Настойчивостью и азартом исследователей из Positive Technologies восхищаемся и аплодируем.
Уже несколько лет они предметно копают архитектуру процессоров Intel.
Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.
В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.
А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.
Впрочем, без паники.
Во-первых, такое невозможно проделать удалённо.
Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.
В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.
Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?
Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.
Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.
Уже несколько лет они предметно копают архитектуру процессоров Intel.
Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.
В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.
А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.
Впрочем, без паники.
Во-первых, такое невозможно проделать удалённо.
Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.
В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.
Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?
Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.
Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.
Ars Technica
In a first, researchers extract secret key used to encrypt Intel CPU code
Hackers can now reverse-engineer updates or write their own custom firmware.
Всего 15% людей используют IT сервисы, которые делают их эффективными в работе, бизнесе или учебе, а также экономят массу времени и денег!
остальные 85% просто-напросто не знают о них
В современном мире без IT - НЕВОЗМОЖНО
Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!
Подпишитесь сейчас - улучшите жизнь с помощью IT
остальные 85% просто-напросто не знают о них
В современном мире без IT - НЕВОЗМОЖНО
Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!
Подпишитесь сейчас - улучшите жизнь с помощью IT
Telegram
Рестарт
Наконец-то нормальный канал про технологии, игры и гаджеты, а не вот это все.
Предложка: @rstrt_bot
Сотрудничество: @todaycast
Реклама на бирже: telega.in/c/remedia
РКН: https://clck.ru/3FjTtt
Предложка: @rstrt_bot
Сотрудничество: @todaycast
Реклама на бирже: telega.in/c/remedia
РКН: https://clck.ru/3FjTtt
Сводим олдскулы вместе с Joe Slowik!
Twitter
Joe Slowik 🎠
https://t.co/pIbIDRNk8i
Федеральная налоговая служба, Федеральная иммиграционная служба, Федеральная таможенная служба, Федеральная служба по контролю за оборотом наркотиков, Министерство юстиции используют вредоносные программы для расследования нарушений.
Неожиданно, да?
Одна поправочка: речь идёт о США.
Американские правдорубы из Privacy International (PI) ведут многолетнюю официальную тяжбу с государством для повышения прозрачности хакерских практик правительственных ведомств. В соответствии с законом Freedom of Information Act организация запросила сведения о том, кто, как, когда, против кого и на каком основании использовал подобные методы и опубликовала первые результаты. Их краткое содержание вы уже прочли в первом абзаце.
Также стало известно, что ведомства активно обмениваются опытом и проводят тренинги. Некоторые приобретали хакерские инструменты у иностранных разработчиков: например, DEA (Drug Enforcement Administration) имело отношения с израильской NSO Group и итальянской Hacking Team. Налоговая служба каким-то образом использовала продукты Adobe с технологией Digital Rights Management для проведения неких «специальных сетевых расследований» (неужели ещё один легальный бэкдор?).
Принимаем ставки: обяжут ли правительственные ведомства США публиковать очёты о прозрачности, как это теперь делают коммерческие компании? Сколько, когда, кого, за что хакнули, что нашли, кто разрешил и сколько дали?
Шутка. Не будем мы участвовать в этом бессмысленном споре.
Больше попкорна богу попкорна!
Неожиданно, да?
Одна поправочка: речь идёт о США.
Американские правдорубы из Privacy International (PI) ведут многолетнюю официальную тяжбу с государством для повышения прозрачности хакерских практик правительственных ведомств. В соответствии с законом Freedom of Information Act организация запросила сведения о том, кто, как, когда, против кого и на каком основании использовал подобные методы и опубликовала первые результаты. Их краткое содержание вы уже прочли в первом абзаце.
Также стало известно, что ведомства активно обмениваются опытом и проводят тренинги. Некоторые приобретали хакерские инструменты у иностранных разработчиков: например, DEA (Drug Enforcement Administration) имело отношения с израильской NSO Group и итальянской Hacking Team. Налоговая служба каким-то образом использовала продукты Adobe с технологией Digital Rights Management для проведения неких «специальных сетевых расследований» (неужели ещё один легальный бэкдор?).
