTIA Security+?

НеКасперский

Возвращаемся к нашим баранам

А точнее к побочным каналам утечки информации. Новый вектор атаки «WikI-Eve» позволяет злоумышленнику перехватить информацию с вашего мобильного устройства в виде простого текста или определить нажимаемые вами клавиши.

Во основе уязвимости лежит технология BFI (beamforming feedback information), родившаяся ещё в далёком 2013 году одновременно с Wi-Fi 5. Технология отвечает за передачу роутеру сведений о точном местоположении устройства для направления сигнала. Проблема заключается в том, что передается подобная информация в открытом виде. Это позволяет ее перехватить и использовать без взлома самого оборудования или компрометации, к примеру, ключа шифрования.

Предварительно получив сведения о MAC-адресе смартфона, хакер может с помощью того-же WireShark с легкостью мониторить и при помощи машинного обучения анализировать перехватываемые метаданные. На практике это позволяет с более чем 85% точностью определить шестизначные числовые пароли менее чем за 100 попыток на достаточном расстоянии от точки доступа.

Для тех, кто всё ещё надеется на числовые пароли, рекомендуем переходить на 2FA. Осознанным же пользователям эксперты рекомендуют применять технологии обфускации сигнала или перестановки клавиш на экранной клавиатуре.

Откладываем меры по безопасности до понедельника?

НеКасперский

На это мы кликаем

Один-единственный Word-документ может пополнить список вирусов вашего ПК на ещё на три.

Новый вектор атаки обнаружили в Fortinet. Исследователи встретили файлы, содержащие «reCAPTCHA», вот только это не нововведение Microsoft. Кликнув по «капче», вы незаметно перейдёте на URL с загрузчиком вредоносов, подтягивающий AgentTesla, OriginBotnet и RedLine.

Работая вкупе, все три уязвимости позволяют хакеру считывать нажатия с вашей клавиатуры, иметь доступ к паролям, учетным и личным данным, подменять данные буфера обмена для кражи криптовалюты. В теории, OriginBotnet может загрузить ещё большее количество малвари, развив атаку.

Заманивать мамонта решили гениально: над судьбоносной «капчей» вставили размытое изображение, которое якобы должно отобразится после успешного прохождения проверки 👍🏼

НеКасперский

How to install Malware in linux

Хакеры более трёх лет кошмарили невнимательных пиратов, сидящих на Linux.

Зловредный аналог «Free Download Manager» распространялся через скомпрометированный официальный сайт загрузчика и задел пользователей из Бразилии, Китая, Саудовской Аравии и России.

При попытке загрузить .exe в некоторых случаях официальный сайт перенаправлял пользователя на вредоносную версию, фоново развёртывающую бэкдор в процессе установки ПО. Троян позволял злоумышленникам похищать сведения о системе, историю браузера, сохранённые пароли, данные крипто-кошельков и прочее.

Обнаружившие бэкдор, исследователи Лаборатории Касперского даже нашли на YouTube видео-инструкции, на которых ничего не подозревающие авторы запечатлели, как скачивают вредонос с левого URL-адреса. В статье предположили, что зловреду удавалось оставаться незамеченным так долго благодаря тому, что жертва перенаправлялась на вредоносную ссылку с определённой вероятностью.

НеКасперский

Дорогие подписчики, статья!

Рады опубликовать нашу первую работу на телеграф, в которой расскажем об атаках на медицинские учреждения и организации, с чего всё началось, как это было и как это повлияло на отношение регулирующих органов к кибербезопасности.

Приглашаем к прочтению и обсуждению ☺️

НеКасперский

Теперь поговорим о нас

Не успели мы написать статью об атаках хакеров на медицинские учреждения, как сегодня стало известно о новой волне фишинговых рассылок в отечественные организации.

В ходе новой компании злоумышленники пытаются убедить больницы и поликлиники в том, они нарушают 152-ФЗ. Они представляются компаниями-подрядчиками РКН, предупреждают о «нарушении» и настаивают, подписав договор «под ключ», предоставить доступ к базе данных, чтобы «исправить нарушения».

