Мы даже боимся представить, чья учетная запись была взломана, если ее продавала целая платформа, для уничтожения (sic!) которой понадобилась ФБР.

Неужели ЕГО?!

Министерство юстиции США объявило, что ФБР уничтожила российскую киберплатформу, которая занималась продажей взломанной учетной записи и личной информации.

В связи с введенными из-за коронавируса ограничениями в телеграмме активно обсуждают деление людей на "ответственных, которые соблюдают самоизоляцию", "вынужденно безответственных" и "безответственных по скудоумию".

Авторы каналов удивляются сложившейся ситуации.

"Полный сюр. Безумный пейзаж. Вспомните февраль, когда такого. даже. представить. себе. невозможно. было.

Из повестки исчезло все остальное. Вообще ничего больше нет. Это и страшно, и удивительно."

Это, если что, пишет политолог Анна Федорова. Колумнист "Известий", работающая с Потупчик и Прокопенко, если верить сети. А ее репостит Незыгарь.

И вот такие публикации лучше всего свидетельствуют об уровне мышления нашего истеблишмента. В феврале они "не могли себе представить".

Всего 10 дней назад Незыгарь публикует опрос, согласно которому 80 тысяч проголосовавших подписчиков считают падение рубля и обнуление президентского срока более актуальными темами, чем коронавирус. В это время в России уже десятки выявленных заражений среди приехавших из Европы, в европейских странах умирают сотни людей, а США уверенно идет по экспоненциальному тренду инфицированных.

Может быть хватит принимать решения на основании "ощущений" гуманитариев от политики? Может быть необходимо уже дать слово аналитикам и математикам?

Может надо перестать петь осанны Собянину, который при всей его "эффективности" не смог за 2 месяца (!) обеспечить наличие в московских аптеках медицинских масок? А "сверхкомпетентные" ФСБ и МВД не могут обеспечить простейшими средствами защиты не только рядовых сотрудников, но и свое же высшее руководство?

Мы молодой инфосек канал и у нас нет большого охвата аудитории. Но мы умеем складывать числа и отслеживать тренды. И мы призываем всех перестроить свое мышление и понять, что то, что происходит - это война и это надолго. И таким как раньше мир уже никогда не будет.

И чем большее количество активных людей сможет принять эту парадигму, тем больше у всех нас шансов на минимизацию негативных последствий эпидемии.

Пришел 2020 год. Время жестких решений.

​​Zero Day сообщает, что на двух русскоязычных хакерских форумах на продажу выставлены исходники одного из наиболее распространенных ransomware Dharma.

Стоимость - 2000 долларов США.

По оценкам ФБР, Dharma является второй по прибыльности рансомварью и с ее помощью в период с ноября 2016 года по ноябрь 2019 года злоумышленники смогли получить более 24 миллионов долларов. По данным инфосек компании Coveware, в 4 квартале 2019 года на Dharma пришлось 9,3% инцидентов с вымогательством.

Dharma создана опытными вирмейкерами и использует надежную систему шифрования данных жертвы, которая с 2017 года не вскрывается.

Похоже, что непослушной школоте будет чем заняться на длительных каникулах, а головняка у специалистов по ИБ прибавится. Особенно если сырцы Dharma утекут в паблик.

​​Три дня назад мы размещали пост про то, что платформа для организации видеоконференций ZOOM втихаря отправляет в Facebook данные пользователей, даже если последние не являются подписчиками социальной сети.

После публикации в Motherboard ZOOM удалили код, который отвечал за отправление сведений в Facebook, о чем сообщили в официальном заявлении.

Похоже, единственным действенным средством в отношении нечистых на руку владельцев ПО остается вскрытие и огласка утечек пользовательских данных. Взывать к порядочности больше не актуально, ее там и не было.

https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook

Как пишет Security Affairs, ФБР выпустила предупреждение о рассылке хакерской группой FIN7 подарочных посылок с зараженными USB-носителями.

Посылки рассылаются сотрудникам целевых компаний, а USB-носители представлены в виде подарочных флешек, которые под тем или иным предлогом предлагается подключить к десктопу.

