Google в ближайшие дни ограничит доступ российским пользователям к магазину приложений Google Play. На время приостановки будет отсутствовать возможность оплачивать подписки или совершать покупки цифровых товаров в приложениях с помощью Google Play. При этом бесплатные приложения будут доступны в Play Store.

Неприятно и не более.

Во-первых, Google Play - не App Store, а Android - не iOS, ограничения на использование альтернативных маркетов для загрузки APK отсутствуют.

Во-вторых, мы неоднократно с этим сталкивались и писали: Google Play - не панацея безопасности, вредоносный функционал, как показывает практика, время от времени обнаруживается даже в популярных приложениях.

​​Громогласно анонсированная представителями xxNB65, провозгласившими себя Network Battalion 65 (в переводе для невладеющих языком - мамкины хацкеры), утечка исходников Лаборатории Касперского на деле оказалась не более, чем демонстрацией навыков работы с wget: выкачали и выложили в Tor содержимое публичных ресурсов.

Как показывает современная практика и шифрования не нужно.

По крайней мере, об этом свидетельствуют резонансные атаки и последовавшие утечки, организованные Lapsus$ за последнее время.

Мы уже писали о том, как хакерам удалось поломать корейского IT-гиганта Samsung и добраться до исходников линейки смартфонов Galaxy, приватных апплетах, в том числе TrustZone и проприетарной системы безопасности Knox, что подтвердила и сама компания.

А случилось это сразу после утечки данных американского гиганта по производству микросхем NVIDIA, взлом которого привел к краже учетных данных более 71 000 ее сотрудников.

Теперь же в руках Lapsus$ оказался исходный код Mercado Libre.

Компания со штаб-квартирой в Буэнос-Айресе представляет собой крупнейшую в Латинской Америке экосистему электронной коммерции и платежей с клиентурой, насчитывающей около 140 миллионов уникальных активных пользователей, и представлена в восемнадцати странах, включая Аргентину, Бразилию, Мексику, Колумбию, Чили, Венесуэлу и Перу.

E-Commerce разработчик уже подтвердил, что часть ее исходного кода подверглась несанкционированному доступу. Кроме того, злоумышленники получили доступ к данным около 300 000 его пользователей. В настоящее время компания выясняет, хранилась ли информация об этих пользователях Mercado в скомпрометированных репозиториях, но кражу финансовой информации опровергает. При этом сами Lapsus$ утверждают, что взломали 24 000 репозитория исходного кода как MercadoLibre, так и Mercado Pago.

Помимо прочего хакеры организовали голосование среди своих подписчиков в Telegram, чьи данные будут слиты следующими. В списке предполагаемых жертв: Impresa и Vodafone. Опрос завершится 13 марта, результаты - на DLS.

​📦 Готовые образы VM для быстрого развертывания и экспериментов.

🖖🏻 Приветствую тебя user_name.

• Сегодня подобрал для тебя список хранилищ с готовыми образами для виртуальных машин VirtualBox и VMWare. Очень удобно для быстрого развертывания в качестве стендов для экспериментов.

• Free VirtualBox Images от разработчиков VirtualBox.
• Коллекция готовых VM от Oracle.
• Абсолютно любые конфигурации VM на базе Linux и Open Sources.
• Образа VMware cо старыми версиями Windows (98, 2000, XP)

• VM на iOS и MacOS:
https://getutm.app
https://mac.getutm.app
Образы:
https://mac.getutm.app/gallery/
https://github.com/utmapp/vm-downloads/releases

Твой S.E.

Американский разработчик антивирусных решений NortonLifeLock Inc. приостановил продажи в России. Пользователи антивируса Norton столкнулись с недоступностью обновлений.

Аналогичным образом поступила и чешская компания Avast. Компания остановила все операции по маркетингу и продажам, также сделав недоступными свои продукты в России и Белоруссии.

​​Устроившие опрос среди своих подписчиков Lapsus$ сегодня заставили серьезно переживать телекоммуникационного гиганта Vodafone, за утечку данных которого на данных момент проголосовала большая часть аудитории канала хакеров. Опрос должен завершиться 13 марта.

