Согласно данным, собранным SynSaber, в первой половине 2023 года около 34% уязвимостей, влияющих на ICS, не имеют исправлений, что на 13% больше чем в предыдущем году.

Из 670 проанализированных CVE 88 имеют критический рейтинг, 349 — высокий, 215 — средний и 18 — низкий уровень серьезности.

227 из них не исправлены по сравнению с 88 в первом полугодии 2022 года.

При этом наиболее уязвимыми секторами являются: производство (37,3% от общего числа зарегистрированных CVE) и энергетика (24,3%).

Далее по вертикали следуют: водоснабжение и водоотведение, коммерческие объекты, связь, транспорт, химпромышленность, здравоохранение, сельское хозяйство и госучреждения.

Из интересного:

- Mitsubishi Electric (20,5%), Siemens (18,2%) и Rockwell Automation (15,9%) оказались наиболее уязвимыми поставщиками в критически важном производственном секторе,

- Hitachi Energy (39,5%), Advantech (10,5%), Delta Electronics и Rockwell Automation (оба по 7,9%) - в энергетическом секторе.

- Siemens стала лидером по наибольшему числу CVE, на которую пришлось 41 рекомендация ICS.

- Использование после свободного чтения за пределами допустимого диапазона, неправильная проверка ввода, запись за пределами допустимого диапазона и состояние гонки были пятью основными недостатками ПО.

- Большинство отчетов CVE (84,6%) поступило от производителей оригинального оборудования (OEM) и поставщиков систем безопасности в США, за которыми следуют Китай, Израиль и Япония.

- На независимые и академические исследования приходилось 9,4% и 3,9% соответственно.

- Критические Forever-Day по-прежнему остаются важной проблемой, в связи с EOL ряда продуктов ICS.

SynSaber рекомендует организациям отслеживать недостатки для своих сред из нескольких источников, проявляя осторожность в плане оценки уязвимости в контексте среды OT, каждая из которых уникальна, и влияние будет сильно различаться для каждой организации.

Под страхом, что искусственный интеллект завоюет мир, в Китае решили запретить ChatGPT, а также намереваются распространить ограничения и на приложения, которые его используют.

Пока опасения связанны не с восстанием машин, а с тем, что машины использующие ИИ могут заместить многие человеческие функции, что на фоне эскалации торговой войны против США совсем не на руку Поднебесной.

Как сообщили в TechNode, Китай ужесточает правила, связанные с технологиями глубокого синтеза (DST) и сервисами генеративного ИИ, включая ChatGPT. В соответствии с распоряжением правительства ряд приложений будет недоступен в китайском App Store.

Кроме того, все формы DST должны будут иметь лицензию Министерства промышленности и информационных технологий.

Под санкции ведомства уже попал один из пользователей приложения, который не был напрямую связан с ChatGPT, но который, по мнению властей Китая, использовал генератор контента AI.

Месседж примерно следующего содержания: «На основании нашего обзора ваше приложение связано с ChatGPT, у которого нет необходимых разрешений для работы в Китае».

Собственно вышеизложенное означает, что любая программа, которая, по мнению правительства КНР, использует ChatGPT или любую другую неутвержденную модель ИИ, может фактически попасть под запрет.

На самом деле будем посмотреть, насколько эффективно "железный файервол" в массе своей справится со столь не тривиальной задачей.

Нам тут пишут, что Касперские добавили в свое приложение Who Calls возможность блокировать вызовы в мессенджерах. Пока только в бету и пока только вызовы WhatsApp, но, как говорится, crazy trouble begining (c)

Собственно сама бета доступна по ссылке здесь - https://play.google.com/store/apps/details?id=com.kaspersky.who_calls

Скачайте, если не сложно, помогите людям спамерскую базу подсобрать. Приложение условно-бесплатное, основные функции работают "за просто х**" (с), сами пользуемся. Благое же дело.

