Крупнейший производитель импульсных источников питания Delta Electronics из Тайваня, ведущий поставщик Apple, Tesla, HP и Dell, с оборотом в 9 млрд. долларов стал жертвой атаки с использованием ransomware.

Дерзкое нападение совершили Conti, о чем стало известно от CTWANT. Об инциденте стало известно в пятницу утром, официальное заявление сделано 2 января 2022 года. Инцидент затронул только некритические системы и не оказал влияния на ее работу. Но веб-сайт компании кстати все еще не работает.

В настоящее время Delta работает над восстановлением систем, а также проводит расследование совместно Trend и Microsoft. В ходе переговоров Conti выставили счетов на 15 миллионов долларов за расшифровку 1500 серверов и 12 000 компьютеров (всего сеть насчитывает примерно 65 000 устройств). Также вымогатели пообещали скидку, если компания поторопится с выкупом.

Что удалось узнать к настоящему моменту, как это то, что схема нападения с использованием Cobalt Strike с Atera была схожа с атакой REvil на одного из поставщиков Apple, о чем сообщили AdvIntel.

Посмотрим, чем закончатся переговоры.

​​Известный брокер эксплойтов Zerodium намерены выкупить по 200 000 и 400 000 долларов за 0-day уязвимости в Mozilla Thunderbird и Microsoft Outlook соответственно, по факту самых популярных почтовых клиентов для настольных компьютеров. Ранее за RCE для MS Outlook брокеры предлагали 250 000 долларов США.

Согласно представленному ТЗ, эксплойты должны реализовывать удаленное выполнение кода RCE под любую из платформ Windows, macOS и Linux.

Согласно ТЗ от Zerodium, эффективный эксплойт для любого из двух почтовых клиентов будет давать доступ не только к компьютеру жертвы, но и ко всем почтовым ящикам, управляемым через клиент.

Несмотря на достаточно специфичный характер деятельности Zerodium, результаты их прошлых сделок до настоящего времени не находили отражение в публично известных атаках или инцидентах, взять, к примеру, недавние заказы по ExpressVPN, NordVPN и Surfshark VPN.

При том, что мы все прекрасно помним печальную судьбу Candiru, NSO Group и Gamma Group, которые по факту также являются яркими представителями рассматриваемого сегмента.

Mozilla и Microsoft пока отмалчиваются по поводу Zerodium. Тем временем, в качестве другого лота Zerodium также обозначили WordPress CMS, самый популярный конфигуратор веб-сайтов.

Похоже, что QNAP не намерены вести переговоров с DeadBolt и тем более платить за уязвимость.

Вместо этого, производитель запустил принудительное обновление ПО QTS на всех доступных в сети сетевых устройствах хранения данных (NAS) до версии 5.0.0.1891, последней универсальной прошивки от 23 декабря 2021 года, причем даже если автоматические обновления отключены.

К решительным действиям производителя подтолкнула статистика, ведь согласно Shodan уже более 1160 устройств QNAP NAS зашифрованы с помощью DeadBolt, а по метрики Censys - 3687 устройств, причем большая часть которых приходится на США, Францию, Тайвань, Великобританию и Италию. Кроме того, устройства продолжают атаковать вымогатели Qlocker и eCh0raix.

С другой стороны экстренно выпустить обновления, не зная эксплуатируемых баг - достаточно непростая задача, но принимая во внимание, что цена за технические подробности составляла 5 биткойнов (185 000 долларов), вполне себе решаемая. Другое дело дешифратор по стоимости 1,85 миллиона долларов.

Однако обновление прошло не так гладко, как предполагалось.

Во-первых, некоторые из устройств утратили возможность соединения iSCSI. Решение проблемы, конечно же нашлось.

Во-вторых, серьезные проблемы возникли у жертв уже состоявшихся атак, которые приобрели ключ дешифрования и находились в процессе расшифровки данных. Обновление прошивки также удалило исполняемый файл программы-вымогателя и экран выкупа, используемый для инициации дешифрования, отрезав их от возможности восстановления данных. Решение отсутствует.

