🗡 0-day уязвимость затронула серверы SugarCRM.
💬 Исследователи Trend Micro предупреждают , что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike.
В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.
ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.
Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.
#GootkitLoader #VLCMediaPlayer
🔔 ITsec NEWS
💬 Исследователи Trend Micro предупреждают , что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike.
В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО.
ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.
Вторая стадия заражения наступает по истечении времени ожидания, которая длится от нескольких часов до двух дней. По истечении времени ожидания полезные нагрузки удаляются (msdtc.exe и libvlc.dll). «msdtc.exe» — это установщик VLC Media Player, который выдает себя за легитимный компонент Windows. С помощью метода DLL Sideloading установщик загружает библиотеку «libvlc.dll» с модулем Cobalt Strike, а затем сам функционирует как Cobalt Strike.
#GootkitLoader #VLCMediaPlayer
🔔 ITsec NEWS
🔓 25% паролей МВД США взламываются за 90 минут.
💬 Генеральный инспектор Министерства внутренних дел США провел аудит безопасности систем и политик управления паролями, используемых ведомством. Как показал отчет, всего за 90 минут были взломаны аккаунты 14 тыс. работников, а самым популярным паролем оказался Password-1234.
Чтобы проверить систему безопасности, аудиторам были переданы хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Затем специалисты попытались взломать эти пароли при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY.
За первые 90 минут тестирования аудиторы взломали хэши 16% (14 тыс.) учетных записей пользователей департамента. Эксперты продолжили проводить аудит базы паролей 8 недель и выявили за это время ещё 4200 паролей.
В общей сложности удалось взломать 18 174 (около 21%) из 85 944 проверенных криптографических хэшей. При чем 288 из затронутых учетных записей имели повышенные привилегии, а 362 - принадлежали высокопоставленным государственным служащим.
В числе наиболее популярных паролей, которые удалось восстановить: Password-1234 (478 аккаунтов); Br0nc0$2012 (389 аккаунтов); Password123$ (318 аккаунтов); Password1234 (274 аккаунта); Summ3rSun2020! (191 аккаунт); 0rlando0000 (160 аккаунтов); Password1234! (150 аккаунтов); ChangeIt123 (140 аккаунтов); 1234password$ (138 аккаунтов); ChangeItN0w! (130 аккаунтов).
Сообщается, что эксперты потратили $15 тыс. на создание установки для взлома паролей.
Интересный фактом стало то, что 99,9 % взломанных паролей формально соответствовали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.
Как итог, госрегулятор дал рекомендации IT-службе МВД США усилить требования к правилам составления паролей, оперативно проверять срок их действия и внедрить многофакторную аутентификацию. Оказалось, что её использовали лишь 11% пользователей.
#Взлом #МВД #США
🔔 ITsec NEWS
💬 Генеральный инспектор Министерства внутренних дел США провел аудит безопасности систем и политик управления паролями, используемых ведомством. Как показал отчет, всего за 90 минут были взломаны аккаунты 14 тыс. работников, а самым популярным паролем оказался Password-1234.
Чтобы проверить систему безопасности, аудиторам были переданы хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Затем специалисты попытались взломать эти пароли при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY.
За первые 90 минут тестирования аудиторы взломали хэши 16% (14 тыс.) учетных записей пользователей департамента. Эксперты продолжили проводить аудит базы паролей 8 недель и выявили за это время ещё 4200 паролей.
В общей сложности удалось взломать 18 174 (около 21%) из 85 944 проверенных криптографических хэшей. При чем 288 из затронутых учетных записей имели повышенные привилегии, а 362 - принадлежали высокопоставленным государственным служащим.
В числе наиболее популярных паролей, которые удалось восстановить: Password-1234 (478 аккаунтов); Br0nc0$2012 (389 аккаунтов); Password123$ (318 аккаунтов); Password1234 (274 аккаунта); Summ3rSun2020! (191 аккаунт); 0rlando0000 (160 аккаунтов); Password1234! (150 аккаунтов); ChangeIt123 (140 аккаунтов); 1234password$ (138 аккаунтов); ChangeItN0w! (130 аккаунтов).
Сообщается, что эксперты потратили $15 тыс. на создание установки для взлома паролей.
Интересный фактом стало то, что 99,9 % взломанных паролей формально соответствовали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.
Как итог, госрегулятор дал рекомендации IT-службе МВД США усилить требования к правилам составления паролей, оперативно проверять срок их действия и внедрить многофакторную аутентификацию. Оказалось, что её использовали лишь 11% пользователей.
#Взлом #МВД #США
🔔 ITsec NEWS
Forwarded from UseGateway Academy
⚡️ Google Chrome позволяет украсть криптовалюту через символическую ссылку.
💬 Аналитики компании Imperva, раскрыли подробности об исправленной уязвимости в Google Chrome и в браузерах на базе Chromium, которая открывала доступ к конфиденциальным данным.
Проблема возникла из-за того, как браузер взаимодействовал с символическими ссылками при обработке файлов и каталогов. В частности, браузер не проверил должным образом, указывает ли символическая ссылка на место, которое не должно было быть доступным, что позволило украсть конфиденциальные файлы.
Уязвимость CVE-2022-3656 была описана Google как уязвимость недостаточной проверки данных в файловой системе. Ошибка была исправлена в версиях Google Chrome 107 и 108.
Недостаток, получивший название SymStealer, является уязвимостью символической ссылки, которая возникает, когда злоумышленник создает символическую ссылку на конфиденциальные файлы, чтобы обойти ограничения файловой системы для работы с неавторизованными файлами.
Согласно анализу Imperva, когда пользователь напрямую перетаскивал папку на элемент ввода файла, браузер рекурсивно разрешал все символические ссылки без каких-либо предупреждений. В гипотетической атаке киберпреступник мог обманом заставить жертву посетить поддельный сайт и загрузить ZIP-архив, содержащий символическую ссылку на ценный файл или папку на компьютере, например ключи криптокошелька и учетные данные.
Когда этот же файл симлинка загружается обратно на веб-сайт (например, платформа криптокошелька предлагает пользователю загрузить свои ключи восстановления) уязвимость позволяет с помощью симлинка получить доступ к фактическому файлу, содержащему ключевую фразу.
#GoogleChrome #Криптовалюта #Хакеры
🔔 CryptoYozh
💬 Аналитики компании Imperva, раскрыли подробности об исправленной уязвимости в Google Chrome и в браузерах на базе Chromium, которая открывала доступ к конфиденциальным данным.
Проблема возникла из-за того, как браузер взаимодействовал с символическими ссылками при обработке файлов и каталогов. В частности, браузер не проверил должным образом, указывает ли символическая ссылка на место, которое не должно было быть доступным, что позволило украсть конфиденциальные файлы.
Уязвимость CVE-2022-3656 была описана Google как уязвимость недостаточной проверки данных в файловой системе. Ошибка была исправлена в версиях Google Chrome 107 и 108.
Недостаток, получивший название SymStealer, является уязвимостью символической ссылки, которая возникает, когда злоумышленник создает символическую ссылку на конфиденциальные файлы, чтобы обойти ограничения файловой системы для работы с неавторизованными файлами.
Согласно анализу Imperva, когда пользователь напрямую перетаскивал папку на элемент ввода файла, браузер рекурсивно разрешал все символические ссылки без каких-либо предупреждений. В гипотетической атаке киберпреступник мог обманом заставить жертву посетить поддельный сайт и загрузить ZIP-архив, содержащий символическую ссылку на ценный файл или папку на компьютере, например ключи криптокошелька и учетные данные.
Когда этот же файл симлинка загружается обратно на веб-сайт (например, платформа криптокошелька предлагает пользователю загрузить свои ключи восстановления) уязвимость позволяет с помощью симлинка получить доступ к фактическому файлу, содержащему ключевую фразу.
#GoogleChrome #Криптовалюта #Хакеры
🔔 CryptoYozh
⚡️ Маршрутизаторы Cisco с истекшим сроком эксплуатации подвержены опасной уязвимости.