/убежали покупать новые розовые вейпы за кэш, полученный от Касперских

Руководство Tenable обвинило Microsoft в крайней безответственности и вопиющей некомпетентности в части устранения недостатков безопасности в облачной платформе Azure.

Резкая критика связана с уязвимостью в системе безопасности, обнаруженной исследователями Tenable в платформе Azure, которая позволяет злоумышленникам, не прошедшим проверку подлинности, получить доступ к межтенантным приложениям и получить данные любого клиента.

После уведомления Microsoft о проблеме, спустя три месяца последовало частичное исправление, которое уже традиционно толком либо ничего не исправляет, точнее исправляет для «галочки».

Причем применили его только к новым приложениям, развернутым на платформе Azure, оставляя всех предыдущих клиентов по-прежнему уязвимыми для атак.

После чего Microsoft обычно бьет в себя в грудь и обещает с обещаниями все исправить, но только в сентябре, что конечно же значительно превышает общепринятый 90-дневный срок для раскрытия, даже несмотря на всю критичность проблемы.

Самое досадное в ситуации то, что Microsoft решила не уведомлять клиентов о проблеме и о рисках.

Возмущение Tenable понять можно, особенно, если такое повторяется в работе с Microsoft уже второй раз, после аналогичного сообщения в прошлом году в июне.

Возможно, микромягкие проигнорировали ли бы сообщение, но неделю назад американские сенаторы инициировали расследование по Microsoft на предмет ее серьезных и неоднократных нарушений безопасности.

За несколько часов до запланированной публикации бюллетеня Microsoft внезапно выпустила полное исправление для уязвимости и применила его для всех приложений и клиентов Azure.

Патч появился после того, как компанию подвергли публичной экзекуции и последовавшего ускорения (пинка), что Microsoft совершает уже в 100500+ раз.

В свою очередь, Tenable также выпустила подробный отчет об уязвимости вместе с PoC.

Исследователи Cisco Talos предупреждают о десятках критических и особо серьезных RCE-уязвимостей, затрагивающих промышленный маршрутизатор Milesight UR32L.

Все проблемы были выявлены в рамках более широкого исследования по изучению маршрутизаторов SOHO.

По результатам которого с 2018 года было в общей сложности раскрыто 289 уязвимостей в Asus, D-Link, InHand Network, Linksys, Netgear, Robustel, Sierra Wireless, Siretta, Synology, TCL, TP-Link и ZTE, а OpenWrt, FreshTomato, Asuswrt и NetUSB.

Маршрутизатор UR32L обеспечивает поддержку WCDMA и 4G LTE, порты Ethernet и удаленное управление устройствами, что делает его востребованным для широкого спектра приложений M2M/IoT.

В ходе исследования маршрутизатора UR32L и связанного с ним решения для удаленного доступа MilesightVPN ресерчеры представили более 20 отчетов об уязвимостях, в результате которых было присвоено 69 CVE, из которых 63 влияют именно на промышленный маршрутизатор.

Наиболее серьезной из выявленных проблем является CVE-2023-23902 (оценка CVSS 9,8) и связана с переполнением буфера удаленного стека перед аутентификацией, которая может привести к RCE через сетевые запросы.

За исключением двух ошибок, остальные уязвимости, влияющие на маршрутизатор UR32L, представляют собой недостатки высокой степени серьезности, большинство из которых также могут привести к выполнению произвольного кода или команд.

Уязвимости, затрагивающие MilesightVPN, могут быть использованы для выполнения команд, чтения произвольных файлов, обхода аутентификации и внедрения произвольного кода Javascript.

Злоумышленник может использовать обход аутентификации в программном обеспечении VPN (отслеживается как CVE-2023-22319), а затем выполнять произвольный код на устройстве, используя CVE-2023-23902.

Поставщика уведомили о недостатках в феврале 2023 года, и по началу Milesight не спешили их исправлять. Потом исправились и уже отправили в Talos тестовую версию обновления.

