Как сообщает Zero Day, неизвестный хакер продает в даркнете данные более чем 538 млн. (!) пользователей китайской социальной сети Weibo.

Данные включают в себя ники, реальные имена, пол, местоположение, а также телефонные номера 172 миллионов пользователей. Паролей нет, поэтому база стоит всего 250 долларов США.

Хакер утверждает, что взломал Weibo в середине 2019 года, в результате чего смог увести дамп базы данных социальной сети.

Weibo (учитывая передовые практики антикризисного PR от г-на Грефа) говорит что-то неудобоваримое. Вроде того, что "мы наблюдали в конце 2018 года как какие-то пользователи матчили через синхронизацию контактов большое количество телефонных номеров". Китайские инфосек эксперты тут же поставили заявление Weibo под сомнение.

Если кто-то хочет развернуть нацеленную на китайский рынок широкую маркетинговую кампанию (например, по продаже кирзовых сапог) - налетайте. База для холодного обзвона готова.

В информационном поле очередной результат того, что мировая информационная инфраструктура оказалась не готова к пандемии коронавируса.

Сегодня утром в Австралии упал правительственный портал myGov после того, как десятки тысяч пользователей обратились онлайн за финансовой помощью после вынужденного закрытия бизнеса на фоне COVID-19.

Вместо запланированных 6000 одновременных подключений к порталу обратилось сразу 55 тыс. человек. После чего все упало, а Министр госуслуг Австралии Стюарт Роберт обвинил во всем хакеров и DDoS-атаку.

При этом министр Роберт не объяснил, как можно было ухитриться создать систему с планируемым числом одновременных обращений в 6000 при населении в 24 миллиона человек.

Как шутят Zero Day - "The people of Australia are a DDoS machine that the government cannot handle".

https://www.zdnet.com/article/government-wheels-out-census-excuse-and-blames-mygov-crash-on-ddos/

Самое неожиданное последствие пандемии COVID-19

https://twitter.com/mad_harlot/status/1241767317635203073

В связи с переходом на удаленную работу и социальным дистанцированием многие пользователи стали использовать платформу телеконференций ZOOM для рабочих конференций, личных встреч и даже проведения рок-концертов.

К сожалению, как всегда не обходится без накладок. Так американская сеть быстрого питания Chipotle решила организовать онлайн-концерт с исполнителем Lauv, однако из-за неправильных настроек трансляции один из подключившихся пользователей смог организовать т.н. "zoom bombing", запустив в прямой эфир порнографию.

Мы раскопали небольшую статью, которая дает простые советы, как оградиться от "zoom bombing", а также от прослушки сторонними лицами ваших онлайн-собраний.

https://craigball.net/2020/03/23/protect-your-meetings-from-zoom-bombers/

​​На прошлой неделе мы написали пост, в котором озаботились отсутствием каких-либо рекомендаций со стороны государственных органов по обеспечению информационной безопасности в период эпидемии коронавируса. В то время как американское CISA, например, подобные рекомендации выпустило.

И вот наконец хоть что-то - сегодня ЦБ выпустил рекомендации по организации работы сотрудников финансовых организаций с точки зрения минимизации рисков кибербезопасности. Может быть, кстати, благодаря Сычеву, который, в целом, неплохо разбирается в вопросах ИБ.

И хотя рекомендации очень общие, сам факт того, что хоть кто-то близкий к государству обратил внимание на вопросы инфосека, оставляет нам небольшую, но все-таки надежду, что вопросы информационной безопасности не будут, как обычно, поставлены на дальнюю полку между бутылкой скипидара и распорядком работы отдела маркетинга на случай всеобщей мобилизации.

Евгений Валентинович Маск (tm) решил не оставаться в стороне от борьбы с коронавирусом. Не первый, кстати, BitDefender, например, тоже подключился, но тем не менее.

Лаборатория Касперского предложила медицинским учреждениям бесплатную 6-месячную лицензию на ряд продуктов, включая Kaspersky Endpoint Security for Business Advanced.

Ну что сказать, молодцы, без всяких.

Ждем расширения триал периода на традиционные продукты типа KIS и для обычных пользователей. По крайней мере, на период карантинных мероприятий.

Осталось только анонс на русский перевести.

https://www.kaspersky.com/blog/protecting-healthcare-organizations/34269/

Розыгрыш с просьбой закрыть окна в связи с дезинфекцией, проводимой с вертолетов, добрался до Нидерландов.

