​​Неприятные новости для пользователей Android: второй после Google Play Store магазин приложений APKPure был скомпрометирован вредоносным ПО. Apkpure.com является одной из самых популярных платформ сторонних игр и каталогов программного обеспечения для ОС Android.

В конце прошлой недели стало известно, что версия 3.17.18 приложения содержала копию трояна Triada. По функциональности встроенный код реализует стандартный для данного типа угроз функционал: от отображения и нажатия на рекламу до подписки на платные подписки и загрузки других вредоносных программ.

Пролить свет на обстоятельства инцидента и узнать сколько из владельцев Android-смартфонов обновились до версии 3.17.18 и заразились вредоносным ПО специалистам так и не удалось, и вряд ли удастся.

Рассматриваются две версии случившегося: троян был намеренно внедрен инсайдерами или произошел взлом и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений.

Учитывая, что компания официально отказалась от комментариев, заражение является повторением инцидента с CamScanner, когда разработчик внедрил новый рекламный SDK из непроверенного источника.

В любом случае мы рекомендуем пользователям клиента APKPure накатить 3.17.19, а владельцам старых девайсов, не поддерживающих обновлений - поскорее обзавестись «обновками».

Завершился Pwn2Own 2021, проводимый в рамках программы Zero Day Initiative от японской инфосек компании Trend Micro (результаты первого дня - здесь, второго - здесь).

Призовой фонд составил рекордные 1 210 000 долларов США за демонстрацию эксплойтов в течение трех дней. Соревнование закончилось ничьей между DEVCORE, OV и Дэаном Кеупером и Тийсом Алкемаде из Computest, каждый из которых заработал по 200 000 долларов и 20 очков Master of Pwn.

Чем запомнился Pwn2Own 2021:

- выполнение кода в ядре macOS путем эксплуатации целочисленного переполнения и записи за пределы границ в Apple Safari;
- обход аутентификации и повышение привилегий в многострадальном Microsoft Exchange;
- использование "пары багов" для компрометации Microsoft Teams и удаленно выполненный код;
- локальное повышение привилегий в Windows 10 и Ubuntu;
- эксплойт для Chrome и Edge, благодаря которому был удаленно выполнен код (RCE);
- эксплойт трех ошибок, влекущий RCE в ZOOM;
- эксплойт для Parallels Desktop, позволяющий добиться выполнения кода в хостовой ОС;
⁃ использование ошибки повреждения памяти для успешного выполнения кода в операционной системе хоста из Parallels Desktop;
⁃ первая женщина, выигравшая Pwn2Own после обнаружения ошибки в программном обеспечении виртуализации Parallels;
⁃ абсолютно невредимая репутация и Tesla Model 3 Илона Маска, за которую так никто и не стал заморачиваться.

Ждем волны внеочередных апдейтов от пострадавших производителей, а заодно и волны атак с использованием вновь обнаруженных уязвимостей. У спонсоров есть 90 дней, чтобы исправить ошибки, прежде чем они будут опубликованы на портале Zero Day Initiative.

«Большой брат следит за тобой» и будет продолжать это делать и дальше. «Под шумок» борьбы за анонимный Интернет и конфиденциальность IT-гигант Google уже придумал замену трекерам, которые отслеживают поведение пользователей в сети с помощью сторонних файлов cookie.

Буквально на днях Google объявил о запуске «пробной версии» Chrome для тестирования новой экспериментальной технологии слежения Federated Learning of Cohorts (FLoC), над которой они трудились еще с 2019 года и посвятили ей целый ресурс privacysandbox.com.

FLoC представляет собой новый подход к таргетинговой рекламе на основе изучения интересов групп пользователей - «когорт». Встроенный в браузер FLoC следит за историей просмотров и профилирует пользователя в группу с другими «похожими» юзерами по всему миру - «когорту» (выделено уже более 33 000 поведенческих групп), присваивая им единый идентификатор FLoC ID, который фиксирует консолидированную значимую информацию об их привычках и интересах. В дальнейшем привязка пользователей к определенным FLoC ID позволяет рекламодатели отображать релевантную рекламу большим группам.