Как мы полагаем, производитель, принимая столь неоднозначное решение, сделал ставку на то, что в атаках используется уже известная уязвимость в QTS, которую устраняет обновление прошивки. Хотелось бы верить, что цель в данном случае оправдывает средства или точнее жертвы.

Накал страстей с ransomware растет с каждым днем и речь идет уже не об атаках на коммерческие организации, а о целенаправленном посягательстве и шантаже целых стран.

Своей дерзостью отличилась банда вымогателей LockBit, которая заявила, что украла тысячи файлов из Министерства юстиции Франции и грозит опубликовать конфиденциальные данные, если выкуп не будет выплачен до 10 февраля.

Объявление появилось на сайте утечек LockBit 2.0 в Tor. Группировка известна тем, что предоставляет свой софт, как услугу и, согласно данным фирмы по кибербезопасности Emsisoft, действует по крайней мере с сентября 2019 года.

Пока министерство юстиции Франции и главное агентство кибербезопасности страны не дают никаких комментариев по поводу инцидента. Однако представитель из министерства сообщил американскому агентству Politico, что ведомство узнало о предупреждении и немедленно предприняло шаги для проведения необходимых проверок, но каких и в отношении чего не уточнило.

Если верить объявлению на сайте утечки, где публикуются файлы жертв, то достоянием преступной группы может быть 9 856 файлов, которые возможно мы увидим в первой декаде февраля.

Аналитик Бретт Кэллоу из Emsisoft заявил, что группа может и не опубликовать данные, так как уже были случаи из прошлых заявлений, когда сведения об утечке были фиктивными.

Внимательно наблюдаем и ждем развития ситуации.

Отличились сегодня и вымогатели Moses Staff, опубликовав на своем DLS новую жертву Rafael Advanced Defense Systems.

Все бы ничего, если не знать, что израильская компания Rafael является ведущим производителем вооружений, ее штат достигает 6000 человек, а выручка до нескольких млрд зеленых. Компания входит в четвёрку крупнейших израильских фирм-экспортёров вооружений, в 100 крупнейших оружейных фирм мира и занимает 49 место по рейтингу прибыли от продаж.

Говорят патроны, как деньги — приятно тратить. Теперь у Rafael Advanced Defense Systems есть все возможности на это.

​​Новый метод отслеживания пользователей в Интернет DrawnApart может сменить традиционные решения уже в самое ближайшее время.

Исследователи их французских, израильских и австралийских университетов завершили крупномасштабный эксперимент с использованием 2550 устройств с 1605 различными конфигурациями ЦП, в рамках которого был разработан алгоритм создания уникальных FingerPrint на основе анализа GPU с помощью WebGL (Web Graphics Library).

Используя эту библиотеку, DrawnApart может подсчитывать количество и скорость исполнительных блоков в графическом процессоре, измерять время, необходимое для завершения рендеринга вершин, обрабатывать функции остановки и др. Он применяет короткие программы GLSL, выполняемые целевым графическим процессором как часть вершинного шейдера, чтобы решить проблему наличия случайных исполнительных блоков, обрабатывающих вычисления.

Новый метод позволяет увеличить медианную продолжительность отслеживания до 67% (в комплексе с другими алгоритмами слежения) по сравнению с текущими современными методами и способен проводить измерения как на экране, так и вне. Создания отпечатка пальца производится по 176 измерениям в 16 точках генерации следов. Исследователи четко определили, что отпечатки зависят исключительно от графического процессора вне зависимости изменений конфигураций, поменяв местами аппаратные части.

Автономный алгоритм отслеживания может обеспечить среднее время отслеживания 17,5 дней, но с помощью DrawnApart это время увеличивается до 28 дней. При том, что на DrawnApart не влияют никакие иные условия, кроме как диапазон рабочих температур графического процессора (обычно составляет от 26,4 °C до 37 °C) и колебания напряжения.

