Позитивная обраточка. Никому ничего объяснять не надо?

P.S. Будете еще санкции вводить - ДНК Гейтса отсеквенируем.

Вчера Google рассказали про новые фишки Android 12, который планируется к выходу осенью.

Всякие обновления дизайна нам не интересны, как и несколько улучшенное быстродействие ОС. Ну серьезно, кто-то просчитывает на смартфонах математические модели?

А вот на что мы всегда обращаем внимание - так это на вопросы безопасности и конфиденциальности. И в случае с Android 12 Google были вынуждены пойти на некоторые меры по усилению приватности пользователей, потому что Apple уже сделали это в iOS 14.

Во-первых, Google наконец-то добавили индикаторы работы микрофона и камеры. Кроме того, в панели быстрых настроек появились переключатели, позволяющие отключить доступ к микрофону или камере для всей системы (кроме АНБ, конечно).

Во-вторых, Android будет показывать уведомления, когда приложения используют буфер, кроме случаев, когда это происходит внутри одного приложения.

В-третьих, также с iOS скопирована функция "приблизительной геолокации", чтобы не передавать лишний раз приложениям, например о погоде, точные координаты нахождения устройства.

Конфиденциальность это хорошо. А еще лучше, что у нас есть такая конкуренция между Apple и Google.

Блокчейн трекер Whale Alert сообщает о произошедшем сегодня платеже в размере 500000 ETH от криптовалютной платформы Binance в адрес неизвестного кошелька.

Все бы ничего, но по текущему курсу это эквивалентно более чем 1,7 млрд. долларов. Кто-то просто перевел больше половины годового бюджета Молдавии.

Правда в комментах народ делает предположение, что это возможно внутренний перевод Binance. Но это не точно.

​​Исследователи из китайской Tencent Security Keen Lab на протяжении последних лет успешно потрошат электронную начинку автомобилей различных производителей. На их счету - BMW, Toyota и Lexus, а также Tesla.

На сей раз не ушел от цепких китайских рук Mercedes-Benz. Исследователи выпустили отчет (собственно, сам отчет - в конце материала по ссылке), в котором описали процесс взлома медиасистемы MBUX - Mercedes-Benz User Experience. С 2018 года MBUX применяется во всей линейке автомобилей немецкого концерна.

Китайские эксперты обнаружили 5 уязвимостей в MBUX, 4 из которых могут привести к удаленному выполнению кода (RCE). Три уязвимости было найдено в головном устройстве, а две - в т.н. модуле TCU, который отвечает за LTE связь.

Используя комбинацию эксплойтов этих ошибок исследователи осуществили удаленный доступ к MBUX, после чего получили рутовые права и смогли внедрить постоянный бэкдор. Они взяли под контроль головное устройство автомобиля, смогли разблокировать противоугонную систему, а также получили доступ к CAN-шине и выполнили некоторые действия по управлению вторичными функциями автомобиля.

К примеру, они смогли управлять освещением салона, открывать солнцезащитный козырек, изменять изображение на всех экранах машины. К основным функциям управления автомобилем пробиться не удалось

Кто-то может сказать, что в таком случае атака не представляет опасности для водителя и пассажиров, но мы не согласимся. Когда у вас на скорости 120 км/ч на загородной ночной трассе солнцезащитные козырьки начнут косплеить флюгер, освещение салона станет хаотично меняться, а на экранах и в колонках с максимальной громкостью включится какой-нибудь Cannibal Corpse, то вы уйдете в кювет на раз-два.

Остается добавить, что основной причиной возможности проведения атаки послужило использование в MBUX устаревшего ядра Linux. Само собой, что вся информация об уязвимостях была сообщена в Mercedes-Benz и к данному моменту они автопроизводителем исправлены. Ну, конечно, только у тех автовладельцев, которые своевременно обновляют свою MBUX.

Администрация швейцарского мессенджера Threema выиграла дело в высшем суд страны против Министерства юстиции и полиции Швейцарии (FDJP). Таким образом, Федеральный суд Швейцарии подтвердил решение суда низшей инстанции.

Если бы FDJP победило, то Threema была бы признана "поставщиком телекоммуникационных услуг" и была бы обязана идентифицировать всех пользователей и вести соответствующие логи их активности. Но, к счастью, швейцарские судьи не приняли сторону полиции. Можно спокойно продолжать пользоваться Threema дальше.

