🔍 Target: как кондиционер открыл проход в кассы

Клиент: крупная сеть розничных магазинов с тысячами POS-терминалов.

Исследователь/атакующие: взломали сетевые учётки подрядчика по HVAC (системам отопления/вентиляции), у которого был доступ в корпоративную сеть Target для удаленного управления термостатами.

🔤 Ход атаки:

1. Учетные данные подрядчика — слабые/перепользуемые — дали вход в сеть.

2. Злоумышленники переместились латентно по внутренней сети, нашли сегменты с POS.

3. Загружен и запущен POS-малварь, перехватывавший данные карт из памяти (RAM scraping).

4. Экфильтрация — данные собирались и отправлялись на внешние C2-серверы.

🔴 Последствия:

Компрометация ≈110 млн записей (платежи, контактные данные), подорвано доверие клиентов, многомиллионные убытки и юридические издержки; перестановки в руководстве и пересмотр практик безопасности в ритейле.

🔴 Меры, которые спасли бы (и потом ввели)

Жёсткая сегментация сети, MFA и уникальные учетные данные для подрядчиков, мониторинг east-west трафика, контроль доступа по принципу least-privilege, защита памяти POS-процессов (tokenization), быстрый инцидент-ответ и уведомление клиентов.

🐸 Библиотека хакера

#breach_breakdown

⚠️ Confluence 0-day в действии

Исследователи заметили всплеск подозрительных запросов к /rest/api/latest/... на honeypot-серверах. Позже выяснилось: это эксплуатация новой 0-day уязвимости в Atlassian Confluence — CVE-2023-22515. Баг в контроле доступа позволял обойти аутентификацию и получить системные права.

➕ Через пару дней после публикации патча эксплойт разошёлся по GitHub и Telegram, а начались массовые компрометации: на серверах запускались bash-скрипты с установкой криптомайнеров.

📉 За считанные сутки — сотни заражённых инстансов.

💡 Atlassian выпустила фикс, но многие компании обновились слишком поздно.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

😈 Хакерские атаки через рекламу в соцсетях

Positive Technologies обнаружили вредоносную кампанию против стран MENA.

Схема проста ⬇️

Хакеры создают фейковые новостные группы, публикуют рекламные посты со ссылками на файлообменники или Telegram.

Там скрывается модифицированный AsyncRAT — троян для кражи криптокошельков.

🔴 Пик таких атак пришёлся на 2018-2020 гг. Злоумышленники маскировали вредоносы под «взломанные» приложения в Telegram-группах и продвигали через рекламу. Сейчас мессенджер активно борется с проблемой, но угроза остаётся.

Всегда проверяйте файлы из неизвестных источников ❗️

🔗 Читать подробнее

🐸 Библиотека хакера

#breach_breakdown

🏆 $12,500 за одну строку кода в GraphQL

Цель: HackerOne — собственная платформа для баг-баунти.

🔤 Как это работало:

Исследователь редактировал свои сертификаты (OSCP, CEH) в профиле и перехватил GraphQL запрос в Burp Suite. В мутации createOrUpdateHackerCertification передавался параметр id сертификата.

Он изменил свой ID на чужой и отправил запрос — сертификат другого пользователя был успешно удалён. Платформа не проверяла, кому принадлежит объект.

Через простой enumeration можно было зачистить профессиональные credentials любого хакера на HackerOne: OSCP, CISSP, CEH и другие лицензии, подтверждающие квалификацию.

💥 Последствия:

Массовое удаление лицензий разрушает репутацию специалистов и подрывает доверие к платформе. Для HackerOne это был критический удар по собственному имиджу.

🛡️ Что сделали:

Добавили проверку ownership в GraphQL resolver — теперь перед любой операцией сервер проверяет

cert.user_id === current_user.id

💡 GraphQL мутации часто пропускают авторизацию. Если видишь ID в запросе — всегда подставляй чужой.

📎 Источник

🐸 Библиотека хакера

#breach_breakdown

🔓 Реальная Атака на Trezor

В 2020 исследователи Ledger Donjon полностью извлекли seed-фразу из Trezor One и Trezor T. Физический доступ + несколько часов = все ваши битки.

Как это работает:

Процессор STM32 в Trezor — обычный микроконтроллер без защиты от физических атак. При обработке криптографии он создаёт электромагнитное излучение, которое коррелирует с данными. Добавьте voltage glitching — и все защиты обходятся.

*(см. инфографику выше)*

Почему Trezor не может это пропатчить:

Это не баг в софте — это архитектура железа. STM32 изначально не спроектирован для защиты от:

• Side-channel атак
• Fault injection
• Physical tampering

Ledger решает это через отдельный Secure Element (ST33) с защитой уровня EAL5+ — в 20 раз дороже взломать.