При попытке узнать, что же там за нарушения, недальновидные мошенники сразу теряются. Но если доступ к базе всё же передать, то в их руках могут оказаться все сведения для кражи средств, а также и деликатные о здоровье пациентов, как это бывает в подобных утечках.

Из сообщения экспертов по формулировкам «если организация поддаётся, то…» можно понять, что были и случаи, когда организации-мамонты таки велись на уловки хакеров.

НеКасперский

Stonks

На одной из теневых площадок впервые обнаружилось порядка 15 тыс. учетных записей владельцев автомобилей из США.

Исследователи заявляют, что в открытом доступе сначала было лишь 10 тыс. учёток одного из европейских автопроизводителей, а через неделю база пополнилась еще 5 тыс. аккаунтами уже нескольких американских автопроизводителей.

Хакеры продают данные через Telegram по $2 за аккаунт. Помимо самого доступа к аккаунту, покупатель получает VIN-номер автомобиля и пачку личных данных владельца вроде ФИО, телефона и даже адреса проживания.

Неизвестно, откуда хакеры смогли единовременно вытащить такой пул данных, которые потенциально могут быть использованы во множестве мошеннических схем. В том же США, например, в ряде случаев подобные сведения могут позволить злоумышленнику просто угнать авто и выдать за свой собственный.

НеКасперский

Редко, но метко

Хакеры из «Солцепека» постепенно переходят от пивка к действительно болезненным ударам.

Вчера группировка вновь напомнила о себе. Хакеры получили доступ к внутренним АС украинских банков «Ощадбанк» и «Аккордбанка». Организации являлись одними из основных посредников при сборе средств для ВСУ.

Чуть позже в открытом доступе оказались сразу несколько файлов с более чем 2,3 Гб персональных данных клиентов финансовых организаций. Помимо технической и организационной документации, ребятам удалось вытащить на всеобщее обозрение порядка 5 млн строк данных граждан украины, среди которых оказались:

• ФИО
• телефон
• адреса регистрации
• адреса фактического проживания
• место работы
• дату рождения
• пол
• полные паспортные сведения
• код и адрес отделения банка

За терпением пришло поощрение. Наконец-то кто-то дал достойный ответ на участившийся атаки в сторону отечественной инфраструктуры.

НеКасперский

По секрету всему свету

Сотрудник «Кронштадта» слил секреты оборонного предприятия в GitHub.

Компания является ведущим производителем БПЛА, в частности, именно они разработали «Орион» и «Иноходец».

Программист из Подмосковья с рабочего компьютера опубликовал конфиденциальные сведения, которые включают в себя часть кода, коммерческие данные и пароли к учетным записям коллег.

В отношении злоумышленника возбуждено уголовное дело, его подозревают в неправомерном воздействии на критическую информационную инфраструктуру страны с использованием своего служебного положения.

Теперь экс-сотрудник находится под подпиской о невыезде. Если вина будет доказана, ему грозит от 3 до 8 лет лишения свободы.

НеКасперский

Взятки гладки

Американский оператор казино и отелей Caesars Entertainment Inc. выплатил хакерам около 15 млн. долларов.

Согласно документам, которые компания подала в Комиссию по ценным бумагам и биржам США, атака была обнаружена 7 сентября 2023 года.

Злоумышленники получили доступ к компьютерным системам Caesars Entertainment Inc. и угрожали обнародовать базу данных программы лояльности с номерами социального страхования и сведениями водительских прав клиентов. Чтобы не допустить утечки, компания заплатила хакерам выкуп.

При этом в пострадавшей организации признают, что не могут предоставить никаких гарантий относительно дальнейших действий взломщиков. Не исключено, что хакеры всё равно могут продать или слить в сеть похищенную информацию о клиентах.

Чтож, учитывая решение компании, ждём ПДн клиентов в открытом доступе 🤷🏻‍♂️

НеКасперский

Дайджест утечек

Продолжаем не успевать рассказывать вам обо всех актуальных атаках и утечках начала осени. Вновь собрали упущенное в одном месте.