Небольшая, но важная победа в вопросах конфиденциальности пользователей. Особенно на фоне заявления Австралийской комиссии по преступности (ACIC), что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".

Новые стандарты информационной безопасности. Теперь от Израиля.

Как сообщает TheRecord, авиация Израиля разбомбила два объекта на территории сектора Газа, которые использовались ХАМАС для проведения киберопераций.

Об этом израильские ВВС официально заявили в Twitter. Первый объект являлся ЦОДом, а второй - "квартирой-убежищем, которая использовалась террористами для наступательных киберопераций против израильских целей".

Особый цинизм действиям разнузданной израильской военщины придает фраза "Атакованная квартира была размещена рядом с детским садом, что еще раз доказывает, что ХАМАС намеренно подвергает опасности мирных жителей размещая свою военную инфраструктуру в гражданских районах".

Теперь как, можно по NSO Group, которая весь мир ломает, не стесняясь Калибрами заряжать? И может ли Иран с полным осознанием свое правоты разбомбить Подразделение 8200 Управления военной разведки Армии обороны Израиля в качестве ответа на совершенную в мае 2020 года евреями кибератаку на информационные ресурсы иранского портового города Бендер-Аббас, которую бывший глава военной разведки Израиля генерал Амос Ядлин назвал "четким посланием Ирану в ответ на кибератаки на водные ресурсы Израиля" (в чем Иран, кстати, никогда не признавался).

P.S. Оказывается, это не первая физическая атака в качестве ответа на кибероперации. Первую тоже осуществил Израиль в 2019 году, когда взорвал здание, в котором размещалось киберподразделение ХАМАС.

​​Intel вместе с Microsoft решили подкинуть пасхальных яиц в обновления драйверов.

После установки ваш Core i7 превратится в 4-x битный Intel 4004.

Очередная жертва ransomware - люксембургская компания Ardagh Group, имеющая годовой доход под 8 млрд. евро и являющаяся одним из мировых лидеров по производству стеклянной и металлической упаковки.

В своем заявлении Ardagh Group сообщают, что недавно с их сетью произошел киберинцидент, в результате которого были отключены некоторые IT-системы и сервисы. И хотя непосредственно производство затронуто не было, некоторые операции цепочки поставок были нарушены, что привело к задержкам в поставках продукции клиентам (то есть, по итогу таки производство было таки затронуто).

Выступления PR-служб пострадавших от ransomware организаций напоминают речи сенатора сибирского округа по вопросам пожаротушения и природоохраны Анатолия Шапакина (в исполнении Гарика Харламова) - "Все под контролем! Все в абсолютной безопасности! Никакой паники нет!". По факту же наблюдается совершенно противоположная картина - информационной безопасности нет, техподдержка и инфосек в момент атаки не знают что делать и рвут на себе волосы, конфиденциальные данные утекают, а производственные цепочки перестают работать.

И, пожалуй, нам надо прекращать писать об успешных атаках вымогателей на компании с revenue меньше 10 млрд. долларов - это уже банальность.

Dragos опубликовали промежуточные результаты расследования произошедшего в феврале киберинцидента, в ходе которого хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.

Злоумышленник подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз. К счастью, оператор, следивший за системой водоочистки, обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство.

Исследователи обнаружили, что на сайте фирмы-подрядчика водоочистных сооружений из Флориды размещен вредоносный код, вроде бы типичная "атака на водопой" (спойлер - на самом деле нет). Судя по всему, целями были предприятия водоснабжения. Но что еще интереснее - в день взлома с компьютера водоочистного объекта Олдсмар был заход на зараженный сайт.

Хакер использовал дырку в одном из плагинов WordPress для размещения кода, который собирал fingerprints посетителей сайт, включая данные об ОС и процессоре, браузере и используемых раскладках, видеокарте, настройках операционки, наличия периферийных устройств и др.

Сайт был заражен в течение 58 дней вплоть до 16 февраля 2021 года.

Аналогичный вредоносный код Dragos нашли еще на одном сайте - подпольном Интернет-магазине DarkTeam Store. Исследователи обнаружили, что и сайт компании-подрядчика из Флориды и DarkTeam Store были взломаны в один и тот же день 20 декабря 2020 года.

Dragos полагают, что вредоносный код предназначен для сбора браузерных отпечатков в целях их дальнейшего использования в ботнете Tofsee, чтобы более успешно имитировать реальных пользователей. Связан ли взлом сайта компании-подрядчика с взломом водоочистительной системы в Олдсмаре - не понятно. Еще большей загадкой является то, почему владелец ботнета выбрал для сбора информации именно этот сайт.

