Хакеры, взломы, вирусы

Взломаны тысячи VPN-устройств

Согласно последним данным специалистов компании Volexity, 14 января было зафиксировано более 1,7 тыс. скомпрометированных VPN-устройств Connect Secure веб-шеллом GIFFEDVISITOR. Об этом CNews сообщили представители «Газинформсервис».

Хакеры все чаще используют в своих атаках CVE-2023-46805 и CVE-2024-21887. Список жертв в основном включает государственные и частные организации по всему миру, среди которых военные учреждения, национальные телекоммуникационные компании, оборонные подрядчики, технологические компании, банки, финансовые и бухгалтерские организации, мировые консалтинговые компании, а также фирмы в аэрокосмической, авиационной и инженерной отраслях.

Подтверждено, что злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях VPN Connect Secure и устройствах Policy Secure, успешно сочетая две ранее выявленные уязвимости CVE-2023-46805 и CVE-2024-21887.

К активной эксплуатации этих уязвимостей присоединилось множество новых хакерских группировок.

► Показать

«VPN-устройства Invanti на протяжении последнего месяца подвергаются хакерским атакам. В них была выявлена уязвимость нулевого дня, которую используют злоумышленники для проникновения в локальные сети предприятий. Большинство устройств от данного производителя расположены на территории США, однако VPN-устройства устанавливаются в демилитаризованной зоне сети, и они доступны из внешних сетей, что делает их первоочередной целью для атаки злоумышленников. Здесь важно тщательно защитить свои устройства, к которым есть доступ из вне. Даже правильно настроенное устройство может быть взломано, если в нем есть не устранённая уязвимость нулевого дня. Администратор информационной безопасности должен использовать не только встроенные возможности таких устройств, но и применять специальные средства защиты информации, которые позволяют анализировать конфигурации сетевого оборудования, сигнализировать о внесение изменений в конфигурацию, выявлять наличие известных уязвимостей, проводить контроль политик сетевого доступа на межсетевых экранах. Например, в качестве такого средства может использоваться российская платформа корпоративного уровня EFROS Defence Operations», — сказал главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

В Рунете нашли сайты, которые атакуют хакеры уже почти 700 дней без перерыва
18.01.2024 [16:56]

В Рунете были отмечены сверхпродолжительные DDoS-атаки, длящиеся почти два года. В пятёрку самых долгих зафиксированных сервисом Servicepipe непрерывных DDoS-атак вошли атаки на окологосударственный ресурс (начались ещё 28 февраля 2022 г.), интернет-представительство региональной власти (с 3 марта 2022 г.), площадку, связанную с АЗС (продолжаются с 26 мая 2022 г.), маркетплейс (с 14 июля 2022 г.) и игровой сервис (с 26 февраля 2023 г.).

► Показать

До начала событий на Украине продолжительность атак составляла максимум пару месяцев, сообщил представитель Servicepipe, добавив, что у атак необязательно есть политический мотив. «Как минимум у двух игроков из пятёрки лидеров атака с большой долей вероятности — результат недобросовестной конкурентной борьбы», — заявил собеседник «Ведомостей».

В T.Hunter подтвердили, что такие длительные атаки действительно существуют: «Мы наблюдаем их с конца февраля 2022 г.». По словам экспертов, чаще всего в качестве целей выбирались государственные и банковские сервисы, например, «Госуслуги» и «Сбер».

Одним из наиболее заметных трендов в DDoS-атаках за последний год в «Лаборатории Касперского» назвали увеличение их мощности. Также с 2022 года отмечен тренд на увеличение продолжительности атак, которые вместо нескольких часов могут составлять дни и даже недели. Впрочем, атак длительностью более года в «Лаборатории Касперского» не зафиксировали.

Аналитики Servicepipe также отметили в числе трендов большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость. «Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, "положив" сервис», — сообщили в компании.

Гендиректор и сооснователь StormWall Рамиль Хантимиров считает одним из наиболее ярких трендов в минувшем году использование смешанных ботнетов, состоящих из нескольких вредоносных программ, а также увеличение на 43 % DDoS-атак для прикрытия других вредоносных активностей. По его словам, общее число DDoS-атак в России выросло в 2023 году на 29 %.

