Компания NortonLifeLock, бывшая Symantec, согласилась приобрести немецкого антивирусного вендора Avira. Сумма сделки, которая должна завершиться в четвертом квартале 2021 года, составляет приблизительно 360 млн. долларов. Не часто такие масштабные сделки происходят на инфосек рынке.
Напомним, что Avira работает по схеме freemium, когда базовая версия ПО бесплатна для пользователей, а за более продвинутую приходится платить. У компании неплохая база пользователей - около 30 млн. бесплатных установок + 1,5 млн. премиумных инсталляций, основная часть которых находится в ЕС.
Поскольку, imho, сам антивирусный движок у Avira так себе, то Norton покупают базу пользователей, которую надеются монетизировать в дальнейшем. А возможно они сами решили поменять парадигму.
Another one bites the dust.
Напомним, что Avira работает по схеме freemium, когда базовая версия ПО бесплатна для пользователей, а за более продвинутую приходится платить. У компании неплохая база пользователей - около 30 млн. бесплатных установок + 1,5 млн. премиумных инсталляций, основная часть которых находится в ЕС.
Поскольку, imho, сам антивирусный движок у Avira так себе, то Norton покупают базу пользователей, которую надеются монетизировать в дальнейшем. А возможно они сами решили поменять парадигму.
Another one bites the dust.
Преемники владельцев одного из крупнейшего ransomware Maze, появившегося в сентябре вымогателя Egregor, успешно атаковали одно из крупнейших в мире рекрутинговых агентств Randstad.
Randstad декларируют, что у них 280 тыс. клиентов в 38 странах, доход компании за 2019 год составил почти 30 млрд. долларов.
Надо отдать должное - Randstad признали факт атаки ransomware, а не стали лепить горбатого, как это обычно делают несознательные пиарщики крупных корпораций, в итоге роняя репутацию своего работодателя когда правда выплывает наружу.
Тем не менее, судя по заявлению компании, часть конфиденциальных сведений утекла, в том числе персональные данные кандидатов.
Интересно а среди наших подписчиков есть сотрудники кадровых агентств? И что они думают по поводу надежности их информационной безопасности?
Randstad декларируют, что у них 280 тыс. клиентов в 38 странах, доход компании за 2019 год составил почти 30 млрд. долларов.
Надо отдать должное - Randstad признали факт атаки ransomware, а не стали лепить горбатого, как это обычно делают несознательные пиарщики крупных корпораций, в итоге роняя репутацию своего работодателя когда правда выплывает наружу.
Тем не менее, судя по заявлению компании, часть конфиденциальных сведений утекла, в том числе персональные данные кандидатов.
Интересно а среди наших подписчиков есть сотрудники кадровых агентств? И что они думают по поводу надежности их информационной безопасности?
По поводу громкой утечки электронной почтовой переписки бывшего зятя Путина товарища Шамалова можем сказать только, что невооруженным взглядом видны явные проблемы с OPSEC (все моральные аспекты оставим журналистам).
Потому что обсуждать миллиардные сделки по открытой почте, да еще и хранить годами эти архивы - ну, такое себе мероприятие.
Почему-то у всех власть предержащих (и не только в России) считается, что одновременно с занятием привилегированной позиции в обществе автоматически выдается опция "божественный файрвол". И по команде все хакеры пойдут стройными рядами в закат. Как показывает практика, не идут.
Потому что обсуждать миллиардные сделки по открытой почте, да еще и хранить годами эти архивы - ну, такое себе мероприятие.
Почему-то у всех власть предержащих (и не только в России) считается, что одновременно с занятием привилегированной позиции в обществе автоматически выдается опция "божественный файрвол". И по команде все хакеры пойдут стройными рядами в закат. Как показывает практика, не идут.
В ночи прилетела новость о том, что оператор ransomware DoppelPaymer успешно взломал крупнейшего производителя электроники в мире Foxconn.
Безусловно, большинство о Foxconn слышало, это тайваньцы, которые производят всю электронику на свете и имеют годовой доход в 172 млрд. долларов. Это, на минуточку, приблизительно ВВП Казахстана. Только представьте себе, что DoppelPaymer ломанули Казахстан. Тушите свет, сливайте воду...
29 ноября хакеры взломали завод Foxconn в Мексике. А вчера на сайте для утечек DoppelPaymer опубликовали часть украденных данных, включая бизнес-отчеты.
Как всегда, журналисты BleepingComputer сумели добыть записку с требованием выкупа, откуда стало известно, что его размер составляет больше 34,5 млн. долларов США. Хакеры подтвердили в процессе интервью, что зашифровали около 1200 серверов и украли 100 Гб внутренних данных, а также убили 20-30 Тб резервных копий.
Любопытно, что месяц назад оператор DoppelPaymer ломанул другого тайваньского производителя электроники Compal Electronics, с которого затребовал 17 млн. долларов.
