Неизвестные вымогают у компании Tether 500 биткоинов
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Разработчики криптовалюты Tether (USDT) сообщают, что неизвестные лица вымогают у них 500 биткойнов (примерно 24 000 000 долларов по текущему курсу). В случае если компания откажется платить, мошенники обещают обнародовать якобы похищенные у нее данные.
Еще на прошлой неделе Twitter-аккаунты Deltecleaks и TetherLeaks стали распространять скриншоты якобы украденных у Tether документов и электронных писем, а также данные одного из банковских партнеров компании, Deltec Bank.
Представители Tether заявляют, что эта утечка — фейк, а документы, которые выкладывают преступники, подделка.
«Сегодня мы получили требование выкупа в размере 500 BTC, которые нужно отправить на адрес bc1qa9f60pved3w3w0p7snpxlnh5t4uj95vxn797a7. Отправители письма заявляют, что, если они не получат BTC до завтра, они сольют документы широкой общественности, чтобы “нанести вред экосистеме биткойнов”. Мы не станем платить», — гласит заявление компании.
В Tether отмечают, что пока неясно, является ли это обычной вымогательской атакой, какие часто нацеливают на криптовалютные компании, или злоумышленники действительно стремятся саботировать работу Tether и нанести удар по криптосообществу в целом.
«Хотя мы считаем, что это довольно жалкая попытка вымогательства, мы относимся к ней серьезно. Мы уже уведомили правоохранительные органы об этих сообщениях и связанных с ними требованиях выкупа. Как всегда, мы полностью поддержим правоохранительные органы в расследовании этой мошеннической схемы», — гласит Twitter компании.
Chrome будет принудительно подставлять к адресам префикс HTTPS
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
На протяжении многих лет инженеры Google являлись одними из наиболее ярых сторонников повышения безопасности браузеров, наряду с разработчиками Firefox и Tor.
Уже давно одним из ключевых вопросов, интересующих разработчиков Chrome, является продвижение использования HTTPS как внутри браузеров, так и среди владельцев сайтов. Очередным шагом на пути к повсеместному HTTPS стало то, что с недавних пор Chrome автоматически пытается перейти с HTTP на HTTPS, если HTTPS доступен. Также браузер блокирует загрузки из HTTP-источников (даже если в URL-адресе страницы стоит префикс HTTPS), чтобы пользователи не считали, будто их загрузка защищена, если на самом деле это не так.
Хотя около 82% всех сайтов уже работают на HTTPS, переход на HTTPS в глобальном смысле еще нельзя считать завершенным. Поэтому в Chrome 90, выпуск которого запланирован на середину апреля текущего года, появится новая функция.
Изменение повлияет на омнибокс Chrome (так в Google называют адресную строку браузера). В текущих версиях, когда пользователь вводят в омнибокс ссылку, Chrome загружает введенную ссылку независимо от использованного протокола. Сейчас если пользователь забудет написать HTTP или HTTPS, Chrome автоматически добавит перед текстом «http://» и попытается загрузить сайт. К примеру, domain.com превратится в http://domain.com.
С релизом Chrome 90 это изменится. Начиная с этой версии омнибокс будет загружать все домены через HTTPS, автоматически подставляя соответствующий префикс «https://».
«В настоящее время планируется запустить [эту функцию] в качестве эксперимента для небольшого процента пользователей в Chrome 89, и полноценно внедрить ее в Chrome 90, если все пойдет по плану», — рассказывает инженер по безопасности Chrome Эмили Старк (Emily Stark).
Расширение для Firefox использовали для взлома Gmail
Компания Proofpoint обнаружила кампанию, связанную с китайской группировкой TA413. По данным исследователей, кампания была активна с января по февраль 2021 года. Хакеры атаковали тибетские организации по всему миру, используя вредоносное расширение для Firefox, которое похищало данные Gmail и Firefox, а затем загружало малварь в зараженные системы.
Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на сайты, где им предлагалось установить фейковое обновление для Flash, якобы необходимое для просмотра контента.
На самом деле эти ресурсы содержали код, разделяющий пользователей на группы. Так, лишь пользователям Firefox с активным сеансом Gmail предлагали установить вредоносное расширение, а другие жертвы хакеров не интересовали.
Вредоносное расширение носило имя Flash update components, но на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями.
Gmail:
•Искать электронные письма
•Архивировать электронные письма
•Получать уведомления Gmail
•Читать электронные письма
•Изменение функций звуковых и визуальных оповещений в браузере Firefox
•Пометить электронные письма
•Пометить электронные письма как спам
•Удалить сообщения
•Обновить папку «Входящие»
•Пересылка писем
•Выполните поиска
•Удалить сообщения из корзины Gmail
•Отправить почту из взломанного аккаунта
Firefox (зависит от предоставленных прав):
•Доступ к пользовательским данным для всех сайтов
•Отображать уведомления
•Читать и изменять настройки конфиденциальности
•Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженную машину малварь ScanBox. Это старый вредоносный инструмент на базе PHP и JavaScript, который не раз использовался в атаках китайских хак-групп. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox способен отслеживать посетителей определенных сайтов, работать как кейлоггер, а также воровать пользовательские данные, которые могут быть использованы в будущих атаках.
Интересно, что на этот раз атаки с использованием поддельного Flash сработали как никогда хорошо. Хотя большинство пользователей давно знает, что следует держаться подальше от сайтов, предлагающих обновления Flash, в начале текущего года поддержка Flash была окончательно прекращена. 12 января 2021 года весь Flash-контент перестал воспроизводиться в браузерах, и, похоже, именно это сделало атаки TA413 намного успешнее, чем обычно.
Компания Proofpoint обнаружила кампанию, связанную с китайской группировкой TA413. По данным исследователей, кампания была активна с января по февраль 2021 года. Хакеры атаковали тибетские организации по всему миру, используя вредоносное расширение для Firefox, которое похищало данные Gmail и Firefox, а затем загружало малварь в зараженные системы.
Исследователи рассказывают, что злоумышленники атаковали тибетские организации с помощью целевых фишинговых писем, которые заманивали жертв на сайты, где им предлагалось установить фейковое обновление для Flash, якобы необходимое для просмотра контента.
На самом деле эти ресурсы содержали код, разделяющий пользователей на группы. Так, лишь пользователям Firefox с активным сеансом Gmail предлагали установить вредоносное расширение, а другие жертвы хакеров не интересовали.
Вредоносное расширение носило имя Flash update components, но на самом деле представляло собой вариацию легитимного расширения Gmail notifier (restartless), и было способно злоупотреблять следующими функциями.