💬 Недавно Cisco предупредила клиентов о критической уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов с истекшим сроком эксплуатации. Кроме того, код эксплойта доступен всем желающим.
Бреши в защите присвоен идентификатор CVE-2023-20025 . Она была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082 ИБ-специалистом Хоу Люяном из Qihoo 360 Netlab.
Уязвимость вызвана неправильной проверкой введенных данных во входящих HTTP-пакетах. Хакеры могут воспользоваться этой ошибкой, отправляя специально созданные HTTP-запросы к веб-интерфейсу затронутых маршрутизаторов в обход аутентификации.
В случае успешной эксплуатации CVE-2023-20025 злоумышленники получают root-доступ, а в паре с CVE-2023-2002 (ее Cisco тоже упомянула в отчете) хакеры могут выполнять произвольные команды на базовой операционной системе.
Несмотря на то, что уязвимость оценена как критическая, а код эксплойта доступен всем желающим, Cisco отметила, что не планирует выпускать исправление для CVE-2023-20025. К счастью, ИБ-специалисты компании не обнаружили никаких доказательств того, что ошибка используется в дикой природе.
Несмотря на то, что нет никаких обходных путей для устранения уязвимости, эксперты предлагают администраторам отключить веб-интерфейс управления маршрутизаторами и заблокировать доступ к портам 443 и 60443, чтобы не дать хакерам воспользоваться брешью в защите.
#Cisco #Уязвимость
🔔 ITsec NEWS
💬 Недавно Cisco предупредила клиентов о критической уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов с истекшим сроком эксплуатации. Кроме того, код эксплойта доступен всем желающим.
Бреши в защите присвоен идентификатор CVE-2023-20025 . Она была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082 ИБ-специалистом Хоу Люяном из Qihoo 360 Netlab.
Уязвимость вызвана неправильной проверкой введенных данных во входящих HTTP-пакетах. Хакеры могут воспользоваться этой ошибкой, отправляя специально созданные HTTP-запросы к веб-интерфейсу затронутых маршрутизаторов в обход аутентификации.
В случае успешной эксплуатации CVE-2023-20025 злоумышленники получают root-доступ, а в паре с CVE-2023-2002 (ее Cisco тоже упомянула в отчете) хакеры могут выполнять произвольные команды на базовой операционной системе.
Несмотря на то, что уязвимость оценена как критическая, а код эксплойта доступен всем желающим, Cisco отметила, что не планирует выпускать исправление для CVE-2023-20025. К счастью, ИБ-специалисты компании не обнаружили никаких доказательств того, что ошибка используется в дикой природе.
Несмотря на то, что нет никаких обходных путей для устранения уязвимости, эксперты предлагают администраторам отключить веб-интерфейс управления маршрутизаторами и заблокировать доступ к портам 443 и 60443, чтобы не дать хакерам воспользоваться брешью в защите.
#Cisco #Уязвимость
🔔 ITsec NEWS
⚡️ Покушение на короля почтовых служб Великобритании: Royal Mail пострадала от кибератаки.
💬 Royal Mail, британская интернациональная почтовая служба и курьерская компания, объявила на этой неделе, что киберинцидент вызвал серьезные перебои в работе международных экспортных служб, из-за чего компания не может отправлять товары в другие страны.
Сейчас компания круглосуточно работает над устранением последствий кибератаки. В подвешенном состоянии оказались сотни тысяч писем и посылок, их доставка может задержаться на неопределенный срок. Кроме того, Royal Mail немедленно начала расследование и привлекла сторонних экспертов для оказания помощи. С организацией сейчас работают Национальный центр кибербезопасности правительства Великобритании, Королевская почтовая служба и Национальное агентство по борьбе с преступностью.
Пока ведется расследование и работы по восстановлению серверов компании, Royal Mail призвала британцев воздержаться от зарубежных отправлений.
#RoyalMail #Кибератака
🔔 ITsec NEWS
💬 Royal Mail, британская интернациональная почтовая служба и курьерская компания, объявила на этой неделе, что киберинцидент вызвал серьезные перебои в работе международных экспортных служб, из-за чего компания не может отправлять товары в другие страны.
Сейчас компания круглосуточно работает над устранением последствий кибератаки. В подвешенном состоянии оказались сотни тысяч писем и посылок, их доставка может задержаться на неопределенный срок. Кроме того, Royal Mail немедленно начала расследование и привлекла сторонних экспертов для оказания помощи. С организацией сейчас работают Национальный центр кибербезопасности правительства Великобритании, Королевская почтовая служба и Национальное агентство по борьбе с преступностью.
Пока ведется расследование и работы по восстановлению серверов компании, Royal Mail призвала британцев воздержаться от зарубежных отправлений.
#RoyalMail #Кибератака
🔔 ITsec NEWS
⚡️ ЛК: Более 700 организаций атакованы таргетированными группами шифровальщиков в 4 квартале 2022 года.
💬 Как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в четвёртом квартале 2022 года. Об этом в новом отчете сообщила «Лаборатория Касперского».
Согласно данным отчета, за половиной кибератак стоят восемь крупных групп. На текущий момент самыми активными остаются Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и Black Cat, причём две последние стали атаковать с осени 2021 года.
Наибольшее число атак было проведено LockBit: за весь период существования шифровальщика количество его жертв перевалило за тысячу. Чаще всего злоумышленники атаковали предприятия из авиационной и энергетической отрасли. На третьем месте по популярности среди хакеров оказалась сфера консультационных услуг.
География жертв также разнообразна: США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы. Операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы. Для получения первоначального доступа чаще всего это протоколы RDP или средства эксплуатации уязвимости, для действий внутри сети — инструменты PsExec, Empire, Mimikatz.
«Программы-вымогатели продолжают оставаться одной из ключевых угроз. Мы проделали огромную аналитическую работу по этому типу зловредов и выявили, что их техники и тактики во многом совпадают и не меняются в течение долгого периода времени. В нашем отчёте собрана масса полезной информации для компаний, которая поможет им противостоять этой угрозе», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
#Шифровальщик
🔔 ITsec NEWS
💬 Как минимум 730 организаций по всему миру пострадали от таргетированных атак шифровальщиков в четвёртом квартале 2022 года. Об этом в новом отчете сообщила «Лаборатория Касперского».
Согласно данным отчета, за половиной кибератак стоят восемь крупных групп. На текущий момент самыми активными остаются Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и Black Cat, причём две последние стали атаковать с осени 2021 года.
Наибольшее число атак было проведено LockBit: за весь период существования шифровальщика количество его жертв перевалило за тысячу. Чаще всего злоумышленники атаковали предприятия из авиационной и энергетической отрасли. На третьем месте по популярности среди хакеров оказалась сфера консультационных услуг.
География жертв также разнообразна: США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы. Операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы. Для получения первоначального доступа чаще всего это протоколы RDP или средства эксплуатации уязвимости, для действий внутри сети — инструменты PsExec, Empire, Mimikatz.
«Программы-вымогатели продолжают оставаться одной из ключевых угроз. Мы проделали огромную аналитическую работу по этому типу зловредов и выявили, что их техники и тактики во многом совпадают и не меняются в течение долгого периода времени. В нашем отчёте собрана масса полезной информации для компаний, которая поможет им противостоять этой угрозе», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
#Шифровальщик
🔔 ITsec NEWS
⚔️ Соглашение ООН по борьбе с киберпреступностью вызвало споры у правозащитников.
💬 ООН проводит четвёртую переговорную сессию о создании Соглашения ООН, направленном на совершенствование глобальных действий по борьбе с киберпреступностью. Однако, правозащитные группы опасаются злоупотреблений расплывчатыми и неуточнёнными пунктами этого договора
Специальный комитет по разработке Всеобъемлющей международной конвенции о противодействии использованию информационных и коммуникационных технологий в преступных целях впервые провел собрание в феврале 2022 года и намерен завершить работу над документом к началу 2024 года.