Напомним, что авторами DoppelPaymer являются наши соотечественники из Evil Corp. В сентябре немецкая пресса назвала DoppelPaymer причиной сбоя в работе сети Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент.
А еще можно напомнить, что в 2015 году Foxconn уже ломали. И сделали это еврейские хакеры из APT Duqu, подведомственной подразделению израильской радиоэлектронной разведки Unit8200. Израильтяне тогда свистнули сертификаты Foxconn, которыми подписали семейство своих вредоносов. А потом ломанули Лабораторию Касперского, за коим занятием их, собственно, и попалили.
Безусловно, большинство о Foxconn слышало, это тайваньцы, которые производят всю электронику на свете и имеют годовой доход в 172 млрд. долларов. Это, на минуточку, приблизительно ВВП Казахстана. Только представьте себе, что DoppelPaymer ломанули Казахстан. Тушите свет, сливайте воду...
29 ноября хакеры взломали завод Foxconn в Мексике. А вчера на сайте для утечек DoppelPaymer опубликовали часть украденных данных, включая бизнес-отчеты.
Как всегда, журналисты BleepingComputer сумели добыть записку с требованием выкупа, откуда стало известно, что его размер составляет больше 34,5 млн. долларов США. Хакеры подтвердили в процессе интервью, что зашифровали около 1200 серверов и украли 100 Гб внутренних данных, а также убили 20-30 Тб резервных копий.
Любопытно, что месяц назад оператор DoppelPaymer ломанул другого тайваньского производителя электроники Compal Electronics, с которого затребовал 17 млн. долларов.
Напомним, что авторами DoppelPaymer являются наши соотечественники из Evil Corp. В сентябре немецкая пресса назвала DoppelPaymer причиной сбоя в работе сети Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент.
А еще можно напомнить, что в 2015 году Foxconn уже ломали. И сделали это еврейские хакеры из APT Duqu, подведомственной подразделению израильской радиоэлектронной разведки Unit8200. Израильтяне тогда свистнули сертификаты Foxconn, которыми подписали семейство своих вредоносов. А потом ломанули Лабораторию Касперского, за коим занятием их, собственно, и попалили.
BleepingComputer
Foxconn electronics giant hit by ransomware, $34 million ransom
Foxconn electronics giant suffered a ransomware attack at a Mexican facility over the Thanksgiving weekend, where attackers stole unencrypted files before encrypting devices.
В инфосек сообществе, похоже, рождается новый мем - Important, Spoofing. Это, если что, один из самых низких уровней градации уязвимостей в программе Microsoft Bug Bounty. И таким образом они отметили критическую уязвимость в корпоративной платформе Microsoft Teams, эксплуатация которой приводила к удаленному выполнению кода (RCE) и, в итоге, к потенциальной компрометации корпоративной сети жертвы.
Уязвимость была обнаружена исследователем Оскарсом Вегерисом еще в августе и в конце месяца о ней была уведомлена Microsoft. Через месяц ошибка была оценена как "Important, Spoofing", а в конце октября она была пофиксена в очередном обновлении. При этом Microsoft отказалась назначать CVE, ссылаясь на свои политики и поскольку "Important, Spoofing".
Сразу скажем, что эта уязвимость должна была быть отмечена как "Критическая", поскольку позволяла злоумышленнику осуществить RCE просто направив жертве специальным образом сформированное сообщение в Microsoft Teams, выглядящее абсолютно легальным. Достаточно было просмотреть сообщение, чтобы скомпрометированными оказались корпоративная сеть, личные документы и документы Office 365, закрытые чаты и пр.
Более того, если это сообщение репостилось в каком-либо корпоративном канале, то все его участники также становились подвержены эксплойту. Самый натуральный червь.
Уязвимыми были приложения Microsoft Teams практически на всех платформах - Windows, Linux, iOS.
Так что теперь, с подачи Microsoft, мы знаем как называть критическую уязвимость, приводящую к RCE - "Important, Spoofing".
Уязвимость была обнаружена исследователем Оскарсом Вегерисом еще в августе и в конце месяца о ней была уведомлена Microsoft. Через месяц ошибка была оценена как "Important, Spoofing", а в конце октября она была пофиксена в очередном обновлении. При этом Microsoft отказалась назначать CVE, ссылаясь на свои политики и поскольку "Important, Spoofing".
Сразу скажем, что эта уязвимость должна была быть отмечена как "Критическая", поскольку позволяла злоумышленнику осуществить RCE просто направив жертве специальным образом сформированное сообщение в Microsoft Teams, выглядящее абсолютно легальным. Достаточно было просмотреть сообщение, чтобы скомпрометированными оказались корпоративная сеть, личные документы и документы Office 365, закрытые чаты и пр.
Более того, если это сообщение репостилось в каком-либо корпоративном канале, то все его участники также становились подвержены эксплойту. Самый натуральный червь.
Уязвимыми были приложения Microsoft Teams практически на всех платформах - Windows, Linux, iOS.