Gmail:
•Искать электронные письма
•Архивировать электронные письма
•Получать уведомления Gmail
•Читать электронные письма
•Изменение функций звуковых и визуальных оповещений в браузере Firefox
•Пометить электронные письма
•Пометить электронные письма как спам
•Удалить сообщения
•Обновить папку «Входящие»
•Пересылка писем
•Выполните поиска
•Удалить сообщения из корзины Gmail
•Отправить почту из взломанного аккаунта
Firefox (зависит от предоставленных прав):
•Доступ к пользовательским данным для всех сайтов
•Отображать уведомления
•Читать и изменять настройки конфиденциальности
•Доступ к вкладкам браузера
Однако на этом атака не заканчивалась. Расширение также загружало и устанавливало на зараженную машину малварь ScanBox. Это старый вредоносный инструмент на базе PHP и JavaScript, который не раз использовался в атаках китайских хак-групп. Последний зарегистрированный случай использования ScanBox датируется 2019 годом, когда аналитики Recorded Future заметили атаки на посетителей пакистанских и тибетских сайтов.
ScanBox способен отслеживать посетителей определенных сайтов, работать как кейлоггер, а также воровать пользовательские данные, которые могут быть использованы в будущих атаках.
Интересно, что на этот раз атаки с использованием поддельного Flash сработали как никогда хорошо. Хотя большинство пользователей давно знает, что следует держаться подальше от сайтов, предлагающих обновления Flash, в начале текущего года поддержка Flash была окончательно прекращена. 12 января 2021 года весь Flash-контент перестал воспроизводиться в браузерах, и, похоже, именно это сделало атаки TA413 намного успешнее, чем обычно.
Утекли данные 21 млн пользователей бесплатных VPN-приложений
Издание «Коммерсант», ссылаясь на CyberNew, сообщило, что в даркнете выставлена на продажу база, содержащая данные 21 млн пользователей бесплатных VPN-приложений для Android, популярных в России. В базе собраны не только адреса электронной почты, пароли и логины клиентов разных сервисов, но также данные об их мобильных устройствах, странах и оплате премиум-аккаунтов.
Полученные сведения, по мнению экспертов, мошенники могут использовать для фишинга и атак типа man-in-the-middle. Все это может поставить под угрозу конфиденциальные данные, в том числе пароли и данные банковских карт.
Речь идет о пользователях приложений GeckoVPN, SuperVPN и ChatVPN. База, с которой ознакомились журналисты издания, датируется 24 февраля 2021. SuperVPN входит в число самых популярных VPN для Android: число загрузок приложения в Google Play превышает 100 000 000. Число скачиваний GeckoVPN и ChatVPN составляет 10 000 000 и 50 000 соответственно. Причем данные пользователей SuperVPN уже «утекали» и раньше.
Основная аудитория этих приложений приходится на жителей стран, где блокируются интернет-ресурсы (в первую очередь, это Россия, КНР и ряд государств Ближнего Востока), рассказал изданию руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.
Основатель компании «Интернет-розыск» Игорь Бедеров полагает, что эта утечка произошла в результате «очевидной халатности при обращении с конфиденциальной информацией». Он заявил, что «владельцы сервисов банально не стали изменять пароли по умолчанию на своих серверах баз данных».
В свою очередь гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что используя публичный VPN, пользователь должен осознавать, что в случае атаки на провайдера или утечки информации все его данные окажутся под угрозой.
Издание «Коммерсант», ссылаясь на CyberNew, сообщило, что в даркнете выставлена на продажу база, содержащая данные 21 млн пользователей бесплатных VPN-приложений для Android, популярных в России. В базе собраны не только адреса электронной почты, пароли и логины клиентов разных сервисов, но также данные об их мобильных устройствах, странах и оплате премиум-аккаунтов.
Полученные сведения, по мнению экспертов, мошенники могут использовать для фишинга и атак типа man-in-the-middle. Все это может поставить под угрозу конфиденциальные данные, в том числе пароли и данные банковских карт.
Речь идет о пользователях приложений GeckoVPN, SuperVPN и ChatVPN. База, с которой ознакомились журналисты издания, датируется 24 февраля 2021. SuperVPN входит в число самых популярных VPN для Android: число загрузок приложения в Google Play превышает 100 000 000. Число скачиваний GeckoVPN и ChatVPN составляет 10 000 000 и 50 000 соответственно. Причем данные пользователей SuperVPN уже «утекали» и раньше.
Основная аудитория этих приложений приходится на жителей стран, где блокируются интернет-ресурсы (в первую очередь, это Россия, КНР и ряд государств Ближнего Востока), рассказал изданию руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.
Основатель компании «Интернет-розыск» Игорь Бедеров полагает, что эта утечка произошла в результате «очевидной халатности при обращении с конфиденциальной информацией». Он заявил, что «владельцы сервисов банально не стали изменять пароли по умолчанию на своих серверах баз данных».
В свою очередь гендиректор Infosecurity a Softline Company Кирилл Солодовников считает, что используя публичный VPN, пользователь должен осознавать, что в случае атаки на провайдера или утечки информации все его данные окажутся под угрозой.
В Google Play нашли мошенническое приложение с платными подписками
В феврале 2021 года эксперты «Лаборатории Касперского» обнаружили в популярном мессенджере фейковую рассылку с сообщением о привлекательной акции от одной из крупнейших торговых сетей. Ссылка для скачивания вела в Google Play Store, где было размещено фальшивое приложение бонусной карты.
Для использования этой «карты» требовалось оформить платную подписку. В реальности приложение оказывалось практически пустым: при запуске пользователю показывалась картинка с логотипом магазина и предложением оформить карту, при нажатии запускался процесс покупки. У пользователя снимались деньги, но никакой бонусной карты он не получал. Малвари был присвоен идентификатор Trojan.AndroidOS.Fakeapp.cw.
Помимо популярной российской сети продовольственных магазинов (название не раскрывается) троян мимикрировал под цифровые дисконтные, бонусные и подарочные карты различных ритейл-брендов, популярных в РФ. Также он выдавал себя за приложение для кастомизации тем и заставок для смартфонов и даже за приложение с читами для популярной мобильной игры. В целом малварь маскировалась более чем под 20 разных программ и брендов.
В среднем подписка, которую должен был оформить пользователь при установке приложения, стоила 600 рублей в неделю. У одного только приложения, которое мимикрировало под популярную в России торговую сеть, число установок превысило 10 000. Таким образом, потенциальный ущерб только мог составить около 6 000 000 рублей.