Гайдай какой-то!

​​Одна из актуальнейших проблем современного инфосека.

Все еще верите в свою конфиденциальность?

Забудьте, ведь согласно исследованию Check Point 23 приложения на базе Android могут лишить своей приватности более 100 миллионов пользователей.

Во многом такая ситуация обусловлена ненадлежащим вниманием разработчиков к обеспечению безопасности данных своих клиентов.

В некоторых случаях разработчики не используют защиту паролем своих серверных баз данных, оставляют токены и ключи доступа в исходном коде приложения или применяют некорректные настройки для сторонних облачных сервисов (облачное хранилище, push-уведомления и пр.).

Команда Check Point в результате изучения 23 случайных приложений смогла расчехлить 13 из них и получить доступ к их внутренним базам, содержащим адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи экрана, учетные данные социальных сетей и личные изображения. При этом исследователи утверждают, что в ходе работы они не встретили никакого противодействия со стороны средств защиты.

Кроме того, Check Point удалось получить ключи доступа и скомпрометировать функцию push-уведомлений ряда приложений, которую потенциальный злоумышленник мог использовать для проведения эффективных фишинговых атак на пользователей приложения.

Учитывая, что Check Point озвучили не всех аутсайдеров исследования (Logo Maker ,  Astro Guru ,  T'Leva ,  Screen Recorder и  iFax) можно предположить, что реальный масштаб бедствия не раскрывается, ведь в списке могут оказаться куда более популярные среди пользователей платформы.

На самом деле негативная тенденция сохраняется еще с 2010-х годов, показатели уязвимости инфраструктуры мобильных приложений не меняется уже последние три года, что подтверждается отчетами Zimperium (в марте этого года обнаруживших неправильно настроенные облачные серверы в тысячах приложений для Android и iOS) и Appthority

​​В марте мы писали про атаку ransomware Phoenix CryptoLocker на сеть американского страхового гиганта CNA Financial, имеющего 10 млрд. долларов годового дохода. Журналисты Bleeping Computer, со ссылкой на свои источники, утверждали тогда, что этот новый штамм ransomware принадлежит российской Evil Corp. Основой для этого, якобы, служило сходство в коде с вымогателем Hades.

Два месяца прошло и вот Bloomberg сообщает, что через две недели после взлома страховщики, не сумев восстановить доступ к своим ресурсам, заплатили вымогателям 40 млн. долларов выкупа. Это подтвердил официальный представитель CNA Financial.

Таким образом, если нам не изменяет склероз, на сегодняшний день это самый крупный выкуп, который был официально подтвержден жертвой.

Кроме того, CNA Financial заявили, что действовали в соответствии с американскими законами, поскольку Phoenix CryptoLocker не подпадает под санкции американского Минфина. Таким образом хакеры Evil Corp, находящиеся под подобными санкциями, добились своей цели - с помощью создания новых штаммов ransomware, которые документально не ассоциируются с Evil Corp, создать для жертвы возможность легально заплатить выкуп, не опасаясь правовых последствий со стороны американских госорганов.

Кто-то купит себе новый Ламбо.

​​Оказывается мы пропустили интересную дырку, которую опубличили неделю назад. Спасибо внимательному подписчику!

Известный исследователь Джонас Л., специалист по порче настроения у Microsoft, про которого мы неоднократно писали ранее, раскопал, что в некоторых случаях (пока непонятно по какому принципу) пароли от RDP лежат в памяти сервера в открытом виде. А именно в svhost.exe.

Таким образом, сдампив svhost хакер теоретически может выдрать оттуда credentials и использовать их для дальнейшего продвижения в целевой сети. А тем временем Бенджамин Делпи, руководитель разработки Mimikatz, уже сообщил, что соответствующий функционал включен в этот самый Mimikatz.

С - стабильность в косяках.

—Партнерский пост—

CoinLoan ищет сотрудника в свою удаленную команду на позицию Security Engineer.

CoinLoan – это молодая, но уже успешная финтех компания, которая предоставляет лицензированные услуги крипто-кредитования, валютного обмена и хранения средств на своей платформе. Сегодня рынок крипто – самая трендовая и активно развивающаяся сфера, полная инноваций и возможностей. Компания постоянно внедряет новые возможности для клиентов, ищет нестандартные подходы к продвижению и всегда приветствует инициативу в команде.

