​​Неделю назад мы писали про статью Reuters, в которой журналисты сообщали о произошедшей в марте кибератаке на ресурсы Всемирной организации здравоохранения (ВОЗ) с целью скомпрометировать учетные записи электронной почты сотрудников ВОЗ.

Тогда Reuters назвали причастной к атаке хакерскую группу DarkHotel, которая по нашему мнению очень похожа на прокси мощной государственной разведструктуры.

В новом же материале Reuters напрямую обвиняет в атаке иранские государственные структуры.

Доказательств, как обычно, никаких, но, как мы думаем, в данном случае американские журналисты могут оказаться правыми. Единственный вопрос - а зачем это Ирану? И гипотетический ответ мы можем дать.

Дело в том, что коронавирусная эпидемия в Иране протекает весьма жестко и сама первоначальная вспышка инфекции, внезапно произошедшая спустя почти 2 месяца(!) после начала распространения заболевания в Китае, вполне могла подтолкнуть иранское руководство к мнению, что заражение носит характер искусственный. Да и очень странным кажется тот факт, что вирус очень бодро распространился среди высшего руководства Ирана.

К тому же, поскольку Иран как и прежде находится под международными санкциями, инициированными США, уровень его сотрудничества с международным медицинским сообществом может показаться правительству Ирана недостаточным для эффективной борьбы с коронавирусом. Вот и пытаются иранцы получить данные по лечению где только можно.

Посмотрим, будет ли развиваться ситуация дальше. Хотя более вероятно, что всем будет не до неудачной попытки взлома ВОЗ.

"Я чувствую себя все чудесатее и чудесатее" (Алиса в стране чудес)

Не успели мы развести конспирологию с возможной причастностью Ирана к кибератаке на ВОЗ, как подвезли новых интересных подробностей.

Китайские исследователи из Qihoo 360 (они, кстати, часто у нас мелькают) сообщили о выявленной ранее кампании по распространению вредоносного ПО с использованием уязвимостей CVE-2019-17026 для Firefox и CVE-2020-0674 для Internet Explorer.

Целью кибератак были китайские правительственные структуры и японские предприятия. Последний факт подтверждается JPCERT. Уязвимости в браузерах использовались хакерами для загрузки в атакованную систему трояна Gh0st RAT.

Qihoo 360 считает, что данная атака была произведена группой DarkHotel, которую они называют APT-C-06 и связывают с Южной Кореей (а мы добавим - тогда уж с южнокорейской разведкой).

А теперь, внимание, вопрос. Если первоначальные источники Reuters правы и кибератака на ВОЗ производилась DarkHotel, то что же внутри информационных ресурсов Всемирной организации здравоохранения закопано такого, что Южная Корея решила их ломануть (если, конечно, китайцы правы в части связи хакерской группы с полуостровным государством)?

Вопрос "Кто стрижет цирюльника?" регулярно возникает в новостной повестке инфосека.

Хакерский форум OGUsers .com был взломан неизвестным хакером, о чем сообщила администрация ресурса. По их словам, кто-то использовал уязвимость в механизме загрузки аватара и получил доступ к текущей базе данных ресурса. Количество скомпрометированных пользователей составляет около 200 тыс.

OGUsers .com является одной из самых крупных площадок по продаже данных взломанных аккаунтов социальных сетей, а также по организации атак через подмену SIM-карт.

В мае 2019 года OGUsers .com уже был взломан, предположительно конкурирующим хакерским ресурсом, тогда утекли данные более чем 113 тыс. пользователей.

https://www.zdnet.com/article/hacking-forum-gets-hacked-for-the-second-time-in-a-year/

Приходит все больше подтверждений , что пользователи устройств Apple защищены не сильно лучше, чем все остальные.

Как оказалось, в январском и мартовском апдейтах Apple закрыла целых семь 0-day уязвимостей в браузере Safari, цепочка применений которых позволяла злоумышленнику получить беспрепятственный доступ к камере, микрофону, геолокации, а в некоторых случаях и к сохраненной парольной информации MacBook или iPhone.

Все уязвимости были выявлены исследователем Райаном Пикреном, который получил за это 75 тыс. долларов.

Основные ошибки в Safari скрывались в кривом механизме обработки URL и в доверенном характере некоторых сайтов, типа skype .com. В результате чего злоумышленник мог замаскировать свой сайт под доверенный и получить дефолтный доступ не только к камере и микрофону, но и к автозаполняемым паролям.

История, на наш взгляд, отвратительная. Apple так долго кичившаяся безопасностью своего ПО, на деле, как оказывается, не соблюдает элементарные стандарты инфосека.