«Зачастую из-за спешки или невнимательности люди не сразу понимают, что столкнулись с мошеннической рассылкой или приложением, и в итоге рискуют лишиться денег. Злоумышленники усыпляют бдительность пользователей не только c помощью логотипов и узнаваемых цветов брендов, но и накрученных оценок и комментариев. У найденных поддельных приложений были высокие оценки и много положительных откликов. Вероятнее всего, они были фейковыми, поскольку написаны по единому шаблону с отзывами не о самом приложении, а о магазине или бренде», — отмечает Игорь Головин, исследователь мобильных угроз в «Лаборатории Касперского».
Исследователи уже уведомили об этойпроблеме инженеров Google, однако компания не сообщает, удалены ли уже мошеннические приложениях из официального каталога.
В феврале 2021 года эксперты «Лаборатории Касперского» обнаружили в популярном мессенджере фейковую рассылку с сообщением о привлекательной акции от одной из крупнейших торговых сетей. Ссылка для скачивания вела в Google Play Store, где было размещено фальшивое приложение бонусной карты.
Для использования этой «карты» требовалось оформить платную подписку. В реальности приложение оказывалось практически пустым: при запуске пользователю показывалась картинка с логотипом магазина и предложением оформить карту, при нажатии запускался процесс покупки. У пользователя снимались деньги, но никакой бонусной карты он не получал. Малвари был присвоен идентификатор Trojan.AndroidOS.Fakeapp.cw.
Помимо популярной российской сети продовольственных магазинов (название не раскрывается) троян мимикрировал под цифровые дисконтные, бонусные и подарочные карты различных ритейл-брендов, популярных в РФ. Также он выдавал себя за приложение для кастомизации тем и заставок для смартфонов и даже за приложение с читами для популярной мобильной игры. В целом малварь маскировалась более чем под 20 разных программ и брендов.
В среднем подписка, которую должен был оформить пользователь при установке приложения, стоила 600 рублей в неделю. У одного только приложения, которое мимикрировало под популярную в России торговую сеть, число установок превысило 10 000. Таким образом, потенциальный ущерб только мог составить около 6 000 000 рублей.
«Зачастую из-за спешки или невнимательности люди не сразу понимают, что столкнулись с мошеннической рассылкой или приложением, и в итоге рискуют лишиться денег. Злоумышленники усыпляют бдительность пользователей не только c помощью логотипов и узнаваемых цветов брендов, но и накрученных оценок и комментариев. У найденных поддельных приложений были высокие оценки и много положительных откликов. Вероятнее всего, они были фейковыми, поскольку написаны по единому шаблону с отзывами не о самом приложении, а о магазине или бренде», — отмечает Игорь Головин, исследователь мобильных угроз в «Лаборатории Касперского».
Исследователи уже уведомили об этойпроблеме инженеров Google, однако компания не сообщает, удалены ли уже мошеннические приложениях из официального каталога.
В LastPass для Android нашли семь встроенных трекеров
Немецкий ИБ-эксперт Майк Кукетц (Mike Kuketz) заметил, что в приложении LastPass для Android работают семь трекеров, которые наблюдают за пользователями.
Свои выводы исследователь строит на отчете некоммерческой организации Exodus, которая описывается как инициатива «возглавляемая хактивистами, цель которой — помочь людям понять проблемы слежения в Android-приложениях».
В менеджере паролей было найдено семь трекеров, в том числе четыре от Google, собирающих данные в аналитических целях и для отчетов о сбоях, а также от AppsFlyer, MixPanel и Segment. К примеру, последний собирает информацию для маркетинговых команд, а его разработчики пишут, что инструмент предлагает составить «единое представление о клиенте», профилируя пользователей и связывая воедино их действия на разных платформах (предположительно для персонализации рекламы).
Кукетц полагает, что таким образом разработчики LastPass стремятся монетизировать огромное количество бесплатных пользователей своего приложения. При этом исследователь предупреждает, что зачастую разработчики приложений вообще не знают, какие данные собирают трекеры и что передают третьим сторонам. В итоге интеграция в приложение чужого проприетарного кода может быть опасна и может привести к утечке данных. По мнению эксперта, подобным трекерам вообще не место в менеджере паролей, чья безопасность крайне важна.
По данным эксперта, LastPass передает на сторону сведения об используемом устройстве, операторе связи, типе учетной записи LastPass, рекламном идентификаторе Google (который может использоваться для связывания данных о пользователе из разных приложений). Кроме того, трекеры «знают» когда пользователь создает новые пароли и какого они типа.
В итоге Кукетц приходит к выводу, что вместо LastPass лучше использовать другие парольные менеджеры, к примеру, опенсорсный KeePass. Дело в том, что, согласно Exodus, ни в коде KeePass, ни в коде 1Password трекеров нет вовсе. В коде опенсорсного Bitwarden можно обнаружить два «маячка»: аналитический Google Firebase и отчеты о сбоях Microsoft Visual Studio, а в коде Dashlane было найдено четыре.
Представители LastPass уже заверили СМИ, что с помощью обнаруженных трекеров нельзя передавать конфиденциальные данные пользователей, и их хранилище тоже в безопасности. Подчеркивается, что трекеры собирают лишь статистическую информацию об использовании приложения, которая используется для улучшения и оптимизации продукта. К тому же отказаться от сбора аналитики можно в настройках.
Немецкий ИБ-эксперт Майк Кукетц (Mike Kuketz) заметил, что в приложении LastPass для Android работают семь трекеров, которые наблюдают за пользователями.
Свои выводы исследователь строит на отчете некоммерческой организации Exodus, которая описывается как инициатива «возглавляемая хактивистами, цель которой — помочь людям понять проблемы слежения в Android-приложениях».
В менеджере паролей было найдено семь трекеров, в том числе четыре от Google, собирающих данные в аналитических целях и для отчетов о сбоях, а также от AppsFlyer, MixPanel и Segment. К примеру, последний собирает информацию для маркетинговых команд, а его разработчики пишут, что инструмент предлагает составить «единое представление о клиенте», профилируя пользователей и связывая воедино их действия на разных платформах (предположительно для персонализации рекламы).
Кукетц полагает, что таким образом разработчики LastPass стремятся монетизировать огромное количество бесплатных пользователей своего приложения. При этом исследователь предупреждает, что зачастую разработчики приложений вообще не знают, какие данные собирают трекеры и что передают третьим сторонам. В итоге интеграция в приложение чужого проприетарного кода может быть опасна и может привести к утечке данных. По мнению эксперта, подобным трекерам вообще не место в менеджере паролей, чья безопасность крайне важна.