Полиция Королевства вынуждена была дать официальное опровержение тому, что ВВС Нидерландов будут опрыскивать страну дустом.

Сейчас опять скажут, то это русские fakenews.

https://twitter.com/Politie/status/1241799134333620224

Исландия провела тестирование практически всего населения на COVID-19, и выяснилось, что даже те, у кого нет симптомов, работают переносчиками, и их действительно много - больше, чем считалось ранее. Более, чем у половины пациентов с позитивным тестом нет никаких симптомов. А по подсчётам китайцев - у трети. Сейчас, девочки, того гляди, окажется, что мы все заражены ковидом, и карантин - мертвому припарка. А экономика к этому моменту будет уже в глубокой заднице. Директед бай Роберт Вейд.

ФБР рекомендует всем установить приложение FBI's Physical Fitness Test, которое "расскажет как правильно делать физические упражнения дома".

Отслеживание вашей геолокации, прослушивание микрофона и просмотр видеокамеры вашего смартфона прилагаются.

На очереди приватный проигрыватель порно от АНБ и секьюрный мессенджер от ФСБ.

https://twitter.com/FBI/status/1242058787160313857

Zero Day сообщает о 0-day уязвимости во всех операционных системах Microsoft, которая уже эксплуатируется в дикой природе.

По данным Microsoft, две уязвимости нулевого дня выявлены в библиотеке Adobe Type Manager (atmfd.dll), которая используется для визуализации шрифтов PostScript Type 1. Они позволяют удаленный запуск кода (RCE) в атакованной операционной системе.

Уязвимы все версии Windows и Windows Server, а также Windows 7, техническая поддержка которой в настоящее время прекращена.

Microsoft сообщает, что исправления будут выпущены ориентировочно 14 апреля.

До тех пор рекомендуется избегать открывать либо просматривать в панели предварительного просмотра (тавтология) любые документы, полученные от посторонних адресатов.

Reuters выпустила эксклюзивный материал, согласно которому в середине марта ресурсы ВОЗ подверглись кибератаке со стороны "элитной" хакерской группировки.

Первым о вероятной кампании по взлому сообщил американский исследователь Александр Урбелис, который 13 марта выявил активацию фишингового сайта, полностью имитирующего внутреннюю структуру электронной почты ВОЗ.

CISO ВОЗ Флавио Аджио подтвердил попытку взлома ресурсов организации, отметив что она была неудачной, а личности хакеров неустановлены.

Два неназванных источника Reuters сообщили, что к атаке на ВОЗ причастна хакерская группировка DarkHotel, хотя Александр Урбелис заявил об отсутствии у него таких данных.

DarkHotel известна тем, что ориентировочно с 2007 года использовала 0-day уязвимости для взлома Wi-Fi сетей крупных отелей по всему миру и последующему заражению их постояльцев комплексом специализированных вредоносов. Другим способом заражения являлись массовые фишинговые кампании.

Основным направлением активности DarkHotel являлась Восточная Азия (Китай, Корея, Япония), а также Россия и США.

Некоторые особенности деятельности DarkHotel свидетельствуют о высоком уровне планирования и технической подготовки хакерской группы (например, внедренный троян начинал связываться с управляющим центром только через 6 месяцев после попадания в атакованную систему).

Этот факт, а также то, что кибератаки DarkHotel были направлены, в основном, на кибершпионаж, с большой долей вероятности свидетельствует, что хакеры являются штатным подразделением неустановленной спецслужбы, либо аффилированной с ней прокси-группой.

Зачем подобному актору потребовалось взламывать ВОЗ в разгар пандемии коронавируса - непонятно. Возможно, данные в отношении заболевания, хранящиеся внутри Всемирной организации здравоохранения, разнятся с публикуемыми и могут представлять определенный интерес для части мирового разведсообщества.

#коронавирус #ХроникиСвободногоМира

​​20 марта мы сетовали на то, что наши госорганы не принимают никакого участия в организации мер информационной безопасности на фоне перехода большого количества сотрудников на удаленный офис.

Вчера рекомендации для финансовых организаций выпустил ЦБ.

А сегодня оказалось, что еще 20 марта ФСТЭК также дал свои советы по обеспечению безопасности при реализации дистанционного режима исполнения должностных обязанностей. Правда только для объектов критической информационной инфраструктуры (КИИ). Но и то хлеб.

