Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
Telegram
SecAtor
Неделю назад мы писали о том, что оператор ransomware Maze, который, судя по всему, является русскоязычной командой, начал размещать на своем сайте краденную информацию от другого ransomware LockBit. Более того, Maze сообщили, что через несколько дней к…
Товарищи, а у нас тут прямо ЧП нарисовалось.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
Помнится, не далее как зимой активно обсуждалась 0-day уязвимость CVE-2019-19781 в Citrix ADC и Citrix Gateway, которая оставалась незамеченной не менее месяца и которая использовалась различными хакерскими группами, в том числе прогосударственными, для проникновения в интересующие их сети.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Несколько дней назад мы писали про новый вредонос EvilQuest для MacOS, который, маскируясь под ransomware, крадет данные с зараженных машин. Проблема усугубляется тем, что он действительно шифрует пользовательские файлы и не предоставляет никаких реальных механизмов для их расшифровки, даже после выплаты жертвой денежных средств.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
SentinelOne
Breaking EvilQuest | Reversing A Custom macOS Ransomware File Encryption Routine - SentinelLabs
A new macOS ransomware threat uses a custom file encryption routine not based on public key encryption. Jason Reaves shows how we broke it.
Вчера Министерство юстиции США (DOJ) выдвинуло обвинение против гражданина Казахстана Андрея Турчина, который известен в хакерской среде как fxmsp.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
PRIVACY Affairs провели расследование и составили индекс актуальных цен на различные услуги, предлагаемые в дарквебе.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
Privacy Affairs
Dark Web Price Index 2020. Check all 2020 Dark Web Prices
To see just how prevalent items of personal data are being listed on the dark web, and at what price, we sent our researchers on a data-gathering mission.
ZeroDay публикует статью с продолжением истории о предустановленном malware в бюджетных телефонах в США.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
ZDNet
More pre-installed malware has been found in budget US smartphones | ZDNet
Cheap phones often have tradeoffs but researchers say this should never compromise user safety.
Все уже обсуждают и мы не можем пройти мимо.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Не грози Южному Централу попивая сок у себя в квартале!
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Twitter
thaddeus e. grugq
Explanation: For years @signalapp has been adding features while retaining the core commitment to a secure communications protocol with a functioning client and no more. Now, Signal will backup your data to their computers, protected by that PIN they’ve been…
Давненько у нас ничего про ZOOM не было. И вот - очередная 0-day уязвимость.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
0Patch
Remote Code Execution Vulnerability in Zoom Client for Windows (0day)
by Mitja Kolsek, the 0patch Team [Update 7/13/2020: Zoom only took one (!) day to issue a new version of Client for Windows that fixes this...
Исследователи компании Cyble, специализирующейся на расследовании деятельности операторов ransomware, сообщают, что оператор вымогателя Maze объявил об успешных атаках на ресурсы множества компаний, прибыль которых составляет от 4 до 600 млн. долларов.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Twitter
Cyble
**Breach Alert** #Maze #Ransomware Operators claimed to have breached multiple organizations ranging from $4 million to $600 million in revenue. Top names -: - X-FAB Silicon Foundries - Voxx International - Burton Lumber #infosec #cyber #leaks #cybersecurity
Веселая история четырехлетней давности.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.
Китайцы опять шалят!
По информации ZeroDay, исследователи Пьер Ким и Александр Торрес обнаружили семь серьезных уязвимостей в прошивке 29 моделей OLT от китайской фирмы C-Data, включая предустановленный бэкдор.
OLT (Optical line terminal) - оконечное устройство в оптоволоконной сети, которое широко используется провайдерами по всему миру.
Оказалось, что китайцы спрятали в прошивке четыре различные комбинации логин-пароль (в зависимости от модели), позволяющие подключиться к OLT через сервер Telnet и получить доступ к интерфейсу командной строки администратора. После этого хакер может использовать остальные шесть уязвимостей для расширения своего присутствия на атакованном устройстве.
Сегодня исследователи опубликовали полученные данные в отношении уязвимостей, при этом они не уведомляли C-Data, поскольку бэкдоры били намерено вшиты китайским производителем.
Также Ким и Торрес предупредили, что ряд устройств, производимых C-Data, могут продаваться под другими брендами - OptiLink, V-SOL CN, BLIY. и другие.
По информации ZeroDay, исследователи Пьер Ким и Александр Торрес обнаружили семь серьезных уязвимостей в прошивке 29 моделей OLT от китайской фирмы C-Data, включая предустановленный бэкдор.