По данным эксперта, LastPass передает на сторону сведения об используемом устройстве, операторе связи, типе учетной записи LastPass, рекламном идентификаторе Google (который может использоваться для связывания данных о пользователе из разных приложений). Кроме того, трекеры «знают» когда пользователь создает новые пароли и какого они типа.
В итоге Кукетц приходит к выводу, что вместо LastPass лучше использовать другие парольные менеджеры, к примеру, опенсорсный KeePass. Дело в том, что, согласно Exodus, ни в коде KeePass, ни в коде 1Password трекеров нет вовсе. В коде опенсорсного Bitwarden можно обнаружить два «маячка»: аналитический Google Firebase и отчеты о сбоях Microsoft Visual Studio, а в коде Dashlane было найдено четыре.
Представители LastPass уже заверили СМИ, что с помощью обнаруженных трекеров нельзя передавать конфиденциальные данные пользователей, и их хранилище тоже в безопасности. Подчеркивается, что трекеры собирают лишь статистическую информацию об использовании приложения, которая используется для улучшения и оптимизации продукта. К тому же отказаться от сбора аналитики можно в настройках.
Машиностроительная компания Bombardier стала жертвой вымогателей
Как мы уже рассказывали ранее, с декабря 2020 года ИБ-эксперты фиксируют атаки на компании и организаций, использующие устаревший файлообменный сервис Accellion FTA (File Transfer Application). Аналитики FireEye связывают эту активность с хакерской группой FIN11 и предупреждают, что жертвами злоумышленников уже стали более 100 компаний.
Согласно последним данным, хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Интересно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атаки шифровальщика.
По информации Accellion, из примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняют, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
Ранее на этой неделе стало известно, что очередной жертвой этой кампании стала канадская машиностроительная компания Bombardier, чьи данные уже опубликованы на сайте Clop.
«Расследование показало, что неавторизованные лица получили доступ и похитили данные, воспользовавшись уязвимостью, затрагивающей стороннее приложение для передачи файлов, которое работало на специальных серверах, изолированных от основной сети Bombardier», — гласит официальное заявление производителя.
В компании также сообщили, что была скомпрометирована личная и другая конфиденциальная информация, касающаяся сотрудников, клиентов и поставщиков Bombardier: пострадали как минимум около 130 сотрудников в Коста-Рике.
Хуже того, СМИ уже нашли среди опубликованных хакерами данных различную проектную документацию для самолетов и авиадеталей производства Bombardier. К примеру, журналистам британского издания The Register удалось опознать на одном из утекших CAD-чертежей военную радиолокационную систему Leonardo Seaspray 7500E, произведенную военным подрядчиком Leonardo. Эта РЛС устанавливается на разведывательные самолеты GlobalEye на базе Global-6000, которые поставляются в Объединенные Арабские Эмираты, а также на самолеты C-130 Hercules, которые использует береговая охрана США.
Как мы уже рассказывали ранее, с декабря 2020 года ИБ-эксперты фиксируют атаки на компании и организаций, использующие устаревший файлообменный сервис Accellion FTA (File Transfer Application). Аналитики FireEye связывают эту активность с хакерской группой FIN11 и предупреждают, что жертвами злоумышленников уже стали более 100 компаний.
Согласно последним данным, хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Интересно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атаки шифровальщика.
По информации Accellion, из примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняют, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
Ранее на этой неделе стало известно, что очередной жертвой этой кампании стала канадская машиностроительная компания Bombardier, чьи данные уже опубликованы на сайте Clop.
«Расследование показало, что неавторизованные лица получили доступ и похитили данные, воспользовавшись уязвимостью, затрагивающей стороннее приложение для передачи файлов, которое работало на специальных серверах, изолированных от основной сети Bombardier», — гласит официальное заявление производителя.
В компании также сообщили, что была скомпрометирована личная и другая конфиденциальная информация, касающаяся сотрудников, клиентов и поставщиков Bombardier: пострадали как минимум около 130 сотрудников в Коста-Рике.
Хуже того, СМИ уже нашли среди опубликованных хакерами данных различную проектную документацию для самолетов и авиадеталей производства Bombardier. К примеру, журналистам британского издания The Register удалось опознать на одном из утекших CAD-чертежей военную радиолокационную систему Leonardo Seaspray 7500E, произведенную военным подрядчиком Leonardo. Эта РЛС устанавливается на разведывательные самолеты GlobalEye на базе Global-6000, которые поставляются в Объединенные Арабские Эмираты, а также на самолеты C-130 Hercules, которые использует береговая охрана США.
Малварь Silver Sparrow заразила около 30 000 Mac
Эксперты Red Canary, Malwarebytes и VMWare Carbon Black обнаружили малварь Silver Sparrow, ориентированную на пользователей Mac. По данным специалистов, вредонос заразил уже 29 139 систем в 153 странах мира. Больше всего пострадавших находятся в США, Великобритании, Канаде, Франции и Германии.
Официальные отчеты гласят, что пока исследователям неизвестно, как именно распространяется Silver Sparrow. Вероятно, он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash, то есть использовал один из классических векторов распространения Mac-малвари.
Более того, назначение Silver Sparrow и конечную цель малвари установить пока тоже не удалось. Дело в том, что когда Silver Sparrow заражает систему, он просто ожидает новых команд от своих операторов. Однако за то время, что исследователи наблюдали за малварью, никаких команд ей не поступало вообще.
При этом эксперты допускают, что вредонос обнаруживает аналитические инструменты, «замечает», что за ним следят, и лишь поэтому остается неактивным, и не загружает пейлоады второго уровня. Судя по количеству заражений, эта малварь вряд ли была чьим-то неудачным экспериментом ли шуткой.
Отдельно подчеркивается, что Silver Sparrow способен работать даже в системах с новым чипом Apple M1 (что еще раз подтверждает серьезные намерения его авторов). Это делает Silver Sparrow всего второй обнаруженной угрозой, адаптированной для M1. Напомню, что первая малварь такого рода была обнаружена всего несколько дней назад.
Эксперты Red Canary, Malwarebytes и VMWare Carbon Black обнаружили малварь Silver Sparrow, ориентированную на пользователей Mac. По данным специалистов, вредонос заразил уже 29 139 систем в 153 странах мира. Больше всего пострадавших находятся в США, Великобритании, Канаде, Франции и Германии.