Флешка эмулирует USB-клавиатуру, поскольку по умолчанию она является доверенным устройством, и после подключения загружает с удаленного сервера JS бэкдор.

Эксперты предполагают, что в дальнейшем мы увидим заряженные USB-шнурки и прочие USB-аксессуары. Причем распространяющие их организации могут и не быть в курсе вредоносности своих подарков.

Бойтесь данайцев, дары приносящих!

В выходные, как сообщает Zero Day, на одном из хакерских форумов была опубликована база данных ни много ни мало всей Грузии.

Продающаяся БД Microsoft Access содержит полные имена, домашние адреса, даты рождения, идентификационные номера и номера телефонов более чем 4,9 млн. граждан Грузии.

С учетом того, что в настоящее время, согласно официальным источникам, в Грузии проживает 3,7 млн. человек, данные явно устаревшие и включают в себя сведения в отношении умерших людей.

Тем не менее, продавец базы утверждает, что она взята с официального грузинского ресурса voters .cec .gov .ge.

В любом случае, граждан всей страны, пусть и небольшой, оптом в сеть сливают не часто.

​​Согласно исследованию Shodan за последний месяц в связи с эпидемией коронавируса количество точек подключений RDP (удаленный десктоп) и VPN существенно выросло.

Количество RDP увеличилось на 41%, а VPN - на 33%. Трафик, как мы предполагаем, мог увеличиться кратно.

Но все равно, похоже, большинству компаний как было начхать на безопасность, так и осталось.

Вокруг один коронавирус и сплошной негатив.

Но иногда можно (и нужно!) немного посмеяться.

Забавная история произошла с австралийским Шелдоном Купером, 27-летним астрофизиком Даниелем Рирдоном.

Оказавшись в домашней самоизоляции его пытливый ум стал искать новые пути своего применения, в результате чего Рирдон решил изобрести устройство, предостерегающее людей от прикосновений руками к лицу. После чего стал экспериментировать с магнитными полями и датчиками их обнаружения.

Сначала он "изобрел" браслет, который все время подавал сигнал тревоги - выяснилось что тот жужжал когда магнитного поля не было. То есть практически всегда.

А потом он решил поиграть с неодимовыми магнитами, в результате чего 2 из них слиплись у него в носу по разные стороны носовой перегородки. Физик пытался вытащить их с помощью плоскогубцев, но каждый раз плоскогубцы притягивались к магнитам, в результате чего Рирдону было "немного больно".

В ходе дальнейших попыток вынуть магниты с помощью других магнитов австралиец добился только того, что их общее количество число в носу увеличилось до 4.

В итоге ему все-таки помогли в больнице, правда в ходе извлечения один из магнитов упал ему в горло и он чуть не задохнулся. Но все окончилось благополучно.

Предвидя, что у многих деятельных молодых специалистов от сидения дома начнет от скуки ехать крыша, призываем не проводить подобные эксперименты.

Лучше вязать научиться. Крючком.

https://www.theguardian.com/australia-news/2020/mar/30/astrophysicist-gets-magnets-stuck-up-nose-while-inventing-coronavirus-device

ТГ-канал оперативного штаба Москвы по ситуации с коронавирусом сообщает, что большинство заболевших за сутки в Москве - молодые люди от 18 до 40 лет.

Всего заболело 212, а в возрасте от 18 до 40 - 102.

Кто-нибудь, объясните тупым гуманитариям, что большинство - это больше половины. Большинство от 212 - это 106+. А никак не 102.

Дбл блд.

Появилось изображение бета-версии Microsoft News Bar в Windows 10. Это прокручиваемая строка сверху панели задач, которая открывает ссылки в Edge.

Хтонический ужас.

https://twitter.com/WithinRafael/status/1244551438283362304

BREAKING NEWS

Хакеры взломали официальные аккаунты Microsoft на Youtube и уже более 13 часов под видом стрима крутят запись выступления Билла Гейтса на Village Global-2019, параллельно пытаясь раскрутить зрителей на скам "crypto giveaway".

Пока, вроде как, получили 0 BTC. Но весело, да.