И таки кому теперь верить?

https://thehackernews.com/2020/04/hacking-iphone-macbook-camera.html

​​Felix Aime, участник Kaspersky GReAT team, презентовал генератор названий для APT, который позволит больше не ломать исследователям голову над тем как назвать новую хакерскую группу.

Действительно, все эти самоповторения типа различного рода "Bear" или "Panda" изрядно надоели. Никакого креатива.

Поэтому пользуйтесь на здоровье - http://apt.naming-engine.tech

Самое интересно, что у нас пока получилось - Agressive Donkey. Замечательное название для какой-нибудь мексиканской APT. Если они там есть, конечно.

Множество ошибок выявленных в работе сервиса видеоконференций ZOOM в конце рабочей (а в нашем случае нерабочей) недели получило достойное завершение.

Forbes сообщило, что, согласно доклада группы Citizen Lab Университета Торонто (они, кстати, у нас уже светились в связи с расследованием деятельности израильской NSO Group по распространению своего шпионского ПО Pegasus), ZOOM в ряде случаев отправляет ключи шифрования сессии в Китай.

Несмотря на то, что ZOOM никогда не скрывали своей связи с Китаем (к примеру, R&D подразделение сервиса расположено в Поднебесной, да и директор платформы с говорящей фамилией Юань родом из китайской провинции Шаньдун), теперь их требуют объясниться по предъявленным претензиям более конкретно.

Есть ощущение, что, в связи с использованием возможностей ZOOM многими правительственными органами США и Канады, так просто от сервиса не отстанут. В частности, дополнительные вопросы могут возникнуть у американской комиссии по ценным бумагам (SEC), которая традиционно участвует в различных разборках на стороне правоохранительного блока США.

О, сколько нам открытий чудных... (А.С. Пушкин)

Такое происходит в мире инфосека, что только держись.

Как мы помним, несколько месяцев назад Facebook, как владелец WhatsApp, подал в суда на израильскую компанию NSO Group за продажу ряду правительств своего шпионского ПО Pegasus, которое позволяло контролировать переписку пользователей в мессенджере путем заражения его смартфона.

Ну, тут генеральный директор NSO Group Шалев Хулио в суде и бахнул - оказывается два представителя Facebook обращались к израильтянам в октябре 2017 года и хотели приобрести право на использование некоторых возможностей Pegasus.

По данным NSO Group, часть их шпионских механизмов Facebook планировали использовать внутри своего VPN-приложения Onavo Protect, которое проводило несанкционированный анализ пользовательского траффика.

"Представители Facebook заявили, что Facebook обеспокоены тем, что их метод сбора пользовательских данных с помощью Onavo Protect менее эффективен на устройствах Apple, поэтому Facebook хочет использовать предполагаемые механизмы Pegasus для мониторинга пользователей на устройствах Apple и готовы платить за возможность их использования в Onavo Protect."

Однако, как уверяет NSO, они не стали сотрудничать с Facebook в связи с тем, что последние не являются официальной государственной организацией.

В 2019 году после ряда скандалов поддержка и распространение Onavo Protect была прекращена.

Какая прелестная прелесть.

https://www.vice.com/en_us/article/pke9k9/facebook-wanted-nso-spyware-to-monitor-users

Ну то есть тот факт, что сам Касперский - выпускник ВШ КГБ, никого не смущает...

Уже и не стесняются открыто (есть еще олухи, кто доверяет этой "защите"): "Выпускник академии ФСБ Михаил Прибочий стал управляющим директором «Лаборатории Касперского» в России".

А теперь скажем как есть. И пусть нас за это обвинят в проплаченности Касперским (ау, Евгений Валентинович, где наш бюджет на апрель?).

Тот, кто утверждает, что в данный исторический момент Касперский дружит с ФСБ - ни хрена не шарит в российском инфосеке. Без обид.

Mozilla выпустила апдейты, устраняющие две 0-day уязвимости в браузерах Firefox и Firefox ESR.

По данным Mozilla, уязвимости использовали ошибку Use-After-Free (UAF), позволяли удаленно запускать вредоносный код и активно эксплуатировались в дикой природе.

Всем, кто пользует FireFox, рекомендуем срочно обновиться.

https://www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploited-firefox-zero-days/

Tele2 отслеживает перемещение своих пользователей.

На самом деле то, что сотовые операторы могут отслеживать перемещения своих пользователей - давно не новость.

Услуги по отслеживанию абонентов присутствуют в том или ином виде у всех операторов - например, Мегафон Радар. Все это можно элементарно погуглить в сети.