Договор ООН будет охватывать международное сотрудничество, доступ международных правоохранительных органов к потенциальным цифровым доказательствам, а также права человека и процессуальные гарантии.
Документ будет основываться на существующей Будапештской конвенции, принятой 67 странами, направленной на борьбу с киберпреступлениями путем гармонизации национального законодательства и обеспечения международного сотрудничества. Однако есть серьезные опасения.
Примечательно, что многие предложенные элементы договора не включают умысел киберпреступления, а это означает, что даже незлонамеренное поведение может быть криминализировано.
«Мы утверждаем, что под киберпреступлениями следует понимать те, которые нацелены конкретно на компьютерные системы, и что договор должен предусматривать мошеннические намерения со стороны обвиняемого», — говорят представители Electronic Frontier Foundation (EFF).
В противном случае «такие законы потенциально могут быть использованы против любого, кто взаимодействовал с компьютером так, что это кому-то просто не понравилось, даже без намерения причинить какой-либо вред, и часто используются для наказания исследователей кибербезопасности или журналистов».
Более того, как отмечает правозащитная организация Human Rights Watch, расплывчато сформулированные законы о киберпреступности, направленные на борьбу с дезинформацией и онлайн-поддержкой терроризма, часто использовались не по назначению, чтобы преследовать инакомыслящих и нарушать свободу слова.
Точно так же есть опасения, что предлагаемые полномочия по расследованию такого рода киберпреступлений могут привести к активному незаконному полицейскому наблюдению в странах-участницах соглашения.
Организации по защите конфиденциальности и правам человека призывают государства заняться всеми этими областями, устанавливая необходимость наличия умысла и следя за тем, чтобы законы не приводили к судебному преследованию осведомителей, активистов и журналистов. EFF добавила, что Все новые законы должны сопровождаться соответствующими гарантиями прав человека.
#ООН #Киберпреступность
🔔 ITsec NEWS
💬 ООН проводит четвёртую переговорную сессию о создании Соглашения ООН, направленном на совершенствование глобальных действий по борьбе с киберпреступностью. Однако, правозащитные группы опасаются злоупотреблений расплывчатыми и неуточнёнными пунктами этого договора
Специальный комитет по разработке Всеобъемлющей международной конвенции о противодействии использованию информационных и коммуникационных технологий в преступных целях впервые провел собрание в феврале 2022 года и намерен завершить работу над документом к началу 2024 года.
Договор ООН будет охватывать международное сотрудничество, доступ международных правоохранительных органов к потенциальным цифровым доказательствам, а также права человека и процессуальные гарантии.
Документ будет основываться на существующей Будапештской конвенции, принятой 67 странами, направленной на борьбу с киберпреступлениями путем гармонизации национального законодательства и обеспечения международного сотрудничества. Однако есть серьезные опасения.
Примечательно, что многие предложенные элементы договора не включают умысел киберпреступления, а это означает, что даже незлонамеренное поведение может быть криминализировано.
«Мы утверждаем, что под киберпреступлениями следует понимать те, которые нацелены конкретно на компьютерные системы, и что договор должен предусматривать мошеннические намерения со стороны обвиняемого», — говорят представители Electronic Frontier Foundation (EFF).
В противном случае «такие законы потенциально могут быть использованы против любого, кто взаимодействовал с компьютером так, что это кому-то просто не понравилось, даже без намерения причинить какой-либо вред, и часто используются для наказания исследователей кибербезопасности или журналистов».
Более того, как отмечает правозащитная организация Human Rights Watch, расплывчато сформулированные законы о киберпреступности, направленные на борьбу с дезинформацией и онлайн-поддержкой терроризма, часто использовались не по назначению, чтобы преследовать инакомыслящих и нарушать свободу слова.
Точно так же есть опасения, что предлагаемые полномочия по расследованию такого рода киберпреступлений могут привести к активному незаконному полицейскому наблюдению в странах-участницах соглашения.
Организации по защите конфиденциальности и правам человека призывают государства заняться всеми этими областями, устанавливая необходимость наличия умысла и следя за тем, чтобы законы не приводили к судебному преследованию осведомителей, активистов и журналистов. EFF добавила, что Все новые законы должны сопровождаться соответствующими гарантиями прав человека.
#ООН #Киберпреступность
🔔 ITsec NEWS
🗡 0-day уязвимость FortiOS использовалась в атаках на правительства.
💬 Уязвимость нулевого дня в FortiOS SSL-VPN, которую Fortinet устранила в декабре, использовалась неизвестными хакерами в атаках на правительства и различные крупные организации.
Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8) , которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.
Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.
Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.
Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также «расширенные возможности» для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила , что эксплойт требует «глубокого понимания FortiOS и базового оборудования», а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.
Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.
#FortiOS #Хакеры #0day
🔔 ITsec NEWS
💬 Уязвимость нулевого дня в FortiOS SSL-VPN, которую Fortinet устранила в декабре, использовалась неизвестными хакерами в атаках на правительства и различные крупные организации.
Киберпреступники эксплуатировали уязвимость переполнения буфера на основе кучи CVE-2022-42475 (CVSS: 9.8) , которая могла позволить удаленному неавторизованному злоумышленнику выполнить произвольный код с помощью специально созданных запросов.
Конечной целью цепочки заражения являлось развертывание универсального имплантата Linux, модифицированного для FortiOS, который оборудован для компрометации программного обеспечения системы предотвращения вторжений Fortinet (Intrusion Prevention System, IPS) и установления соединения с удаленным сервером для загрузки дополнительных вредоносных программ и выполнения команд.
Fortinet не смогла восстановить полезную нагрузку, которая использовалась на последующих этапах атак. Когда именно произошло вторжение, не сообщается.
Кроме того, хакеры использовали запутывание кода, чтобы помешать анализу, а также «расширенные возможности» для управления журналами FortiOS и прекращения процессов журналирования, чтобы оставаться незамеченными. Fortinet отметила , что эксплойт требует «глубокого понимания FortiOS и базового оборудования», а это означает, что злоумышленник обладает навыками реверс-инжиниринга различных частей FortiOS.
Обнаруженный образец Windows показал артефакты, которые были скомпилированы на машине в часовом поясе UTC+8, в который входят Австралия, Китай, Россия, Сингапур и другие страны Восточной Азии.
#FortiOS #Хакеры #0day
🔔 ITsec NEWS
⚡️ Полиглотные файлы помогают троянам незаметно проникать на устройства жертв.
💬 Вредоносную кампанию по распространению троянов StrRAT и Ratty обнаружила ИБ-компания Deep Instinct. Специалисты отмечают, что несмотря на широкую известность этих двух вредоносов, их операторы научились обходить некоторые антивирусные системы.
Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.
По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:
Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.
Кроме того, иногда злоумышленники комбинируют JAR и CAB-файлы, поскольку у последних тоже есть “magic header”.
Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.
#Троян
🔔 ITsec NEWS
💬 Вредоносную кампанию по распространению троянов StrRAT и Ratty обнаружила ИБ-компания Deep Instinct. Специалисты отмечают, что несмотря на широкую известность этих двух вредоносов, их операторы научились обходить некоторые антивирусные системы.
Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.
По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:
Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.
Кроме того, иногда злоумышленники комбинируют JAR и CAB-файлы, поскольку у последних тоже есть “magic header”.
Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.
#Троян
🔔 ITsec NEWS
📬 Mail.ru подтвердила сообщения об утечке данных клиентов сервиса.
💬 Накануне Telegram-канал «Утечки информации» сообщил о крупной утечке персональных данных российских пользователей. В свободном доступе экспертами сервиса DLBI был обнаружен дамп, который содержит немногим более 3.5 млн записей с контактными данными пользователей одного из наиболее популярных в России почтовых сервисов Mail.ru.
Обнародованная база содержала ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru и других, телефоны, имена и фамилии пользователей, а также их логины.
В пресс-службе Mail.ru подтвердили сообщения о публикации в интернете части данных клиентов почтового сервиса, заявив, что инцидент связан с утечкой стороннего сервиса в начале 2022 года.
«Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку», — цитирует ТАСС сообщение компании.
В Роскомнадзоре заявили, что намерены провести проверку подобной утечки данных.
#Mail #Утечка
🔔 ITsec NEWS
💬 Накануне Telegram-канал «Утечки информации» сообщил о крупной утечке персональных данных российских пользователей. В свободном доступе экспертами сервиса DLBI был обнаружен дамп, который содержит немногим более 3.5 млн записей с контактными данными пользователей одного из наиболее популярных в России почтовых сервисов Mail.ru.
Обнародованная база содержала ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru и других, телефоны, имена и фамилии пользователей, а также их логины.
В пресс-службе Mail.ru подтвердили сообщения о публикации в интернете части данных клиентов почтового сервиса, заявив, что инцидент связан с утечкой стороннего сервиса в начале 2022 года.
«Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку», — цитирует ТАСС сообщение компании.
В Роскомнадзоре заявили, что намерены провести проверку подобной утечки данных.
#Mail #Утечка
🔔 ITsec NEWS
⚡️ Intel тайно вернулась в Россию.
💬 Intel вернула российским пользователя доступ к разделу с драйверами на своем сайте, который был закрыт с февраля 2022 г. Однако, скачать драйверы можно только после авторизации или регистрации, а эти процессы с российским IP не работают.
Страница с драйверами доступна для российских IP-адресов, но попасть в раздел можно, выполнив соответствующий запрос в поисковой системе – основной российский сайт по-прежнему закрыт для посещения.
ПО Intel тоже доступно для скачивания. Например, можно скачать утилиту Intel Driver & Support Assistant для автоматического обновления драйверов на компьютере. Примечательно, что сама компания Intel официально не подтвердила свое возвращение в Россию.
В феврале Intel и AMD объявили российским производителям в устной форме, что временно приостанавливают поставки своей продукции на территорию России . Также китайский офис Intel уведомил партнёров о вводе запрета на поставки процессоров в Россию. Однако, процессоры Intel сейчас продаются во всех крупных сетях России – их завозят по параллельному импорту.
#Intel #Россия
🔔 ITsec NEWS
💬 Intel вернула российским пользователя доступ к разделу с драйверами на своем сайте, который был закрыт с февраля 2022 г. Однако, скачать драйверы можно только после авторизации или регистрации, а эти процессы с российским IP не работают.
Страница с драйверами доступна для российских IP-адресов, но попасть в раздел можно, выполнив соответствующий запрос в поисковой системе – основной российский сайт по-прежнему закрыт для посещения.
ПО Intel тоже доступно для скачивания. Например, можно скачать утилиту Intel Driver & Support Assistant для автоматического обновления драйверов на компьютере. Примечательно, что сама компания Intel официально не подтвердила свое возвращение в Россию.
В феврале Intel и AMD объявили российским производителям в устной форме, что временно приостанавливают поставки своей продукции на территорию России . Также китайский офис Intel уведомил партнёров о вводе запрета на поставки процессоров в Россию. Однако, процессоры Intel сейчас продаются во всех крупных сетях России – их завозят по параллельному импорту.
#Intel #Россия
🔔 ITsec NEWS
🔓 Взломаны системы менеджера пароля Norton.
💬 12 декабря системы обнаружения вторжений компании Norton LifeLock обнаружили необычную активность в системе. Расследование компании показало , что хакер попытался получить доступ к большому количеству учетных данных клиентов Norton LifeLock.
По словам Norton, неавторизованный киберпреступник получил доступ к следующей информации:
— имя и фамилию;
— номер телефона;
— почтовый адрес пользователя;
— логины и пароли, хранящиеся в хранилище Norton (LifeLock поставляется с диспетчером паролей Norton).
Как только компании стало известно о массовых попытках входа в систему, она «быстро сбросила все пароли пользователей». Norton заявила, что ее системы не были скомпрометированы во время атаки. Фирма призвала клиентов изменить все пароли к учетным записям, хранящиеся в диспетчере паролей, и включить многофакторную аутентификацию в свои учетные записи Norton. Norton LifeLock предложила всем своим клиентам бесплатный мониторинг. К расследованию также привлечены правоохранительные органы.
Norton LifeLock (ранее Symantec) – компания по разработке программного обеспечения в области информационной безопасности и защиты информации. В 2020 году компания NortonLifeLock купила компанию Avira за $360 млн, а в 2021 году NortonLifeLock купила компанию Avast за $8 млрд. Рыночная капитализация Norton LifeLock составляет $12,5 млрд.
#Взлом #Norton
🔔 ITsec NEWS
💬 12 декабря системы обнаружения вторжений компании Norton LifeLock обнаружили необычную активность в системе. Расследование компании показало , что хакер попытался получить доступ к большому количеству учетных данных клиентов Norton LifeLock.
По словам Norton, неавторизованный киберпреступник получил доступ к следующей информации:
— имя и фамилию;
— номер телефона;
— почтовый адрес пользователя;
— логины и пароли, хранящиеся в хранилище Norton (LifeLock поставляется с диспетчером паролей Norton).
Как только компании стало известно о массовых попытках входа в систему, она «быстро сбросила все пароли пользователей». Norton заявила, что ее системы не были скомпрометированы во время атаки. Фирма призвала клиентов изменить все пароли к учетным записям, хранящиеся в диспетчере паролей, и включить многофакторную аутентификацию в свои учетные записи Norton. Norton LifeLock предложила всем своим клиентам бесплатный мониторинг. К расследованию также привлечены правоохранительные органы.
Norton LifeLock (ранее Symantec) – компания по разработке программного обеспечения в области информационной безопасности и защиты информации. В 2020 году компания NortonLifeLock купила компанию Avira за $360 млн, а в 2021 году NortonLifeLock купила компанию Avast за $8 млрд. Рыночная капитализация Norton LifeLock составляет $12,5 млрд.
#Взлом #Norton
🔔 ITsec NEWS
💵 Франция оштрафовала TikTok 5 млн. евро за принудительный сбор cookie-файлов пользователей.
💬 Французский регулятор персональных данных (CNIL) оштрафовал TikTok на 5 млн. евро за свою политику в отношении cookie-файлов, которые заставляют пользователя соглашаться на их передачу.
Агентство исследовало китайское приложение для социальных сетей в период с 2020 по 2022 год и обнаружило, что механизм отказа от передачи cookie-файлов является очень сложным и запутанным, тем самым побуждая пользователя принять все cookie-файлы.
По словам CNIL, политика TikTok в отношении cookie-файлов противоречит французскому Закону о защите данных, поскольку «нарушает свободу согласия пользователей Интернета».
В ходе проверки CNIL обнаружил, что дочерние компании TikTok в Соединенном Королевстве и Ирландии представили кнопку, позволяющую сайту принимать cookie-файлы, но «не внедрили кнопку, чтобы так же легко отказаться от их передачи. Чтобы отказаться от передачи cookie-файлов, требуется несколько кликов, а не один, что противоречит Закону о защите данных».
#TikTok #Cookie
🔔 ITsec NEWS
💬 Французский регулятор персональных данных (CNIL) оштрафовал TikTok на 5 млн. евро за свою политику в отношении cookie-файлов, которые заставляют пользователя соглашаться на их передачу.
Агентство исследовало китайское приложение для социальных сетей в период с 2020 по 2022 год и обнаружило, что механизм отказа от передачи cookie-файлов является очень сложным и запутанным, тем самым побуждая пользователя принять все cookie-файлы.
По словам CNIL, политика TikTok в отношении cookie-файлов противоречит французскому Закону о защите данных, поскольку «нарушает свободу согласия пользователей Интернета».
В ходе проверки CNIL обнаружил, что дочерние компании TikTok в Соединенном Королевстве и Ирландии представили кнопку, позволяющую сайту принимать cookie-файлы, но «не внедрили кнопку, чтобы так же легко отказаться от их передачи. Чтобы отказаться от передачи cookie-файлов, требуется несколько кликов, а не один, что противоречит Закону о защите данных».