Так что теперь, с подачи Microsoft, мы знаем как называть критическую уязвимость, приводящую к RCE - "Important, Spoofing".
GitHub
ms-teams-rce/README.md at main · oskarsve/ms-teams-rce
Contribute to oskarsve/ms-teams-rce development by creating an account on GitHub.
Если вы пользуетесь сервисом приватной электронной почты Tutanota, то у нас для вас плохие новости. Теперь немецкая полиция сможет спокойно читать вашу переписку.
Tutanota - популярный немецкий почтовый сервис, который имеет встроенное шифрование. В настоящее время обслуживает более 2 млн. пользователей. В начале 2020 года доступ к нему был заблокирован на территории РФ по требованию Генпрокуратуры, но все мы знаем про существование VPN.
30 ноября немецкое издание Heise Online сообщило, что, согласно решению Кельнского окружного суда, компания Tutanota обязана встроить в свой сервис бэкдор, который позволит немецкой полиции просматривать переписку пользователей в расшифрованном виде.
Несмотря на то, что Tutanota намерена оспорить судебное решение, она обязана приступить к работам по встраиванию бэкдора уже сейчас. Единственный положительный момент - переписка, которая осуществлялась до момента включения мониторинга, останется в зашифрованном виде. Все новые сообщения можно будет просмотреть.
Интересно, что Кельнский суд посчитал Tutanota участником телекоммуникационных услуг, что дало возможность вынести подобное решение, хотя это шло вразрез с решением Ганноверского окружного суда от 2019 года, согласно которому почтовые сервисы не являются поставщиком услуг телекоммуникации.
Эдак скоро и до ProtonMail дотянутся.
Tutanota - популярный немецкий почтовый сервис, который имеет встроенное шифрование. В настоящее время обслуживает более 2 млн. пользователей. В начале 2020 года доступ к нему был заблокирован на территории РФ по требованию Генпрокуратуры, но все мы знаем про существование VPN.
30 ноября немецкое издание Heise Online сообщило, что, согласно решению Кельнского окружного суда, компания Tutanota обязана встроить в свой сервис бэкдор, который позволит немецкой полиции просматривать переписку пользователей в расшифрованном виде.
Несмотря на то, что Tutanota намерена оспорить судебное решение, она обязана приступить к работам по встраиванию бэкдора уже сейчас. Единственный положительный момент - переписка, которая осуществлялась до момента включения мониторинга, останется в зашифрованном виде. Все новые сообщения можно будет просмотреть.
Интересно, что Кельнский суд посчитал Tutanota участником телекоммуникационных услуг, что дало возможность вынести подобное решение, хотя это шло вразрез с решением Ганноверского окружного суда от 2019 года, согласно которому почтовые сервисы не являются поставщиком услуг телекоммуникации.
Эдак скоро и до ProtonMail дотянутся.
c't Magazin
Gericht zwingt Mailprovider Tutanota zu Überwachungsfunktion
Tutanota speichert die Mails seiner Kunden nur in verschlüsselter Form und kann selbst nicht mitlesen. Jetzt wollen LKA-Ermittler ein Postfach überwachen.
Вчера почти в полночь по среднерусскому времени The New York Times взорвалась сообщением - русские хакеры взломали FireEye!
Судя по содержанию статьи, американская компания FireEye, являющаяся одним из ведущих в мире инфосек вендоров, недавно была атакована крайне изощренной прогосударственной хакерской группой, а значит это русские. Ну потому что, а кто еще?
Журналисты пишут, что пока FireEye отвлеклись на обеспечение чистоты, прозрачности и демократичности (в смысле победы демократов) американских выборов, коварный враг, роняя капли яда с раздвоенного жала, коварно вонзил коварный кинжал прямо в спину американским инфосек экспертам.
"Русские верят в месть" - приводит NY Times слова Джеймса Льюиса из Центра стратегических и международных исследований (этот как раз тот самый Льюис, про призывы которого отказаться от соблюдения всяких норм и устроить наконец полноценную кибервойну с противниками США мы писали на днях).
Ну а если перейти к сути, то FireEye была атакована высокопрофессиональной хакерской группой, скорее всего прогосударственной, обладающей высоким уровнем OPSEC и противодействия киберкриминалистике. Атака была заточена специально под FireEye.
Приблизительно в это же время сами FireEye дали пояснения, в которых сообщили, что целью атаки была информация о государственных заказчиках компании. С учетом того, что одним из инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ, такой интерес становится обоснован.
Со слов американцев, свидетельств того, что подобная информация была атакующими получена у них нет. Но хакеры украли набор инструментов для пентеста, которые использовались Red Team FireEye. Несмотря на то, что они не содержат эксплойтов 0-day уязвимостей или каких-либо неизвестных приемов, американцы решили передать в паблик информацию об украденных тулзах, дабы предотвратить их использование в последующих атаках.
Отметим, что непосредственно в заявлении FireEye ни о каком русском следе не указано. Но это, как известно, не повод!