Хакеры Mysterious Team Bangladesh под религиозным и политическим началом продолжает утюжить Индийскую и Израильскую логистическую инфраструктуру, а также государственные и финансовые учреждения.

Ресерчеры из Group-IB уже год отслеживают хактивистов и приписывают им более 750 распределенных DDoS-атак и 78 дефейсов веб-сайтов с июня 2022 года.

Причем злонамеренные воздействия на Индию символично начались 22 июня 2022 года, когда группа прошлась по государственным ресурсам и веб-сайтам банков и финансовых организаций.

Как ни банально бы не звучало, но Mysterious Team Bangladesh подозревают в бангладешском происхождении, о чем собственно злоумышленники заявляли о своей освободительской миссии в Facebook. В чем, почему-то почти никто не сомневается, в отличие от суданцев.

Группа максимально близка к народу и ведет активную деятельность в социальных сетях через Telegram и Twitter.

Имеется даже профиль на LinkedIn, где «Операция Израиль» указана как текущий проект группировки поддерживающий Палестину.

Как мы уже сказали, группа чаще всего атакует организации в сфере логистики, финансов, госуправления Индии и Израиля, однако имели место быть и другие цели, такие как Австралия, Сенегал, Нидерланды, Швеция, Эфиопия и ОАЭ.

Видимо, у группировки, как у самураев нету цели, есть только путь на фоне растущей тенденции активного вмешательства хактивистов в различные политические процессы по всему миру.

Команда исследователей из британских университетов на основе глубокого обучения разработали CoANet, которая реализует акустическую атаку по сторонним каналам, позволяя с точностью в 95% считывать нажатия клавиатуры.

Новая атака серьезно влияет на безопасность данных и может привести к утечке паролей, обсуждений, сообщений или другой конфиденциальной информации злоумышленникам.

Все осложняется тем, что в отличие от других атак по побочным каналам, которые требуют особых условий, акустические атаки намного проще из-за широкого распространения устройств с микрофонами и возможностью производить высококачественный захват звука.

Что в сочетании с быстрым прогрессом в машинном обучении, делает атаки по сторонним каналам на основе звука возможными и намного более опасными, чем предполагалось ранее.

Для проведения атаки на первом этапе с помощью вредоносного ПО, имеющим доступ к микрофону цели, фиксируется нажатия клавиш на клавиатуре цели для обучения алгоритма прогнозирования.

В качестве альтернативы запись может быть реализована в ходе вызова Zoom, в рамках которого фиксируется корреляция между сообщениями, набранными целью, и их звукозаписью.

При этом для опытов на практике данные собирались через нажатия 36 клавиш (по 25 раз каждую) на современном MacBook Pro и записью звук, издаваемого каждым нажатием, а также iPhone 13 mini, расположенный на расстоянии 17 см от цели, и Zoom.

На их основе проводился анализ спектрограмм записей, визуализирующих различия для каждой клавиши. Изображения использовались для обучения CoAtNet.

По итогу CoANet показал 95% точности по записям со смартфона и 93% по данным, снятым через Zoom.

Skype дал более низкую, но пригодную для атаки точность 91,7%.

В качестве мер по смягчению исследователи посоветовали изменять стиль ввода или использовать случайные пароли.

В числе других потенциальных мер защиты выделили использование ПО для воспроизведения звуков нажатия клавиш, белого шума или программных аудиофильтров нажатий клавиш.

Причем добавление шумопоглотителей на механические клавиатуры или переход на мембранные клавиатуры не позволят защититься от новой атаки.

Исследователи из GuidePoint Security сообщают, что злоумышленники активно злоупотребляют инструментом Cloudflare Tunnel с открытым исходным кодом для поддержания скрытого постоянного доступа к скомпрометированным системам.