Все бы ничего, но дело в том, что согласия на эксперименты у пользователей Chrome никто не спрашивал и спрашивать не намерен. Пробная версия Chrome origin для FLoC была уже развернута среди миллионов случайных пользователей, которые даже не подозревают об этом. Лишь в апреле разработчик намерен представить доступ к управлению функцией FLoC в настройках Chrome.

Вопреки мнению экспертов о наличии у FLoC собственных проблем с конфиденциальностью, в том числе потенциально связанных с дискриминацией и хищническим таргетингом, в Google убеждены, что бесплатный и открытый Интернет не может существовать без таких альтернатив «сторонним cookie».

И даже не возражайте, пока у вас не появится собственный google.com считайте, что IT'S NOTHING PERSONAL, JUST BUSINESS.

Специализирующаяся на вопросах корпоративной безопасности Интернета вещей компания Forescout Research Labs совместно с JSOF Research в рамках программы Project Memoria завершили крупнейшее исследование безопасности стека TCP/IP и представили инфосек-сообществу шокирующие результаты.

Специалисты обнаружили новый набор уязвимостей NAME:WRECK, которые затрагивают сотни миллионов интеллектуальных и промышленных устройств по всему миру.

Несмотря на то, что NAME:WRECK - это пятый набор вскрытых уязвимостей в стеке TCP/IP за последние три года после Ripple 20, URGENT/11, NUMBER:JACK и Amnesia:33, принципиальным отличием стало изучение механизмов реализации функции сжатия DNS-сообщений, позволяющая DNS-серверам сократить размер DNS-ответов, избегая дублирования одних и тех же доменных имен. По итогу Forescout удалось обнаружить в общей сложности девять уязвимостей, воздействующих на семь из 15 стеков TCP/IP.

К моменту публикации почти все разработчики исправили баги и выпустили исправления (кроме IPNet).

Однако до happy end ещё далеко: проблема оказалась куда глубже и серьезнее.

Прежде всего, уйдет много времени пока производители смогут имплементировать исправления в обновленные прошивки для железа, которые, в свою очередь, необходимо будет инсталлировать в устройства. И этот этап будет самым сложным, а в некоторых случаях - никогда не реализуется: значительное число устройств останется уязвимым для атак вплоть до окончания срока эксплуатации.

Но главная проблема, которой благодаря Forescout озадачено сообщество, теперь лежит в совсем в другой плоскости и ее решение потребует от разработчиков принципиально пересмотреть методологию работы с DNS.

Проблема общая, а под ударом вновь Google, продукты которой базируются на компонентах с открытым исходным кодом.

Индийский спец Раджвардхан Агавал сегодня в Twitter сообщил о публикации кода PoC-эксплойта для обнаруженной в ходе Pwn2Own уязвимости, затрагивающей Chromium-браузеры (Chrome, Edge, Opera, Brave и др.). Изучая исходный код JavaScript-движка V8 он нашел патчи для этой уязвимости, что и позволило ему воссоздать эксплоит.

Хотя разработчики Chromium уже исправили ошибку в V8, патчи еще не добрались до новейших версий Chromium-браузеров, которые по-прежнему уязвимы для атак. Ожидается, что Google выпустит Chrome 90 уже завтра, однако неизвестно, будет ли эта версия включать нужные патчи.

Ох уж эти, инженеры по безопасности Chrome Security, теперь пятилетку за год выполнять будут: совсем недавно после продолжающихся нападок со стороны Exodus Intelligence с пробелами в патчах они объявили о сокращении вдвое срока (до 15 дней) и заявили о грандиозных планах выпускать критические исправления безопасности Chrome чуть ли не еженедельно.

Ну что ж, Google, теперь все карты в ваших руках.

И все же мы прикинули реальный масштаб угрозы, описанной в нашем материале о результатах исследования NAME:WRECK от компании Forescout.

Упомянутые в NAME:WRECK уязвимости могут использоваться для выполнения атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода или отключения устройств.

