🇨🇳 Китайские медицинское оборудование вызывает обеспокоенность в 🇺🇸 США из-за проблем с кибербезопасностью

Федеральные агентства 🇺🇸США, включая FDA и CISA, предупредили медицинские учреждения в США о серьезных киберугрозах, связанных с китайскими медицинскими устройствами, широко используемыми в американских больницах.

Одно из таких устройств 🖥Contec CMS8000, являющееся монитором для отображения жизненно важных показателей с целью контроля состояния пациента: электрокардиограмма, частота сердечных сокращений, насыщение крови кислородом, давление, температура и ритм дыхания. В случай потенциального киберинцидента изменения показаний могут привести к ошибочным диагнозам, а как максимум, угрожать здоровью пациента, если не будут приняты соответствующие меры вовремя.

Утверждается, что CISA обнаружила аномальный сетевой трафик в Contec и🕷"бэкдор", который дает возможность загружать, а также исполнять файлы с неавторизованных IP-адресов.

CISA провела анализ бинарных файлов прошивки и документирует то, что устройство активирует сетевой интерфейс (eth0) и далее монтирует удаленный NFS-диск без механизма аутентификации, а также шифрования. Затем проверяется наличие файла /mnt/monitor, и если он существует, то копируется все содержимое удаленного сервера в локальный каталог /opt/bin. Гипотетически злоумышленник может удаленно перехватывать управление устройством. При включении устройства устанавливается соединение с жестко заданным IP-адресом и данные пациента передаются через порт 515 (он обычно используется для протокола Line Printer Daemon). Эксперты CISA уверенно подчеркивают, что механизм не является стандартной системой обновлений, так как не содержит проверки целостности файлов, не ведет журнал обновлений и автоматически перезаписывает файлы в системе устройства без ведома пользователя.

Объединяющая более 5 000 учреждений Американская ассоциация больниц (AHA) призвала медицинские учреждения срочно 🚠изолировать уязвимые устройства от интернета, поскольку обновления безопасности пока отсутствуют. До настоящего времени инцидентов, повлечённых за собой вред здоровью, зафиксировано не было.

По мнению экспертов, низкая стоимость китайского оборудования делает его популярным среди больниц в США. По всей 🇺🇸 американской системе здравоохранения используются тысячи устройств 🇨🇳 "Made in China".

По данным U.S. Government Accountability Office за январь 2022 года (не самые самые свежие данные), 53% подключенных медицинских устройств в больницах США были критически уязвимы, но с тех пор cитуация в лучшую сторону не изменилась, а лишь усугубилась.

👆На фоне противостояния с Китаем не исключено, что постепенно китайское оборудование все больше будет вытесняться из системы здравоохранения США.

✋ @Russian_OSINT

🥷 Крупнейшая кража в истории криптовалют: хакеры украли у биржи ByBit 💴 $1,46 млрд

21 февраля криптобиржа ByBit в результате атаки пала жертвой хакеров на сумму около $1,46 млрд (в эквиваленте Ethereum). Злоумышленникам удалось обмануть сотрудников биржи с помощью манипуляции с пользовательским интерфейсом (UI). Далее будет в деталях...

Один из 🤌холодных кошельков был атакован, но остальные средства биржи надёжно защищены. По словам генерального директора Bybit Бен Чжоу, компания останется платежеспособной и постарается всё вернуть пользователям до копейки.

🤦‍♂️ Часть комментаторов писала про взлом биржи, другая часть сообщала о "взломе смарт-контракта"...Что известно об этом?

📌 Какие подробности известны?

1️⃣ Подготовка и фаза атаки (до и 21 февраля 2025): хакеры спланировали атаку, используя знания о процессе подписания транзакций в мультиподписном кошельке ByBit, управляемом через Safe. global, а затем использовали методы социальной инженерии для манипуляции подписантами кошелька. Подписанты это сотрудники Bybit, имеющие доступ к ETH Multisig Cold Wallet. Злодеи cоздали поддельный Safe. global UI, который выглядел как оригинальный интерфейс. Сотрудники биржи заходили в кошелёк и видели корректный URL, но по факту подписывали не обычную транзакцию, а авторизацию замены мастер-контракта кошелька на вредоносный.

2️⃣ Вывод средств (21-22 февраля 2025): аналитик ZachXBT фиксирует "подозрительные оттоки" с ByBit на сумму около $1,5 млрд. По данным Check Point, атакующий инициировал ExecTransaction в мультиподписном кошельке ByBit. Атака шла через execTransaction Safe Multisig, а delegatecall позволил хакерам выполнить код подмененного контракта.