Cloudflared — это клиент командной строки для Cloudflare Tunnel, демона туннелирования для проксирования трафика между сетью Cloudflare и источником пользователя.

Инструмент создает исходящее соединение через HTTPS, при этом настройками соединения можно управлять с помощью панели инструментовм. При этом SSH, RDP, SMB и другие, напрямую доступны извне без необходимости изменять правила брандмауэра.

Для злоумышленников это открывает прекрасную возможность сохранять доступ к среде жертвы, не раскрывая себя. Однако злоумышленнику необходим доступ к целевой системе, чтобы запустить Cloudflared и установить соединение.

Поскольку для Cloudflared требуется только токен, злоумышленник может инициировать эти команды, не раскрывая никаких своих конфигураций на машине-жертве до успешного подключения к туннелю.

После того, как туннель установлен, Cloudflared сохраняет конфигурацию в рабочем процессе, что позволяет злоумышленнику вносить изменения сходу после установления соединения, включив RDP и SMB на машине-жертве.

Учитывая, что Cloudflared является легальным инструментом, поддерживаемым в основных ОС, большинство сетевых средств защиты пропускают трафик, что позволяет злоумышленникам сохранять доступ, не раскрывая их инфраструктуру, за исключением токена, назначенного их туннелю.

Злоумышленники могут использовать функцию конфигурации туннеля «частные сети», чтобы получить доступ к локальной сети, как если бы они физически находились рядом с машиной-жертвой, на которой размещен туннель, и взаимодействовать с любым устройством в сети.

По словам GuidePoint, основная проблема с Cloudflared заключается в том, что этот инструмент не хранит журналы, а активность можно просматривать только в режиме реального времени.

Организации, использующие Cloudflare, потенциально могут ограничиться определенными ЦОД и генерировать обнаружения левых туннелей.

Ресерчеры из Лаборатории Касперского продолжают следить за тем, что происходит в crimeware, анализируя найденные образцы вредоносного ПО, наблюдая за ботнетами и активностью на теневых форумах.

В своем отчете исследователи рассказывают о новых образцах Emotet и загрузчика DarkGate, а также последней кампании с использованием стилера LokiBot.

В июне 2023 года известный в даркнете разработчик вредоносного ПО презентовал свою новую разработку - DarkGate, на которую потратил более 20 000 часов, начиная с 2017 года.

Новый вредоносный загрузчик обладает расширенными функциями, включая такие основные, как: скрытое VNC-подключение, обход Защитника Windows, кража истории браузера и токенов Discord, обратный прокси, файловый менеджер.

Полная цепочка заражения состоит из 4 этапов: VBS-загрузчик, скрипт AutoIT V3, шелл-код и исполнитель DarkGate.

Загрузчик DarkGate содержит 17 глобальных переменных (Delphi TStringList), описывающих основные функции зловреда, в число которых не входит загрузка вредоносного ПО, для этого используется отдельный модуль.

Интерес представляет также способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Новая обнаруженная кампания с LokiBot (обнаруденный впервые в 2016 году стиллер) связана с фишингом, нацеленным на на компании, специализирующиеся на морских грузоперевозках.

Жертвы получали электронное письмо якобы от контрагента с требованием уплатить портовые сборы. В письмо был вложен документ Excel, при открытии которого вместо ожидаемой активации макроса - происходит эксплуатация CVE-2017-0199.

При успешной эксплуатации загружается документ RTF, который эксплуатирует другую CVE-2017-11882, запускающую LokiBot, который собирает учетные данные из различных источников и отправляет их на командный сервер в POST-запросах, сжатых с помощью библиотеки APLib.

В последней волне возобновившихся после 2021 года атак операторы Emotet использовали популярный вектор заражения через рассылки писем вредоносными файлами OneNote, при открытии которых появляется изображение с кнопкой просмотра.

Дальнейший клик приводить к выполнению вредоносного обфусцированного встроенного VBS-скрипта, который доставляет с нескольких сайтов полезную нагрузку (DLL-файл).