Официальные отчеты гласят, что пока исследователям неизвестно, как именно распространяется Silver Sparrow. Вероятно, он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash, то есть использовал один из классических векторов распространения Mac-малвари.
Более того, назначение Silver Sparrow и конечную цель малвари установить пока тоже не удалось. Дело в том, что когда Silver Sparrow заражает систему, он просто ожидает новых команд от своих операторов. Однако за то время, что исследователи наблюдали за малварью, никаких команд ей не поступало вообще.
При этом эксперты допускают, что вредонос обнаруживает аналитические инструменты, «замечает», что за ним следят, и лишь поэтому остается неактивным, и не загружает пейлоады второго уровня. Судя по количеству заражений, эта малварь вряд ли была чьим-то неудачным экспериментом ли шуткой.
Отдельно подчеркивается, что Silver Sparrow способен работать даже в системах с новым чипом Apple M1 (что еще раз подтверждает серьезные намерения его авторов). Это делает Silver Sparrow всего второй обнаруженной угрозой, адаптированной для M1. Напомню, что первая малварь такого рода была обнаружена всего несколько дней назад.
Два криптовалютных проекта одновременно пострадали от DNS-атак
15 марта 2021 года DeFi-проект Cream Finance и децентрализованная биржа PancakeSwap подверглись атакам на подмену DNS. В результате посетители попадали на фейковые сайты, где мошенники пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.
Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.
По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.
Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.
Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в марте и ноябре прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.
В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.
15 марта 2021 года DeFi-проект Cream Finance и децентрализованная биржа PancakeSwap подверглись атакам на подмену DNS. В результате посетители попадали на фейковые сайты, где мошенники пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.
Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.
По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.
Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.
Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в марте и ноябре прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.
В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.
Взломщики SolarWinds похитили у Mimecast исходные коды
Еще в середине января 2021 года представители компании Mimecast предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Тогда злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.
Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом сообщалось, что лишь 10% клиентов использовали вышеперечисленные продукты с этим сертификатом, а злоумышленник злоупотребил сертификатом, чтобы получить доступ всего к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.
Позже выяснилось, что компрометация сертификата была напрямую связана с взломом компании SolarWinds, так как Mimecast использовала зараженную версию платформы Orion. Соответственно, сертификатом злоупотребляли те же хакеры, что взломали SolarWinds.
Как стало известно теперь, хакеры все же получили доступ и к другим частям внутренней сети Mimecast.
«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пишут в компании.
В Mimecast заявляют, что в итоге все скомпрометированные серверы были заменены «для устранения угрозы», а расследование не выявило доказательств того, что атакующие получили доступ к электронной почте или архивному контенту, который компания хранила на этих серверах для своих клиентов.
Однако злоумышленникам все же удалось добраться до репозитория, где размещался код Mimecast, откуда, как стало ясно теперь, были похищены некоторые исходники. В заявлении компании подчеркивается, что злоумышленники похитили только небольшие части кода, но не все проекты целиком.
«Мы полагаем, что исходный код, загруженный злоумышленником, был неполным и недостаточным для создания и запуска любого аспекта службы Mimecast. Мы не обнаружили доказательств того, что атакующий внес какие-либо изменения в наш исходный код, и не считаем, что это может оказать какое-то влияние на наши продукты», — говорят в компании.
Напомню, что ранее то же самое произошло и с компанией Microsoft. После компрометации SolarWinds у ИТ-гиганта были похищены исходные коды компонентов Azure, Intune и Exchange. Представители Microsoft так же заверили, что утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.
Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в историю.
Атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Еще в середине января 2021 года представители компании Mimecast предупреждали о том, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Тогда злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов.
Скомпрометированный сертификат использовался несколькими продуктами компании (Mimecast Sync and Recover, Continuity Monitor и IEP) для подключения к инфраструктуре Microsoft. При этом сообщалось, что лишь 10% клиентов использовали вышеперечисленные продукты с этим сертификатом, а злоумышленник злоупотребил сертификатом, чтобы получить доступ всего к нескольким аккаунтам Microsoft 365. В компании утверждали, что число пострадавших клиентов низкое и «однозначное», и всех их уже уведомили об инциденте.
Позже выяснилось, что компрометация сертификата была напрямую связана с взломом компании SolarWinds, так как Mimecast использовала зараженную версию платформы Orion. Соответственно, сертификатом злоупотребляли те же хакеры, что взломали SolarWinds.
Как стало известно теперь, хакеры все же получили доступ и к другим частям внутренней сети Mimecast.
«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пишут в компании.
В Mimecast заявляют, что в итоге все скомпрометированные серверы были заменены «для устранения угрозы», а расследование не выявило доказательств того, что атакующие получили доступ к электронной почте или архивному контенту, который компания хранила на этих серверах для своих клиентов.
Однако злоумышленникам все же удалось добраться до репозитория, где размещался код Mimecast, откуда, как стало ясно теперь, были похищены некоторые исходники. В заявлении компании подчеркивается, что злоумышленники похитили только небольшие части кода, но не все проекты целиком.
«Мы полагаем, что исходный код, загруженный злоумышленником, был неполным и недостаточным для создания и запуска любого аспекта службы Mimecast. Мы не обнаружили доказательств того, что атакующий внес какие-либо изменения в наш исходный код, и не считаем, что это может оказать какое-то влияние на наши продукты», — говорят в компании.
Напомню, что ранее то же самое произошло и с компанией Microsoft. После компрометации SolarWinds у ИТ-гиганта были похищены исходные коды компонентов Azure, Intune и Exchange. Представители Microsoft так же заверили, что утечка никак не скажется на продуктах компании, а инцидент в целом не позволил хакерам получить широкий доступ к пользовательским данным.
Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в историю.
Атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
В ядре Linux исправлены баги 15-летней давности
Три уязвимости устранены в подсистеме iSCSI ядра Linux. Они позволяли злоумышленнику с базовыми пользовательскими привилегиями получить привилегии root. К счастью, эти баги можно эксплуатировать только локально, то есть атакующему придется сначала получить доступ к устройству каким-то иным способом.
Уязвимости могут привести к локальному повышению привилегий, утечкам информации и отказам в обслуживании:
CVE-2021-27365: переполнение буфера хипа (повышение локальных привилегий, утечка информации, отказ в обслуживании);
CVE-2021-27363: утечка указателя ядра (утечка информации);
CVE-2021-27364: out-of-bounds чтение (утечка информации, отказ в обслуживании).