3️⃣ Легализация средств и отмывание (22-23 февраля 2025): после получения контроля над холодным кошельком ByBit злоумышленники оперативно начали вывод активов, чтобы минимизировать шансы на их заморозку. Всего 400 000 ETH (~$1,46 млрд) были переведены на 39 различных кошельков, а затем ещё 10 000 ETH (~$36,5 млн) отправлены на 9 дополнительных адресов. Аналитик ZachXBT выдвинул версию, что за атакой могут стоять северокорейские хакеры из Lazarus Group, основываясь на методах отмывания и разделения активов, характерных для этой группировки. Аналитическая платформа Arkham также поддержала версию ZachXBT, ссылаясь на "неопровержимые доказательства".

По данным ZachXBT, выявлены более 920 адресов, связанных с отмыванием. Хакеры использовали миксеры и кроссчейн-мосты. Украденные активы были быстро конвертированы через DEX (децентрализованные биржи) и размыты через мультичейн-биржи+миксеры. Были замечены Tornado Cash и eXch. Часть активов переведена в биткоины через Chainflip и ThorChain. По данным расследователей, злоумышленники активно использовали мосты для перемещения средств между сетями (Ethereum → Binance Smart Chain → Solana). Утверждается, что PumpFun может использоваться Lazarus для "отбеливания".

4️⃣ Реакция ByBit (23 февраля 2025): ByBit официально заявляет, что остаётся платёжеспособной и может покрыть потери. Safe начинает внутреннее расследование. Власти и биржи получают список адресов для блокировки, которые связаны с инцидентом.

5️⃣ Последствия и выводы с (24 февраля 2025): криптосообщество пересматривает безопасность мультиподписных кошельков и начинает дискуссию по этому поводу в социальных сетях. ByBit усиливает внутренние меры безопасности и помогает правоохранительным органам вести расследование. Bybit объявила о запуске программы Recovery Bounty, которая предлагает вознаграждение в размере 10% ($140 млн) от суммы успешно возвращенных активов.

⚔️ Атака на ByBit стала беспрецедентной, поскольку хакерам удалось обойти механизмы защиты c помощью социальной инженерии, человеческого фактора и манипуляции пользовательским интерфейсом (UI spoofing). Кстати, CertiK упомянули возможную атаку на ByBit в самом начале с помощью фишинга.

👀 Зарепорченный список адресов в Scam Report.

✋ @Russian_OSINT

👀 OSINT-специалист "Cyberknow" снова обновил свой 📖трекер противостояния хакерских группировок.

👺 По его данным, в 2024 году насчитывалось около 138 группировок.

В 2025 общее количество хакерских групп на 24.02 уменьшилось со 138 до 80. По-прежнему популярны DDoS, шифровальщики, взломы, доксинг, информационные операции.
↘️ Пророссийские силы - 47 хакерских групп.
↘️ Проукраинские силы - 32 хакерские группы.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Хакеры MASSGRAVE сообщают о разработке своего пиратского метода, который позволяет обойти почти всю схему защиты лицензирования ПО Microsoft Windows и Office.

Причем, как утверждают MAS, их обход может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.

Хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows 7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server, а также для ESU и CSVLK.

По словам хакеров, такие методы активации HWID и KMS применялись годами: первый с 2018 года, второй - более 17 лет.

Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.

В качестве пруфов MASSGRAVE опубликовали скрины активированных версий Windows с ESU, подтверждая все свои заявления.

Хакеры намерены выкатить свой инструмент в паблик в ближайшие месяцы. Чем ответит Microsoft - будем посмотреть.

💡На заметку: у кого есть аккаунт в🦆 — в настройках рекомендуется отключить "предоставление данных", чтобы Grok 3 не обучался на ваших данных. Сбор по умолчанию стоит с галочкой.

✋ @Russian_OSINT

😎 Агент Юстас вошёл в чат. Пост опубликован 15 минут назад.

✋ @Russian_OSINT

📘 Skype прекращает свою работу в мае 2025 года

Microsoft официально подтвердили, что с 5 мая 2025 года больше не будут поддерживать Skype. Пользователи смогут продолжить общение в Teams, используя свои текущие учетные записи Skype.

Действующие подписчики смогут использовать Skype Credit и подписки до окончания текущего периода оплаты. После 5 мая 2025 года звонки по Skype будут возможны только через веб-портал и интеграцию в Teams.

Рекомендуется пересмотреть ещё раз все свои старые сообщения в переписках, чтобы сохранить важное на всякий случай.

Ушла целая эпоха...

✋ @Russian_OSINT