Наступила неделя самоизоляции. Количество мамкиных хакеров увеличилось в туеву хучу раз.

https://twitter.com/campuscodi/status/1244666452210339841

Наглядное сравнение воздушного трафика над Атлантикой в начале и конце марта.

https://twitter.com/flightradar24/status/1244471922030714881

Исследовательская группа X-Force, являющаяся подразделением IBM, сообщает, что только за последние 2 недели количество спама, связанного с тематикой коронавируса выросло на 14000% (!).

Естественно, что все спам-рассылки имеют конечной целью получение либо денежных средств пользователя, либо доступа к его устройству (десктопу, смартфону etc.)

Конкретные темы рассылок могут быть разными - от информационных писем якобы от ВОЗ до прямых угроз заражения COVID-19 в случае невыплаты адресатом криптовалюты вымогателю.

Мы не даем новостей по поводу очередных выявленных рассылок, и так понятно, что коронавирус хакеры будут эксплуатировать и в хвост и в гриву, как и любую горячую тему, на которую ведется пользователь.

Просто напоминаем, что правила гигиены требуют мыть руки до и после, а также не открывать ссылок и приложений, пришедших в письме от недоверенного адресата.

А лучше вообще такие письма не трогать. Если государство захочет донести до вас что-то очень важное, то оно позвонит на телефон. Или в дверь.

https://www.techrepublic.com/article/coronavirus-themed-spam-surges-14000-in-two-weeks/

Вчерашнее бодрое расчехление ТГ-каналов, которых репостил Незыгарь, у редакции последнего вызвало некоторую оторопь.

А мы еще в начале февраля говорили, что Телеграм больше не анонимен. Да только нас никто не услышал, ростом не вышли.

Ну вот, чуть подросли и повторяем еще раз - ребята, есть дырка и есть эксплойт. Все остальное прилагается.

И это не политика, это инфосек. А в нем мы шарим больше.

ФБР уже в третий раз с начала года выступает с предупреждением о скоординированной кибератаке на поставщиков ПО, предназначенного для реального сектора.

Как и в прошлом предупреждении в феврале в качестве основной угрозы ФБР указывает RAT Kwampirs, а точнее оператора этого вредоноса, которого теперь так и называют - APT Kwampirs.

Основными целями Kwampirs названы отрасли здравоохранения, энергетики и проектирования в США, Европе, Азии и на Ближнем Востоке.

Как и раньше, в силу некоторых косвенных признаков, APT Kwampirs связывают с иранским правительством, а точнее с APT33, которая, по утверждениям ФБР, является иранской кибер-прокси.

Вместе с тем, непонятно - является ли новое предупреждение ФБР реакцией на активизацию распространения Kwampirs или это своего рода "переиздание" старого материала.

Эпидемия коронавируса разрастается, старые кибервойны не утихают.

#ХроникиСвободногоМира

https://www.zdnet.com/article/fbi-re-sends-alert-about-supply-chain-attacks-for-the-third-time-in-three-months/

Microsoft выпустила экстренный патч, устраняющий ошибку в Windows 10, которая в некоторых случаях делала проблематичным подключение к сети через прокси или через VPN.

Обновление не устанавливается автоматически, поэтому если вас коснулась данная проблема необходимо установить апдейт вручную.

Подробные сведения об обновлении можно найти здесь.

Исследователи из Airbus CyberSecurity проанализировали защищенность программируемых логических контроллеров (PLC) Modneon M340 производства компании Schneider Electric и нашли уязвимость, позволяющую провести на них атаку типа Stuxnet.

PLC используют в различных производствах для автоматизации технологического процесса. В 2010 году США и Израиль в ходе атаки Stuxnet использовали уязвимость в PLC SIMATIC S7 производства компании Siemens для атаки на иранские центрифуги для обогащения урана.

Исследователи из Airbus обнаружили уязвимость CVE-2020-7475, которая позволяет загрузить на устройство под видом одной из служебных библиотек вредоносный код и, впоследствии, взять PLC под контроль. После этого можно как управлять работой самого PLC, так и использовать его в качестве промежуточной точки для доступа во внутреннюю технологическую сеть.

Сам процесс взлома, по словам экспертов, весьма трудоемок и может быть выявлен на одном из его этапов, но, тем не менее, вполне реализуем.