🛡️ Единственная реальная защита:

Seed = BIP39(24 words) + strong_passphrase

Passphrase (25-е слово) не хранится на устройстве. Даже если атакующий извлечёт seed, без passphrase средств не получить.

И никогда не отправляйте hardware wallet на «ремонт» 😰

🐸 Библиотека хакера

#breach_breakdown

⚠️ MyData атаковала производственную компанию Bangkok Eagle Wings

Ransomware-группа MyData заявила о взломе тайской фабрики Bangkok Eagle Wings Co., Ltd. и краже массива внутренних данных. Атака вписывается в новый тренд 2025 года — переход вымогателей в промышленный сектор.

🔤 Что под угрозой:

— внутренние документы, закупочные ведомости, спецификации;

— данные сотрудников и контрагентов;

— сбои на производственных линиях;
— репутационный ущерб от потенциальной публикации данных.

🔤 Как действует MyData (по кейсам 2024–2025):

— вход через уязвимые VPN, проброшенные RDP или забытые сервисы в DMZ;

— exfiltration-first: сначала вытаскивают данные, потом шифруют;

— автоматическое отключение антивирусов и бэкапов;

— двойное давление: leak-сайт + рассылка угроз партнёрам компании.

❔ Почему производство = новый хайп у вымогателей

В промышленности любой простой = прямые убытки. Это делает заводы и фабрики не менее привлекательной целью, чем финансы или ритейл.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

⚠️ ZTNA под атакой: ключевые техники обхода Zero Trust

Zero Trust ломают не через сети, а через то, чему система уже доверяет: устройства, токены и агентов.

🔤 Как обходят: коротко

— компрометация «доверенного» устройства;
— подмена posture-данных (антивирус, версия ОС);
— захват активных сессий вместо паролей;
— атаки на ZTNA-клиентов и их трафик.

🔤 Устройства:

— подмена MDM-аттестации;
— загрузка в Safe/Recovery Mode → обход проверок;
— использование украденных корпоративных ноутбуков как легитимных туннелей;
— слабые posture-проверки, которые верят на слово агенту.

🔤 Токены и сертификаты:

— replay действующих сессий;
— перенос device-certificate на другой хост;
— отключение TLS-pinning у агента (Frida, LLDB);
— атаки на OAuth/OIDC, где refresh-токен не привязан к железу.

🔤 Почему работает:

ZTNA в реальных внедрениях слишком доверяет endpoint’ам. Если устройство или токен помечены как «чистые» — доступ откроется, даже если хост уже под контролем злоумышленника.

🔗 Публичный разбор реального ZTNA-bypass

🐸 Библиотека хакера

#breach_breakdown

🛏 Крупнейшая утечка метаданных: кейс WhatsApp 2025

Исследователи из University of Vienna взяли обычную функцию WhatsApp — Contact Discovery — и через неё собрали данные 3.5 миллиарда аккаунтов. За несколько месяцев. Без единой блокировки.

🔵 Как работала эксплуатация:

Механизм простой: WhatsApp позволяет проверить, зарегистрирован ли номер в системе. Легитимная функция для синхронизации контактов.

Исследователи сгенерировали 63 миллиарда потенциальных номеров для 245 стран и начали массовую проверку через официальный API.

Скорость атаки:
→ 7,000 номеров в секунду
→ Более 100 миллионов в час
→ Первые 30 млн американских номеров за 30 минут

Защита? Отсутствовала. Никакого rate limiting, никаких блокировок.

Кампания шла с декабря 2024 по апрель 2025 — пока не собрали весь глобальный датасет.

🔵 Что оказалось в открытом доступе:

Формально только то, что сами пользователи сделали публичным:

→ Телефонные номера (3.5 млрд активных)
→ Фото профиля у 57% аккаунтов
→ Публичные ключи шифрования и временные метки
→ Метаданные: возраст аккаунта, ОС, количество устройств

🔴 Последствия:

Геополитика: миллионы активных аккаунтов обнаружены в странах с запретом WhatsApp — Китай, Иран, КНДР, Мьянма. Власти этих стран преследуют за обход блокировок, теперь есть готовый список целей.

Региональные особенности: в Западной Африке 80% профилей были публичными — максимальная утечка метаданных. В других регионах показатели ниже, но общий объём критичен.

Потенциал для атак: база из 3.5 млрд номеров с привязкой к метаданным идеальна для таргетированного фишинга, SIM-swap и социальной инженерии. 9% датасета — WhatsApp Business аккаунты с расширенной информацией о компаниях.

🔴 Реакция Meta:

Детальный отчёт Meta* получила в августе 2025. Первые меры внедрили в сентябре, полную митигацию — в октябре.

Исследователи удалили датасет после анализа и получили баунти через официальную программу. Доказательств эксплуатации реальными злоумышленниками не найдено.

*Корпорация Meta признана в РФ экстремистской

🐸 Библиотека хакера

#breach_breakdown