Потенциальными мерами противодействия DrawnApart могут стать: изменение значения атрибута, предотвращение параллельного выполнения, блокировка сценариев, блокировка API и предотвращение измерения времени. К настоящему времени Разработчики WebGL API из компания Khronos group сформировали группу технических исследований для обсуждения возможных решений с поставщиками браузеров и другими заинтересованными сторонами.

Google кстати уже отказались от своего нового метода FLOC, и, как показывает практика, не зря.

Pegasus и до финов добрался, или точнее скажем фины, наконец-то, добрались до него.

Министерство иностранных дел Финляндии сообщает о начале расследования по факту обнаружения шпионского ПО Pegasus от NSO Group на телефонах своих дипломатов.

Как отмечают фины, очень сложное вредоносное ПО заразило телефоны пользователей Apple или Android без их ведома и без каких-либо действий со стороны пользователя с целью кибершпионажа. Допускают также, что помимо хищения информации, смартфоны могли быть еще более скомпрометированы. Атаки были направлены на должностных лиц из финских миссий за рубежом.

Следствие полагает, что несмотря на то, что данные с телефонов дипломатов представляют открытую информацию или слегка засекреченную, злоумышленники все же могли получить доступ к конфиденциальной дипломатической информации. При этом даже, если информация прямо не засекречена, сама информация и ее источник могут быть предметом дипломатической конфиденциальности.

Официальные лица от правительства заявили, что они все еще расследуют взломы, чтобы определить, кто стоял за попыткой шпионажа.

Тем временем, последние разоблачения, связанные с Pegasus, вызывают все больше удивления и негодования, ведь инциденты все чаще выявляются в странах с достаточно высоким уровнем развития демократии, будь то Венгрия или Польша, руководство которых мало, чем отличается от критикуемых ими геополитических оппонентов.

А согласно последним сводкам с международного фронта борьбы с кибершпионажем, вообще рвут набитые стереотипы: как выясняется, софт от NSO также активно закупался и в интересах Федерального бюро расследований США. Правда о том, для каких целей и как он использовался не сообщается. Но всему свое время.

Таким образом, PegasusGate выходит на новый виток развития. Будем следить.

Интересный юридический прецедент был рассмотрен в немецком суде, который постановил, что веб-сайты со встроенными шрифтами Google нарушают Общий регламент ЕС по защите данных (GDPR).

Суд в Мюнхене обязал владельца веб-сайта выплатить 100 евро в качестве возмещения ущерба за передачу личных данных пользователя, а именно IP-адреса в Google через библиотеку шрифтов Google Fonts без согласия человека.

Google Fonts — это сервисная библиотека для встраивания шрифтов от Google, позволяющая разработчикам добавлять шрифты в свои приложения и веб-сайты для Android, просто ссылаясь на таблицу стилей. По состоянию на январь 2022 года Google Fonts представляет собой хранилище для 1358 семейств шрифтов.

По мнению суда несанкционированное раскрытие IP-адреса истца веб-сайтом, представляет собой нарушение прав пользователя на неприкосновенность частной жизни и что администратор ресурса теоретически может объединить собранную информацию с другими сторонними данными для идентификации лица, стоящего за этим IP. Как говорится в постановлении - истец утратил контроль над личными данными в пользу Google.

В соответствии с GDPR элементы данных, такие как IP-адреса, рекламные идентификаторы и файлы cookie, считаются личной идентифицирующей информацией, что обязывает компании, запрашивать явное разрешение пользователей, на обработку таких сведений. Подобная практика не новая и вы наверняка не раз видели всплывающие уведомления на ресурсах и в рунете, но с процессуальной точки зрения прецедент уникален и может вызвать неподдельный интерес со стороны правоохранителей, активистов и правозащитных организаций.

Кроме того, суд постановил владельцу веб-сайта прекратить раскрытие IP-адресов из-за библиотеки шрифтов, а также предоставить потерпевшей стороне информацию о том, какие персональные данные он хранит и обрабатывает.