#TikTok #Cookie
🔔 ITsec NEWS
🌐 Заражённые VPN-клиенты распространяют шпионское ПО.
💬 Исследователи кибербезопасности Bitdefender обнаружили , что с мая 2022 года заражённые установщики VPN используются для доставки шпионского ПО EyeSpy.
В отчете Bitdefender говорится, что вредоносная кампания использует «компоненты легитимного приложения для мониторинга SecondEye для слежки за пользователями иранского VPN-сервиса 20Speed VPN с помощью троянизированных установщиков. Большинство заражений происходит в Иране, в Германии и США – в меньшей степени.
Коммерческое ПО SecondEye предназначено для мониторинга активности, которое может работать как система родительского контроля. SecondEye может:
— делать снимки экрана;
— записывать звук с микрофона;
— регистрировать нажатия клавиш;
— собирать файлы и сохраненные пароли из веб-браузеров;
— удаленно управлять компьютером для выполнения произвольных команд.
Цепочка атак начинается, когда ничего не подозревающий пользователь загружает вредоносный исполняемый файл с веб-сайта 20Speed VPN, что указывает на два вероятных сценария: либо серверы сайт были взломаны для размещения шпионского ПО, либо это преднамеренная попытка шпионить за иранцами, которые загружают VPN для обхода отключений интернета в стране.
После установки легитимный VPN-сервис запускается, а также незаметно выполняет вредоносные команды в фоновом режиме, чтобы установить постоянство в системе и загрузить полезную нагрузку следующего этапа для сбора личных данных с хоста.
Исследователи Bitdefender заключиили, что EyeSpy может полностью скомпрометировать конфиденциальность в Интернете с помощью кейлогинга и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли. Это может привести к полному захвату учетных записей, краже личных данных и финансовым потерям.
#VPN #ШпионскоеПО
🔔 ITsec NEWS
💬 Исследователи кибербезопасности Bitdefender обнаружили , что с мая 2022 года заражённые установщики VPN используются для доставки шпионского ПО EyeSpy.
В отчете Bitdefender говорится, что вредоносная кампания использует «компоненты легитимного приложения для мониторинга SecondEye для слежки за пользователями иранского VPN-сервиса 20Speed VPN с помощью троянизированных установщиков. Большинство заражений происходит в Иране, в Германии и США – в меньшей степени.
Коммерческое ПО SecondEye предназначено для мониторинга активности, которое может работать как система родительского контроля. SecondEye может:
— делать снимки экрана;
— записывать звук с микрофона;
— регистрировать нажатия клавиш;
— собирать файлы и сохраненные пароли из веб-браузеров;
— удаленно управлять компьютером для выполнения произвольных команд.
Цепочка атак начинается, когда ничего не подозревающий пользователь загружает вредоносный исполняемый файл с веб-сайта 20Speed VPN, что указывает на два вероятных сценария: либо серверы сайт были взломаны для размещения шпионского ПО, либо это преднамеренная попытка шпионить за иранцами, которые загружают VPN для обхода отключений интернета в стране.
После установки легитимный VPN-сервис запускается, а также незаметно выполняет вредоносные команды в фоновом режиме, чтобы установить постоянство в системе и загрузить полезную нагрузку следующего этапа для сбора личных данных с хоста.
Исследователи Bitdefender заключиили, что EyeSpy может полностью скомпрометировать конфиденциальность в Интернете с помощью кейлогинга и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли. Это может привести к полному захвату учетных записей, краже личных данных и финансовым потерям.
#VPN #ШпионскоеПО
🔔 ITsec NEWS
⚡️ CircleCI: хакеры похитили ключи шифрования и данные клиентов.
💬 CircleCI, компания-разработчик программного обеспечения, чьи продукты популярны среди разработчиков и инженеров-программистов, подтвердила, что данные некоторых её клиентов были украдены в результате утечки в прошлом месяце.
Компания заявила, что определила точку доступа злоумышленников в систему. Это был ноутбук одного из сотрудников, который был скомпрометирован вредоносным ПО. Так злоумышленники смогли получить токены сеанса, используемые для удержания сотрудника в системе.
Компания взяла на себя вину за компрометацию, назвав её «системным сбоем». Также CircleCI добавила, что её антивирусное программное обеспечение не смогло обнаружить вредоносное ПО для кражи токенов на ноутбуке сотрудника.
Токены сеанса позволяют пользователю оставаться в системе без необходимости каждый раз вводить пароль или повторно авторизоваться с использованием двухфакторной аутентификации. Украденный токен сеанса позволяет злоумышленнику получить точно такой же доступ. Таким образом, довольно трудно различить токены сеанса владельца учетной записи и хакера, получившего доступ неправомерно.
Кража токенов сеанса позволяет киберпреступникам выдавать себя за сотрудников компании и получать доступ к некоторым производственным системам, в которых хранятся данные клиентов.
«Поскольку данный сотрудник имел полномочия самостоятельно генерировать токены производственного доступа, неавторизованная третья сторона смогла получить те же полномочия и извлечь данные из множества баз и хранилищ, включая переменные среды клиента, токены и ключи», — сказал Роб Зубер, главный технический директор CircleCI. Он также сообщил, что злоумышленники имели доступ к системе с 16 декабря по 4 января.
Зубер отметил, что, хотя данные клиентов были зашифрованы, в ходе атаки киберпреступники получили и ключи шифрования, способные декодировать данные. «Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это в срочном порядке, чтобы предотвратить несанкционированный доступ», — добавил Зубер.
По словам Зубера, несколько клиентов уже сообщили CircleCI о несанкционированном доступе к их системам.
Анализ утечки был закончен через несколько дней после того, как компания предупредила клиентов о необходимости изменить «все чувствительные данные», хранящиеся на платформе.
Зубер сказал, что сотрудники CircleCI усложнили процесс аутентификации. Это должно предотвратить повторение инцидента.
Использованный злоумышленниками способ, кража токена с ноутбука сотрудника — имеет некоторое сходство с тем методом, которым недавно был взломан менеджер паролей LastPass . Там доступ был тоже получен через устройство одного из сотрудников: злоумышленники скомпрометировали устройство и получили доступ к учетной записи, что позволило им проникнуть во внутреннюю среду разработки сервиса. Доподлинно неизвестно, связаны ли эти два инцидента между собой.
#CircleCI #Хакеры
🔔 ITsec NEWS
💬 CircleCI, компания-разработчик программного обеспечения, чьи продукты популярны среди разработчиков и инженеров-программистов, подтвердила, что данные некоторых её клиентов были украдены в результате утечки в прошлом месяце.
Компания заявила, что определила точку доступа злоумышленников в систему. Это был ноутбук одного из сотрудников, который был скомпрометирован вредоносным ПО. Так злоумышленники смогли получить токены сеанса, используемые для удержания сотрудника в системе.
Компания взяла на себя вину за компрометацию, назвав её «системным сбоем». Также CircleCI добавила, что её антивирусное программное обеспечение не смогло обнаружить вредоносное ПО для кражи токенов на ноутбуке сотрудника.
Токены сеанса позволяют пользователю оставаться в системе без необходимости каждый раз вводить пароль или повторно авторизоваться с использованием двухфакторной аутентификации. Украденный токен сеанса позволяет злоумышленнику получить точно такой же доступ. Таким образом, довольно трудно различить токены сеанса владельца учетной записи и хакера, получившего доступ неправомерно.
Кража токенов сеанса позволяет киберпреступникам выдавать себя за сотрудников компании и получать доступ к некоторым производственным системам, в которых хранятся данные клиентов.
«Поскольку данный сотрудник имел полномочия самостоятельно генерировать токены производственного доступа, неавторизованная третья сторона смогла получить те же полномочия и извлечь данные из множества баз и хранилищ, включая переменные среды клиента, токены и ключи», — сказал Роб Зубер, главный технический директор CircleCI. Он также сообщил, что злоумышленники имели доступ к системе с 16 декабря по 4 января.