Компания инициировала расследование с целью выяснить каким образом злоумышленники смогли выкрасть около 200 ГБ исходного кода, включающего до 5000 репозиториев GitHub. Vodafone подтвердили инцидент, однако отметили, что утечка, как они полагают, содержит проприетарный исходный код и не содержит данных клиентов. Хакеры пока что не раскрыли конкретный ассортимент краденных исходников Vodafone. 

Следует отметить, что в феврале Vodafone Portugal упоминала о сбоях обслуживания из-за кибератаки, но неясно, связаны ли эти инциденты. Равно как другие фигуранты голосования также подтверждали инциденты: Impresa сообщала о значительном сбое, а MercadoLibre недавно также подтвердила в SEC, что исходный код и данные 300 000 пользователей были скомпрометированы.

Похоже, что лучшим решеним для Vodafone в этой злой рулетке может стать небольшая накруточка голосов, раз договориться с Lapsus$ не удалось.

​​Большой брат следит за тобой, за мной, за ним, за всеми, а кто против - ему все равно, ведь данные уже собраны. Можете жаловаться и плакать.

Может быть вы помните об амбициозных планах американской фирмы Clearview AI собрать биометрию со всего Интернета, теперь это уже не планы, а реальность.

Clearview AI заявляет, что создала базу данных из более чем 10 миллиардов изображений лиц, взятых с общедоступных веб-сайтов, от социальных сетей до новостных сайтов, которые она рекламирует как инструмент для правоохранительных органов. А выписавший очередной штраф на 20 миллионов евро (почти 22 миллиона долларов) разработчику итальянский регулятор по надзору за конфиденциальностью фактически подтвердил эти заявления Clearview AI.

Итальянцы выяснили, что персональные данные, хранящиеся в компании, включая биометрические данные и данные геолокации, обрабатываются незаконно, в нарушение принципов GDPR Европейского Союза.

В дополнение к штрафу надзорный орган заявил, что Clearview должна назначить представителя в ЕС, который будет выступать в качестве «посредника» с истцами. Кроме того, приказал компании удалить данные, касающиеся людей в Италии, и запретил ей дальнейший сбор и обработку информации там.

Ранее аналогичным образом в злоупотреблениях Clearview обвинили представители Privacy International, подав жалобы в надворные инстанции Франции, Австрии, Италии, Греции и Великобритании.

В декабре служба по защите конфиденциальности Франции также приказывала Clearview удалить данные о своих гражданах и прекратить дальнейший сбор, ранее в июне прошлого года независимый парламентский надзорный орган Канады постановил, что база данных Clearview и ее использование федеральной полицией являются незаконными.

На все обвинения представители Clearview AI говорят, что их деятельность вполне законна, она регулируется первой поправкой к конституции США.

В настоящее время, по словам представителей компании, уже собрано порядка 10 млрд. фотографий, и каждый месяц продолжает добавляться примерно по 1,5 млрд., разумеется в кавычках с учетом всех выписанных регуляторами ЕС кенселлов.

Как говорится, собаки лают - караван идёт.

​​Группа исследователей из Амстердамского свободного университета в Нидерландах показали новый вектор атаки Spectre, который может обойти аппаратные средства защиты, реализованные производителями Intel, AMD и Arm с момента обнаружения уязвимостей Spectre и Meltdown в январе 2018 года, самым опасным из которых стал Spectre v2 (отслеживаемый как CVE-2017-5715) или Spectre BTI (Branch Target Injection).

Вновь выявленные методы позволяют злоумышленнику, имеющему локальный доступ к целевой машине, получать из памяти небольшие фрагменты потенциально конфиденциальных данных, несмотря на разрабатываемые аппаратные меры по предотвращению подобных атак, в том числе Retpoline, Enhanced Indirect Branch Restricted Speculation (eIBRS) и Arm CSV2.

На этой неделе исследователи VU Amsterdam поделились техническими деталями своего рода «расширения Spectre v2». Новый вектор атаки, получил название Branch History Injection (BHI) и Spectre-BHB. Он обходит как eIBRS, так и CSV2. Кроме того, был найден и другой немного отличающийся вариант эксплойта Intra-mode BTI (IMBTI).