• Корейские хакеры, на этот раз из Lazarus, продолжают лутать доллары. Минувшая неделя отличилась прежде всего громким взломом и кражей более $40 млн с горячих кошельков клиентов криптобиржи CoinEx. Суммарные убытки биржи оцениваются в почти $70 млн. Причиной взлома стали скомпрометированные закрытые ключи кошельков, на которых временно хранятся активы биржи для проведения транзакций. Администрация CoinEx заверила, что все пострадавшие от кибератаки лица получат компенсацию.

• Хакеры из ShinyHunters похитили у Австралийской Pizza Hut персональные данные более 1 млн клиентов и теперь требуют выкуп в размере $300 тыс. Злоумышленники проэксплуатировали уязвимость в AWS и вытащили из инфраструктуры ресторана более 30 млн строк данных. В Pizza Hut не дали каких-либо комментариев ни самим хакерам, ни даже местным СМИ.

• Национальные киберсилы Великобритании снова в пролёте. Неизвестные хакеры по уже знакомой схеме взломали и слили персональные данные сотрудников полиции Манчестера. Инцидент почти полностью копирует прошлую атаку, что говорит о возможной причастности хакеров и к ней. Кто-то явно невзлюбил Бобби.

• Данные клиентов, предположительно, Ростелекома были слиты в результате компрометации базы заявок на подключение одного из партнеров организации. В РТ опровергают свою причастность к утечке, хотя ни для кого не секрет, что компания чаще других прибегает к услугам агрегаторов заявок на подключение, либо просто предоставляет свои мощности в аренду провайдерам.

• «Спортмастер» не плачь. В сеть снова попала БД украинского магазина спортивных товаров. На этот раз жертвой неизвестных хакеров стал «Видита-Спорт». Среди почти 10 тыс. строк оказались имя, фамилия, почта, телефон и хеш пароля.

НеКасперский

Это вам не Pegasus

Разработано вредоносное ПО, способное заражать устройства пользователей через онлайн-рекламу.

Израильская Insanet представила коммерческую версию технологии Sherlock. Программа, разработанная в коллабе с компанией Candiru, внедряется на устройство через рекламные объявления в сети и собирает данные пользователя или даже целой группы пользователей, ориентируясь на их предпочтения.

Да, вам не показалось, технология действительно была заведомо одобрена для продажи министерством обороны Израиля на территории, внимание, демократических стран. Стоимость чуда кибершпионской мысли – всего $6 млн.

Исследователи считают, что такое дорогостоящее решение не несет реальных рисков конфиденциальности в массы. Про злополучный израильский Pegasus, кошмарящий сейчас журналистов и не только, когда-то говорили тоже самое. Ко всему прочему, Sherlock распространяется не как услуга, а как технология, что не может не привлечь «специалистов» из самых темных уголков сети.

НеКасперский

MOEX упала

Однако речь идёт не про её индекс. Хакеры из GhostSec заявили, что им удалось выгрузить конфиденциальную информацию с FTP-сервера Московской биржи, которой хватило на архив весом более 2,8 ГБ.

В своей усмешке хакеры косвенно упомянули и использованное уязвимое место — неизвестный сотрудник, оставивший креды от своей учётной записи практически открытыми.

Биржа никаких комментариев и пресс-релизов по факту утечки не дала, а архив за 3 дня скачали уже более 300 раз.

НеКасперский

Что-то на крупном

В Колумбии произошла крупнейшая кибер атака за последние годы.

Там хакеры, нацеленные на компрометацию местного провайдера, заразили своей малварью государственные учреждения, правительственные сайты, Минюст, Минздрав, судебную систему, больницы и ещё более 750 компаний Латинской Америки. Всего 64 организации в Колумбии, 34 из которых — государственные.