Проблемы обнаружил исследователь GRIMM Адам Николс (Adam Nichols), и он сообщает, что баги появились в коде еще 15 лет назад, в 2006 году, на начальных этапах разработки iSCSI. Теперь же проблемы затрагивают все дистрибутивы Linux, и хотя уязвимый модуль scsi_transport_iscsi не загружается по умолчанию, все не так просто.
«Ядро Linux загружает модули либо потому, что обнаружено новое оборудование, либо потому, что функция ядра обнаруживает отсутствие модуля. В последнем случае неявная автозагрузка с большей вероятностью может быть использована и легко запущена злоумышленником, что позволит ему увеличить поверхность атаки, — предупреждает эксперт. — В системах CentOS 8, RHEL 8 и Fedora непривилегированные пользователи могут автоматически загружать необходимые модули, если установлен пакет rdma-core. В системах Debian и Ubuntu пакет rdma-core будет автоматически загружать только два необходимых модуля ядра, если доступно оборудование RDMA».
В итоге атакующие имеют возможность злоупотребить найденными уязвимостями, чтобы обойти такие защитные механизмы, как Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), а также Kernel Page-Table Isolation (KPTI).
Уязвимости были устранены в версиях 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 и 4.4.260, и исправления стали доступны 7 марта 2021 года. Сообщается, что патчи для неподдерживаемых EOL-версий ядра, таких как 3.x и 2.6.23, выпускаться не будут.
Три уязвимости устранены в подсистеме iSCSI ядра Linux. Они позволяли злоумышленнику с базовыми пользовательскими привилегиями получить привилегии root. К счастью, эти баги можно эксплуатировать только локально, то есть атакующему придется сначала получить доступ к устройству каким-то иным способом.
Уязвимости могут привести к локальному повышению привилегий, утечкам информации и отказам в обслуживании:
CVE-2021-27365: переполнение буфера хипа (повышение локальных привилегий, утечка информации, отказ в обслуживании);
CVE-2021-27363: утечка указателя ядра (утечка информации);
CVE-2021-27364: out-of-bounds чтение (утечка информации, отказ в обслуживании).
Проблемы обнаружил исследователь GRIMM Адам Николс (Adam Nichols), и он сообщает, что баги появились в коде еще 15 лет назад, в 2006 году, на начальных этапах разработки iSCSI. Теперь же проблемы затрагивают все дистрибутивы Linux, и хотя уязвимый модуль scsi_transport_iscsi не загружается по умолчанию, все не так просто.
«Ядро Linux загружает модули либо потому, что обнаружено новое оборудование, либо потому, что функция ядра обнаруживает отсутствие модуля. В последнем случае неявная автозагрузка с большей вероятностью может быть использована и легко запущена злоумышленником, что позволит ему увеличить поверхность атаки, — предупреждает эксперт. — В системах CentOS 8, RHEL 8 и Fedora непривилегированные пользователи могут автоматически загружать необходимые модули, если установлен пакет rdma-core. В системах Debian и Ubuntu пакет rdma-core будет автоматически загружать только два необходимых модуля ядра, если доступно оборудование RDMA».
В итоге атакующие имеют возможность злоупотребить найденными уязвимостями, чтобы обойти такие защитные механизмы, как Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), а также Kernel Page-Table Isolation (KPTI).
Уязвимости были устранены в версиях 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 и 4.4.260, и исправления стали доступны 7 марта 2021 года. Сообщается, что патчи для неподдерживаемых EOL-версий ядра, таких как 3.x и 2.6.23, выпускаться не будут.
Роскомнадзор может заблокировать Twitter через месяц
С 10 марта 2021 года работа Twitter на территории России замедлена на 100% с мобильных устройств и на 50% со стационарных устройств по решению Роскомнадзора. Это связано с тем, что, по утверждениям представителей ведомства, «Twitter в период с 2017 года по настоящее время не удаляется контент, склоняющий несовершеннолетних к совершению самоубийств, содержащий детскую порнографию, а также информацию об использовании наркотических средств».
В конце прошлой неделе, на круглом столе «Вынужденное замедление "Твиттера" — выводы для всех» в Роскомнадзоре сообщали, что так и не дождались какого-либо ответа на замедление со стороны руководства Twitter. Как мы писали ранее, руководство социальной сети распространило пресс-релиз среди СМИ, в котором отмечало, что в компании «глубоко обеспокоены участившимися попытками заблокировать и ограничить публичные обсуждения в интернете».
«Наши претензии остаются без ответа, никто на нас не выходил, на наши вопросы ответов нет. В любом случае все свои встречные претензии они могут в любой момент оспорить в российском суде, мы готовы к любому диалогу, лишь бы он был», — заявил начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев.
Сегодня, 16 марта 2021 года, в беседе с журналистами ТАСС заместитель главы ведомства Вадим Субботин и вовсе сообщил, что Роскомнадзор может рассмотреть возможность полной блокировки сервиса:
«Мы взяли месяц и наблюдаем за реакцией компании Twitter по вопросу удаления запрещенной информации. После чего, в зависимости от действия администрации социальной сети, будут приняты соответствующие решения. Если Twitter не исполнит требования Роскомнадзора, требования российского законодательства, соответственно, будем рассматривать вопрос о полной блокировке сервиса на территории России».
С 10 марта 2021 года работа Twitter на территории России замедлена на 100% с мобильных устройств и на 50% со стационарных устройств по решению Роскомнадзора. Это связано с тем, что, по утверждениям представителей ведомства, «Twitter в период с 2017 года по настоящее время не удаляется контент, склоняющий несовершеннолетних к совершению самоубийств, содержащий детскую порнографию, а также информацию об использовании наркотических средств».
В конце прошлой неделе, на круглом столе «Вынужденное замедление "Твиттера" — выводы для всех» в Роскомнадзоре сообщали, что так и не дождались какого-либо ответа на замедление со стороны руководства Twitter. Как мы писали ранее, руководство социальной сети распространило пресс-релиз среди СМИ, в котором отмечало, что в компании «глубоко обеспокоены участившимися попытками заблокировать и ограничить публичные обсуждения в интернете».
«Наши претензии остаются без ответа, никто на нас не выходил, на наши вопросы ответов нет. В любом случае все свои встречные претензии они могут в любой момент оспорить в российском суде, мы готовы к любому диалогу, лишь бы он был», — заявил начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев.
Сегодня, 16 марта 2021 года, в беседе с журналистами ТАСС заместитель главы ведомства Вадим Субботин и вовсе сообщил, что Роскомнадзор может рассмотреть возможность полной блокировки сервиса:
«Мы взяли месяц и наблюдаем за реакцией компании Twitter по вопросу удаления запрещенной информации. После чего, в зависимости от действия администрации социальной сети, будут приняты соответствующие решения. Если Twitter не исполнит требования Роскомнадзора, требования российского законодательства, соответственно, будем рассматривать вопрос о полной блокировке сервиса на территории России».