Не так давно подобной инцидент с Google уже имел место быть, когда Австрийский орган по защите данных постановил, что использование Google Analytics веб-сайтом NetDoktor, нарушает регламент GDPR, поскольку данные посетителей экспортируются на серверы Google в США, тем самым открывая двери для потенциальных клиентов и слежки со стороны ее спецслужб.

А так, казалось бы всего лишь шрифт.

Мы уже писали о том, как клиенты Microsoft стали заложниками трудного выбора: накатить январский PatchTuesday (и столкнуться с ошибками в работе L2TP, VPN, ReFS и Hyper-V) или же откатиться к работоспособной версии. А выбор все жи придется сделать.

Исследователь  RyeLv раскрыл эксплойт для уязвимости повышения локальных привилегий CVE-2022-21882, которая позволяет локальному аутентифицированному злоумышленнику в Windows 10 получить повышенные права локальной системы или администратора через уязвимость в драйвере Win32k.sys.

Уязвимость Win32k была исправлена январским PatchTuesday и представляла собой обхода ранее обнаруженной уязвимости CVE-2021-1732. Используя раскрытую ошибку, злоумышленники с ограниченным доступом к скомпрометированному устройству могут легко повысить свои привилегии, чтобы помочь распространиться по сети, создать новых пользователей с правами администратора или выполнить привилегированные команды.

Работоспособность эксплойтов уже подтвердили несколько экспертов, в том числе аналитик уязвимостей CERT/CC Уилл Дорманн.

Уязвимость ранее уже попадала в поле зрения израильского исследователя Джила Дабаха, директора Piiano, решившим не раскрывать ошибку после решения Microsoft уменьшить вознаграждения по программе вознаграждения за обнаружение ошибок. И это все при том, что CVE-2021-1732 активно использовалась APT Bitter (азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю, за которой предположительно, стоит Индия) в целевых атаках.

Поэтому настоятельно рекомендуем администраторам, не установившим обновления за январь 2022 года, сделать это поскорее, помня историю предшественника CVE-2022-21882.

Целая страна в Европе осталась без интернета в ходе турнира по Minecraft, создатель «Терминатора» считает, что Скайнет может стравить и уничтожить человечество, используя дипфейки, методом «серфинга через плечо» можно легко украсть все ваши деньги, а с помощью маячка Apple AirTag — вычислить секретную разведслужбу.

ФСБ России задержала лидеров киберпреступной группы, промышлявшей кражей данных банковских карт, и продавца микросхем для С-300 и С-400, а в Дагестане — накрыла подпольную сеть криптоферм, изъяв больше 4300 единиц компьютерной техники. Volkswagen уволил топ-менеджера, указавшего на уязвимость платежной платформы автогиганта, а в России решили разработать меры защиты граждан от произвола искусственного интеллекта.

Check Point запускает межсетевые экраны Quantum Lightspeed Firewalls, корпорация Nvidia откажется от покупки разработчика процессоров Arm за $40 млрд, а менеджер паролей 1Password привлек $620 млн на расширение штата и покупку стартапов.

В сорок шестом выпуске Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю

https://www.youtube.com/watch?v=VVoq_CidMfQ

​​Неожиданный и рискованный маневр тайваньского производителя сетевых хранилищ (NAS) QNAP оказался расчетливым и верным ударом, нацеленным на исправление еще непропатченных владельцами уязвимости, которую эксплуатировали DeadBolt в ходе недавних атак, о которых мы не так давно упоминали.

Группа реагирования на инциденты кибербезопасности QNAP (PSIRT) обнаружила, что злоумышленники используют исправленную в декабре уязвимость (QSA-21-57), которая позволяла запускать произвольный код на уязвимых системах.

27 января 2022 года QNAP принудительно установила исправленные версии системного ПО 5.0.0.1891 как «рекомендуемую версию» на всех доступных онлайн-устройствах без ведома их владельцев. Все случилось на фоне того, как тысячи клиентов лишись своих данных в ходе атак вымогателей DeadBolt.