IFX Networks предоставляет телекоммуникацию интернет-порталам и государственным учреждениям в 12 странах Америки. При этом, как утверждается, никаких политических мотивов у хакеров не было, от всех отстрадавших требуя выкуп.

Из-за атаки Верховному суду, например, пришлось на неделю приостановить слушания по всем делам.

НеКасперский

Крым теперь их

Хакеры из UHG вчера взломали и положили сайт отечественного сервиса аренды жилья «Форенто».

К заявлению об этом они приложили sql-дампы с данными пользователей сайта. Файлы, содержащие в общей сложности 389 тыс. записей содержат:

• ФИО
• Телефон (более 325 тыс. уникальных)
• Почту (около 323 тыс. уникальных)
• Пароли в открытом виде
• Дату рождения и данные из социальных сетей

Недавно лишившаяся своего телеграмм-канала, проукраинская группировка кроме Форенто положила и ламповый ноунейм сайт туристических поездок по Крыму, о чём не перестаёт с гордостью сообщать уже второй день подряд.

«щоб кожен окупант відпочиваючи знав що за ним вже приглядають!»

Мы вот испугались, что за нами приглядывают. Вот это мы понимаем уровень, мощно 💪🏾

НеКасперский

Google опять тебя продала

На прошлой неделе компания согласилась выплатить штраф Калифорнии в размере $93 млн за-за незаконной слежки за пользователями Android.

Устройства собирали геолокацию даже при полном её отключении. Кроме того, пользователей обманом через уведомления и подсказки заставляли включить историю местоположений.

Минюст США считает, что геоданные без согласия пользователя использовались корпорацией для таргетированной рекламы. Компания при этом за первую половину 2023 года получила рекордные $111 млрд прибыли от рекламы, где-то 81% от общей прибыли.

В Google же, несмотря на согласие выплатить штраф и ограничить сбор геоданных, заявляют, что от подобных практик отказалась многие годы назад, тогда же были изменены и политики конфиденциальности.

Кстати, в прошлом году за аналогичные претензии от 40 Штатов компанией было выплачено в общей сложности почти $400 млн (0,36% от прибыли за рекламу).

Ну ничего, на этот раз они исправятся ☺️

НеКасперский

Произошла депортация информации

Хакеры взломали системы штаб-квартиры Международного уголовного суда в Нидерландах.

ИБ-департамент МУС обнаружил подозрительную активность в своей сети еще в конце прошлой недели, но, судя по всему, принять меры не успел. Потенциально в результате могло быть украдено большое количество конфиденциальных документов.

Организация, как это ни странно, не сообщила о подробностях взлома. Вчера суд заявил, что уже работает над смягчением последствий и будет опираться на «уже существующие процессы усиления своего положения в области кибербезопасности», сославшись на ускоренное внедрение облачных технологий. А еще, как это принято в сильном и независимом ЕС, понадеялась на поддержку со стороны государств-участников и заинтересованных сторон.

Ждем «выражения озабоченности» со стороны европейских государств под «приправой» из тысяч обвинений в адрес России. А пока наблюдаем как облачные технологии будут спасать Европу от утечек.

НеКасперский

Скоро уже будут сниться

На этот раз ошибочная публикация и неверная конфигурация токена подписи общего доступа (SAS) привела к утечке 38 ТБ чувствительных данных Microsoft, включая резервные копии компьютеров 2 сотрудников компании, хранящие пароли, секретные ключи и более 30 тыс. внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.

Ошибка обнаружилась в GitHub репозитории с обучающими данными исследовательского отдела Microsoft AI и представляла собой криво сконфигурированный SAS-токен. Некорректная конфигурация прав доступа внутри токена позволяла, зная только URL, получить расширенные права на просмотр и редактирование рабочего облачного хранилища внутренних данных на их собственной платформе Azure.

Более того, выяснилось, что проблеме уже более 3 лет, а лайфтайм SAS-токена вообще прописан аж до 2051 года.

Microsoft уже устранила проблему, но, кажется, устранить свою безграмотность в кибербезопасности им уже не суждено никогда.

НеКасперский