По старой традиции передаем газете The New York Times песню "Дорожная" группы Ленинград и шлем горячий привет от инфосек сообщества!
Судя по содержанию статьи, американская компания FireEye, являющаяся одним из ведущих в мире инфосек вендоров, недавно была атакована крайне изощренной прогосударственной хакерской группой, а значит это русские. Ну потому что, а кто еще?
Журналисты пишут, что пока FireEye отвлеклись на обеспечение чистоты, прозрачности и демократичности (в смысле победы демократов) американских выборов, коварный враг, роняя капли яда с раздвоенного жала, коварно вонзил коварный кинжал прямо в спину американским инфосек экспертам.
"Русские верят в месть" - приводит NY Times слова Джеймса Льюиса из Центра стратегических и международных исследований (этот как раз тот самый Льюис, про призывы которого отказаться от соблюдения всяких норм и устроить наконец полноценную кибервойну с противниками США мы писали на днях).
Ну а если перейти к сути, то FireEye была атакована высокопрофессиональной хакерской группой, скорее всего прогосударственной, обладающей высоким уровнем OPSEC и противодействия киберкриминалистике. Атака была заточена специально под FireEye.
Приблизительно в это же время сами FireEye дали пояснения, в которых сообщили, что целью атаки была информация о государственных заказчиках компании. С учетом того, что одним из инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ, такой интерес становится обоснован.
Со слов американцев, свидетельств того, что подобная информация была атакующими получена у них нет. Но хакеры украли набор инструментов для пентеста, которые использовались Red Team FireEye. Несмотря на то, что они не содержат эксплойтов 0-day уязвимостей или каких-либо неизвестных приемов, американцы решили передать в паблик информацию об украденных тулзах, дабы предотвратить их использование в последующих атаках.
Отметим, что непосредственно в заявлении FireEye ни о каком русском следе не указано. Но это, как известно, не повод!
По старой традиции передаем газете The New York Times песню "Дорожная" группы Ленинград и шлем горячий привет от инфосек сообщества!
Twitter
Joe Slowik 🦕
How attack attribution is going right now:
И, в продолжение сегодняшней новости про взлом FireEye, журналист Томас Брюстер приводит топ-10 государственных заказчиков компании и количество контрактов с каждым из них.
Что сказать, атакующим явно было за чем охотиться.
Что сказать, атакующим явно было за чем охотиться.
Twitter
Thomas Brewster
Just a list of FireEye government customers and the number of contracts they have with each department... nbd.
Исследователи инфосек компании Forescout подготовили отчет под названием AMNESIA: 33, в котором описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net.
Уязвимые стеки используются преимущественно в Интернете вещей, а также во встроенных устройствах. Среди них - элементы промышленных систем управления.
Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. В общем - полный набор юного хакера.
Уязвимые стеки используются в продукции 158 вендоров. Это коммуникационные модули, офисная оргтехника, IoT и пр. и пр. Однако исследователи предупреждают, что это нижняя граница ожидаемого числа, поскольку не все вендоры указывают информацию об использовании конкретной реализации стека TCP/IP. Всего могут быть уязвимы десятки и сотни миллионов различных устройств, допускается, что даже больше миллиарда.
Точный перечень производителей Forescout не приводят, однако известно, что среди них - Siemens, Microchip Technology, MediaTek и др.
Проблема еще и в том, что многие устройства IoT и OT могут вообще не обновляться, а значит даже если выявленные уязвимости будут исправлены в стеках (что, с учетом опенсорса, представляется делом небыстрым), то до конечного пользователя апдейты в ряде случаев просто не дойдут.
Сделать доклад про AMNESIA: 33 исследователи должны сегодня на Black Hat Europe.
Уязвимые стеки используются преимущественно в Интернете вещей, а также во встроенных устройствах. Среди них - элементы промышленных систем управления.
Выявленные уязвимости могут привести к удаленному выполнению кода, отказу в обслуживании, раскрытию информации. В общем - полный набор юного хакера.
Уязвимые стеки используются в продукции 158 вендоров. Это коммуникационные модули, офисная оргтехника, IoT и пр. и пр. Однако исследователи предупреждают, что это нижняя граница ожидаемого числа, поскольку не все вендоры указывают информацию об использовании конкретной реализации стека TCP/IP. Всего могут быть уязвимы десятки и сотни миллионов различных устройств, допускается, что даже больше миллиарда.
Точный перечень производителей Forescout не приводят, однако известно, что среди них - Siemens, Microchip Technology, MediaTek и др.
Проблема еще и в том, что многие устройства IoT и OT могут вообще не обновляться, а значит даже если выявленные уязвимости будут исправлены в стеках (что, с учетом опенсорса, представляется делом небыстрым), то до конечного пользователя апдейты в ряде случаев просто не дойдут.
Сделать доклад про AMNESIA: 33 исследователи должны сегодня на Black Hat Europe.