Приносим извинения за резкость (да, у нас есть совесть) в отношении ФСТЭК и советуем присмотреться к их рекомендациям.

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2060-pismo-fstek-rossii-ot-20-marta-2020-g-n-240-84-390

​​Check Point выявил очередной вредонос, легально распространяемый через Google Play.

Вредоносное ПО под названием Tekya имитирует действия пользователя, чтобы нажимать на платные объявления и баннеры, и распространяется внутри 56 приложений для Android, 24 из которых предназначены для детей. Всего на сегодняшний день пользователями произведено более 1 млн. его загрузок.

Tekya скрывает собственный код от Google Play Protect и использует механизм MotionEvent для Android (появился в 2019 году), чтобы имитировать действия пользователя и генерировать клики.

Годы идут, Google Play не меняется.

Список зараженных приложений - по ссылке ниже.

https://research.checkpoint.com/2020/google-play-store-played-again-tekya-clicker-hides-in-24-childrens-games-and-32-utility-apps/

​​Лаборатория Касперского сообщает, что банковский троян Ginp для устройств под управлением Android получил новый функционал и теперь эксплуатирует тему коронавируса.

После заражения устройства троян открывает веб-страницу Coronavirus Finder, на которой всего за 75 евроцентов предлагается показать на карте ближайшие зафиксированные случаи инфицирования коронавирусом.

Естественно, что после ввода пользователем данных банковской карты никакой геоинформации он не получает, а троян отправляет полученные сведения прямиком своему оператору.

Согласно данным KSN, большинство жертв Ginp в настоящее время находится в Испании. Однако, Лаборатория Касперского полагает, что создатели трояна в ближайшее время расширят географию его распространения на всю Европу.

Однако, есть и положительный момент в новом функционале Ginp - если вы видите Coronavirus Finder на своем Android устройстве, то вы точно подхватили этот вредонос. И наступило время почистить свой смартфон.

​​Bleeping Computer сообщает, что еще три хакерские группы - владельцы ransomware запустили специальные сайты, на которых планируют размещать украденные данные, хозяева которых отказались платить злоумышленникам выкуп, - Nefilim, CLOP и Sekhmet.

Про Nefilim мы уже писали неделю назад.

Рансомварь CLOP известна тем, что недавно удачно атаковала Маастрихтский университет, который вынужден был заплатить ее оператору 30 BTC (около 200 тыс. долларов).

Sekhmet же достаточно новый вредонос, поэтому про него известно только то, что создаваемый им файл с требованием выкупа называется RECOVER-FILES.txt.

Таким образом, на сегодняшний день уже семь владельцев различных типов ransomware начали использовать новую тактику по публикации украденных данных.

Похоже у нас нарисовался тренд, который будет актуален в ближайшие месяцы, если не годы. Раньше от ransomware спасал бэкап. Теперь же, очевидно, требуется выработка новых методов борьбы с этим вредоносным ПО и его операторами.

Microsoft, как мы знаем, неустанно борется за нашу безопасность.

Компания сообщила о том, что разрабатывает новый механизм аппаратной защиты исполняемого в памяти процессора кода под названием Аппаратная защита стека (Hardware-enforced Stack Protection).

С помощью использования "современных аппаратных возможностей ЦП" и "теневых стеков" Microsoft планирует защитить исполняемый программный код от воздействия со стороны вредоносных программ.

Теневые стеки представляют собой находящиеся в аппаратно- защищенной памяти копии исполняемого программного кода.

Зная, как Microsoft делает обновления, вангуем, что хакеры действительно перестанут обращаться к исполняемому коду. Они начнут воздействовать на "теневой стек".

https://www.zdnet.com/article/microsoft-announces-new-hardware-enforced-stack-protection-feature/

Без комментариев.

https://twitter.com/MarkUrban01/status/1242786449793130496

А пока весь мир борется с коронавирусом японские ученые вместе со своими студентами разрабатывают новые средства камуфляжа от машинного распознавания объектов в реальном времени.

Unlabeled - так они назвали новый прототип камуфляжного пальто, которое способно обмануть один из наиболее распространенных алгоритмов распознавания YOLO v.2 (You Look Only Once). Нейросеть просто не видит одетого в Unlabeled человека.