Расшифрованная полезная нагрузка представляет собой шелл-код, который выполняет стандартный импорт по хешу. Две из импортируемых функций — LdrLoadDll и LdrGetProcedureAddress.

На следующем этапе реализуется итоговая полезная нагрузка - Emotet, которая не отличается от использованной в предыдущих волнах атак.

Более детально все цепочки заражений и обновленный функционал зловредов с индикаторами компрометации представлены в отчете.

Под занавес прошедшей рабочей недели у представителей японского инфосека случился аллес капут, поскольку произошла утечка данных из самого что ни на есть Центра кибербезопасности Кабинета министров (NISC).

Собственно 4 августа 2023 года, видимо на пятничной планерке, представители NISC решили признаться об утечке, в результате которой могло быть слито около 5000 электронных писем.

Согласно заявлениям Центра, ими было обнаружено несанкционированное обращение к системе электронной почты из-за чего некоторые данные, включая личную информацию, могли быть украдены.

Расследование показало, что утечка произошла по причине эксплуатации уязвимости в оборудовании, связанном с системой электронной почты.

Хотя NISC официально не раскрывает этих сведений, но сведущие специалисты предполагают, что производителем является американская компания Barracuda Networks с ее известной багой в Email Security Gateway (ESG).

Ну, а если так, то NISC, похоже, стал очередной жертвой в серии взломов почтового сервера Barracuda, к которым причастны злоумышленники, отслеживаемые как UNC4841, за которыми по предположениям Mandiant из Google, якобы стоят китайцы, что в целом выглядит достаточно логично с точки зрения реализованного вектора атаки.

Последние пару лет Азиатско-Тихоокеанский регион был очагом кибератак со стороны различных злоумышленников.

Среди многих участников APT, действующих в этом регионе, некоторые из них сосредоточены на пакистанских жертвах.

Недавно ресерчеры Лаборатории Касперского обнаружили кластер активности в этом регионе, сосредоточенный на похожем профиле жертвы, которому посвятили два частных отчета с анализом TTP за последние несколько лет, назвав злоумышленника Mysterious Elephant.

Причем, некоторые из инструментов Mysterious Elephant имеют сходство со старыми инструментами, которые ранее использовались другими злоумышленниками в регионе.

Например, более ранние версии бэкдора Rover был замечен у SideWinder и Confucius.

Один из отчетов также был посвящен анализу кампании, нацеленной на ряд жертв в Пакистане.

Основное вредоносное ПО в этой кампании представляет собой новое семейство бэкдоров, которые забрасываются на компьютеры жертв через RTF-документ и CVE-2017-11882, загружаемый через другой фишинговый документ.

Модуль бэкдора устанавливает связь со своим C2-сервером с помощью удаленного вызова процедур (RPC) и имеет возможность выполнять файлы или команды на машине жертвы, а также получать файлы или команды от C2-сервера для выполнения на зараженном компьютере.

В свою очередь, китайская инфосек-компания KNOW Chuangyu пришла к выводу, что Mysterious Elephant, описанная в отчете Лаборатории Касперского, - это ни кто иная как Bitter APT.

На ее след китайские ресерчеры вышли ранее в этом году через анализ нового бэкдора под названием ORPCBackdoor.

После подтверждения своих предположений Chuangyu считают, что обнаруженный Лабораторией бэкдор, является той же вредоносной программой, что и ORPCBackdoor.

АРТ Mysterious Elephant китайцы отслеживают как APT-K-47.

В своем отчете китайские исследователи расширили анализ общей цепочки атак, а также на основе телеметрии выделили новых жертв за пределами Пакистана, представив в своей статье подробности атак и связанные с АРТ IOC.

Исследователи Horizon3 обнаружили новую RCE-уязвимость высокой степени серьезности в ПО для управления печатью PaperCut MF/NG.