Forescout
AMNESIA:33 - Forescout
AMNESIA:33 Vedere Labs discovered 33 vulnerabilities impacting millions of IoT, OT and IT devices that present an immediate risk for organizations worldwide. Read Report 4 Critical Vulnerabilities 150+ Vendors Affected 1M+ IoT, OT & IT Devices The Global…
Касаемо вчерашней новости про взлом американского вендора FireEye неизвестной хакерской группой в инфосек сообществе идет активное бурление.
Многие кинулись проверять правила YARA, которые выложили FireEye. И закономерно тут же получили множество срабатываний. Что и не мудрено, поскольку эти правила слишком общие.
Наше же внимание привлекли высказывания датского инфосек эксперта Петера Крузе, поскольку он товарищ авторитетный и словами попусту не бросается.
А Крузе заявил, по сути, что вероятно FireEye стали жертвой атаки Evil Corp. И что он никогда бы такого не говорил, если бы у него не было указывающих на это данных.
Если факты действительно подтвердятся, то возможны разные варианты развития событий. Потому что, с одной стороны, это все-таки коммерческая группа, а не прогосударственная APT. А с другой - они достаточно открыто живут в России и особо не прячутся. Тут могут и смерть пациента Дюссельдорфской больницы припомнить, которая произошла в результате атаки, приписываемой Evil Corp.
Многие кинулись проверять правила YARA, которые выложили FireEye. И закономерно тут же получили множество срабатываний. Что и не мудрено, поскольку эти правила слишком общие.
Наше же внимание привлекли высказывания датского инфосек эксперта Петера Крузе, поскольку он товарищ авторитетный и словами попусту не бросается.
А Крузе заявил, по сути, что вероятно FireEye стали жертвой атаки Evil Corp. И что он никогда бы такого не говорил, если бы у него не было указывающих на это данных.
Если факты действительно подтвердятся, то возможны разные варианты развития событий. Потому что, с одной стороны, это все-таки коммерческая группа, а не прогосударственная APT. А с другой - они достаточно открыто живут в России и особо не прячутся. Тут могут и смерть пациента Дюссельдорфской больницы припомнить, которая произошла в результате атаки, приписываемой Evil Corp.
Twitter
peterkruse
Did @fireeye get compromised by Crime-as-service? #evilcorp. I say yah!
Компания Starbucks закрыла уязвимость на одной из своих мобильных платформ, предназначенной для сингапурских пользователей, эксплуатация которой приводила к удаленному выполнению кода (RCE).
Это произошло после того, как Starbucks стала участвовать в программе Bug Bounty на платформе HackerOne. Исследователь ko2sec обнаружил уязвимость и сообщил о ней в начале ноября, а сегодня репорт был закрыт, поскольку Starbucks исправили ошибку.
Полных технических данных о выявленной уязвимости нет, однако ko2sec косвенно подтвердил, что она распространяется и на другие региональные мобильные платформы Starbucks. То есть потенциально под угрозой были не только сингапурские любители кофе.
По итогу ko2sec получил за информацию об уязвимости 5600 долларов США.
К чему мы это пишем? А к тому, что программы Bug Bounty очень полезны для любой компании, которая эксплуатирует те или иные IT-системы. Да, есть определенные проблемы с документальным оформлением участия в таких программах, потому все крупные платформы находятся за рубежом.
Но, поверьте нам, мы неоднократно видели подтверждение того, что небольшая сумма, выплаченная этичному хакеру в рамках Bug Bounty, помогала сберечь множество денег и нервов в будущем.
Это произошло после того, как Starbucks стала участвовать в программе Bug Bounty на платформе HackerOne. Исследователь ko2sec обнаружил уязвимость и сообщил о ней в начале ноября, а сегодня репорт был закрыт, поскольку Starbucks исправили ошибку.
Полных технических данных о выявленной уязвимости нет, однако ko2sec косвенно подтвердил, что она распространяется и на другие региональные мобильные платформы Starbucks. То есть потенциально под угрозой были не только сингапурские любители кофе.
По итогу ko2sec получил за информацию об уязвимости 5600 долларов США.
К чему мы это пишем? А к тому, что программы Bug Bounty очень полезны для любой компании, которая эксплуатирует те или иные IT-системы. Да, есть определенные проблемы с документальным оформлением участия в таких программах, потому все крупные платформы находятся за рубежом.
Но, поверьте нам, мы неоднократно видели подтверждение того, что небольшая сумма, выплаченная этичному хакеру в рамках Bug Bounty, помогала сберечь множество денег и нервов в будущем.
Очередные уязвимости, позволяющие хакеру захватить устройство, обнаружены в линейке маршрутизаторов от D-Link.
Американская инфосек компания Digital Defense сообщила о трех найденных уязвимостях (CVE-2020-25757, 25758 и 25759) в линейке маршрутизаторов D-Link DSR с поддержкой VPN. Ошибкам подвержены модели DSR-150, DSR-250, DSR-500 и DSR-1000AC.