Оказалось, что идентифицированные в продуктах DNS FreeBSD, Nucleus NET, IPnet и NetX уязвимости могут затронуть примерно 10 миллиардов устройств:

- более 3 миллиардов устройств работают на Nucleus RTOS с использованием стека Nucleus TCP/IP;
- ThreadX RTOS только в 2017 году развернула 6,2 миллиарда устройств со стеком NetX;
- FreeBSD работает на устройствах в миллионах сетей.

Но главное - не количество. Только представьте последствия возможных атак:
- стек Nucleus NET TCP/IP развернут на объектах здравоохранения, в IT и критически важных системах;
- FreeBSD работает на высокопроизводительных серверах и является основой многих известных проектов с открытым исходным кодом;
- NetX используется в том числе в устройствах медицинского назначения, автомобильных решениях и даже в космической отрасли, например, использован в орбитальном аппарате NASA Mars Reconnaissance Orbiter и др.

Давайте по-честному, критика в отношении Rutube будет более жесткой и не ограничится обсуждением политик модерации.

Более важным аспектом является существующий дисбаланс рынка видеохостингов в России, монополию на котором, как и рекламные бюджеты, уверенно удерживает YouTube. Агрессивные PR-стратегии и технологическое совершенствование Rutube сыграют роль технических инструментов для его продвижения среди известных влогеров и активной аудитории потребителей видеоконтента.

Отметим, что текущая обстановка складывается не в пользу американского видеогиганта: его безальренативность породила парадигму тотальной зависимости российской аудитории Интернет от редакционной политики американской компании, критика в адрес которой усилилась за последний год после массированных блокировок аккаунтов известных российских блогеров и журналистов.

Куда более важным вопросом станет стратегия интеграции российского сервиса в существующую финансовую модель рынка видеорекламы.

Обсуждаемые и все более реальные перспективы ограничительных мер в отношении YouTube, о котором мы уже упоминали, безусловно, создадут благоприятные условия для быстрого замыкания финансовых потоков, а с ними и фокуса предпочтений пользователей на российскую платформу, ведь политический контент представляет лишь малую долю всего современного видеоландшафта.

Игра начинается.

FLoCoff (nofloc): разворачивается масштабная кампания по противодействию попыткам Google внедрить FLoC (противоречивый альтернативный идентификатор для сторонних файлов cookie), которую корпорация без предупреждения уже тестирует на миллионах пользователей Chrome.

Вчера браузер Brave, ориентированный на конфиденциальность и возглавляемый соучредителем Mozilla и ключевым разработчиком JavaScript Бренданом Эйхом удалил FLoC из всех версий браузера.

По мнению разработчика, вместо того, чтобы помочь спроектировать и построить сеть, ориентированную на пользователей и конфиденциальность, Google предлагает технологий, наносящие ущерб конфиденциальности пользователей под видом обеспечения конфиденциальности.

Более того, в компании уверены, что Google будут вынуждены отказаться от FLoC потому, как прекрасно отдают себе отчет в том, что система скорее всего никогда не станет востребована среди рекламодателей в нужных им объемах.

Вслед за Brave сегодня браузер Vivaldi на основе Chromium также удалил FLoC. Vivaldi категорично намерена отказаться от FLoC API независимо от того, как он реализован, поскольку не видит смысла «непреднамеренно отдавать свою конфиденциальность ради финансовой выгоды Google».

Пока что интересы американского гиганта аккуратно поддержала лишь Microsoft, которая также использует Chromium в качестве основы для своего нового браузера Edge.

❗️Законопроект об уголовной ответственности за массовые утечки персональных данных готов — глава Минцифры РФ Шадаев

Позитивам прилетело от Министерства финансов США.

Мы разберём этот кейс позднее, а пока давайте пожелаем коллегам спокойствия и хладнокровия.

Итак, 15 апреля Министерство финансов США объявило о внесении ряда российских физических и юридических лиц в чёрный список Управления по контролю над иностранными активами. В их число попали 6 технологических компаний, в том числе Positive Technologies.

Что на самом деле произошло и каковы будут последствия? Давайте напряжём память и включим режим чтения между строк.

Начнём с выяснения откуда ноги растут.