OLT (Optical line terminal) - оконечное устройство в оптоволоконной сети, которое широко используется провайдерами по всему миру.
Оказалось, что китайцы спрятали в прошивке четыре различные комбинации логин-пароль (в зависимости от модели), позволяющие подключиться к OLT через сервер Telnet и получить доступ к интерфейсу командной строки администратора. После этого хакер может использовать остальные шесть уязвимостей для расширения своего присутствия на атакованном устройстве.
Сегодня исследователи опубликовали полученные данные в отношении уязвимостей, при этом они не уведомляли C-Data, поскольку бэкдоры били намерено вшиты китайским производителем.
Также Ким и Торрес предупредили, что ряд устройств, производимых C-Data, могут продаваться под другими брендами - OptiLink, V-SOL CN, BLIY. и другие.
ZDNET
Backdoor accounts discovered in 29 FTTH devices from Chinese vendor C-Data
The backdoor accounts grant access to a secret Telnet admin account running on the devices' external WAN interface.
Эту новость, наверняка, большинство уже увидело.
Президент США Дональд Трамп подтвердил журналисту The Washington Post Марку Тиссену, что в 2018 году санкционировал кибератаку на российское Агентство интернет-исследований, которое финансируется Евгением Пригожиным. Поводом послужила якобы имевшая место со стороны Агентства манипуляция общественным мнением в период американских выборов в 2016 году.
При этом, заметим, вмешательство не носило характер взлома, а было чисто информационным. Фактически Трамп легитимизировал принцип "не нравится, что говорит твой оппонент - взломай его".
Безотносительно нашего собственного отношения к "ольгинцам" такое признание - из ряда вон. Имеет ли теперь право Кремль открыто санкционировать кибероперации против, например, USAID, которые весьма активно работали в Рунете в первой половине 10-х годов?
На этом фоне вспоминается, к примеру, создание и передача в пользование ФБР 0-day эксплойта для ОС Tails, за который Facebook заплатила неназванной инфосек компании. При этом данные о выявленной уязвимости так и не были сообщены разработчикам ПО.
Все формальные правила, которые существовали в кибервойнах, к примеру, прятать под ковер участие спецслужб в атаках на информационные ресурсы геополитических конкурентов, на наших глазах сливаются в треш.
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
Президент США Дональд Трамп подтвердил журналисту The Washington Post Марку Тиссену, что в 2018 году санкционировал кибератаку на российское Агентство интернет-исследований, которое финансируется Евгением Пригожиным. Поводом послужила якобы имевшая место со стороны Агентства манипуляция общественным мнением в период американских выборов в 2016 году.
При этом, заметим, вмешательство не носило характер взлома, а было чисто информационным. Фактически Трамп легитимизировал принцип "не нравится, что говорит твой оппонент - взломай его".
Безотносительно нашего собственного отношения к "ольгинцам" такое признание - из ряда вон. Имеет ли теперь право Кремль открыто санкционировать кибероперации против, например, USAID, которые весьма активно работали в Рунете в первой половине 10-х годов?
На этом фоне вспоминается, к примеру, создание и передача в пользование ФБР 0-day эксплойта для ОС Tails, за который Facebook заплатила неназванной инфосек компании. При этом данные о выявленной уязвимости так и не были сообщены разработчикам ПО.
Все формальные правила, которые существовали в кибервойнах, к примеру, прятать под ковер участие спецслужб в атаках на информационные ресурсы геополитических конкурентов, на наших глазах сливаются в треш.
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.
РБК
Трамп подтвердил кибератаку США на российскую «фабрику троллей»
Трамп заявил, что в 2018 году санкционировал атаку на Агентство интернет-исследований, основываясь на данных разведки о вмешательстве России в выборы. По его словам, о «манипуляциях» Москвы знал и
В конце 19 века французский театровед Жорж Польти опубликовал книгу Тридцать шесть драматических ситуаций, в которой утверждал, что существует всего 36 сюжетов, на которых основываются все драматические произведения в мире.
Это мы вспомнили к тому, что часто сюжетные повороты из реальной жизни переносятся в онлайн. Следующую новость можно охарактеризовать как "вор у вора дубинку украл".
Как сообщает ZeroDay, хакер, взявший псевдоним NightLion, взломал сервис мониторинга утечек DataViper, который управляется Винни Троя, исследователем компании Night Lion Security.
Хакер утверждает, что в течение 3 месяцев он присутствовал на серверах DataViper, в течение которых смог получить доступ к 8225 баз данных, часть из которых можно соотнести со старыми утечками, а часть - ранее неизвестных. В настоящее время NightLion продает в даркнете 50 самых крупных из украденных баз.