Традиции ниньзюцу дают о себе знать.

https://twitter.com/naotokui_en/status/1235134357741813763

Небольшая, но неприятная уязвимость CVE-2020-6812 в механизме работы продуктов от Mozilla с AirPods.

При первой привязке беспроводных наушников к iPhone им присваивается составное имя, включающее данные об имени пользователя (например, Ivan Petrov's AirPods).

Сайты с разрешенным доступом к камере или микрофону через созданные Mozilla приложения (включая браузер Firefox и почтовый клиент Thunderbird) могут получить имя AirPods, раскрыв таким образом имя пользователя.

Mozilla добавила в свои продукты заплатку, переименовывающую наушники просто в AirPods.

Неприятный кейс для организации, которая объявляет приватность пользователей одной из основных своих ценностей.

Как всегда, советуем сделать апдейт приложений от Mozilla на яблочных устройствах.

https://nvd.nist.gov/vuln/detail/CVE-2020-6812

Румынская BitDefender вскрыла кампанию по взлому маршрутизаторов производства D-Link и Linksys.

По данным исследователей, хакеры используют брутфорс, чтобы подобрать пароль от административной учетной записи маршрутизатора, после чего прописывают в нем свои DNS-сервера.

В дальнейшем, меняя DNS, злоумышленники перенаправляют пользователя на якобы доверенные сайты, на которых размещены призывы установить информационное приложение о COVID-19.

Естественно, вместо работающего приложения устанавливается троян Oski, ворующий пользовательскую информацию, в том числе данные о криптовалютных кошельках.

Вредоносными DNS-серверами, используемыми хакерами, являются 109 . 234 . 35 . 230 и 94 . 103 . 82 . 249. Если вы используете маршрутизаторы D-Link или Linksys, то необходимо проверить наличие этих двух IP-адресов в разделе настроек DNS. Если они присутствуют - следует поменять DNS-сервера и пароль от административной учетки.

https://www.zdnet.com/article/d-link-and-linksys-routers-hacked-to-point-users-to-coronavirus-themed-malware/

А между тем, тренды по огульному обвинению в различных кибератаках своих геополитических противников, несмотря на бушующую эпидемию коронавируса, никуда не делись.

На этой неделе с легкой руки американской инфосек компании FireEye (напомним, это те ребята, которых финансирует ЦРУ, а рекламирует Positive Technologies) по отрасли запущена очередная страшилка под слоганом "Шухер, китайцы набигают и грабят корованы!"

Выясняется, что по наблюдениям FireEye, хакерская группа APT41 (aka Double Dragon) начиная с января текущего года проводит "глобальную кампанию по проникновению" на информационные ресурсы организаций из различных отраслей деятельности в 20 странах мира.

По случайному совпадению, все жертвы китайских хакеров (целых 75 фирм) оказались клиентами FireEye.

Среди используемых APT41 уязвимостей - дырки в Citrix ADC и Gateway, маршрутизаторах Cisco и др.

Причем, китайские хакеры настолько китайские, что в китайский Новый Год не работают (мы не шутим, это так FireEye говорят!). Партия сказала отдыхать - значит все кибератаки на холд! Кто не слушается - того из миномета расстреляют.

Или, например, американцы пишут, что с 2 по 19 февраля APT41 не предпринимало никаких активных действий, потому что в Китае карантин (!).

Озадачившись такой подачей материала мы попробовали разобраться в вопросе и выяснилось, что, несмотря на то, что APT41 группа, вроде как, не сильно молодая и ее деятельность фиксируется с 2012 года, никто особо кроме FireEye ее и не видел.

То американские ресерчеры представляют презентацию, что APT41 взломали TeamViewer. То они утверждают, что группа взломала кучу SMS-C разных операторов сотовой связи и перехватывает SMS-переписку пользователей. То пишут, что китайцы оставляют бэкдоры видеоиграх.

Кстати, факт принадлежности этой APT к китайскому государству по сети гуляет тоже с подачи FireEye. Вот тебе, как говорится, бабушка, и highly likely!

P.S. Во время подготовки этого поста до нас долетела очередная новость про злых китайских хакеров. На этот раз Mustang Panda использует тему коронавируса, чтобы атаковать Тайвань. Нисколько не сомневаемся, что китайские APT способны на такое, но не больно уж ли кучно пошло?

P.P.S. Этот пост проплачен Коммунистической партией Китая. Да здравствует Мао! Здоровья ему побольше!