Мы неоднократно писали о весьма чувствительных исследованиях Позитивов в отношении продуктов Intel. Результаты этой работы "хайли лайкли" указывают на присутствие у Интела бэкдора АНБ. Впрочем, пока никто не решился публично показать на "наглую рыжую морду" и назвать вещи своими именами. Можете себе представить какой поднялся бы ор, если бы американская инфосек-компания нашла нечто похожее в российском продукте. Кровавые ошмётки полетели бы во все стороны и никто бы не стал разбираться был ли суслик или нет. В октябре мы предупреждали, что активность рисёрчеров в этом направлении может привести к неприятным санкционным последствиям, что, собственно, и произошло. Однако мы не склонны считать, что одно вытекло из другого. Не исключено, что исследования напомнили Минфину США об этой занозе и переполнили чашу терпения.

Мероприятие Positive Hack Days де-факто стало одним из главных глобальных инфосек-мероприятий для практикующих пентестеров. Наломали (в прямом смысле слова) там много дров и обидели многие американские компании. Однако и здесь мы не видим реальной причины для включения Позитивов в санкционный список. Подобных мероприятий множество, да и сама компания придерживалась индустриальных практик ответственного раскрытия уязвимостей. Эта причина настолько ничтожна, что вряд ли сыграла какую-то роль даже в "переполнении чаши терпения". Даже несмотря на то, что в тексте пресс-релиза указано "hosts large-scale conventions that are used as recruiting events for the FSB and GRU". Под это определение можно подвести любое инфосек-мероприятие.

Читаем дальше. "Positive Technologies...supports Russian Government clients, including the FSB". Почему в санкционном списке тогда нет Касперского или отчаянно прикидывающихся сингапурцами Group-IB и длинного перечня других разработчиков, которые "support Russian Government clients"? Неужели про них просто забыли? Нет, скорее всего эта фраза - только прелюдия, квик интродакшн новому члену чёрного списка.

Дальше становится интереснее. "Positive Technologies was also designated today pursuant to E.O. 13694, E.O. 13382, and CAATSA for providing support to the FSB". Каким образом Позитивам пришили указ 13382, который относится к мерам против распространения оружия массового поражения - это только Минфину известно. А вот указ 13694 - совсем другое дело. Он однозначно указывает на подозрения в участии компании во враждебных кибероперациях против США, но дальше никакой конкретики. К такому подходу в наказании неугодных не привыкать, но нам почему-то пришёл в голову недавний отчёт аналитического центра Atlantic Council, в котором рассматриваются коммерческие контракторы, помогающие правительствам разных стран в кибероперациях. В отчёте фигурирует израильская NSO Group, эмиратская Dark Matter и российская компания под криптонимом ENFER. Уж не здесь ли собака зарыта? Если это действительно так, то пиарщикам Позитивов надо приготовиться к мощному шторму с громом, молниями и попкорном

Что дальше?

Мы полагаем, что санкции не будут для бизнеса Positive Technologies фатальными, поскольку компания обслуживает в основном российские организации. Вероятен временный просад показателей на волне ужаса некоторых неуравновешенных клиентов. А вот с планами IPO придётся на некоторое время завязать. Пессимистичные (но не распродажные) настроения потенциальных акционеров считываются по курсу облигаций Позитивов в моменте просевших на 2%.

Малварь IcedID, или же Bokbot, уверенно входит в переводовой арсенал киберподполья, позиционируясь эффективной заменой ликвидированного в январе этого года ботнета Emotet.

IcedID впервые был обнаружен в 2017 году как классический банковский троян. Первоначально малварь применялся в ходе спамрассылок на электронную почту с вредоносным вложением под документы Office, полезная нагрузка позволяла красть данные учетных записей онлайн-банкинга и выводить средства со счетов клиентов.

Позже рентабельнее стало запилить малварь по модели «вредоносное ПО как услуга» (MaaS), IcedID был конфигурирован в «загрузчик», предоставляя возмездный доступ к зараженным компьютерам другим преступным группировкам.