Технический биллинг предполагает запись не только номера базовой станции, в области действия которой находится абонент при совершении какой-либо активности (вызов, отправка/получение SMS, передача данных), но и так называемого "сектора" - направления нахождения абонента относительно БС.

Более того, оператор может получить данные о местонахождении абонента с точностью до нескольких десятков метров просто инициируя переключение базовых станций, к которым он подключен, и применяя метод триангуляции.

Все это делается по умолчанию. Но есть еще и более продвинутые системы, позволяющие получать данные о нахождении абонента даже при его неактивности, но при условии регистрации в сети, то есть включенного телефона.

Каждый оператор уже давно имеет в своей структуре подразделения Big Data, которые собирают все подряд данные (не только биллинговые) об абоненте. Сколько и как денег положил, какие оплаты делал с мобильного счета и пр. и пр. Оператор агрегирует все эти сведения с целью дальнейшей их обработки и монетизации тем или иным образом.

В число обрабатываемых Big Data данных об абоненте входит и его геолокация. Чтобы потом, например, присылать ему рекламные SMS исходя из его маршрута. Естественно, что все это делается автоматически, дабы не нарушать Законы о связи и персданных.

Что же касается ДИТ Правительства Москвы, то он работает с сотовыми операторами не первый год. И глупо было бы предполагать, что мэрия не будет использовать наработанные механизмы в период самоизоляции.

То, что большинство об этом не знало до сего момента, не значит, что этого не существовало.

Похоже, что всем известный zoom bombing, когда киберхулиганы закидывают незащищенные видеоконференции на платформе ZOOM порнороликами, оскорблениями и другими непотребностями, становится делом опасным.

В пятницу офис Прокурора Восточного округа штата Мичиган выпустил официальное заявление, в котором назвал zoom bombing взломом видеоконференций и сообщил, что теперь он может рассматриваться как преступление, причем не только штата, но и федеральное. В качестве наказания - штрафы и лишение свободы.

"Вы думаете, что zoom bombing это смешно? Давайте посмотрим, как вы посмеетесь после того, как вас арестуют" - сказал прокурор.

Ну, то есть, настрой у американских правоохранителей весьма серьезный. Если вспомнить, что в США прецедентное право, то можно предположить, что скоро указанная практика распространится на всю территорию страны.

Как это может коснуться нас? А очень просто.

В условиях карантинной самоизоляции тысячи российских мамкиных хакеров могут соблазниться возможностью пошалить в американских видеоконференциях. Тем более это активно и открыто обсуждают в Discord и на Reddit.

А потом, когда вся карантинная "радость" закончится (а мы в этом уверены), лет через пару ребята решат съездить после сессии в США. Или в Канаду. Или в одну из сотен стран, с которыми у США подписано соглашение об экстрадиции.

И внезапно вместо солнечной Калифорнии или лазурной Доминиканы окажутся на холодных мичиганских нарах. Не сомневайтесь, затюканный до состояния грогги ZOOM предоставит американцам все имеющиеся логи.

Берегите детей от необдуманных поступков в киберпространстве. Домострой подскажет как.

Особенности национального карантина в Великобритании. А потом они удивляются, что у них тренд заболеваемости уверенно стремится занять первое место.

Похоже они решили уйти по-английски. Все и насовсем.

https://twitter.com/SurreyRoadCops/status/1246528503966838790

В предустановленном ПО десктопов и ноутбуков от HP с операционной системой Windows выявлены уязвимости, позволяющие повышать локальные права пользователя.

Исследователь Билл Демиркапи еще в прошлом году обнаружил 10 (!) уязвимостей в ПО HP Support Assistant, предустанавливаемом на компьютеры HP с 2012 года, которые позволяют удаленное исполнение кода, удаление файлов и локальное повышение привилегий.

В результате выпуска HP двух апдейтов в декабре 2019 года и в марте текущего большая часть уязвимостей была устранена, однако три ошибки остались актуальными. Они позволяют осуществить локальное повышение прав, что может быть использовано злоумышленником после первичного проникновения в атакуемую систему.

По утверждению Билла Демиркапи, в целях исключения угроз безопасности требуется полностью удалить уязвимое программное обеспечение - HP Support Assistant и HP Support Solutions Framework.

Рекомендуем прислушаться.

https://www.bleepingcomputer.com/news/security/windows-pcs-exposed-to-attacks-by-critical-hp-support-assistant-bugs/

​​По данным NetMarketShare, в марте 2020 года Microsoft Edge впервые обогнал по количеству установок Firefox.