Согласно QNAP, ошибка была устранена в следующих версиях QTS и QuTS hero:
- QTS 5.0.0.1891, сборка 20211221 и более поздние версии;
- QTS 4.5.4.1892, сборка 20211223 и более поздние версии;
- QuTS h5.0.0.1892 сборка 20211222 и выше;
- QuTS h4.5.4.1892 сборка 20211223 и выше;
- QuTScloud c5.0.0.1919 сборка 20220119 и выше.

Однако, некоторые из пользователей становились жертвами вымогателей, даже когда у них была установлена последняя версия прошивки, что указывает на то, что злоумышленники, вероятно, умело используют и другие уязвимости.

Челендж продолжается.

Исправлена обнаруженная Orange Tsai из DEVCORE уязвимость, позволяющая злоумышленникам удаленно выполнять код с привилегиями root на серверах, использующих решение Samba.

CVE-2021-44142 касается проблемы чтения/записи за пределами кучи в модуле vfs_fruit VFS при анализе метаданных EA в ходе открытия файлов в smbd. Уязвимый модуль предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP.

Дело заключается в конфигурации модуля Fruit VFS по умолчанию: fruit:metadata=netatalk или fruit:resource=file. Если для обоих параметров установлены значения, отличные от значений по умолчанию, проблема не оказывает влияния на систему.

Кроме того, злоумышленникам, которые хотят использовать эту уязвимость, потребуется доступ для записи к расширенным атрибутам файла. Это может быть гость или пользователь, даже не прошедший проверку подлинности, если им разрешен такой доступ.

По данным CERT (CERT/CC), в список уязвимых платформ входят Red Hat, SUSE Linux и Ubuntu. Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требующих вмешательства пользователя, если на целевых серверах имеются какие-либо установки Samba до версии 4.13.17.

Рекомендуем как можно скорее накатить вышедшие обновления 4.13.17, 4.14.12 и 4.15.5 или применить соответствующие патчи для исправления ошибки.

Используя обходной путь, следует помнить, что изменение настроек модуля VFS приводит к тому, что вся сохраненная информация становится недоступной, а для клиентов macOS и вовсе выглядит утраченной.

Что не касается WordPress, то сразу счет на миллионы. В этот раз обнаружен критический RCE в популярном плагине Essential Addons for Elementor, который подвергает опасности более миллиона ресурсов.

Essential Addons for Elementor — популярный плагин WordPress, который предоставляет простые в использовании и креативные элементы для улучшения внешнего вида страниц. Как выяснилось плагин подвержен критической уязвимости RCE, которая затрагивает версию 5.0.4 и старше и позволяет пользователю, не прошедшему проверку подлинности использовать эту уязвимость для выполнения атаки с включением локального файла, например файла PHP, для удаленного выполнения кода на сайтах, на которых запущена уязвимая версия подключаемого модуля.

В анализе, опубликованном PatchStack так и говорится, что атака может быть использована для включения локальных файлов в файловую систему веб-сайта, таких как /etc/passwd, а также можно использовать для выполнения RCE, включив файл с вредоносным PHP-кодом, который обычно не может быть выполнен. Кроме того уязвимость включения локального файла существует из-за того, как данные ввода пользователя используются внутри функции включения PHP, которая является частью функций ajax load more и ajax eael product gallery.

Уязвимость была обнаружена энтузиастом Вай Ян Мьо Тхетом и может быть использована только в том случае, если на веб-сайтах включены виджеты «динамическая галерея» и «галерея продуктов», так что отсутствует проверка токена.

Угрозу конечно локализовали, но далеко не сразу.

Первоначально команда разработчиков попыталась исправить ошибку, реализовав функцию sanitize text field для входных данных пользователя. Однако специалисты обнаружили, что включение локальных полезных нагрузок все же возможно, после чего к версии 5.0.4 был применен второй патч. Новый патч вызывает функцию WordPress sanitize filename, которая удаляет специальные символы, недопустимые в именах файлов, чтобы предотвратить локальные атаки включения файлов. К сожалению, эта версия по-прежнему была уязвима и требовала дополнительной проверки.