Принимаем ставки: обяжут ли правительственные ведомства США публиковать очёты о прозрачности, как это теперь делают коммерческие компании? Сколько, когда, кого, за что хакнули, что нашли, кто разрешил и сколько дали?
Шутка. Не будем мы участвовать в этом бессмысленном споре.
Больше попкорна богу попкорна!
Скорее бы уже прошла выборная кампания в США и последующие внутриэлитные разборки. Потому что читать через день новости про русских хакеров уже неинтересно.
Очередной срыв покровов организовали американское киберкомандование, CISA и ФБР в конце прошлой недели. Агентство кибербезопасности США (CISA) выпустило предупреждение об использовании хакерами из APT Turla, предположительно работающей на российские спецслужбы, новых штаммов трояна ComRAT. При этом вредонос был впервые официально атрибутирован как принадлежащий российской прогосударственной APT.
Как мы понимаем, все это происходит при активном участии словацкого инфосек вендора ESET, который давно отслеживает активность ComRAT.
В 2008 году с помощью ранней версии вредоноса была взломана одна из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя. Так что принадлежность ComRAT национальным спецслужбам вопросов, в принципе, не вызывает. Вместе с тем, в конце 2019 года британский Национальный центр кибербезопасности (NCSC) заявлял, об иранском следе в активности Turla.
На этом, пожалуй, про русских хакеров пока что завершим. Пусть выборы пройдут, тогда посмотрим.
Очередной срыв покровов организовали американское киберкомандование, CISA и ФБР в конце прошлой недели. Агентство кибербезопасности США (CISA) выпустило предупреждение об использовании хакерами из APT Turla, предположительно работающей на российские спецслужбы, новых штаммов трояна ComRAT. При этом вредонос был впервые официально атрибутирован как принадлежащий российской прогосударственной APT.
Как мы понимаем, все это происходит при активном участии словацкого инфосек вендора ESET, который давно отслеживает активность ComRAT.
В 2008 году с помощью ранней версии вредоноса была взломана одна из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя. Так что принадлежность ComRAT национальным спецслужбам вопросов, в принципе, не вызывает. Вместе с тем, в конце 2019 года британский Национальный центр кибербезопасности (NCSC) заявлял, об иранском следе в активности Turla.
На этом, пожалуй, про русских хакеров пока что завершим. Пусть выборы пройдут, тогда посмотрим.
Теперь уже официально - ransomware Maze прекратило свое функционирование.
Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).
Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.
Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.
Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.
Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.
Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).
Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.
Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.
Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.
Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.
Американская инфосек компания Cybereason в своем материале о новом выявленном вредоносном инструментарии KGH_SPY, который используется северокорейской APT Kimsuky, демонстрирует каким на самом деле должен быть отчет по результатам исследований.
Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.
Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.
В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.
Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.
Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.
Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.
Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.
Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.
Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.
В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.
Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.
Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.
Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.
Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.
Cybereason
Back to the Future: Inside the Kimsuky KGH Spyware Suite
The Cybereason Nocturnus Team has been tracking a North Korean cyber espionage group known as Kimsuky and has identified a new spyware suite along with new attack infrastructure.
Что: The Standoff
Где: онлайн
Когда: с 12 по 17 ноября
С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.
Где: онлайн
Когда: с 12 по 17 ноября
С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.
А сейчас нам бы хотелось рассказать про событие, которое случилось неделю назад, но широкого освещения не получило. А должно бы было.
Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.
К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.
Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.
К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.
www.nsr.go.jp
原子力規制委員会とのメールの送受信の一時的な利用の停止について | 原子力規制委員会
原子力規制委員会のホームページです。原子力規制委員会とのメールの送受信の一時的な利用の停止についての情報を掲載しています。
Google выпустили обновление для десктоп версии Chrome, в котором исправили 10 ошибок, среди которых одна, CVE-2020-16009, является 0-day уязвимостью.
Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.
Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.
Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.
Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.
Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.
Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.
Chrome Releases
Stable Channel Update for Desktop
The stable channel has been updated to 86.0.4240.183 for Windows, Mac & Linux which will roll out over the coming days/weeks. A list of all ...
Давненько не видели мы интересных исследований от американцев из группы Mandiat инфосек вендора FireEye. И вот вышел обзор про новую хакерскую группу, которую ресерчеры обозначили как UNC1945. А группа - скиллованная и вооруженная 0-day эксплойтами.
Впервые FireEye обнаружила UNC1945 в середине 2020 года, хотя ее активность начинается как минимум с конца 2018. Основными целями хакеров являются телекоммуникационные компании, а также финансы и консалтинг.
Исследователи обнаружили как минимум два факта взлома хакерами серверов под управлением ОС Solaris с использованием эксплойта EVILSUN ранее неизвестной уязвимости, которая получила название CVE-2020-14871 и с подачи FireEye была закрыта в октябре Oracle, производителем операционной системы.
Ресерчеры полагают, что данные об эксплуатации уязвимости были куплены UNC1945 на черном рынке, поскольку предложение о продаже "эксплойта удаленного доступа для Oracle Solaris" появилось на одном из хакерских форумов в апреле 2020 года по цене в 3000 долларов. С другой стороны UNC1945 взламывали Solaris, скорее всего, еще с конца 2018 года.
Хакерская группа, по словам FireEye, является весьма продвинутой. Используемый инструментарий представляет собой совокупность авторских вредоносов и общедоступного ПО, например Mimikatz. Их действия по взлому сетей, их дальнейшей разведки, боковому перемещению, туннелированию канала связи с управляющими центрами и пр. являются профессиональными и выверенными. Они продемонстрировали способность эффективно работать как с системами под управлением Windows, так и под управлением NIX.
В некоторых случаях хакеры использовали сборки на основе виртуальной машины QEMU, в которую входили ОС Tiny Core Linux и набор вредоносных инструментов.
Тем не менее, несмотря на сообщения FireEye о неоднократно зафиксированных взломах со стороны UNC1945, исследователи не смогли обнаружить какую-либо активность хакеров по сбору информации из скомпрометированных сетей. В одном случае они выявили развертывание во взломанной сети ransomware ROLLCOAST, но связывают это с тем, что хакеры продали полученный доступ стороннему актору.
Что же в остатке. Если бы не факт продажи доступа оператору ransomware, то мы бы предположили, что американцы наткнулись на новую прогосударственную APT, которая проводит взломы ресурсов с целью сбора массивов конфиденциальных данных. А так - по всей видимости это чисто коммерческая группа, которая, тем не менее, работает профессионально и скрытно. И с непонятной пока целью.
Впервые FireEye обнаружила UNC1945 в середине 2020 года, хотя ее активность начинается как минимум с конца 2018. Основными целями хакеров являются телекоммуникационные компании, а также финансы и консалтинг.
Исследователи обнаружили как минимум два факта взлома хакерами серверов под управлением ОС Solaris с использованием эксплойта EVILSUN ранее неизвестной уязвимости, которая получила название CVE-2020-14871 и с подачи FireEye была закрыта в октябре Oracle, производителем операционной системы.
Ресерчеры полагают, что данные об эксплуатации уязвимости были куплены UNC1945 на черном рынке, поскольку предложение о продаже "эксплойта удаленного доступа для Oracle Solaris" появилось на одном из хакерских форумов в апреле 2020 года по цене в 3000 долларов. С другой стороны UNC1945 взламывали Solaris, скорее всего, еще с конца 2018 года.
Хакерская группа, по словам FireEye, является весьма продвинутой. Используемый инструментарий представляет собой совокупность авторских вредоносов и общедоступного ПО, например Mimikatz. Их действия по взлому сетей, их дальнейшей разведки, боковому перемещению, туннелированию канала связи с управляющими центрами и пр. являются профессиональными и выверенными. Они продемонстрировали способность эффективно работать как с системами под управлением Windows, так и под управлением NIX.