Аппаратные меры защиты не позволяют непривилегированному злоумышленнику внедрить предикторы для ядра. Тем не менее, предиктор полагается на глобальную историю, чтобы выбрать целевые записи для спекулятивного выполнения. Фрагмент вредоносного кода может использовать общую историю ветвлений, хранящуюся в буфере истории ветвей ЦП (BHB), для воздействия на неверно предсказанные ветки в контексте оборудования жертвы, что приводит к спекулятивному выполнению.

Intel опубликовала обзорный документ с описанием новых уязвимостей, которые производитель чипов отслеживает как CVE-2022-0001 и CVE-2022-0002. Недостаткам был присвоен рейтинг серьезности «средний». Intel заявляет, что будущие процессоры, как ожидается, будут включать аппаратные средства защиты от атак BHI, а пока что она описала несколько вариантов защиты программного обеспечения.

Arm выпустили свои рекомендации с описанием уязвимости и способов ее устранения. Arm отслеживают уязвимость Spectre-BHB как CVE-2022-23960.

Процессоры AMD не подвержены влиянию Spectre-BHB. Однако на этой неделе исследователи из grsecurity раскрыли подробности уязвимости, затрагивающей и их процессоры. Проблема, отслеживаемая как CVE-2021-26341, связана со спекулятивным поведением инструкций ветвления и может привести к утечке данных. AMD по этому поводу тоже выдали рекомендации по CVE, а также технический документ с подробным описанием программных методов управления спекуляциями на своих процессорах.

Предлагаем вашему вниманию эксплойт в действии - здесь

Ранее мы сообщали о решении ESET приостановить бизнес в России и Белоруссии в связи с проведением спецоперации на Украине, после чего с нами связались представители компании и прокомментировали свою позицию, отметив, что «вендор сделал шаг назад, но российская команда никуда не сбегает и тем более не бросает своих клиентов».

Приостанавливаются продажи новых лицензий, представительства ESET в России и странах СНГ продолжают работать в штатном режиме, ограничения не повлияют обслуживание действующих клиентов.

Крупнейшая в мире Bugbounty-платформа HackerOne нагло спиздила у белорусского исследователя 25 тыс. американско-деревянных долларов (почти 1% инфляции за февраль - ой-вэй, поговорите таки нам за мировую резервную валюту) потому что он житель Белоруссии.

Инфосек общественность негодует, но, по большому счету, повлиять ни на что не может.

Остается только предполагать с высокой долей вероятности куда пойдет от HackerOne информация о выявленных в российских продуктах и сервисах уязвимостях - хорошо еще если напрямую в АНБ. Хуже - если представителям киберскакунов.

Рекомендуем всем российским компаниям немедленно отказаться от Bugbounty-программ на HackerOne и других иностранных BB-платформах. А то вас за ваши же деньги и поимеют.

С другой стороны, внятной отечественной альтернативы в области Bug Bounty до сих пор нет. Что-то там заявляли Джеты и Позитивы, последние обещали запуститься уже в этом мае, но будем посмотреть.

И в довесок - в пятницу произошел камингаут "независимого конфиденциального поискового сервиса" DuckDuckGo, который решил понизить в поисковой выдаче "сайты, распространяющие российскую пропаганду". Независимость - такая независимость. А мы в очередной раз оказались правы.

И как обычно, ни дня без ransomware.

LockBit заявила, что взломала Bridgestone Americas, одного из крупнейших производителей шин, и украли данные компании. Bridgestone Americas включает более 50 производственных предприятий и 55 000 сотрудников по всей Америке.

Согласно заявлению Lockbit, украденные данные будут обнародованы 15 марта 2022 года, если не поступит выкуп. В результате инцидента 27 февраля сотрудники завода Bridgestone в Ла Вернь были отправлены по домам из-за сбоев в работе ИТ-систем. Заручившись поддержкой Accenture Security, компания Bridgestone инициировала расследование для понимания масштабов и характера инцидента.

Вместе с тем, нападение вымогателей совпало по времени с заявлением компании о прекращении своего бизнеса в России. Однозначного ответа на возможную связь двух событий нет, ведь не так давно Lockbit заявили о своем политическом нейтралитете. Но факт остается фактом, а часики на DLS на тем временем продолжают тикать.