К этому времени лидирующее положение на рынке MaaS занимал Emotet благодаря большому набору функций, быстрому циклу разработки и высокому уровню заражения, однако правоохранители решили иначе и в январе 2021 свернули его активность.

В поисках альтернативы для обеспечения доступа к зараженным компьютерам и корпоративным сетям кибергруппы оперативно переориентировались на аналоги Dridex, Trickbot и Qakbot. Но оказывается, судя по последним отчетам инфосек-компаний, реальным преемником Emotet становится именно IcedID, о чем уже заявили Binary Defense, Check Point, Cyjax и даже в Microsoft.

За последнее время малварь резко набрал и диверсифицировал методы доставки для распространения своей полезной нагрузки, с легкостью достигнув уровня сложности своих MaaS-конкурентов. Среди них: компрометация форм обратной связи, использование электронных таблиц Excel (XLS), содержащих вредоносные макрос-скрипты Excel 4.0 XLM, защищенные паролем файлов ZIP, скрывающие вредоносные файлы Word и Excel, поддельные установщики программного обеспечения, маскирующие вредоносные электронные таблицы XLS и Word Файлы GZIP и др.

«Широкий ассортимент» IcedID указывает на его активное задействование сразу несколькими группами в качестве дроппера.

Эффективная полезная нагрузка позволяет злоумышленникам использовать его в качестве плацдарма для атаки на другие сегменты корпоративных сетей и расширения доступа. Поэтому не удивительно, почему Maze/Egregor так плодотворно юзали IcedID, получая доступ к корпоративным сетям для кражи данных и шифрования файлов, пока их не прикрыли.

Новые перспективы для IcedID открывают участившиеся атаки с его использованием для развертывания REvil (Sodinokibi), в связи с чем многие компании уже пересмотрели свое видение обновленного ландшафта угроз, а если не успели - по всей видимости, отреагируют по факту, когда в конечном итоге столкнутся с требованиями многомиллионного выкупа.

Если до сих пор не обновили версию мессенджера WhatsApp до 2.21.4.18, то поспешите это сделать.

Сегодня исследователи из Census Labs раскрыли уязвимости безопасности в приложении для Android (до 9-ки включительно), которые могут быть использованы в ходе атаки MitM для удаленного выполнения вредоносного кода на устройстве и кражи конфиденциальной информации, в том числе ключей шифрования.

Все, что нужно сделать злоумышленнику - это заставить жертву открыть вложение HTML-документа. Уязвимости реализуются через ошибки в модуле Chrome для поставщиков контента в Android (CVE-2021-24027) и обходе политики ограничения доменов в браузере (CVE-2020-6516). При этом исполняемый вредоносный код может обеспечить злоумышленнику доступ к файлам в незащищенной внешней области хранения, в том числе ключам сеанса TLS.

Затем вооружившись ключами, злоумышленник может затем организовать атаку, вызвав преднамеренно ошибку нехватки памяти на устройстве жертвы, а следом за ней запуск механизма отладки. Он, в свою очередь, загружает закодированные пары ключей вместе с журналами приложений, системной информацией и другим содержимым памяти на выделенный сервер хранения журналов сбоев («crashlogs.whatsapp.net»). Идея эксплойта MitM состоит в том, чтобы программно вызвать исключение, которое инициирует сбор данных и загрузку, для последующего перехвата соединения и отправляемой конфиденциальной информации.

Несмотря на то, что Census Labs не располагают сведениями об использовании атаки в «дикой природе», но мы то прекрасно помним как ранее вскрытые уязвимости WhatsApp использовались для внедрения шпионского ПО на устройства журналистов и правозащитников.

Второй месяц продолжаются нападки голландских журналистов на китайскую корпорацию Huawei. Ссылаясь на секретные отчеты, старейшее издание Нидерландов De Volkskrant обвиняет китайскую технологическую компанию в шпионаже.

В 2009 году голландский оператор связи KPN обратился к Huawei и реализовал решения китайской компании в своих сетях связи. Проект вели шесть сотрудников центрального офиса Huawei в Гааге, деятельность которых на тот момент попала в поле зрения Службы внутренней безопасности AIVD в связи с подозрениями в использовании иностранцами позиции компании в интересах разведки.