В некоторых случаях хакеры использовали сборки на основе виртуальной машины QEMU, в которую входили ОС Tiny Core Linux и набор вредоносных инструментов.
Тем не менее, несмотря на сообщения FireEye о неоднократно зафиксированных взломах со стороны UNC1945, исследователи не смогли обнаружить какую-либо активность хакеров по сбору информации из скомпрометированных сетей. В одном случае они выявили развертывание во взломанной сети ransomware ROLLCOAST, но связывают это с тем, что хакеры продали полученный доступ стороннему актору.
Что же в остатке. Если бы не факт продажи доступа оператору ransomware, то мы бы предположили, что американцы наткнулись на новую прогосударственную APT, которая проводит взломы ресурсов с целью сбора массивов конфиденциальных данных. А так - по всей видимости это чисто коммерческая группа, которая, тем не менее, работает профессионально и скрытно. И с непонятной пока целью.
Google Cloud Blog
Live off the Land? How About Bringing Your Own Island? An Overview of UNC1945 | Mandiant | Google Cloud Blog
Российское Министерство цифрового развития, связи и массовых коммуникаций планирует создать Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом в рамках нацпроекта "Цифровая экономика".
Даже не знаем как относится к этой новости. С одной стороны, инициатива пусть и сильно запоздалая, но крайне необходимая.
С другой - имеем огромные сомнения в компетентности сотрудников, которые будут причастны к созданию и функционированию этого Центра. Даже название, в котором фигурирует словосочетание "телефонный спам и фишинг" говорит о том, что люди, планирующие создание Центра, не вполне (мягко сказать) владеют темой. Потому что фишинг бывает разный, а для того вида противоправных деяний, который министр Шадаев подразумевает под "телефонным спамом", давно существует устоявшийся термин "фрод" или "телекоммуникационное мошенничество". И это понятие гораздо шире "телефонного спама".
Впрочем привлечение государством к мероприятиям по информационной безопасности людей некомпетентных - это сложившаяся традиция. Поэтому подозреваем, что Центр по борьбе будет, а самой борьбы - нет.
Sad but true.
Даже не знаем как относится к этой новости. С одной стороны, инициатива пусть и сильно запоздалая, но крайне необходимая.
С другой - имеем огромные сомнения в компетентности сотрудников, которые будут причастны к созданию и функционированию этого Центра. Даже название, в котором фигурирует словосочетание "телефонный спам и фишинг" говорит о том, что люди, планирующие создание Центра, не вполне (мягко сказать) владеют темой. Потому что фишинг бывает разный, а для того вида противоправных деяний, который министр Шадаев подразумевает под "телефонным спамом", давно существует устоявшийся термин "фрод" или "телекоммуникационное мошенничество". И это понятие гораздо шире "телефонного спама".
Впрочем привлечение государством к мероприятиям по информационной безопасности людей некомпетентных - это сложившаяся традиция. Поэтому подозреваем, что Центр по борьбе будет, а самой борьбы - нет.
Sad but true.
www.itsec.ru
Минцифры создаст центр борьбы с киберпреступлениями и телефонным мошенничеством
В рамках противодействия киберугрозам Минцифры начнет «независимое тестирование всех государственных информационных систем на предмет уязвимостей в безопасности».
Выборы в США прошли и логично было бы предположить, что напор обвинений хакеров из России, Китая и Ирана в атаках на американскую инфраструктуру спадет. Скорее всего так и будет, хотя возможны отдельные эксцессы на фоне подсчета голосов.
Однако одну из целей создания подобных информационных поводов можно назвать уже сейчас - это легитимизация американцами собственных наступательных киберопераций.