Тогда был применен третий патч к версии 5.0.5 плагина, что повысило безопасность за счет использования функции realpath в PHP.

Версия 5.0.5 была выпущена 28 января 2022 года и на сегодняшний день она была установлена только на 380 000 сайтов WordPress, а это означает, что более 600 тысяч сайтов все еще используют потенциально уязвимую версию.

Eternal Silence захватывает тысячи маршрутизаторов, используя Universal Plug and Play (UPnP) и превращая их в прокси-сервера, которые в дальнейшем используются хакерами в качестве инфраструктуры для проведения атак.

Протокол UPnP помимо удобства в реализации переадресации устройств в сети, потенциально уязвим для атак, позволяющих удаленным субъектам добавлять записи переадресации портов UPnP через открытое WAN-соединение устройства.

Именно такие атаки под условным наименованием UPnProxy обнаружили исследователи из Akamai, наблюдавшие за актором, использующим эту уязвимость для создания прокси-серверов, скрывающих вредоносные операции.

Akamai предполагают, что злоумышленники экслпуатируют EternalBlue (CVE-2017-0144) и EternalRed (CVE-2017-7494) в незащищенных системах Windows и Linux соответственно.

Представители Akamai предрекают скорое завершение кампании. Однако цифры говорят об обратном: из 3 500 000 UPnP-маршрутизаторов, найденных в сети, 277 000 уязвимы для UPnProxy, а 45 113 из них уже заражены хакерами.

В целом, Eternal Silence — очень хитрая атака, потому что она делает практику сегментации сети неэффективной и не дает никаких признаков на то, что происходит с жертвой. Лучший способ определить, были ли захвачены устройства, — это просканировать все конечные точки и проверить записи в таблице NAT.

Есть много способов сделать это, но Akamai удобно предоставила этот bash-скрипт, который можно запустить для потенциально уязвимого URL-адреса.

И если вы все же обнаружили скомпрометированное с помощью Eternal Silence устройство, отключение UPnP не очистит существующие инъекции NAT. Вместо этого пользователям потребуется перезагрузить или прошить устройство.

​🚀 Утечка Lockheed Martin Corp на 40GB данных

На одном из форумов пользователь под ником 1941Roki заявил об утечке 40 GB данных из 🛩🇺🇸американской военно-промышленной корпорации Lockheed Martin. Хакер или их представитель, утверждает, что в его руки попали макеты дизайна, тестовые записи, детали контрактов, информация о текущих проектах Indago 4 и много военной информации🤔

🥊 Местный Рокки Бальбоа оценил дамп корпорации с капитализацией более $100 млрд., производящей баллистические ракеты, радары, спутники, боевые самолёты F-22 Raptor в размере $999🤨

Дальше интереснее, автор сайта Restore Privacy Свен Тейлор (сайт посвящённый конфиденциальности в сети) провел собственное расследование и пообщался с 1941Roki. Хакер выложил в качестве пруфа в одном из Telegram каналов непонятные чертежи и конструкторские макеты, якобы относящиеся к Lockheed Martin.

Пользователь с аватаркой Сильвестра Сталлоне в беседе со Свеном решил поделиться подробностями взлома компании:

"The process of obtaining data is presented by real Christmas history. We analyzed the security of the internal network of the company and came to the conclusion that it would not be crazy. So we analyzed LinkedIn information, compared it with other leaks and on the basis of this selected several employees of the company. Who, in our assumption, had access to the technical information you are interested in, but did not have sufficient qualifications in the field of information security. These employees received pleasant baubles [trinkets] on Christmas holidays. And at the beginning of January a signal was received from two of our gifts. "

Свен предполагает, что речь идет о BadUSB, которые злоумышленники могли разослать сотрудникам компании. Почему хакер не договорился по-тихому о продаже дампа напрямую компании Lockheed Martin за скромные 999 долларов, объясняется следующим заявлением:

"We tried to reach representatives of the company with a coating path with a proposal to resolve information security incident. But unfortunately we did not receive an adequate answer from them"

Странная история, зачем хакеру рассказывать подробности взлома компании первому встречному и продавать военную информацию многомиллиардной корпорации в Telegram за $999? Три версии, 👮‍♂️ханипот, 🥷🏻 скам или Рокки Бальбоа освоил квантовое шифрование в глухом 🔥⛩Тибете.

https://restoreprivacy.com/hacker-group-claims-lockheed-martin-breach/

Данные на более чем 144 000 студентов Британского Совета просочились в сеть благодаря незащищенному хранилищу.