Зубер отметил, что, хотя данные клиентов были зашифрованы, в ходе атаки киберпреступники получили и ключи шифрования, способные декодировать данные. «Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это в срочном порядке, чтобы предотвратить несанкционированный доступ», — добавил Зубер.
По словам Зубера, несколько клиентов уже сообщили CircleCI о несанкционированном доступе к их системам.
Анализ утечки был закончен через несколько дней после того, как компания предупредила клиентов о необходимости изменить «все чувствительные данные», хранящиеся на платформе.
Зубер сказал, что сотрудники CircleCI усложнили процесс аутентификации. Это должно предотвратить повторение инцидента.
Использованный злоумышленниками способ, кража токена с ноутбука сотрудника — имеет некоторое сходство с тем методом, которым недавно был взломан менеджер паролей LastPass . Там доступ был тоже получен через устройство одного из сотрудников: злоумышленники скомпрометировали устройство и получили доступ к учетной записи, что позволило им проникнуть во внутреннюю среду разработки сервиса. Доподлинно неизвестно, связаны ли эти два инцидента между собой.
#CircleCI #Хакеры
🔔 ITsec NEWS
🇨🇳 Китай усилит роль ИИ в военных конфликтах.
💬 CircleCI, компания-разработчик программного обеспечения, чьи продукты популярны среди разработчиков и инженеров-программистов, подтвердила, что данные некоторых её клиентов были украдены в результате утечки в прошлом месяце.
Компания заявила, что определила точку доступа злоумышленников в систему. Это был ноутбук одного из сотрудников, который был скомпрометирован вредоносным ПО. Так злоумышленники смогли получить токены сеанса, используемые для удержания сотрудника в системе.
Компания взяла на себя вину за компрометацию, назвав её «системным сбоем». Также CircleCI добавила, что её антивирусное программное обеспечение не смогло обнаружить вредоносное ПО для кражи токенов на ноутбуке сотрудника.
Токены сеанса позволяют пользователю оставаться в системе без необходимости каждый раз вводить пароль или повторно авторизоваться с использованием двухфакторной аутентификации. Украденный токен сеанса позволяет злоумышленнику получить точно такой же доступ. Таким образом, довольно трудно различить токены сеанса владельца учетной записи и хакера, получившего доступ неправомерно.
Кража токенов сеанса позволяет киберпреступникам выдавать себя за сотрудников компании и получать доступ к некоторым производственным системам, в которых хранятся данные клиентов.
«Поскольку данный сотрудник имел полномочия самостоятельно генерировать токены производственного доступа, неавторизованная третья сторона смогла получить те же полномочия и извлечь данные из множества баз и хранилищ, включая переменные среды клиента, токены и ключи», — сказал Роб Зубер, главный технический директор CircleCI. Он также сообщил, что злоумышленники имели доступ к системе с 16 декабря по 4 января.
Зубер отметил, что, хотя данные клиентов были зашифрованы, в ходе атаки киберпреступники получили и ключи шифрования, способные декодировать данные. «Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это в срочном порядке, чтобы предотвратить несанкционированный доступ», — добавил Зубер.
По словам Зубера, несколько клиентов уже сообщили CircleCI о несанкционированном доступе к их системам.
Анализ утечки был закончен через несколько дней после того, как компания предупредила клиентов о необходимости изменить «все чувствительные данные», хранящиеся на платформе.
Зубер сказал, что сотрудники CircleCI усложнили процесс аутентификации. Это должно предотвратить повторение инцидента.
Использованный злоумышленниками способ, кража токена с ноутбука сотрудника — имеет некоторое сходство с тем методом, которым недавно был взломан менеджер паролей LastPass . Там доступ был тоже получен через устройство одного из сотрудников: злоумышленники скомпрометировали устройство и получили доступ к учетной записи, что позволило им проникнуть во внутреннюю среду разработки сервиса. Доподлинно неизвестно, связаны ли эти два инцидента между собой.
#Китай #ИИ
🔔 ITsec NEWS
💬 CircleCI, компания-разработчик программного обеспечения, чьи продукты популярны среди разработчиков и инженеров-программистов, подтвердила, что данные некоторых её клиентов были украдены в результате утечки в прошлом месяце.
Компания заявила, что определила точку доступа злоумышленников в систему. Это был ноутбук одного из сотрудников, который был скомпрометирован вредоносным ПО. Так злоумышленники смогли получить токены сеанса, используемые для удержания сотрудника в системе.
Компания взяла на себя вину за компрометацию, назвав её «системным сбоем». Также CircleCI добавила, что её антивирусное программное обеспечение не смогло обнаружить вредоносное ПО для кражи токенов на ноутбуке сотрудника.
Токены сеанса позволяют пользователю оставаться в системе без необходимости каждый раз вводить пароль или повторно авторизоваться с использованием двухфакторной аутентификации. Украденный токен сеанса позволяет злоумышленнику получить точно такой же доступ. Таким образом, довольно трудно различить токены сеанса владельца учетной записи и хакера, получившего доступ неправомерно.
Кража токенов сеанса позволяет киберпреступникам выдавать себя за сотрудников компании и получать доступ к некоторым производственным системам, в которых хранятся данные клиентов.
«Поскольку данный сотрудник имел полномочия самостоятельно генерировать токены производственного доступа, неавторизованная третья сторона смогла получить те же полномочия и извлечь данные из множества баз и хранилищ, включая переменные среды клиента, токены и ключи», — сказал Роб Зубер, главный технический директор CircleCI. Он также сообщил, что злоумышленники имели доступ к системе с 16 декабря по 4 января.
Зубер отметил, что, хотя данные клиентов были зашифрованы, в ходе атаки киберпреступники получили и ключи шифрования, способные декодировать данные. «Мы призываем клиентов, которые еще не предприняли никаких действий, сделать это в срочном порядке, чтобы предотвратить несанкционированный доступ», — добавил Зубер.
По словам Зубера, несколько клиентов уже сообщили CircleCI о несанкционированном доступе к их системам.
Анализ утечки был закончен через несколько дней после того, как компания предупредила клиентов о необходимости изменить «все чувствительные данные», хранящиеся на платформе.
Зубер сказал, что сотрудники CircleCI усложнили процесс аутентификации. Это должно предотвратить повторение инцидента.
Использованный злоумышленниками способ, кража токена с ноутбука сотрудника — имеет некоторое сходство с тем методом, которым недавно был взломан менеджер паролей LastPass . Там доступ был тоже получен через устройство одного из сотрудников: злоумышленники скомпрометировали устройство и получили доступ к учетной записи, что позволило им проникнуть во внутреннюю среду разработки сервиса. Доподлинно неизвестно, связаны ли эти два инцидента между собой.
#Китай #ИИ
🔔 ITsec NEWS
🔓 Федеральное бюро расследований снова взломало даркнет.
💬 Гражданину США Мухаммеду Момтазу Аль-Азхари в мае 2020 года было предъявлено обвинение в попытке оказать материальную поддержку ИГИЛ. Согласно обвинению, Аль-Азхари 14 мая 2019 года несколько раз посещал сайт в сети даркнет, на котором размещены материалы, связанные с ИГИЛ.
В силу того, что даркнет работает на базе анонимной сети Tor, ни владелец сайта, ни третьи стороны не могут определить реальный IP-адрес кого бы то ни было из посетителей сайта.
Тем не менее, именно это каким-то образом удалось сделать ФБР. В ходе расследования выяснилось, что Аль-Азхари посещал сайт ИГИЛ с IP-адреса, связанного с домом его бабушки. ФБР также выяснило, какие именно страницы посещал Аль-Азхари, и предоставило их перечень в официальных документах расследования.
Однако, когда сторона защиты Аль-Азхари запросила информацию, как именно был определён адрес компьютера, с которого и был посещён сайт — предоставлять эту информацию сторона обвинения отказалась. Более того, юристы Министерства юстиции изо всех сил стараются запретить публичное обсуждение этого вопроса.