CVE-2023-39143 может быть использована злоумышленниками, не прошедшими проверку подлинности, для чтения или записи произвольных файлов, что может сделать возможным RCE в определенных конфигурациях

В частности, уязвимость затрагивает серверы PaperCut, работающие под управлением Windows и имеющие включенную настройку интеграции с внешними устройствами.

Причем этот параметр активирован по умолчанию в установках коммерческих версий PaperCut NG или PaperCut MF.

По данным Horizon3, подавляющее большинство установок уязвимы.

Технические детали новой ошибки пока не разглашаются, для предотвращения потенциальных злоупотреблений.

PaperCut выпустила патч в рамках версии 22.1.3, а также доступны и смягчения. Поставщик описал CVE-2023-39143 как две ошибки обхода пути и отметил, что для эксплуатации требуется прямой доступ к IP-адресу сервера.

В настоящее время нет никаких доказательств того, что CVE-2023-39143 использовалась в дикой природе.

Однако уповать на это не стоит, ведь другая недавняя уязвимость PaperCut, отслеживаемая как CVE-2023-27350, широко использовалась в атаках ransomware и АРТ.

В мае этого года российская компания, специализирующаяся на производстве и продаже оборудования, стала жертвой атаки вымогателей.

Зашифрованные файлы имели расширение BLackShadow.

При расследовании инцидента специалисты компании F.A.C.C.T. испытали устойчивое чувство дежавю: подобные TTP в последнее время встречаются все чаще и чаще.

В таких атаках не используются изощренные методы и инновации, а злоумышленники не тратят силы и время на кражу информации и ее последующую публикацию с целью дополнительного шантажа жертвы.

Их вполне устраивает небольшой, но стабильный гонорар — 5-30 тыс.дол. в биткоинах, да и жертвам вполне по силам выплачивать такие суммы.

Но интересно другое: в той майской атаке применялась незнакомая ransomware, а у нее сразу нашлось два "близких родственника" — программы, шифрующие файлы с расширениями BLackSh и BlackStore соответственно.

А в середине июля 2023 была найдена программа-вымогатель, использующая расширение Black для зашифрованных файлов.

Так появилось семейство, которое исследователи назвали BlackShadow.

Основной таргетинг: компании малого и среднего бизнеса по всему миру, преимущественно из России. Первая активность датируется январем 2023 года.

В качестве начального вектора атаки используются скомпрометированные службы удаленного доступа.

Учетные данные злоумышленники получают в результате перебора или приобретаются у брокеров первоначального доступа или операторов стилеров.

Ransomware не имеет широких функциональных возможностей, но эффективно шифрует данные без возможности их расшифровки при отсутствии закрытого ключа.

Атакующие не похищают данные жертвы, соответственно не имеют DLS. Для взаимодействия с жертвой злоумышленники преимущественно используют электронную почту.


В своем отчете ресерчеры приводят подробный анализ Kill Chain и индикаторы компрометации, а также делятся рекомендациями.

С 4 июня 2023 года специалисты из Cisco Talos наблюдают за пока неустановленным субъектом угрозы, который начал использовать новый вариант вредоносного ПО Yashma для атак с вымогательством на различные объекты в Болгарии, Китае и Вьетнаме.

Согласно отчету, хакерская группа имеет вьетнамские корни и применяет необычную технику для доставки заметок о выкупе.

Вместо классического встраивания соответствующих строк о выкупе в бинарный файл, они загружают их из контролируемого злоумышленником репозитория GitHub.

Вредонос Yashma был впервые описан в мае 2022 года и является переименованной версией вируса-вымогателя Chaos.

Стоит отметить, что требование о выкупе имеет сходство с хорошо известным WannaCry, что, возможно, было сделано для запутывания в атрибуции.

Кроме того, за месяц до появления Yashma, создатель малвари Chaos слил исходники на теневых площадках, что вызвало ускоренный рост появления новых вариантов вымогательского ПО и как следствие большего количества атак.