В начале декабря 2021 года MacKeeper и исследователь Боб Дьяченко обнаружили открытый незащищенный репозиторий больших двоичных объектов Microsoft Azure с более чем 144 000 файлов (xml, json и xls/xlsx), содержащих личную информацию и данные для входа. Как выяснилось в ходе их изучения, принадлежали ведущему образовательному учреждению мира, который только за 2019 и 2020 годы реализовал проекты с участием 80 миллионов человек в 100 странах мира.

Утекшая информация включала в себя полные имена, адреса электронной почты, студенческие билеты, статус студента, даты зачисления, продолжительность обучения и примечания. Установить время, в течение которого информация осталась общедоступной, не представилось возможным, однако, что точно понятно: массив был проиндексирован поисковыми системами.

Исследователи незамедлительно уведомили об инциденте руководство совета. После чего, 23 декабря контейнер BLOB-объектов был надлежащим образом защищен.

Администрация совета хоть и подтверждает утечку, но уже нашла виноватых на стороне подрядных компаний, заявив, что данные хранились и обрабатывались сторонним поставщиком услуг, а утечке подверглось всего лишь 10 000 записей.

MacKeeper предупреждает, что пострадавшие в результате инцидента могут столкнуться с фишинговыми атаками и прочими скамерскими вариациями монетизации слитых сведений. А, скорее всего, уже сталкиваются и получают возможность еще раз поучиться, только на чужих ошибках.

Крупнейшие объекты топливного комплекса Германии подверглись серьезной кибератаке 29 января. Работа дочерних компаний группы Marquard & Bahls была основательно парализована. Немецкие СМИ уже начали генерить публикации о надвигающемся топливном кризисе и угрозах национальной экономике.

Мнение журналистов поддержал управляющий директор независимой ассоциации по хранению резервуаров в Германии Франк Шейпер, отметив, что основной удар будет нанесен на работу транспортной сферы, из-за сбоев в поставках топлива.

Речь идет о немецком дистрибьюторе бензина для сети заправочных станций Shell (и еще 25 компаний, при том, что только на долю этой компании приходится 1955 заправок) в по всей стране и поставщика нефтепродуктов Mabanaft GmbH.

Все дело в том, что в результате атаки пострадала автоматика управления резервуарами, которая не может регулироваться вручную. Oiltanking управляет в общей сложности 13 нефтебазами в Германии, и в настоящее время они все простаивают, не имея возможности принимать бензовозы.

Терминалы Oiltanking Deutschland GmbH & Co. KG работают с ограниченной пропускной способностью, объявлен форсмажор. Mabanaft Deutschland GmbH & Co. KG также объявила о форс-мажорных обстоятельствах в отношении большей части своей деятельности по внутренним поставкам в Германии.

Сейчас все службы предприятий и компетентные органы пытаются оценить масштаб последствий инцидента и как можно скорее восстановить работу пострадавших в результате атаки IT-систем.

А по ходу стоило прислушаться к наставлениям национальных спецслужб, в частности BfV, заявившей на прошлой неделе о потенциальной возможности атак. Впрочем, расследование атаки на Oiltanking еще не окончено и ее актор официально не назван. Хотя…

Как не крути, а армейский принцип работает везде - если нет виноватого, то его назначат.

Собственно, так и решили поступить израильские силовики после скандала со шпионским ПО NSO Pegasus. Национальная полиция Израиля заявила, что обнаружила доказательства, указывающие на неправомерное использование спецсофта ее собственными следователями для слежки за телефонами своих граждан.