«В ходе судебного процесса правительство отказалось предоставить какую-либо информацию, связанную с его работой по TOR», — написал Сэмюэл Э. Ландес, адвокат защиты, работающий над этим делом.
Министерство юстиции продолжает тщательно скрывать использование хакерских инструментов, несмотря на то, что они становятся все более популярными в широком спектре уголовных расследований. Побочным эффектом этой секретности становится тот факт, что ответчики не имеют доступа к деталям, как именно они были идентифицированы. То есть не имеют возможности эффективно оспорить правовую основу своего задержания.
В некоторых случаях даже прокуратура не имеет шанса на обвинительный приговор, потому что сохранение инструментов в секрете считается приоритетнее, чем выигрыш дела. В 2015 году, например, ФБР взломало тысячи посетителей веб-сайта, посвященного жестокому обращению с детьми. Хотя операция в конечном итоге привела к вынесению многих обвинительных приговоров, прокуратура отказалась выполнить постановление суда о предоставлении кода эксплойта. В ответ судья отбросил улики, закрыв дело.
Ландес указывает на то, что использование ФБР методов сетевых расследований (NIT) — далеко не секрет. По его информации, эти методы использовались во многих расследованиях на протяжении многих лет. Ландес также утверждает, что сам находил в открытом доступе похожие дела с упоминанием NIT. «Несмотря на общедоступность этой информации, правительство попросило суд рассматривать ходатайство о принуждении как очень секретный документ», — пишет Ландес.
Министерство юстиции от комментариев отказалось.
#Даркнет #ФБР
🔔 ITsec NEWS
💬 Гражданину США Мухаммеду Момтазу Аль-Азхари в мае 2020 года было предъявлено обвинение в попытке оказать материальную поддержку ИГИЛ. Согласно обвинению, Аль-Азхари 14 мая 2019 года несколько раз посещал сайт в сети даркнет, на котором размещены материалы, связанные с ИГИЛ.
В силу того, что даркнет работает на базе анонимной сети Tor, ни владелец сайта, ни третьи стороны не могут определить реальный IP-адрес кого бы то ни было из посетителей сайта.
Тем не менее, именно это каким-то образом удалось сделать ФБР. В ходе расследования выяснилось, что Аль-Азхари посещал сайт ИГИЛ с IP-адреса, связанного с домом его бабушки. ФБР также выяснило, какие именно страницы посещал Аль-Азхари, и предоставило их перечень в официальных документах расследования.
Однако, когда сторона защиты Аль-Азхари запросила информацию, как именно был определён адрес компьютера, с которого и был посещён сайт — предоставлять эту информацию сторона обвинения отказалась. Более того, юристы Министерства юстиции изо всех сил стараются запретить публичное обсуждение этого вопроса.
«В ходе судебного процесса правительство отказалось предоставить какую-либо информацию, связанную с его работой по TOR», — написал Сэмюэл Э. Ландес, адвокат защиты, работающий над этим делом.
Министерство юстиции продолжает тщательно скрывать использование хакерских инструментов, несмотря на то, что они становятся все более популярными в широком спектре уголовных расследований. Побочным эффектом этой секретности становится тот факт, что ответчики не имеют доступа к деталям, как именно они были идентифицированы. То есть не имеют возможности эффективно оспорить правовую основу своего задержания.
В некоторых случаях даже прокуратура не имеет шанса на обвинительный приговор, потому что сохранение инструментов в секрете считается приоритетнее, чем выигрыш дела. В 2015 году, например, ФБР взломало тысячи посетителей веб-сайта, посвященного жестокому обращению с детьми. Хотя операция в конечном итоге привела к вынесению многих обвинительных приговоров, прокуратура отказалась выполнить постановление суда о предоставлении кода эксплойта. В ответ судья отбросил улики, закрыв дело.
Ландес указывает на то, что использование ФБР методов сетевых расследований (NIT) — далеко не секрет. По его информации, эти методы использовались во многих расследованиях на протяжении многих лет. Ландес также утверждает, что сам находил в открытом доступе похожие дела с упоминанием NIT. «Несмотря на общедоступность этой информации, правительство попросило суд рассматривать ходатайство о принуждении как очень секретный документ», — пишет Ландес.
Министерство юстиции от комментариев отказалось.
#Даркнет #ФБР
🔔 ITsec NEWS
⚡️ В Google Chrome обнаружена новая уязвимость.
💬 Компания Imperva Red, которая занимается кибербезопасностью, обнаружила серьезную уязвимость в Google Chrome и других браузерах на базе Chromium. Уязвимость получила название CVE-2022-3656. Из-за нарушения безопасности может быть украдена личная информация, например, пароли или даже биткойн-кошельки.
По данным Imperva Red, уязвимость была обнаружена в результате изучения взаимодействия браузера с файловой системой компьютера. В частности, во время поиска уязвимостей, связанных с обработкой символических ссылок (симлинк).
Исследователи Imperva Red описали возможный сценарий атаки. Злоумышленник может создать фальшивый сайт криптовалютного кошелька, который в процессе работы будет подменять ключи восстановления на вышеупомянутые «симлинки». Таким образом злоумышленники могут незаметно похитить личные данные пользователей.
Впрочем, пользователи Chrome могут легко себя обезопасить уже сейчас. Достаточно лишь обновить браузер до версии 108, где уязвимость полностью устранена. Актуальная версия браузера на момент написания этой новости — 109. Вероятно, большинство пользователей уже надёжно защищены от этой уязвимости.
Чтобы минимизировать риски от подобных атак, нужно использовать только официальные сборки браузеров, где корректно работает автообновление. А вот если используется, например, портативная или неактуальная версия браузера — риски возрастают многократно.
#GoogleChrome #Уязвимость
🔔 ITsec NEWS
💬 Компания Imperva Red, которая занимается кибербезопасностью, обнаружила серьезную уязвимость в Google Chrome и других браузерах на базе Chromium. Уязвимость получила название CVE-2022-3656. Из-за нарушения безопасности может быть украдена личная информация, например, пароли или даже биткойн-кошельки.
По данным Imperva Red, уязвимость была обнаружена в результате изучения взаимодействия браузера с файловой системой компьютера. В частности, во время поиска уязвимостей, связанных с обработкой символических ссылок (симлинк).
Исследователи Imperva Red описали возможный сценарий атаки. Злоумышленник может создать фальшивый сайт криптовалютного кошелька, который в процессе работы будет подменять ключи восстановления на вышеупомянутые «симлинки». Таким образом злоумышленники могут незаметно похитить личные данные пользователей.
Впрочем, пользователи Chrome могут легко себя обезопасить уже сейчас. Достаточно лишь обновить браузер до версии 108, где уязвимость полностью устранена. Актуальная версия браузера на момент написания этой новости — 109. Вероятно, большинство пользователей уже надёжно защищены от этой уязвимости.
Чтобы минимизировать риски от подобных атак, нужно использовать только официальные сборки браузеров, где корректно работает автообновление. А вот если используется, например, портативная или неактуальная версия браузера — риски возрастают многократно.
#GoogleChrome #Уязвимость
🔔 ITsec NEWS
⚡️ Киберпреступники задефейсили веб-сайт ODIN Intelligence.
💬 Кибератака произошла через несколько дней после того, как издание Wired сообщило об опасной бреши в защите приложения SweepWizard (оно используется для координации полицейских рейдов), разработанного компанией ODIN. Используя эту уязвимость, злоумышленники украли, а затем слили в Сеть личные данные подозреваемых и информацию о предстоящих полицейских рейдах.
ODIN занимается разработкой приложений (такие как SweepWizard) и технологий для правоохранительных органов. Например, она занималась созданием приложения SONAR, которое используется полицией для отслеживания насильников.
Пока неясно, кто задефейсил сайт компании и как злоумышленники получили к нему доступ. Текст, оставленный хакерами на сайте, не дает никакой точной информации. Неизвестно даже то, украли ли злоумышленники данные из систем ODIN или удалили их вместе со всеми резервными копиями, как и обещали.