Хакеры тоже заинтересовались NFT и взламывают пользователей Nifty Gateway
Discord, а затем бесплатно передавали украденные NFT покупателям на Nifty Gateway. В некоторых случаях хакеры использовали банковские карты жертвы, привязанные к аккаунту, для покупки и последующей продажи NFT, ранее не принадлежавших пострадавшим.
Публично доступные записи об аукционах на Nifty Gateway показывают, что покупатели зачастую быстро перепродавали ворованные NFT, иногда опуская их первоначальную цену в несколько раз (на несколько тысяч долларов), чтобы подстегнуть продажи. Судя по всему, преступники и их посредники надеялись быстро отмыть краденое с помощью цепочки полулегальных транзакций, тем самым затруднив расследование для Nifty Gateway.
Представители Nifty Gateway уже сообщили, что им известно о происходящем, но подчеркивают, что сама платформа не скомпрометирована, а от атак пострадало «небольшое количество» пользователей, чьи ученые записи были взломаны другими путями.
«Ни для одной из пострадавших учетных записей не была включена 2ФА, и доступ к ним был получен с использованием действительных учетных данных», — гласит заявление компании.
Администрация Nifty Gateway призывает пользователей осуществлять транзакции исключительно через торговую площадку компании, а также использоваться двухфакторную аутентификацию, которая не является обязательной на сайте.
Пока неясно, собирается ли Nifty Gateway помогать пострадавшим пользователям в вопросе возвращения украденных произведений искусства. Судя по сообщениям пользователей, пока вернуть похищенные NFT и оспорить случившееся им не удалось.
Discord, а затем бесплатно передавали украденные NFT покупателям на Nifty Gateway. В некоторых случаях хакеры использовали банковские карты жертвы, привязанные к аккаунту, для покупки и последующей продажи NFT, ранее не принадлежавших пострадавшим.
Публично доступные записи об аукционах на Nifty Gateway показывают, что покупатели зачастую быстро перепродавали ворованные NFT, иногда опуская их первоначальную цену в несколько раз (на несколько тысяч долларов), чтобы подстегнуть продажи. Судя по всему, преступники и их посредники надеялись быстро отмыть краденое с помощью цепочки полулегальных транзакций, тем самым затруднив расследование для Nifty Gateway.
Представители Nifty Gateway уже сообщили, что им известно о происходящем, но подчеркивают, что сама платформа не скомпрометирована, а от атак пострадало «небольшое количество» пользователей, чьи ученые записи были взломаны другими путями.
«Ни для одной из пострадавших учетных записей не была включена 2ФА, и доступ к ним был получен с использованием действительных учетных данных», — гласит заявление компании.
Администрация Nifty Gateway призывает пользователей осуществлять транзакции исключительно через торговую площадку компании, а также использоваться двухфакторную аутентификацию, которая не является обязательной на сайте.
Пока неясно, собирается ли Nifty Gateway помогать пострадавшим пользователям в вопросе возвращения украденных произведений искусства. Судя по сообщениям пользователей, пока вернуть похищенные NFT и оспорить случившееся им не удалось.
Microsoft представила инструмент для исправления ProxyLogon в один клик
Разработчики Microsoft выпустили инструмент под названием EOMT (Exchange On-premises Mitigation Tool), предназначенный для установки обновлений на серверы Microsoft Exchange в один клик и защиты от уязвимостей ProxyLogon. Утилита уже доступна для загрузки на GitHub компании.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
По подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В настоящее время атаки на уязвимые серверы совершают около 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.
В первую очередь EOMT предназначен для компаний без собственных ИТ-специалистов, которые могли бы разобраться в проблеме ProxyLogon и корректно установить необходимые обновления. Дело в том, что с установкой патчей тоже могут возникнуть проблемы. К примеру, ранее сообщалось, что обновления для Microsoft Exchange могут устанавливаться без столько необходимых патчей если включен UAC. В итоге нужно устанавливать обновления только от лица администратора.
Теперь в Microsoft надеются, что любой сотрудник компании справится с загрузкой EOMT и выполнит обновление, просто кликнув по EOMT.ps1. Скрипт установит на сервере конфигурацию URL Rewrite, чего будет достаточно для устранения бага CVE-2021-26855, который является отправной точкой для работы цепочки эксплоитов, известных под общим названием ProxyLogon.
Также инструмент включает в себя копию Microsoft Safety Scanner, который будет сканировать серверы Exchange в поисках известных веб-шеллов, которые ранее были замечены в атаках на ProxyLogon. В случае необходимости Microsoft Safety Scanner удалит бэкдор и закроет доступ злоумышленниками.
Разработчики Microsoft выпустили инструмент под названием EOMT (Exchange On-premises Mitigation Tool), предназначенный для установки обновлений на серверы Microsoft Exchange в один клик и защиты от уязвимостей ProxyLogon. Утилита уже доступна для загрузки на GitHub компании.
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
По подсчетам экспертов Palo Alto Networks и Microsoft, в сети по-прежнему доступны около 80 000 уязвимых серверов Exchange, которые можно скомпрометировать.
В настоящее время атаки на уязвимые серверы совершают около 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.
В первую очередь EOMT предназначен для компаний без собственных ИТ-специалистов, которые могли бы разобраться в проблеме ProxyLogon и корректно установить необходимые обновления. Дело в том, что с установкой патчей тоже могут возникнуть проблемы. К примеру, ранее сообщалось, что обновления для Microsoft Exchange могут устанавливаться без столько необходимых патчей если включен UAC. В итоге нужно устанавливать обновления только от лица администратора.
Теперь в Microsoft надеются, что любой сотрудник компании справится с загрузкой EOMT и выполнит обновление, просто кликнув по EOMT.ps1. Скрипт установит на сервере конфигурацию URL Rewrite, чего будет достаточно для устранения бага CVE-2021-26855, который является отправной точкой для работы цепочки эксплоитов, известных под общим названием ProxyLogon.
Также инструмент включает в себя копию Microsoft Safety Scanner, который будет сканировать серверы Exchange в поисках известных веб-шеллов, которые ранее были замечены в атаках на ProxyLogon. В случае необходимости Microsoft Safety Scanner удалит бэкдор и закроет доступ злоумышленниками.