По сообщению CNN, американское Киберкомандование и АНБ расширяют свои операции в киберпространстве против России, Китая и Ирана. Основание - конечно же "опасность вмешательства в американские выборы", но вот в качестве периода активизации хакеров США указано "до, во время и после выборов". То есть отныне и навсегда. Ну и, само собой, допускаются превентивные атаки.
Таким образом алгоритм вполне прозрачен. Сначала приучаем инфосек отрасль к обвинениям в причастности к кибератакам без конкретных TTPs. Потом наваливаем множество неподтвержденных (или не до конца подтвержденных) фактурой обвинений - если что, в запасе всегда стоят управляемые эксперты из тех же FireEye или CrowdStrike. Ну а затем на их основании официально объявляем о своих хакерских операциях. И, вуаля, они теперь легальны и легитимны, поскольку проводятся "чтобы предотвратить внешнюю агрессию". Ну а если при этом еще и отвечающие за кибербезопасность спецслужбы предполагаемого противника спят-похрапывают (а в случае России так и происходит) - то совсем хорошо.
Ждем окончательного сброса всех масок и трансляции кибератак на критическую инфраструктуру американских визави в прямом эфире CNN.
Однако одну из целей создания подобных информационных поводов можно назвать уже сейчас - это легитимизация американцами собственных наступательных киберопераций.
По сообщению CNN, американское Киберкомандование и АНБ расширяют свои операции в киберпространстве против России, Китая и Ирана. Основание - конечно же "опасность вмешательства в американские выборы", но вот в качестве периода активизации хакеров США указано "до, во время и после выборов". То есть отныне и навсегда. Ну и, само собой, допускаются превентивные атаки.
Таким образом алгоритм вполне прозрачен. Сначала приучаем инфосек отрасль к обвинениям в причастности к кибератакам без конкретных TTPs. Потом наваливаем множество неподтвержденных (или не до конца подтвержденных) фактурой обвинений - если что, в запасе всегда стоят управляемые эксперты из тех же FireEye или CrowdStrike. Ну а затем на их основании официально объявляем о своих хакерских операциях. И, вуаля, они теперь легальны и легитимны, поскольку проводятся "чтобы предотвратить внешнюю агрессию". Ну а если при этом еще и отвечающие за кибербезопасность спецслужбы предполагаемого противника спят-похрапывают (а в случае России так и происходит) - то совсем хорошо.
Ждем окончательного сброса всех масок и трансляции кибератак на критическую инфраструктуру американских визави в прямом эфире CNN.
CNN
US Cyber Command expands operations against Russia, China and Iran
US Cyber Command expanded its operations aimed at identifying malicious foreign cyber actors before Tuesday's presidential election, conducting missions to not only seek out Russian hackers, but those from all major adversaries, including Iran and China,…
Теперь ломать будут и по 5G! А если серьезно, то единственное, для чего идеально подходит и необходим новый стандарт - это удаленное управление автомобилем. Ну вы поняли...
Forwarded from Эксплойт | Live
Хакер обнаружил признаки 5G в последнем обновлении ПО Tesla
В последнем обновлении программного обеспечения хакер с псевдонимом «Green» нашёл «намёки», которые указывают на возможность добавления модема 5G и точки доступа в автомобили.
Об этом хакер сообщает в своём Twitter-аккаунте.
По его словам, ему удалось обнаружить это благодаря новому файлу прошивки в обновлении 2020.44.
До этого автомобили Tesla имели функцию подключения 3G и 4G, однако сейчас даже эта функция считается «премиальным» вариантом.
В последнем обновлении программного обеспечения хакер с псевдонимом «Green» нашёл «намёки», которые указывают на возможность добавления модема 5G и точки доступа в автомобили.
Об этом хакер сообщает в своём Twitter-аккаунте.
По его словам, ему удалось обнаружить это благодаря новому файлу прошивки в обновлении 2020.44.
До этого автомобили Tesla имели функцию подключения 3G и 4G, однако сейчас даже эта функция считается «премиальным» вариантом.