Schneider Electric оперативно выпустили апдейт, но сообщили, что подобные уязвимости имеют и решения от других поставщиков. Каких конкретно - французы не назвали. Опять же не до конца ясно, насколько своевременно проводятся апдейты PLC, которые находятся под нагрузкой в технологической процессе.

А между тем, Schneider Electric - это один из ведущих мировых производителей оборудования для автоматизации с годовым оборотом в несколько десятков миллиардов долларов.

С чего вдруг инфосек Airbus озаботился подобными изысканиями мы не знаем. Возможно, они явились реакцией на некий инцидент безопасности.

А возможно, промышленный гигант пытается превентивно защитить свои производственные мощности от попыток реализации нового Stuxnet со стороны своих заокеанских "братьев". Ведь после выхода из коронавирусного кризиса рынка авиаперевозок хватит не только лишь всем.

https://www.securityweek.com/industrial-controllers-still-vulnerable-stuxnet-style-attacks

​​Пара мыслей про приложение Социальный мониторинг от правительства Москвы, которое вчера вечером начали активно обсуждать в Телеграм-каналах.

Во-первых, то, что выложили на Github - это не исходники, как пишет канал IT и СОРМ. Это декомпилированный экспорт. Давайте не путаться.

Во-вторых, мы немного поковырялись в приложении и можем добавить к написанному следующее.

"Доступ к любым данным" - это громко сказано. Контакты не читаются, настройки никакие не отправляются, кроме Wi-Fi, IMEI и номера телефона. Хотя и это немало, да.

Плюс отправляется геолокация с шагомером. И все это в открытом виде.

Что касается распознавания фото - действительно, на удивление, вместо findface .pro фото отправляются на identix .one. Причем это единственное, что отправляется в https.

Далее, смотрим на identix .one. Как сам сервис заявляет - они чуть ли не первая в мире облачная платформа по распознаванию фото. Беглый поиск показывает, что пациент находится в Таллине, по крайней мере так указано в его официальном Твиттере.

На Хабре с 2018 года есть учетка некой компании Datacorp, которая называет в качестве основного своего продукта как раз систему распознавания identix .one. Адрес компании - Россия, Санкт-Петербург, Канал Грибоедова, д. 12. Насколько мы понимаем, это офисное здание.

Кроме того существует позаброшенный сайт https://datacorp.ru компании DataCorp, которая "реализует проекты в г. Санкт-Петербурге, Пскове, Великом Новгороде и Москве". Директор компании, он же, похоже, и сама компания - некий Дмитрий Воронин (ссылка на FB с сайта компании). Та ли эта DataCorp или нет - непонятно.

А, ну и, как известно, в Таллине киберцентр НАТО стоит как раз. Постучите в центр информационной безопасности ФСБ, скажите что у них дно вывалилось.

Последние несколько дней платформа видеоконференций ZOOM стала одним из самых обсуждаемых сервисов. В первую очередь потому, что в ней нашлась масса косяков, которые подвергают угрозам приватность и безопасность пользователей.

Сегодня в копилку упала еще одна дырка.

Как оказалось, клиент ZOOM при отправлении URL во внутренний чат конвертирует его в гиперссылку. Однако, наряду с этим, в гиперссылки он также конвертирует UNC-пути, которые используются Windows для доступа к сетевым ресурсам.

При переходе по такой гиперссылке Windows использует протокол SMB и передает на другую сторону логин и NTLM-хэш пароля пользователя. Последний же может быть легко вскрыт с учетом современных вычислительных мощностей.

Таким образом, злоумышленник, прислав во внутренний чат приложения специальным образом сформированную ссылку, в дальнейшем может получить логин и пароль пользователя.

Кроме того, в формате UNC может быть передана команда на запуск локального приложения. Правда, при этом Windows спросит разрешение на запуск.

Редакция Bleeping Computer сообщила о найденной уязвимости разработчикам ZOOM, но последние пока не ответили.

Те же, кто не хочет ждать официального апдейта, могут настроить локальную политику безопасности таким образом, чтобы запретить Windows передавать NTML хэш наружу (подробно описано в статье по ссылке).