В целом, это достаточно печально. Хотя разработчики Firefox периодически допускают возникновение уязвимостей, они, как правило, оперативно реагируют на сообщения исследователей и своевременно выпускают апдейты. В отличие от.

Другим несомненным преимуществом лисиного браузера является его нацеленность на сохранение приватности пользователей. И, хотя борьба с отслеживанием различными сервисами fingerprint'ов пользовательской системы пока идет ни шатко ни валко, дорогу осилит идущий.

А вот Edge, согласно недавним исследованиям, из всех крупных браузеров является наименее приватным.

Если такая тенденция продолжится, то скоро не останется иных браузеров кроме произведенных крупными софтверными корпорациями. А им приватность пользователя ни к чему.

Вот и будет у нас выбор - сливать свои данные в Google или в Microsoft. Как говорится, никто не неволит.

Этот пост проплачен Mozilla (нет).

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-now-2nd-most-popular-desktop-browser-beats-firefox/

​​Неожиданно, но у нас продолжение минисериала про похождения APT DarkHotel. На данный момент эта хакерская группа, пожалуй, одна из наиболее активных прогосударственных прокси.

Новости опять принесли китайские исследователи из Qihoo 360. В конце прошлой недели они сообщили, что выявили масштабную кампанию по взлому VPN-серверов китайской компании Sangfor c использованием 0-day уязвимости.

Всего скомпрометировано более 200 серверов Sangfor SSL VPN, 174 из которых использовались в сетях правительственных учреждений в Пекине и Шанхае, а также в сетях китайских дипломатических представительств по всему миру.

Хакеры с помощью уязвимости получали доступ к VPN-серверу, после чего подменяли файл автоматического обновления на новый, содержащий троян. Подключившийся к VPN пользователь получал троян, а вместе с ним и бэкдор.

Qihoo 360 заявляет, что, как и в прошлый раз, за атакой стоит APT DarkHotel, которую китайцы считают южнокорейской прогосударственной хакерской группой.

Китайские исследователи открыто заявляют, что DarkHotel, скорее всего, пытались получить информацию о методах борьбы китайского правительства со вспышкой коронавируса.

Данное заявление хорошо бьется с одной из версий Reuters, согласно которой DarkHotel ответственна за попытку взлома ресурсов ВОЗ в марте этого года.

И теперь у нас возникает очередной вопрос - учитывая, что Южная Корея просто аномально удачно справляется со вспышкой эпидемии COVID-19, не является ли такой успех результатом деятельности государственных хакеров, нашедших таки некие скрытые данные про коронавирус и методы борьбы с ним?

https://www.zdnet.com/article/darkhotel-hackers-use-vpn-zero-day-to-compromise-chinese-government-agencies/

Пьерлуиджи Паганини с Security Affairs истерит по поводу продажи некими хакерами базы данных итальянского почтового сервиса Email.it. На котором есть и его личная почта.

Предложение о продаже БД появилось в Даркнете, за сведения просят от 0,5 (за список учетных данных) до 3 BTC (за полный дамп, включающий переписку).

Общее количество скомпрометированных учетных данных составляет около 600 тысяч и мы бы не обратили особо внимания на эту утечку (в конце концов, тут каждую неделю базы сливают по несколько миллионов учеток, а то и больше) если бы не поведение администрации Email.it, которое они явно строили по методическим рекомендациям "Антикризисный PR с человеческим лицом" за авторством г-на Грефа. Проще говоря, итальянцы стали морозится.

Со слов хакеров, БД они слили еще в январе 2018 года и предложили администрации почтового сервиса выплатить им денежное вознаграждение за указание уязвимостей, с помощью которых произошел взлом, на что получили отказ.

Пытаясь косплеить white hat товарищи, конечно, лукавят. Но поведение Email.it иначе как свинским не назовешь.

Почтовый сервис, зная о компрометации существенной части своих пользователей, в течение 2 лет молчал в тряпочку и никоим образом не предупреждал их о возникшей угрозе приватности их переписок. И лишь после появления слитой базы данных в продаже признали факт взлома.

Вряд ли вся эта история повысит популярность Email.it, скорее наоборот. Что в очередной раз свидетельствует о важности правильной и своевременной реакции на инцидент информационной безопасности. И не слушайте Грефа, он в этой части не авторитет ни разу.

Вообще-то kino-govno .com изначально были чисто стебным проектом и отлично жгли, чего стоили хотя бы их сокращенные сценарии.

А само название - отсылка к Джею и Молчаливому Бобу.

Понятно, что потом забурели и захотели бабок, вот и переименовались. Но цепляться к названию - так себе шутка.

А топить за загаженный Яндексом Kinopoisk вообще моветон.