Первая уязвимость (CVE-2020-25757) позволяет выполнять рутовые команды без аутентификации, остальные - для любого аутентифицированного пользователя.
D-Link говорит, что две уязвимости находятся в стадии устранения, патчи будут выпущены в середине декабря, а еще одна зависит от функционала маршрутизатора и не может быть исправлена в уже выпущенных устройствах.
Все уязвимые маршрутизаторы продаются в России и могут использоваться как в домашних, так и в корпоративных сетях (тем более, старшие модели позиционируются D-Link, как предназначенные для малого и среднего бизнеса).
Будьте аккуратнее и следите за обновлениями.
Американская инфосек компания Digital Defense сообщила о трех найденных уязвимостях (CVE-2020-25757, 25758 и 25759) в линейке маршрутизаторов D-Link DSR с поддержкой VPN. Ошибкам подвержены модели DSR-150, DSR-250, DSR-500 и DSR-1000AC.
Первая уязвимость (CVE-2020-25757) позволяет выполнять рутовые команды без аутентификации, остальные - для любого аутентифицированного пользователя.
D-Link говорит, что две уязвимости находятся в стадии устранения, патчи будут выпущены в середине декабря, а еще одна зависит от функционала маршрутизатора и не может быть исправлена в уже выпущенных устройствах.
Все уязвимые маршрутизаторы продаются в России и могут использоваться как в домашних, так и в корпоративных сетях (тем более, старшие модели позиционируются D-Link, как предназначенные для малого и среднего бизнеса).
Будьте аккуратнее и следите за обновлениями.
Digital Defense
D-Link VPN Router Vulnerabilities - Digital Defense, Inc. VRT
D-Link has made a patch in the form of a hotfix for the affected firmware versions and models. The official firmware release is anticipated in mid-December.
Check Point опубликовали отчет о критических недостатках в основной сетевой библиотеке, которая используется онлайн-играми Valve. Они позволяют злоумышленнику не только уронить игровой клиент, но в отдельных случаях вывести из строя и даже взять под контроль игровые сервера. Среди затронутых игр - CS:GO, Dota, Left 4 Dead и др., а также игры от сторонних разработчиков, например Destiny 2.
Всего израильские исследователи обнаружили четыре уязвимости (с CVE-2020-6016 по CVE-2020-6019) в библиотеке Game Networking Sockets, которая обеспечивает "базовый транспортный уровень для игр", сочетающий функции протоколов UDP и TCP и поддерживающий шифрование.
Check Point сообщили подробности одной из выявленных уязвимостей - CVE-2020-6016, которая содержится в механизме повторной сборки пакетов. Для реализации атаки хакеру необходимо подключиться игровому серверу и направить вредоносные пакеты на сервер либо другому игроку.
Замечательна реакция Valve, которой потребовалось всего два дня, чтобы разобраться и 4 сентября выпустить обновление уязвимой библиотеки. Вместе с тем, по заявлению Check Point, по состоянию на начало декабря некоторые сторонние разработчики онлайн-игр, использующих Game Networking Sockets, еще не обновили свои клиенты.
Всего израильские исследователи обнаружили четыре уязвимости (с CVE-2020-6016 по CVE-2020-6019) в библиотеке Game Networking Sockets, которая обеспечивает "базовый транспортный уровень для игр", сочетающий функции протоколов UDP и TCP и поддерживающий шифрование.
Check Point сообщили подробности одной из выявленных уязвимостей - CVE-2020-6016, которая содержится в механизме повторной сборки пакетов. Для реализации атаки хакеру необходимо подключиться игровому серверу и направить вредоносные пакеты на сервер либо другому игроку.
Замечательна реакция Valve, которой потребовалось всего два дня, чтобы разобраться и 4 сентября выпустить обновление уязвимой библиотеки. Вместе с тем, по заявлению Check Point, по состоянию на начало декабря некоторые сторонние разработчики онлайн-игр, использующих Game Networking Sockets, еще не обновили свои клиенты.
Check Point Research
Game On - Finding vulnerabilities in Valve’s “Steam Sockets” - Check Point Research
Research by: Eyal Itkin Overview The beautiful thing about video games is that there’s something for everyone. You can play as a 19-year-old Canadian redhead trying to climb a difficult mountain; or as an insurance inspector sent to decipher the fate of a…
Петер Крузе, датский эксперт и глава инфосек компании CSIS Security Group, продолжает утверждать, что к взлому FireEye причастна коммерческая хакерская группа Evil Corp, а не прогосударственная APT.
На сей раз он раскрыл некоторые данные, которые ему известны и которые он анонсировал ранее. По утверждению Крузе, в сентябре 2019 года несколько машин в сетях как большой FireEye, так и ее подразделения Mandiant, были скомпрометированы и заражены Trickbot, равно как и некоторые из клиентов компании. Причем тогда же CSIS Security Group сообщила об этом FireEye.