Google обвинила хакеров российских спецслужб в серии кибератак
19.01.2024 [10:33],

Эксперты по кибербезопасности Google из подразделения Threat Analysis Group (TAG) сообщили о серии кибератак, организованных хакерской группировкой Cold River. Атаки производятся по фишинговой схеме.

Группировка Cold River, известная также под названиями Callisto Group и Star Blizzard, проводит долгосрочные шпионские кампании, направленные против целей в странах НАТО — преимущественно в США и Великобритании. Целями являются высокопоставленные лица и организации, занимающиеся международной деятельностью и обороной. В последние месяцы Cold River нарастила свою активность.

► Показать

Атака группировки реализуется по фишинговой схеме, впервые зафиксированной в ноябре 2022 года. Потенциальной жертве в качестве приманки направляется PDF-документ, замаскированный под статью, на которую отправитель якобы пытается получить отзыв. Жертва открывает неопасный файл PDF, текст в котором выглядит так, будто он зашифрован. Если цель отвечает, что не может прочитать документ, хакер отправляет ей ссылку на якобы утилиту для расшифровки. В реальности это бэкдор SPICA — собственная разработка Cold River. Он открывает злоумышленникам постоянный доступ к компьютеру жертвы для выполнения команд, кражи документов и файлов cookie в браузере.

Инженер по кибербезопасности TAG Билли Леонард (Billy Leonard) рассказал ресурсу TechCrunch, что Google неизвестно количество жертв, успешно скомпрометированных с помощью SPICA, но, по версии компании, бэкдор используется в «весьма ограниченных, целенаправленных атаках». Разработка SPICA, вероятно, продолжается, и бэкдор ещё применяется в осуществляемых сегодня атаках. Группировка Cold River в разрезе последних лет остаётся стабильно активной, несмотря на усилия правоохранительных органов.

Обнаружив активную кампанию по распространению вредоносного ПО, Google добавила все связанные с Cold River домены, сайты и файлы в базу службы Safe Browsing, чтобы защитить своих пользователей. Ранее группировку Cold River связывали с операцией по взлому и утечке информации, в ходе которой было похищено множество электронных писем и документов высокопоставленных сторонников выхода Великобритании из Евросоюза, в том числе сэра Ричарда Дирлава (Richard Dearlove), бывшего главы британской службы внешней разведки MI6.

Microsoft обвинила русских хакеров во взломе электронной почты нескольких руководителей
20.01.2024 [14:58]

Microsoft сообщила в пятницу, что обнаружила атаку на свои корпоративные системы со стороны хакерской группы Nobelium с российскими корнями, которая считается ответственной за взлом ПО Orion компании SolarWinds в 2020 году. По словам Microsoft, хакеры смогли получить доступ к электронной почте некоторых её руководителей в конце прошлого года. Группа Nobelium, также известная как APT29 и Cosy Bear, получила у Microsoft название Midnight Blizzard.

► Показать

«Начиная с конца ноября 2023 года, злоумышленник использовал атаку с распылением паролей, чтобы скомпрометировать устаревшую непроизводственную тестовую учётною запись клиента и закрепиться, а затем использовал разрешения учётной записи для доступа к очень небольшому проценту корпоративных учётных записей электронной почты Microsoft, включая членов старшего руководства и сотрудников, отвечающих за кибербезопасность, юридические и другие функции, а также украли некоторые электронные письма и прикреплённые к ним документы», — говорится в сообщении Центра реагирования безопасности Microsoft.

Microsoft обнаружила атаку 12 января. На данный момент неизвестно, как долго злоумышленники имели доступ к её системам. Как сообщается, сразу после обнаружения атаки компания запустила процесс реагирования с целью расследования, пресечения вредоносной деятельности и смягчения последствий взлома.