Другими резонансными атаками также отметились Pandora gang и Vice Society, которым удалось пошифровать корпорацию DENSO и похакать аргентинский парламент соответственно.

Причем DENSO вступила на тропу ransomware не впервый раз: в декабре прошлого года мы уже сообщали о том, как в сетях крупнейшей машиностроительной корпораций в мире побывали Rook, которым удалось еще и выкрасть 1,1 Тб. На этот раз на кону вымогателей более 1,4 Тб.

Досталось и румынам. Крупнейший румынский нефтеперерабатывающий завод Rompetrol KMG International подтвердил инцидент, в результате которого компания закрыла свои веб-сайты и сервис Fill&Go. Завод Petromidia Navodari перерабатывает более 5 млн. тонн нефти в год, что делает его крупнейшим в стране.  Счет в 2 млн. долларов в обмен на дешифратор и сохранение украденных данных выставили Hive. Начато расследование, ведется восстановление инфраструктуры.

Следующим на очереди после Samsung, NVIDIA и Mercado Libre стала компания Ubisoft, данные которой были тиснуты LAPSUS$.

Разработчик видеоигр подтвердил, что столкнулся с киберинцидентом, который привел к нарушению работы его игровых продуктов, систем и сервисов. Случилось все на прошлой неделе, когда несколько пользователей Ubisoft сообщили о проблемах с доступом к их игровому сервису, о чем сообщали 4 марта пользователи Twitter и Downdetector.

На счету компании со штаб-квартирой в Монтрее и студиями по всему миру такие видеоигры как Assassin's Creed, Far Cry, For Honor, Just Dance, Prince of Persia, Rabbids, Rayman, Tom Clancy's и Watch Dogs.

Для профилактики возможных негативных последствий гигантом игровой индустрии был инициирован масштабный сброс паролей. Предварительным расследованием никаких доказательств того, что во время инцидента была раскрыта какая-либо личная информация игроков, не получено. Компания подтверждает, что все игры и сервисы Ubisoft в настоящее время работают штатно.

О причастности Lapsus$ к инциденту в Ubisoft стало понятно после того, как первая публикация на эту тему в The Verge появилась на канале хакеров и сопровождалась смайликом с ухмылкой.

Напомним, что Lapsus$ славятся тем, что не шифруют своих жертв, вместо этого крадут конфиденциальные данные, публикацией которых шантажируют жертву, если их требования по уплате выкупа не будут исполнены.

Будем следить за ситуацией.

Тем временем по результатам завершенного LAPSUS$ опроса относительно следующей жертвы, о котором мы писали на прошлой неделе, уверенную победу одержал Vodafon, представителям которого придется в ближайшее время наблюдать как исходники будут течь в глобальную сеть.

Японская корпорация OMRON Corporation, которая является одним из мировых лидеров по производству электроники и средств автоматизации исправила серьезные недостатки в безопасности программного обеспечении CX-Programmer.

CX-Programmer входит в состав программного обеспечения Omron для автоматизации CX-One и предназначен для программирования и отладки программируемых логических контроллеров (ПЛК). По данным CISA, продукт используется во всем мире, в том числе в производственных критически важных секторах.

Продукт был подвержен аж пяти уязвимостям, которые могли быть использованы для удаленного выполнения кода и все они имеют оценку CVSS 7,8.

Выявленные уязвимости CX-Programmer затрагивают версию 9.76.1 и более ранние. Недостатки были обнаружены исследователем Майклом Хайнцлем, который добросовестно довел сведения до поставщика еще в мае и июне 2021 года через JPCERT/CC.

Исследователь рассказал, что уязвимости были вызваны отсутствием надлежащей проверки данных, а успешная эксплуатация могла привести к раскрытию информации или выполнению произвольного кода. Однако эксплуатация требует взаимодействия с пользователем, а именно необходимо заставить жертву открыть специально созданный файл CXP.

Исследователь выпустил рекомендации для каждой баги и присвоил им идентификаторы CVE.