Обязанности Security Engineer:
● Проведение Security Code Review и PenTest веб-приложений.
● Мониторинг и анализ уязвимостей в используемых зависимостях.
● Интеграция процессов и инструментов DevSecOps.
● Моделирование угроз и формирование требований безопасности.
● Повышение осведомленности сотрудников в аспектах ИБ.

Требования к соискателю:
● Знание скриптовых языков, желательно Python и Bash.
● Практический опыт проведения аудита безопасности веб-приложений и
инфраструктуры.
● Понимание базовых принципов криптографии.
● Опыт внедрения и сопровождения инструментов статического анализа кода.
● Знание Linux и сетевых протоколов.

Будет плюсом:
● Знание и опыт работы с Kubernetes, Docker, AWS.
● Опыт участия в CTF и Bug Bounty.
● Знакомство с международными стандартами (ISO 27XXX, PCI DSS, GDPR, etc).
● Опыт разработки веб и мобильных приложений.
● Опыт администрирования систем SIEM, WAF, IDS/IPS.
● Знание особенностей криптовалют, блокчейна и смарт-контрактов.

Свое резюме отправляйте на почту: [email protected]

​​Дайте две!

(и человеческого индивидуума слева, которого мы идентифицируем как девушку)

С 1 июня YouTube начнёт вставлять рекламу во все видео

Недавно площадка объявила, что кардинально меняет систему монетизации видеороликов.

Теперь рекламные вставки будут вставляться во все ролики: даже в те, которые не подключены к партнёрской программе.

Помимо этого, видеохостинг будет взимать налог с дохода авторов по законам США.

Он будет распространяться на прибыль, полученную от прямых просмотров в США, с услуги YouTube Premium, суперчат и спонсорство.

Стоит отметить, что доход будет облагаться американским налогом даже в том случае, если автор находятся за пределами этой страны.

На фоне все возрастающего вала обвинений в сторону России по поводу неспособности самостоятельно справится с киберпреступностью на своей территории, который начался после атаки русскоязычного оператора ransomware Darkside на американский трубопровод Colonial Pipeline, с негативными оценками ситуации начали выступать и российские правоохранители.

Неожиданно голос подали известные эксперты в области инфосека из Генпрокуратуры. Начальник тамошнего Главного организационно-аналитического управления Андрей Некрасов заявил, что киберпреступность, вдруг, стала представлять угрозу национальной безопасности России.

По словам Некрасова раскрываемость киберпреступлений составляет не более 25% (от чего? атаки, происходящие за рубежом в поле зрения российских органов даже не попадают). Общее количество подобных преступлений за 2020 год составило 510 тыс.

Тут мы должны сделать замечание - такое большое количество зафиксированных преступлений означает, что Генпрокуратура к киберпреступности относит все возможные случаи скама, потому что они осуществляются "с использованием информационно-телекоммуникационных технологий". То есть понимания где имеет место банальное мошенничество с использованием телефона или компьютера, а где - настоящая киберпреступность, у продвинутых пользователей из Генпрокуратуры нет.

Поэтому единственная ценная информация в выступлении Некрасова это данные, что "если пять лет назад в общей структуре преступности на долю таких деяний приходилось менее 2%, то в прошлом году они составили уже 25% среди всех преступлений, зарегистрированных в стране".

З - знание. У - успех.

На Reddit нашелся пост, в котором автор описывает возможную компрометацию SolarWinds почти за 3 месяца до появления соответствующего отчета FireEye, после чего этот взлом назвали "атакой десятилетия".

Но тогда, в сентябре 2020 года, на это просто никто не обратил внимания.

Разработчики ransomware Zeppelin возобновили свою активность и представили хакерской аудитории новые образцы вредоносного ПО после длительного затишья.

Обновление ПО вышло 26 апреля. Zeppelin написан на Delphi, базируется на коде малвари VegaLocker и начал применяться русскоязычными хакерами с начала ноября 2019 в атаках на технологические и медицинские компании в Европе и Северной Америке. Вопреки другим вариантам малвари из семейства Vega, также известного как VegaLocker и Buran, ориентированных именно на русскоязычных пользователей, разработчики Zeppelin четко определились, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию.