Предположительно в декабре 2019 года одна из скомпрометированных учеток была продана третьей стороне. Крузе подразумевает, что именно она была использована для недавней атаки на американскую компанию.
Скажем сразу, что из твитов не до конца понятно, имеет все-таки Крузе в виду 2019 или 2020 год. Возможно, что он просто описался и все это случилось в 2020.
Вероятно больше информации датский исследователь дал в свежей статье датского Computerworld. К сожалению, она доступна только по премиальной подписке, а нас жаба давит платить буржуям 19 крон.
В любом случае история продолжается и, полагаем, в ближайшее время подробности мы все-таки узнаем. И если Крузе окажется прав и взлом FireEye это дело рук Evil Corp, то это будет грандиознейший провал не только одной из ведущих в мире инфосек компаний, но и журналистов The New Your Times - Дэвида Сангера и Николь Перлрот, которые сочинили про это клюквенную историю под слоганом "Русские спецслужбы любят месть".
На сей раз он раскрыл некоторые данные, которые ему известны и которые он анонсировал ранее. По утверждению Крузе, в сентябре 2019 года несколько машин в сетях как большой FireEye, так и ее подразделения Mandiant, были скомпрометированы и заражены Trickbot, равно как и некоторые из клиентов компании. Причем тогда же CSIS Security Group сообщила об этом FireEye.
Предположительно в декабре 2019 года одна из скомпрометированных учеток была продана третьей стороне. Крузе подразумевает, что именно она была использована для недавней атаки на американскую компанию.
Скажем сразу, что из твитов не до конца понятно, имеет все-таки Крузе в виду 2019 или 2020 год. Возможно, что он просто описался и все это случилось в 2020.
Вероятно больше информации датский исследователь дал в свежей статье датского Computerworld. К сожалению, она доступна только по премиальной подписке, а нас жаба давит платить буржуям 19 крон.
В любом случае история продолжается и, полагаем, в ближайшее время подробности мы все-таки узнаем. И если Крузе окажется прав и взлом FireEye это дело рук Evil Corp, то это будет грандиознейший провал не только одной из ведущих в мире инфосек компаний, но и журналистов The New Your Times - Дэвида Сангера и Николь Перлрот, которые сочинили про это клюквенную историю под слоганом "Русские спецслужбы любят месть".
Twitter
peterkruse
We at @csis_cyber have notified @FireEye about several compromised internal machines as well as clients logging into their services happening up until October 2020. All popped by #trickbot and one likely sold in December 2019.
Похоже, что частотный Гордиев узел таки решили разрубить. И хотя мы, честно, не особо понимаем ценности 5G по сравнению с LTE, отставать от других стран в части развития телекоммуникаций не правильно и случившиеся подвижки не могут не радовать.
Forwarded from Эксплойт | Live
5G в России может быть развернута на частотах предыдущих поколений связи
Государственная комиссия по радиочастотам может рассмотреть использование уже существующих частот для запуска сети 5G.
По словам замминистра цифрового развития, это позволит ускорить развитие 5G в условиях «дефицита радиочастотного ресурса».
Проект рассмотрят уже в 2021 году.
К слову, ФСБ, ФСО, Минобороны и «Роскосмос» утверждают, что этот проект экономически нецелесообразен.
Это связано с тем, что стоимость перехода на другие частоты составит аж 253 млрд рублей.
Государственная комиссия по радиочастотам может рассмотреть использование уже существующих частот для запуска сети 5G.
По словам замминистра цифрового развития, это позволит ускорить развитие 5G в условиях «дефицита радиочастотного ресурса».
Проект рассмотрят уже в 2021 году.
К слову, ФСБ, ФСО, Минобороны и «Роскосмос» утверждают, что этот проект экономически нецелесообразен.
Это связано с тем, что стоимость перехода на другие частоты составит аж 253 млрд рублей.
Исследователи из ESET вскрыли впечатляющую по масштабам "атаку на цепочку поставок", нацеленную в итоге на правительственные организации Монголии.
Кибероперацию словаки назвали StealthyTrident, а длилась она, по их данным, как минимум с середины 2018 года по осень 2020.
В Монголии есть бизнес-платформа, которая называется Able. В ее состав входит приложение для чата Able Desktop, которое, как указывается на сайте производителя, используется 430 государственными монгольскими учреждениями.
ESET обнаружили, что легальное приложение Able Desktop загружает и устанавливает на машину пользователя бэкдор HyperBro, который является авторским и принадлежит китайской APT LuckyMouse aka APT 27 aka Emissary Panda.
Кроме того, Able Desktop использовался для доставки трояна удаленного доступа (RAT) Tmanger, который приписывался китайской же APT TA428. Правда для этого использовалось не само приложение, а механизм его обновления. Проведя анализ, исследователи пришли к выводу, что был скомпрометирован один или несколько серверов обновлений Able Desktop, их пара десятков и некоторые из них установлены в сторонних организациях.