Спецслужбы часто забывают удалить конфиденциальные данные из PDF-документов
Эксперты французского исследовательского института INRIA, работающего в области компьютерных наук, теории управления и прикладной математики, сообщают, что правоохранительные органы плохо справляются с очисткой PDF-документов, которые публикуют на своих сайтах. В итоге из этих файлов можно почерпнуть много конфиденциальной информации, которую затем можно использовать для атак.
К таким выводам специалисты пришли после изучения 39 664 PDF-файлов, опубликованных на 75 сайтах силовых структур из 47 стран мира. Выяснилось, что лишь 38 ведомств имеют строгую политику в отношении программного обеспечения и регулярно обновляют свое ПО.
Так, восстановить конфиденциальные данные удалось из 76% проанализированных файлов. В частности, исследователи обнаружили:
-имя автора;
-название PDF-приложения;
-информацию об ОС;
-данные об устройстве;
-электронную почту автора документа;
-информацию о пути к файлу;
-комментарии и аннотации.
Исследователи предупреждают, что злоумышленники могут специально собирать такие документы с сайтов силовых структур и создавать профили как на отдельных сотрудников, так и на ведомства в целом.
«Например, мы нашли сотрудника силового ведомства, который ни разу не менял и не обновлял свое программное обеспечение более 5 лет. Также мы обнаружили в нашем наборе данных по меньшей мере 19 силовых структур, которые используют одно и то же программное обеспечение на протяжении двух и более лет.
Такая информация будет особенно интересна хакеру, который хочет нацелиться на человека с плохими софтверными привычками», — рассказывают авторы научной работы.
Даже когда правоохранители стараются очистить свои PDF-файлы от метаданных и артефактов, очистка редко соответствует стандартам и обычно оставляет после себя пригодные для использования данные. По словам исследователей, только 7 из 75 ведомств вообще старались очистить PDF-документы, но на деле только 3 из них удалили из файлов все конфиденциальные данные.
Эксперты французского исследовательского института INRIA, работающего в области компьютерных наук, теории управления и прикладной математики, сообщают, что правоохранительные органы плохо справляются с очисткой PDF-документов, которые публикуют на своих сайтах. В итоге из этих файлов можно почерпнуть много конфиденциальной информации, которую затем можно использовать для атак.
К таким выводам специалисты пришли после изучения 39 664 PDF-файлов, опубликованных на 75 сайтах силовых структур из 47 стран мира. Выяснилось, что лишь 38 ведомств имеют строгую политику в отношении программного обеспечения и регулярно обновляют свое ПО.
Так, восстановить конфиденциальные данные удалось из 76% проанализированных файлов. В частности, исследователи обнаружили:
-имя автора;
-название PDF-приложения;
-информацию об ОС;
-данные об устройстве;
-электронную почту автора документа;
-информацию о пути к файлу;
-комментарии и аннотации.
Исследователи предупреждают, что злоумышленники могут специально собирать такие документы с сайтов силовых структур и создавать профили как на отдельных сотрудников, так и на ведомства в целом.
«Например, мы нашли сотрудника силового ведомства, который ни разу не менял и не обновлял свое программное обеспечение более 5 лет. Также мы обнаружили в нашем наборе данных по меньшей мере 19 силовых структур, которые используют одно и то же программное обеспечение на протяжении двух и более лет.
Такая информация будет особенно интересна хакеру, который хочет нацелиться на человека с плохими софтверными привычками», — рассказывают авторы научной работы.
Даже когда правоохранители стараются очистить свои PDF-файлы от метаданных и артефактов, очистка редко соответствует стандартам и обычно оставляет после себя пригодные для использования данные. По словам исследователей, только 7 из 75 ведомств вообще старались очистить PDF-документы, но на деле только 3 из них удалили из файлов все конфиденциальные данные.
Жителю Канзаса предъявили обвинения во взломе системы водоканала
На этой неделе Министерство юстиции США предъявило обвинения во взломе системы местного водоканала 22-летнему жителю Канзаса Уайятту Травничеку (Wyatt Travnichek).
Власти заявляют, что Травничек взломал сеть сельского водного округа № 1 в Элсуорте и «выполнял действия, которые останавливали процессы на объекте и влияли на процедуры очистки и дезинфекции [воды], с целью нанести вред сельскому водному округу №1 в Элсворте». При этом известно, что с января 2018 года по январь 2019 года обвиняемый работал на этом самом водоканале, после чего уволился.
Судебные документы умалчивают о том, была ли атака Травничека успешной, или взлом заметили вовремя, но правоохранители уверены, что его действия поставили под угрозу безопасность и здоровье всего местного сообщества.
Если Травничека признают виновным, ему грозит до пяти лет лишения свободы и штраф в размере до 250 000 долларов за взлом компьютерной системы, а также до 20 лет тюрьмы и штраф в размере до 250 000 долларов за вмешательство в работу системы водоснабжения.
Интересно, что этот инцидент никак не связан с другим похожим случаем, произошедшим в феврале 2021 года в американском городе Олдсмар. Тогда неизвестный злоумышленник получил доступ к системам городских водоочистных сооружений и изменил химический состав воды. Причем взломщик проделал это при помощи TeamViewer на компьютере одного из сотрудников.
На этой неделе Министерство юстиции США предъявило обвинения во взломе системы местного водоканала 22-летнему жителю Канзаса Уайятту Травничеку (Wyatt Travnichek).
Власти заявляют, что Травничек взломал сеть сельского водного округа № 1 в Элсуорте и «выполнял действия, которые останавливали процессы на объекте и влияли на процедуры очистки и дезинфекции [воды], с целью нанести вред сельскому водному округу №1 в Элсворте». При этом известно, что с января 2018 года по январь 2019 года обвиняемый работал на этом самом водоканале, после чего уволился.
Судебные документы умалчивают о том, была ли атака Травничека успешной, или взлом заметили вовремя, но правоохранители уверены, что его действия поставили под угрозу безопасность и здоровье всего местного сообщества.
Если Травничека признают виновным, ему грозит до пяти лет лишения свободы и штраф в размере до 250 000 долларов за взлом компьютерной системы, а также до 20 лет тюрьмы и штраф в размере до 250 000 долларов за вмешательство в работу системы водоснабжения.
Интересно, что этот инцидент никак не связан с другим похожим случаем, произошедшим в феврале 2021 года в американском городе Олдсмар. Тогда неизвестный злоумышленник получил доступ к системам городских водоочистных сооружений и изменил химический состав воды. Причем взломщик проделал это при помощи TeamViewer на компьютере одного из сотрудников.