Объявление было сделано через две недели после того, как израильская газета сообщила о ряде случаев, когда полиция использовала программное обеспечение Pegasus для наблюдения за протестующими, политиками и подозреваемыми в совершении преступлений без санкции судьи. Ситуация вызвала возмущение общественности в Израиле и побудила генерального прокурора и чиновников начать расследование.

Как мы помним, полиция сообщала, что предварительное внутреннее расследование не выявило доказательств неправомерного использования шпионского ПО. Но раз вопросом занялся генпрокурор, а он не может не добраться до истины, то полиция решила снова себя перепроверить, после чего заявила, что вторичная проверка таки «нашла дополнительные доказательства, которые меняют некоторые аспекты положения дел». Хотя ранее на отрез опровергла выводы газеты и уверяла, что действует в соответствии с буквой закона.

Для генерального прокурора Израиля это было последним делом в его карьере, а значит делом чести. В свете выводов полиции, уходящий в отставку Авихай Мандельблит заявил, что дал указание полиции принять незамедлительные меры по предотвращению нарушений. Кроме того, Мандельблит сообщил, что поручил представить отчет об обвинениях в незаконной слежке за гражданскими лицами к 1 июля. Вот тогда и узнаем, кто, зачем и почему.

В NSO в свою очередь сообщили, что отключили нескольких клиентов после выявленных фактов злоупотребления их продуктами, и сравнивая себя с другими производителями подобного специализированного софа, заявили, что не могут нести ответственность за действия своих клиентов.

Исследователи компании Binarly обнаружили 23 уязвимости в коде встроенного ПО UEFI, используемом крупнейшими мировыми производителями устройств.

По данным исследователей, уязвимости высокой степени серьезности могут затронуть миллионы корпоративных устройств, таких как ноутбуки, серверы, маршрутизаторы, сетевые устройства, промышленные системы управления (ICS) и периферийные вычислительные устройства от более чем 25 поставщиков, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.

Ошибки содержатся в прошивке InsydeH2O UEFI, предоставленной Insyde Software и используемой затронутыми поставщиками. Основная причина проблемы была обнаружена в эталонном коде, который связан с InsydeH2O. Все пострадавшие от уязвимости поставщики использовали SDK-прошивки на основе Insyde для разработки своих частей кода.

Уязвимости в основном связаны с режимом управления системой (SMM) и могут привести к выполнению произвольного кода с повышенными привилегиями. Злоумышленник с привилегированным доступом пользователя к целевой системе может использовать уязвимости для установки вредоносного ПО с высокой устойчивостью. Баги позволяют ему также обойти антивирусные решения, безопасную загрузку и средства защиты на основе виртуализации.

Активная эксплуатация всех обнаруженных баг не может быть обнаружена системами контроля целостности прошивки из-за ограничений в измерениях Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств не обнаружат уязвимые системы из-за конструктивных ограничений видимости среды выполнения прошивки.

Первоначально уязвимости были обнаружены на устройствах Fujitsu, но более тщательный анализ показал, что это проблема куда более серьезна и затрагивает прошивки на основе Insyde. Fujitsu была уведомлена об этом в сентябре, а затем Binarly работала с CERT/CC и Службой прошивки поставщиков Linux (LVFS) для выявления и уведомления других затронутых поставщиков.

Insyde исправила уязвимости и выпустила соответствующие рекомендации по безопасности. Но, как мы понимаем, для их имплементации в ПО производителей потребуется время. Технические подробности об ошибках обещают выкатить в в ближайшие дни.

​​31 января неизвестные хакеры, инициировавшие кампанию LeakTheAnalyst, о которой мы писали, анонсировали новую утечку, отметив, что новой жертвой могут быть правительственные структуры или военные.

А на следующий день хакеры по всей видимости слили конфиденциальные документы и файлы, касающиеся вооруженных сил Великобритании.

Похоже что, вечер перестает быть томным.