Но интересно другое. Маркетинговая модель Zeppelin имеет свои уникальные особенности, это - одна из немногих на рынке программ-вымогателей, не использующих чистую модель RaaS. Разработчики вымогателя Zeppelin продают его в даркнете в коробочном исполнении по цене 2300 долларов за сборку ядра, предоставляя будущим владельцам полную самостоятельность в применении ПО. При этом вместо кооперации при проведении атак разработчики Zeppelin предпочитают выстраивать индивидуальные партнерские отношения с пользователями их вредоносных программ, предоставляя им расширенный адаптивный набор функций.

Кроме того, Zeppelin не крадет и не публикует похищенные данные, операторыransomware фокусируются, прежде всего, на их шифровании. Пользователи ПО - это индивидуальные покупатели, которые не усложняют свои атаки и полагаются на общие исходные векторы атак, такие как RDP, уязвимости VPN и фишинг. Однако несмотря на всю простоту модели атаки с этим штаммом ransomware трудно обнаружить, особенно при использовании новых загрузчиков.

Полагаем, что сумевшие скомпилировать собственный код программы-вымогателя над базе наработаток Vega создатели Zeppelin, предоставляющие достаточно широкий доступ к продукту своим операторам, сами рискуют стать жертвами копипаста, или ещё хуже - предстать к ответу за последствия возможных резонансных инцидентов.

В марте мы писали про то, что 24 февраля компания SITA стала жертвой атаки, которая привела данных пассажиров, хранившихся на серверах системы SITA Passenger Service System (SITA PSS). SITA - ведущий поставщик телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации, в частности SITA PSS ранее использовалась в российской авиакомпании S7.

На прошлой недели Air India, один из крупнейших клиентов SITA обновила свое предупреждение пассажирам, сообщив, что в результате атаки на SITA PSS были украдены данные около 4,5 млн. пассажиров. А на прошедших выходных исследователи из японской команды DarkTracer сообщили, что на ресурсе Dark Leak Market в даркнете эта информация появилась в продаже.

Однако, это не самое веселое. Самое веселое - среди пострадавших клиентов SITA числятся Lufthansa, Malaysia Airlines, Singapore Airlines, Finnair и многие другие. Поэтому вполне логично предположить, что данных их пассажиров вскоре также окажутся в публичном доступе либо будут проданы в даркнете. С кого в этом случае будут требовать компенсацию возмущенные паксы - не вполне понятно.

Летайте Мухолупинскими Авиалиниями, там пассажиров по старинке в амбарную книгу записывают.

​​Вчера вечером Apple выпустили множество обновлений для всей линейки своих устройств, в которых содержится много интересного. Начнем по порядку.

Во-первых, закрыли CVE-2021-30663 и CVE-2021-30665 в браузерном движке WebKit для tvOS. Это те самые 0-day уязвимости, которые были устранены в остальных яблочных операционках еще в начале мая и могли привести к удаленному выполнению кода (RCE) на атакованных устройствах. Более того, ошибки, по словам Apple, могли быть использованы в дикой природе (хотя никакой конкретики предоставлено не было). Почему в таком случае их так долго исправляли в tvOS - вопрос отдельный.

Во-вторых, исправлена 0-day уязвимость CVE-2021-30713 для macOS Big Sur. Ошибка позволяла хакеру обходить механизм TCC, контролирующий совершение приложениями действий, требующих явного разрешения пользователя, - доступа к камере, микрофону, кейлоггинг, снятие скриншотов и пр, и теоретически позволяла осуществить все это без оного пользовательского разрешения.

Исследователи из Jamf, те ребята, которые ранее нашли в дикой природе эксплойт другой макосовской уязвимости CVE-2021-30657 в дроппере Shlayer, обнаружили, что эта ошибка активно использовалась вредоносом XCSSET для того, чтобы делать скриншоты и записывать экран в macOS.

XCSSET был найден в августе прошлого года японцами из TrendMicro и уже тогда активно использовал две 0-day уязвимости в macOS. Судя по функционалу он не принадлежит к кибершпионскому арсеналу, а является чисто коммерческой малварью, распространяющейся внутри скомпрометированных проектов Xcode (что само по себе весьма продвинуто).

В-третьих, вышла iOS 14.6, в которой помимо кучи свистоперделок исправлено более 30 уязвимостей, среди которых есть как критические, например, куча приводящих к RCE и XSS ошибок в многострадальном WebKit, так и просто любопытные - CVE-20201-30707 с оценкой критичности в 6,3, которая дает возможность хакеру добиться RCE при обработке устройством специальным образом сформированного аудиофайла.

Поэтому пока не обновитесь - никаких аудиосообщений от незнакомых пользователей в WhatsApp.