В своем сообщении киберпреступники упомянули три архива весом более 16 гигабайт, каждый из которых содержит информацию, украденную из систем ODIN, SONAR и SweepWisard. Кроме того, в сообщении был обнаружен набор AWS-ключей, которые могут принадлежать ODIN. Как говорят исследователи, этот набор соответствует набору, который находится на AWS GovCloud, где хранятся секретные данные полиции и правоохранительных органов.
#Киберпреступность #ODIN
🔔 ITsec NEWS
💬 Кибератака произошла через несколько дней после того, как издание Wired сообщило об опасной бреши в защите приложения SweepWizard (оно используется для координации полицейских рейдов), разработанного компанией ODIN. Используя эту уязвимость, злоумышленники украли, а затем слили в Сеть личные данные подозреваемых и информацию о предстоящих полицейских рейдах.
ODIN занимается разработкой приложений (такие как SweepWizard) и технологий для правоохранительных органов. Например, она занималась созданием приложения SONAR, которое используется полицией для отслеживания насильников.
Пока неясно, кто задефейсил сайт компании и как злоумышленники получили к нему доступ. Текст, оставленный хакерами на сайте, не дает никакой точной информации. Неизвестно даже то, украли ли злоумышленники данные из систем ODIN или удалили их вместе со всеми резервными копиями, как и обещали.
В своем сообщении киберпреступники упомянули три архива весом более 16 гигабайт, каждый из которых содержит информацию, украденную из систем ODIN, SONAR и SweepWisard. Кроме того, в сообщении был обнаружен набор AWS-ключей, которые могут принадлежать ODIN. Как говорят исследователи, этот набор соответствует набору, который находится на AWS GovCloud, где хранятся секретные данные полиции и правоохранительных органов.
#Киберпреступность #ODIN
🔔 ITsec NEWS
⚖️ Художники подали коллективный иск против Midjourney и Stable Diffusion.
💬 3 художника подали коллективный иск против нейросетей Stability AI, Deviant Art и Midjourney, утверждая, что они нарушили законы об авторском праве с помощью инструмента для преобразования текста в изображение Stability Diffusion.
По словам истцов , Stable Diffusion содержит копии миллионов, а возможно, и миллиардов, изображений, защищенных авторским правом. Эти копии были сделаны без ведома или согласия художников. Истцы требуют компенсации и судебных запретов от имени всех художников, пострадавших от алгоритма Stable Diffusion. Размер компенсаций не уточняется.
«Люди вносят свою человечность в искусство, ведь искусство – глубоко личное. ИИ просто стер из него человечность, сведя работу всей моей жизни к алгоритму», — сказал один из истцов Сара Андерсен из веб-комикса Sarah's Scribbles.
Stable Diffusion ответила художникам, что «права создателей не безграничны» и что все должно идти в ногу со временем и новыми технологиями. Авторы нейросети также обвиняют адвоката истцов Мэтью Баттерика в лицемерии за использование изображений из исследовательских работ без вознаграждения или согласия, хотя юрист указал ссылку на источник. Судебный процесс ещё не завершён и будет продолжаться.
Ранее компания Stability AI объявила, что позволит художникам удалять свои работы из набора обучающих данных в Stable Diffusion 3.0. Stability AI будет выполнять запросы на отказ, собранные на сайте Have I Been Trained (база данных изображений, используемых для обучения нейросетей).
Кроме того, Adobe автоматически анализирует контент пользователей сервиса Creative Cloud для обучения алгоритмов искусственного интеллекта. По словам Adobe, компания может анализировать контент пользователя с использованием машинного обучения для разработки и улучшения своих продуктов и услуг.
#Midjourney #StableDiffusion
🔔 ITsec NEWS
💬 3 художника подали коллективный иск против нейросетей Stability AI, Deviant Art и Midjourney, утверждая, что они нарушили законы об авторском праве с помощью инструмента для преобразования текста в изображение Stability Diffusion.
По словам истцов , Stable Diffusion содержит копии миллионов, а возможно, и миллиардов, изображений, защищенных авторским правом. Эти копии были сделаны без ведома или согласия художников. Истцы требуют компенсации и судебных запретов от имени всех художников, пострадавших от алгоритма Stable Diffusion. Размер компенсаций не уточняется.
«Люди вносят свою человечность в искусство, ведь искусство – глубоко личное. ИИ просто стер из него человечность, сведя работу всей моей жизни к алгоритму», — сказал один из истцов Сара Андерсен из веб-комикса Sarah's Scribbles.
Stable Diffusion ответила художникам, что «права создателей не безграничны» и что все должно идти в ногу со временем и новыми технологиями. Авторы нейросети также обвиняют адвоката истцов Мэтью Баттерика в лицемерии за использование изображений из исследовательских работ без вознаграждения или согласия, хотя юрист указал ссылку на источник. Судебный процесс ещё не завершён и будет продолжаться.
Ранее компания Stability AI объявила, что позволит художникам удалять свои работы из набора обучающих данных в Stable Diffusion 3.0. Stability AI будет выполнять запросы на отказ, собранные на сайте Have I Been Trained (база данных изображений, используемых для обучения нейросетей).
Кроме того, Adobe автоматически анализирует контент пользователей сервиса Creative Cloud для обучения алгоритмов искусственного интеллекта. По словам Adobe, компания может анализировать контент пользователя с использованием машинного обучения для разработки и улучшения своих продуктов и услуг.
#Midjourney #StableDiffusion
🔔 ITsec NEWS
⚡️Энтузиаст превратил старую пишущую машинку в чат-бота.
💬 Интерактивный дизайнер и художник Арвинд Санджив перепрограммировал старинную пишущую машинку Brother, чтобы она печатала ответы на запросы пользователя на бумаге.
Внутри Ghostwriter находится плата Arduino и одноплатный компьютер Raspberry Pi. Arduino считывает с клавиатуры подсказки пользователя и передает их Raspberry Pi, который, в свою очередь, подключается к GPT-3. Затем он отправляет ответ от чат-бота обратно в Arduino, который печатает его на бумаге.
Масштаб «творений» Ghostwriter довольно широкий – от любовного письма девушке до извинений Канье Уэста за антисемитские высказывания. Более того, машинка написала стихотворение на вымышленном дотракийском языке из «Игры престолов». По словам Санджива, это иллюстрирует возможность GPT-3 отлично генерировать вымышленный язык. Также Ghostwriter смог написать пошаговые инструкции по созданию машины времени.
По словам Санджива, этот проект, соединяющий старое и новое, может также послужить введением в ИИ для тех, кто менее осведомлен о последних достижениях в области технологий. Люди доверяют пишущим машинкам и чувствуют себя с ними комфортно, потому что знают, что их единственная цель — создавать истории на бумаге.
#Чатбот
🔔 ITsec NEWS
💬 Интерактивный дизайнер и художник Арвинд Санджив перепрограммировал старинную пишущую машинку Brother, чтобы она печатала ответы на запросы пользователя на бумаге.
Внутри Ghostwriter находится плата Arduino и одноплатный компьютер Raspberry Pi. Arduino считывает с клавиатуры подсказки пользователя и передает их Raspberry Pi, который, в свою очередь, подключается к GPT-3. Затем он отправляет ответ от чат-бота обратно в Arduino, который печатает его на бумаге.
Масштаб «творений» Ghostwriter довольно широкий – от любовного письма девушке до извинений Канье Уэста за антисемитские высказывания. Более того, машинка написала стихотворение на вымышленном дотракийском языке из «Игры престолов». По словам Санджива, это иллюстрирует возможность GPT-3 отлично генерировать вымышленный язык. Также Ghostwriter смог написать пошаговые инструкции по созданию машины времени.
По словам Санджива, этот проект, соединяющий старое и новое, может также послужить введением в ИИ для тех, кто менее осведомлен о последних достижениях в области технологий. Люди доверяют пишущим машинкам и чувствуют себя с ними комфортно, потому что знают, что их единственная цель — создавать истории на бумаге.
#Чатбот
🔔 ITsec NEWS