В компании уже отметили значительное увеличение атак с ransomware по сравнению с подсчетами Malwarebytes, в которых за прошлый год только в США, Германии, Франции и Великобритании было зафиксировано более 1900 инцидентов.

Подкатил PatchTuesday от Microsoft за август 2023 с исправлениями 87 уязвимостей, включая 2 активно эксплуатируемые и 23 уязвимости RCE, из которых 6 оцениваются как критические.

В целом исправлено 18 уязвимостей повышения привилегий, 3 - обхода функций безопасности, 23 - RCE, 10 - раскрытия информации, 8 - DoS, 12 - спуфинга.

Помимо указанных, 12 ошибок исправлено в Microsoft Edge (Chromium).

Вторник исправлений в этом месяце исправляет две уязвимости нулевого дня, обе из которых использовались в атаках, а одна из них была публично раскрыта.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрывается или активно эксплуатируется без официального исправления.

Упоминаемые две активно эксплуатируемые 0-day - CVE-2023-36884 и CVE-2023-38180.

Первая из проблем в Microsoft Office Defense была обнаружена Volexity еще в июле и тогда ее она не исправила, но предоставила рекомендации по ее устранению.

CVE-2023-36884 позволяла злоумышленникам создавать специально созданные документы Microsoft Office, которые могли обходить функцию безопасности Mark of the Web (MoTW), заставляя файлы открываться без отображения предупреждения безопасности и выполнять RCE.

0-day была замечена в атаках группы RomCom в финансовых и шпионских целях.

Группа известна тем, что применяла в атаках программу-вымогатель Industrial Spy, переименованную в Underground, под которой они продолжают вымогать деньги у жертв.

Другая исправленная CVE-2023-38180 представляет собой уязвимость .NET и Visual Studio, связанную с DoS.

По ней Microsoft стала делиться какими-либо дополнительными подробностями относительно того, как эта уязвимость использовалась в атаках, и не раскрыла, кто ее обнаружил.

Полный перечень всех исправленных ошибок с описанием каждой из них и систем, на которые влияют можно просмотреть здесь.

Большой куш сорвали хакеры в Великобритании.

Новый масштабный инцидент теперь можно назвать в честь известного кинофильма с альтернативным названием Спиз…и.

На днях Избирком Великобритании выпустил уведомление об утечке данных избирателей за последние 8 лет.

Раскрытие произошло спустя десять месяцев после того, как Избирком впервые обнаружил нарушение в октябре 2022 года, и по прошествии двух лет после неправомерного доступа.

Оказалось, что злоумышленники взломали их системы гораздо раньше, в августе 2021 года.

В рамках кибератаки злоумышленники получили доступ к серверам госагентства, на которых хранится электронная почта, системы управления и справочные списки избирателей.

Украденные реестры включают установочные данные, фото, контакты и адреса всех жителей Великобритании, которые участвовали в голосованиях в период с 2014 по 2022 год, а также данные зарубежных избирателей.

В течение длительного времени хакеры фактически контролировали всю электронную корреспонденцию, включающую все внутренние и внешние коммуникаций агентства.

Руководство Избиркома всячески пытается замять инцидент, заявляя об отсутствии угроз выборам или регистрации избирателей, а также приуменьшая влияние утечки.

Несмотря на то, что ряд сведений из реестра об избирателях носит общедоступный характер, данные о личных контактах британцев будут весьма востребованы в даркнете.

Таким образом, в ближайшие годы британцам, по всей видимости, придется пережить массовые вредоносные кампании и кибератаки, а может даже и звонки из служб безопасности, Скотленд-Ярда и Банка Англии.

В рамках августовского PatchTuesday Siemens устранила выпустила 13 бюллетеней, охватывающих более 30 уязвимостей в своих продуктах.