После обращений силовиков поставщик услуг связи привлек Capgemini для оценки потенциальных рисков, связанных с Huawei, прежде всего, специалистов попросили изучить возможность шпионажа со стороны китайцев. Выводы специалистов оказались крайне неутешительными, а результаты отчета были засекречены. KPN Mobile оказался на грани отзыва лицензий и без связи могли остаться более 6,5 миллионов абонентов.

Capgemini пришли к выводу, что Huawei имели бесконтрольный и неограниченный доступ к прослушиванию любого абонента KPN, в том числе тогдашнего премьер-министра Яна Петера Балкененде, различных министров и китайских диссидентов, однако зафиксировать конкретные инциденты им не удалось. Кроме того, Huawei также знала, какие номера прослушивались полицией и спецслужбами. Ранее De Volkskrant выяснили, что китайская компания также имела доступ к данным клиентов Telfort, дочерней компании KPN.

Несмотря на все обоюдные отрицания участников скандала, по результатам работы Capgemini оператор отказался от сотрудничества с китайским гигантом в пользу западных поставщиков и начала масштабную модернизацию всей сети связи.

Похоже, что в борьбе спецслужб за телекоммуникационный рынок Нидерландов китайцам в виду общегосударственного скандала придется экономически отступить, но переключить всю страну на новое оборудование в раз точно не удастся, о чем говорят в самой KPN.

Инициированная против КНР операция влияния в борьбе за телекоммуникационный рынок не приведет в сиюминутным результатам, но точно поможет европейским чиновникам «освоить» новые бюджеты или получить политические дивиденды, ну а тем временем офис Huawei продолжает свою работу.

Сегодня ГрИБы раскрыли сведения о начавшейся скам-атаке на пользователей Facebook в 84 странах мира, которую злоумышленники реализуют через мошенническую схему, рассчитанную на инсталляцию владельцами аккаунтов фейкового обновления Facebook Messenger.

Для этого злоумышленники распространяли рекламные публикации со ссылками на доступные обновления, которые по факту представляли фишинговый сайт с фиктивной формой для авторизации. В итоге жертва могла потерять доступ к своему аккаунту и “слить” другие свои персональные данные. При этом мошенники не только умело играют на человеческих чувствах — любопытство, страх, жажда наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.

Устремления хакеров понятны, ведь Facebook является крупнейшей социально сетью и насчитывает более 2,7 млрд. пользователей. К настоящему времени ГрИБами обнаружено 5700 фейковых постов в Facebook, предлагающих установить «последнее обновление» мессенджера, а количество поддельных профилей социальной сети, которые использовались в данной схеме, — почти 1000. При этом сама схема экспертами Group-IB Digital Risk Protection разрабатывается с лета 2020 года.

Похоже, что спойлер кому-то серьезно подпортил планы, а заодно - как выяснилось и годы подготовки. Кина не будет.

Apple представила новый iPad Pro, AirTag, iMac и клавиатуру с Touch ID

Так, iPad Pro получил экран с подсветкой mini-LED, а так же 2 ТБ встроенной памяти и поддержку 5G.

Модели iPhone 12 и iPhone 12 mini теперь станут доступны в фиолетовом цвете.

Кроме этого, компания представила AirTag — брелок, который позволит искать потерянные вещи с помощью смартфона.

Что касается iMac, он получил обновлённый дизайн и более тонкую конструкцию, а так же клавиатуру Magic Keyboard с Touch ID, новую Magic Mouse и трекпад.

Полный список новых устройств и обновлений доступен на сайте компании.

​​СВР открыла передовую онлайн-приемную в формате SecureDrop, позволяющую ей принимать сообщения пользователей об угрозах национальной безопасности через сеть Tor.

Сайт располагается по адресу: svrgovru24yd42e6mmrnohzs37hb35yqeulvmvkc76e3drb75gs4qrid.onion.

При этом разведчики отказались пояснять, каким именно образом функционирует платформа, напоминающая известный проект с открытым исходным кодом.