Night Lion Security собирает утечки данных в Интернет для последующего оказания услуг своим клиентам. И хотя в качестве основной цели указывается "получение информации об утечках данных сотрудников компаний-клиентов", зачастую такие базы используются при пробиве людей в интересах заказчика.
Пострадавшая сторона, как полагается, говорит, что на самом деле это был взлом тестового сервера и хакер продает собственные базы данных под видом украденных из DataViper.
Это мы вспомнили к тому, что часто сюжетные повороты из реальной жизни переносятся в онлайн. Следующую новость можно охарактеризовать как "вор у вора дубинку украл".
Как сообщает ZeroDay, хакер, взявший псевдоним NightLion, взломал сервис мониторинга утечек DataViper, который управляется Винни Троя, исследователем компании Night Lion Security.
Хакер утверждает, что в течение 3 месяцев он присутствовал на серверах DataViper, в течение которых смог получить доступ к 8225 баз данных, часть из которых можно соотнести со старыми утечками, а часть - ранее неизвестных. В настоящее время NightLion продает в даркнете 50 самых крупных из украденных баз.
Night Lion Security собирает утечки данных в Интернет для последующего оказания услуг своим клиентам. И хотя в качестве основной цели указывается "получение информации об утечках данных сотрудников компаний-клиентов", зачастую такие базы используются при пробиве людей в интересах заказчика.
Пострадавшая сторона, как полагается, говорит, что на самом деле это был взлом тестового сервера и хакер продает собственные базы данных под видом украденных из DataViper.
ZDNET
Hacker breaches security firm in act of revenge
Hacker claims to have stolen more than 8,200 databases from a security firm's data leak monitoring service.
Infosecurity Magazine сообщает, что за последние два года чиновники Правительства Великобритании потеряли более 300 электронных устройств (ноутбуки, плантшеты и пр.), содержащих конфиденциальные правительственные данные.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Несмотря на то, что эти устройства были зашифрованы, не вызывает сомнения, что при попадании в умелые руки часть данных может быть раскрыта.
Напомним, что в марте случилась чудесная история, когда исследователи из немецкой компании G Data приобрели на eBay за 90 евро старый защищенный лэптоп, который ранее использовали в Бундесвере.
После того, как ресерчеры смогли подобрать пароль, вяснилось, что на ноутбуке хранятся секретные документы по эксплуатации мобильной системы ПВО LeFlaSys, которая принята на вооружение в 2001 году и до сих пор стоит в строю.
Боимся предположить сколько же ноутбуков потеряли за отчетный период отечественные чиновники.
Это был пост про культуру информационной безопасности при работе с чувствительными данными.
Infosecurity Magazine
Central Government Loses 300+ Devices Since 2018
Latest FOI request reveals a persistent problem across public sector
Обострение геополитической обстановки между Китаем и Индией влечет за собой обострение и в киберпространстве.
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
Как мы знаем, активность, например, индийских хакерских групп достаточно точно коррелирует с различными геополитическими событиями, в которые вовлечена Индия. Пекин тоже не остается в долгу. И если деятельность APT не всегда видна, то результаты работы национальных инфосек команд часто оказываются на публике.
Вчера китайская исследовательская группа Shadow Chaser Group опубликовала отчет, в котором расчехлила индийскую APT SideWinder (про деятельность этой группы на пакистанском направлении мы писали не так давно). Можно расценивать это как своего рода ответ на активность индийцев в киберпространстве, направленной на китайские сети.
Что же говорят китайцы?
Они называют SideWinder индийской хакерской группой, которая сосредоточена на Пакистане и Юго-Восточной Азии. Основная цель - кража конфиденциальной информации правительственных ресурсов, а также военных организаций и предприятий энергетической и добывающей отраслей. Основной метод - фишинг.
Shadow Chaser Group детально рассматривает атаки SideWinder на организации Пакистана и Бангладеш, а также киберкампанию против неназванного китайского научного института, специализирующегося на борьбе с эпидемией коронавируса весной 2020 года.
Последняя деталь особенно интересна, потому что ранее мы знали про атаки на ресурсы китайских медицинских организаций в разгар эпидемии COVID-19 со стороны южнокорейской APT DarkHotel и вьетнамской Ocean Lotus. Теперь оказывается, что индийские хакеры также активно отрабатывали тему.
Ответят ли индийские инфосек ресерчеры анализом деятельности Winnti или какой-нибудь Override Panda?
#APT #SideWinder