Три бюллетеня Siemens были посвящены серьезным уязвимостям, исправленным в продуктах Ruggedcom.

В одном бюллетене рассматриваются пять уязвимостей, в том числе четыре критических и одна высокой степени серьезности, в серверном приложении Ruggedcom Crossbow.

Проблемы можно использовать для вызова DoS, повышения привилегий, выполнения произвольных SQL-запросов к базе данных и записи произвольных файлов в целевую систему. Все они были обнаружены NCSC Великобритании.

Siemens также проинформировала клиентов о критической уязвимости изоляции зеркального порта в устройствах Ruggedcom ROS.

Уязвимые продукты недостаточно блокируют передачу данных через порт в зеркальную сеть.

Злоумышленник может использовать такое поведение для передачи вредоносных пакетов в системы в зеркальной сети, что может повлиять на их конфигурацию и поведение во время выполнения.

Устройства ROS также подвержены DoS-уязвимости высокой степени серьезности, о которой Siemens сообщила в отдельном бюллетене.

Промышленный гигант проинформировал об уязвимостях высокой степени опасности, которые можно использовать с помощью специально созданных файлов.

Среди затронутых продуктов: Sicam Toolbox II, Parasolid, Teamcenter Visualization, JT2Go, JT Open, JT Utilities, Solid Edge и Siemens Software Center (SSC).

Два бюллетеня описывают влияние двух уязвимостей OpenSSL средней и высокой степени серьезности на продукты Simatic.

В отличие от коллег Schneider Electric выпустила только одну новую рекомендацию в отношении проблемы повреждения памяти средней серьезности, затрагивающей экранный редактор Pro-face GP-Pro EX HMI и ПО для логического программирования.

Исследователи раскрыли подробности новой атаки по побочным каналам под названием Inception, нацеленной на процессоры AMD.

Inception была обнаружена исследователями Цюрихского университета ETH в Швейцарии и позволяет локальному злоумышленнику получить потенциально конфиденциальные данные, такие как пароли или ключи шифрования, из любого места в памяти компьютера с процессором AMD Zen.

Inception — это атака с временным выполнением, в которой используется метод обучения переходному выполнению (TTE) и атака, получившая название Phantom Speculation (CVE-2022-23825).

Inception, отслеживаемая как CVE-2023-20569, представляет собой новую атаку, которая сочетает в себе описанные выше концепции, позволяя злоумышленнику заставить ЦП поверить в то, что инструкция XOR (простая двоичная операция) является инструкцией рекурсивного вызова.

Это приводит к переполнению буфера стека возврата целевым адресом, контролируемым злоумышленником, что позволяет ему считать произвольные данные из непривилегированных процессов, запущенных на любом процессоре AMD Zen.

Скорость утечки данных, достигнутая с помощью Inception, составляет 39 байт/с, что потребует около полсекунды для кражи 16-символьного пароля и 6,5 секунд для ключа RSA.

Ресерчеры представили отдельные статьи с подробным описанием атак Inception и Phantom, а для Inception PoC и ролик с демонстрацией эксплойта в действии.

В свою очередь, AMD в своем бюллетене подтверждает выводы исследователей, полагая, что Inception может привести к раскрытию информации.

Производитель чипов выпустил патчи для микрокода и другие меры по смягчению последствий, также рекомендуя клиентам использовать передовые методы обеспечения безопасности.

Как пояснили в AMD, эта атака аналогична предыдущим атакам на основе прогнозирования ветвлений, таким как Spectrev2 и Branch Type Confusion (BTC)/ RetBleed.

Как и в случае с аналогичными атаками, спекуляция ограничена текущим адресным пространством, и для ее использования злоумышленник должен знать его и контролировать достаточное количество регистров во время спекуляции RET (возврат из процедуры).

В компании считают, что уязвимость может быть использована только локально — например, с помощью вредоносного ПО, отмечая при этом, что пока не известно о каком-либо злонамеренном использовании.