И как будто бы этого мало, обнаружились еще две разных версии зараженного установщика Able Desktop, одна из которых содержала в себе HyperBro, а другая - еще один известный и популярный RAT PlugX.
Получается, что в течение 2-х лет китайцы активно шпионили за монгольскими чиновниками через их корпоративный мессенджер, разработчика которого они на каком-то этапе смогли скомпрометировать.
Остается добавить, что, LuckyMouse и TA428, вероятно, являются либо одной хакерской группой, работающей на Китай, либо ее подразделениями.
Наше же мнение такое - если государство пытается пересадить свои учреждения и госкомпании на использование конкретного ПО, то оно, в первую очередь, должно сосредоточить все возможные усилия на предотвращении атак на цепочки поставок. Иначе компрометация одного лишь "блатного" разработчика приводит к глобальному звиздецу.
Кибероперацию словаки назвали StealthyTrident, а длилась она, по их данным, как минимум с середины 2018 года по осень 2020.
В Монголии есть бизнес-платформа, которая называется Able. В ее состав входит приложение для чата Able Desktop, которое, как указывается на сайте производителя, используется 430 государственными монгольскими учреждениями.
ESET обнаружили, что легальное приложение Able Desktop загружает и устанавливает на машину пользователя бэкдор HyperBro, который является авторским и принадлежит китайской APT LuckyMouse aka APT 27 aka Emissary Panda.
Кроме того, Able Desktop использовался для доставки трояна удаленного доступа (RAT) Tmanger, который приписывался китайской же APT TA428. Правда для этого использовалось не само приложение, а механизм его обновления. Проведя анализ, исследователи пришли к выводу, что был скомпрометирован один или несколько серверов обновлений Able Desktop, их пара десятков и некоторые из них установлены в сторонних организациях.
И как будто бы этого мало, обнаружились еще две разных версии зараженного установщика Able Desktop, одна из которых содержала в себе HyperBro, а другая - еще один известный и популярный RAT PlugX.
Получается, что в течение 2-х лет китайцы активно шпионили за монгольскими чиновниками через их корпоративный мессенджер, разработчика которого они на каком-то этапе смогли скомпрометировать.
Остается добавить, что, LuckyMouse и TA428, вероятно, являются либо одной хакерской группой, работающей на Китай, либо ее подразделениями.
Наше же мнение такое - если государство пытается пересадить свои учреждения и госкомпании на использование конкретного ПО, то оно, в первую очередь, должно сосредоточить все возможные усилия на предотвращении атак на цепочки поставок. Иначе компрометация одного лишь "блатного" разработчика приводит к глобальному звиздецу.
WeLiveSecurity
Operation StealthyTrident: corporate software under attack
LuckyMouse, TA428, HyperBro, Tmanger and ShadowPad linked in the Mongolian supply-chain attack Operation StealthyTrident.
ZDNet сообщает, что Facebook раскрыла компанию, стоящую за одной из активных прогосударственных APT Ocean Lotus aka APT 32, работающей на правительство Вьетнама. Мы неоднократно писали про эту группу, а краткий обзор на нее давали здесь.
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
По словам руководителя подразделения политики безопасности Facebook Натаниэля Глейхера и менеджера по анализу киберугроз Майка Двилянски, за хакерской группой стоит IT-компания CyberOne Group из вьетнамского города Хо Ши Мин.
Исследователи Facebook провели анализ активности Ocean Lotus в социальной сети, в ходе которой вьетнамские хакеры использовали фейковые аккаунты для фишинговых рассылок. В ходе него было установлено, что APT была нацелена на вьетнамских диссидентов, иностранные правительства, в том числе Лаоса и Камбоджи, НКО, информационные агентства, а также коммерческие компании из различных отраслей.
Это, пожалуй, первый случай, когда Facebook проводят подобную атрибуцию. Фактуры пока нет, поэтому судить о достоверности заявления не будем.
#APT #OceanLotus
ZDNET
Facebook links APT32, Vietnam's primary hacking group, to local IT firm
Facebook suspends accounts linked to APT32, says the group used its platform to spread malware.
Вдогонку к предыдущему посту про атрибуцию стоящей за APT Ocean Lotus вьетнамской IT-компании CyberOne Group - оригинал статьи сотрудников Facebook, проводивших расследование.
Честно говоря, фактуры в части принадлежности хакерской группы именно CyberOne Group мы не увидели.
Честно говоря, фактуры в части принадлежности хакерской группы именно CyberOne Group мы не увидели.
Meta
Taking Action Against Hackers in Bangladesh and Vietnam | Meta
We’re sharing our latest research and enforcement actions against attempts to compromise people’s accounts and gain access to their information.
—Партнерский пост—
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все! Поиск утечек и мониторинг даркнета: dlbi.ru
Рекламы нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Ничего не продаем и не раздаем! У нас нет и не было ботов.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Ничего не продаем и не раздаем! У нас нет и не было ботов.
Админ: @ashotog
ВК: https://vk.com/dataleakage