Спецы из СВР в этом плане опередили своих коллег из ЦРУ, сайт которого в Tor лишь дублирует свой официальный оригинал и не включает форму анонимной связи.

Аутсайдером остаются лишь админы FSB.RU, которым до сих пор не удается настроить SSL-сертификаты, в скором времени сайт может стать и вовсе недоступен, когда браузеры откажутся от поддержки HTTP.

Специалисты Pulse Secure подтвердили доводы FireEye об атаках с использованием уязвимостей в оборудовании Pulse Secure VPN, которые они задетектили еще августе 2020, когда злоумышленникам удалось закрепиться в сетях оборонных подрядчиков США и европейских организаций.

Для контроля над устройствами Pulse Secure хакеры эксплуатировали известные с 2019 года уязвимости (CVE-2019-11510), (CVE-2020-8243), (CVE-2020-8260) и выявленные накануне - CVE-2021-22893, после чего внедряли вредоносное ПО (SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE и PULSECHECK), благодаря которому им удавалось оставлять бэкдоры. Активность хакеров продолжала фиксироваться до марта 2021 года.

По данным FireEye, к атакам на устройства Pulse Secure причастны несколько предположительно связанных между собой групп. С октябре 2020 года атаки имели схожий сценарии за исключением применяемого набора вредоносных программ (HARDPULSE, QUIETPULSE и PULSEJUMP), которые инсталлировались на устройства. В целом, общее число обнаруженных образцов вредоносных программ достигло 12.

Полученные в ходе исследования материалы позволили специалистам FireEye вскрыть причастность к атакам АРТ5, действующую в интересах КНР.

Совместно с FireEye компания Ivanti (владелец Pulse Secure VPN) разработали и выпустили пакет временных исправлений и специальный сканер для серверов Pulse Security Integrity Checker Tool, позволяющий обнаружить возможные неправомерные вмешательства. Полный патч будет доступен в мае 2021.

​​На Positive Technologies начинает накатываться эхо ранее объявленных санкций со стороны США.

Компания сообщила в своём Твиттере, что их учётная запись в YouTube заблокирована. Наверняка это "первая ласточка" и остальные соцмедийные платформы скоро последуют примеру Google. На самом деле больше волнует другое: Позитивов должны будут отключить от своей инфраструктуры все американские компании. А потом вообще все организации, которые не хотят отхватить от дядюшки Сэма путёвку в SDN.

Непростые времена у коллег. Давайте ещё раз пожелаем им не терять оптимизма.

​​Риторика санкции находит свое эффективное применение не только в плоскости политики, сообщество разработчиков Linux наложили запрет на дальнейшее участие Университета Миннесоты (UMN) в проекте. О «санкциях» сегодня заявил главный разработчик ядра Linux Грег Кроа-Хартман.

Поводом для такого бескомпромиссного и новаторского решения стало исследование UMN под названием «Незащищенность открытого исходного кода: незаметное внедрение уязвимостей с помощью лицемерных коммитов». Его суть такова: группа исследователей преднамеренно пытались внедрить известные уязвимости безопасности в ядре Linux, отправляя серию коммитов с вредоносным кодом в официальную кодовую базу. Конечно же, для чистоты эксперимента детали проводимой Университетом «исследовательской» операции ни перед кем не разглашались.

Учитывая как далеко исследователи могли зайти, Кроа-Хартман отменил все коммиты, отправленные с любого из адресов электронной почты UMN, вернуть исправления разработчики намерены после повторной проверки всех предложенных исправлений.

По мнению Open Source Security Inc. каким бы провокационным не было исследование вопрос безопасности процесса установки исправлений в программном обеспечении с открытым исходным кодом, остается актуальным: количество обращений к разработчикам Linux с подозрительными патчами за последнее время резко увеличилось. Несмотря на все доводы Кроа-Хартман пошел на принцип и удалил все исправления, в том числе и те, которые закрывали реальные баги.

Возвращаясь к нашей аналогии с санкциями: в конечном счете проигрывают все стороны, а к этому времени реальные выгодоприобретатели уже вовсю шерстят все блокнутые патчи и готовят эксплойты.