На сколько нам известно пакет CX-One имеет функцию автоматического обновления и большинству пользователей не нужно предпринимать никаких действий для установки исправлений. Однако все же рекомендуем убедиться, что автоматические обновления работают корректно и вы избавили себя от потенциальных угроз.

В условиях фактически объявленной кибервойны хотим особо отметить, что безопасность промышленных систем управления (ICS) становится одним из приоритетных вопросов в сфере обеспечения ИБ в современных условиях, во многом определяющие нормальное функционирование объектов критической инфраструктуры.

Призываем всех, причастных к обеспечению инфосека АСУ ТП, обратить особое внимание на оперативное устранение выявляемых уязвимостей в их элементах, а мы, в свою очередь, постараемся своевременно давать соответствующую информацию.

Для этого с сегодняшнего дня вводим хэштеги #АСУТП и #ICS

Цена на годовую подписку временно снижена на 70%!

Чтобы сделать «Хакер» максимально доступным, мы объявляем о временном снижении цены до 3000 рублей. Не упусти свой шанс стать подкованным в информационной безопасности и найти работу в индустрии. Подписывайся сам, подписывай товарища, расскажи всем, кому это может быть полезно!

Подробнее о подписке: https://xakep.ru/about-magazine/

​​Похоже, что жара начинается и на Ближнем Востоке.

Как известно, в ночь с 12 на 13 марта Иран нанес массированный ракетный удар по объектам в иракском городе Эрбиль. Что конкретно разносили иранцы до конца не ясно, сначала говорили про американское консульство, потом про израильские военные объекты. Ответственность за удар взяли на себя КСИР (Корпус Стражей Исламской Революции), которые сообщили, что в результате атаки погибли несколько израильских генералов.

Вчера, как говорит канал Аль-Джазира, иранцы заявили, что предотвратили израильскую диверсию на ядерном объекте в городе Фордо. Целью являлись центрифуги по обогащению урана (кто сказал Stuxnet и Unit 8200?)

И вчера же Национальное управление кибербезопасности Израиля (INCD) сообщило, что были выявлены DDoS-атаки на ряд израильских провайдеров, повлекшие временную блокировку ряда сайтов, в том числе государственных - местных МВД, Министерства здравоохранения и Минюста.

INCD пишет про "кратковременные сбои", но, судя по всему, DDoS был очень масштабным и не был отбит израильтянами, а был прекращен атакующей стороной. Еврейский инфосек говорит про иранский след и прямо называет иранскую APT BlackShadow (мы уже про нее раньше писали) в качестве исполнителя атаки.

Танцуют все?

Работающая под торговой Viva Air Colombia колумбийская бюджетная авиакомпания Fast Colombia SAS, базирующаяся в Рионегро, Антиокия, стала жертвой атаки с использованием ransomware.

Дочерняя компания Irelandia Aviation и третья по величине авиакомпания в стране размещена на DLS вымогателей RansomEXX, ей грозит утечка в объеме 18 Гб конфиденциальных сведений.

Порция обновлений от Apple вышла в понедельник с исправлением как минимум 39 дефектов безопасности на платформах iOS/iPadOS.

Причем в компании предупреждают, что некоторые из уязвимостей подвергают пользователей атакам с удаленным выполнением кода, если например пользователь iPhone откроет вредоносный файл PDF или просмотрит вредоносный веб-контент.

В дополнение к мобильным девайсам Apple выпустила обновления для macOS (включая Catalina, Big Sur, Monterey), tvOS, WatchOS, iTunes и Xcode.

Обновленные версии iOS 15.4 и iPadOS 15.4 решают многочисленные проблемы с безопасностью памяти в нескольких компонентах ОС, включая Accelerate Framework, популярный ImageIO и механизм рендеринга WebKit.

Наиболее критическими из выявленных и исправленных уязвимостей являются CVE-2022-22633 (Accelerate Framework), CVE-2022-22611 (ImageIO), CVE-2022-22610 (WebKit), CVE-2022-22624 и CVE- 2022-22628 каждая из которых могла привести к выполнению произвольного кода.

Обновления iOS и iPadOS также устраняют недостатки повреждения памяти в нескольких программных компонентах ОС, включая AVEVideoEncoder, CoreMedia, FaceTime, драйверы графического процессора, iTunes, ядре, Sandbox, Siri и ПО для обновления.

Тайваньский производитель оборудования QNAP сообщает об очередной уязвимости, которой подтверждены ее устройства Network Attached Storage (NAS).

Ошибка Linux, получившая название Dirty Pipe, позволяет злоумышленникам с локальным доступом получить привилегии root. Dirty Pipe затрагивает ядро Linux 5.8 и более поздние версии, даже на устройствах Android.

В случае успешной эксплуатации позволяет непривилегированным пользователям внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, которые запускаются от имени пользователя root.

Ошибка затрагивает устройства с QTS 5.0.x и QuTS hero h5.0.x, в том числе: QTS 5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM и QuTS hero h5.0.x на всех NAS на базе QNAP x86 и некоторых NAS на базе QNAP ARM. При этом QNAP отмечает, что ни одно из ее устройств NAS, работающих под управлением QTS 4.x, не подвержено атакам.

Обнаруживший ошибку исследователь Макс Келлерманн уже выпустил соответсвующий PoC. И как оказалось, уязвимость Linux реализуется на практике даже проще, чем ее аналог Dirty COW, которая в 2016 году активно применялась для рутирования устройств Android и внедрения бэкдоров.

Несмотря на вышедшее неделю назад исправление для версий 5.16.11, 5.15.25 и 5.10.102, QNAP настоятельно рекомендует клиентам подождать, пока компания не выпустит собственные обновления. В настоящее время для этой уязвимости нет доступных средств защиты.

Пока же QNAP переложил функции по обеспечению безопасности устройств на самих владельцев устройств NAS, подключенных к Интернету, порекомендовав отключить функции переадресации портов маршрутизатора и UPnP QNAP NAS, ожидая спасительных обновлений для устранения уязвимости Dirty Pipe.

QNAP также не скупился на подробные инструкции по отключению подключений SSH и Telnet и изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.

Но, учитывая совсем недавние баталии производителя с ransomware, владельцы устройств рискуют первее ознакомиться с инструкциями по выплате выкупа и работе с дешифратором.

​- Партнёрский пост -

ИССЛЕДОВАНИЕ ИГРОКОВ ИБ-РЫНКА

https://cisoclub.ru/vote/

CISOCLUB проводит онлайн-исследование основных игроков рынка информационной безопасности. Нам важен каждый голос. Пожалуйста, уделите 5 минут своего времени и пройдите опрос.

По окончанию онлайн-исследования мы выберем 6 случайных участников и подарим им сертификаты на 4 000 рублей.

🔥 Подписывайтесь на CISOCLUB

Вчера Федеральное управление по информационной безопасности Германии (BSI) распространило пресс-релиз, в котором призвало немецкие организации заменить антивирусные продукты Лаборатории Касперского на альтернативное ПО.

В качестве обоснования BSI указывает риски проведения кибератак посредством антивирусов от ЛК.

Для Касперских в частности, да и для российского инфосека вообще, подобные санкции не в новинку. Достаточно вспомнить запрет на поставку ПО Лаборатории в США, который был введен в 2019 году, или прошлогодние санкции от тех же американцев против Positive Technologies.

Полагаем, что история с санкционным давлением на российских производителей ПО на этом не закончится, равно как и считаем, что для них это не смертельно.

Но, Матка Боска, как же у нас бомбит от такого лицемерия. Не припомним, чтобы BSI выдавало какие-либо рекомендации по прекращению использования продукции американской Juniper, когда в 2015 году выяснилось, что АНБ вставляет свои бэкдоры в ее продукцию.

С другой стороны, мы прекрасно понимаем, что BSI - это такой же боннский филиал ЦРУ и АНБ, как и немецкая разведка BND, владевшая, кстати, на протяжении почти 50 лет совместно с американской разведкой швейцарской компанией Crypto AG, которая поставляла криптооборудование более чем в 100 стран мира, в том числе в правительственные структуры.

При всем этом российские инфосек вендоры никогда не давали ни малейшего повода усомниться в их порядочности.

Пожелаем им выдержки.