Microsoft утверждает, что Nobelium является российской организацией, спонсируемой государством, хотя никаких доказательств этого не приводит. В конце прошлого года компания сообщила о взломе её внутренних сетей, который был совершён с помощью ПО SolarWinds, заражённого вредоносным кодом. Благодаря этому злоумышленники получили доступ к одной учётной записи, которая использовалась для просмотра исходного кода в нескольких репозиториях. Как отметила компания, хакеры могли только просматривать код, но не изменять его. «Мы не нашли доказательств доступа к производственным услугам или данным клиентов и никаких свидетельств, что наши системы использовались для атак на других», — сообщила тогда Microsoft.

Число атак на пользователей Android-устройств в России выросло в полтора раза в прошлом году
23.01.2024 [17:51]

В 2023 году по сравнению с 2022-м количество кибератак на российских пользователей мобильных устройств под управлением Android увеличилось в 1,5 раза. Об этом свидетельствуют приведённые «Лабораторией Касперского» статистические данные.

► Показать

Одним из наиболее распространённых видов мобильных зловредов стали различные троянцы (37 %), то есть программы, которые зачастую маскируются под легитимные. В 30 процентах случаев пользователи сталкивались с нежелательным рекламным ПО, а каждый десятый инцидент был следствием атак дропперов. Этот тип зловредов особенно опасен, поскольку предназначен для доставки других, более сложных вредоносных программ на устройство жертвы.

Наиболее распространёнными каналами распространения вредоносного Android-софта в 2023 году были фальшивые установщики ПО, поддельные клиентские приложения банков, моды для мессенджеров и игр. Среди других приманок, под видом которых распространялись троянцы, эксперты также выделяют фальшивые инвестиционные проекты, под которыми на самом деле скрывались скам-приложения.

«Полагаем, что в ближайшем будущем вырастет количество продвинутых атак на мобильные платформы, так как злоумышленники постоянно ищут новые способы доставки зловредов, а сами вредоносные программы становятся сложнее. Риск для пользователей представляет ситуация с удалением российских приложений из зарубежных сторов. Злоумышленники могут пользоваться этой ситуацией и распространять на неофициальных площадках под видом удалённых приложений вредоносные», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».

Для защиты от различных киберугроз для мобильных платформ эксперты «Лаборатории Касперского» рекомендуют регулярно обновлять системное ПО используемого устройства и скачивать программные продукты только из официальных магазинов приложений.

Две трети писем, полученных российскими компаниями, отправлены мошенниками

69 % писем в корпоративной почте в 2023 году были фишингом, спамом или фродом, сообщили «Ведомости» со ссылкой на исследование Bi.Zone CESP. Согласно исследованию, каждое 137-е письмо относилось к фишинговым, а главный акцент мошенники сделали на сферу транспорта и логистики, где каждое 88‑е письмо — фишинговое.

Рост количества фишинговых сообщений подтвердили в центре МТС RED SOC, по данным которого рост количества фишинговых писем в 2023 г. составил около 57 % — с 9,5 млн в 2022 году до более 15 млн штук. Пик мошеннических рассылок в 2023 году пришёлся на май, июнь и декабрь, отметили в ГК «Солар». По данным Bi.Zone, лидировали по темпу роста фишинговых атак сфера транспорта и логистики.

► Показать

В 2023 году по-прежнему в фишинговых рассылках преобладали программы-шифровальщики, сообщили в МТС RED SOC, отметив, что шифровальщиков догоняет шпионское ПО, предназначенное для сбора данных об инфраструктуре компании и кражи учётных данных пользователей. По данным F.A.C.C.T. (бывшая Group IB), наиболее часто среди вредоносных программам в письмах в 2023 году встречалась шпионская программа AgentTesla.

F.A.C.C.T., как передают «Ведомости», также отметила резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В III квартале 2023 года таких писем было в 11 раз больше, чем в аналогичном периоде 2022 года. Самыми популярными подменными буквами у мошенников были Е, О, С, А.

По данным Bi.Zone, доля писем с вредоносным контентом выросла в 2,4 раза год к году. Лидирует промышленный сектор, в котором удельный вес таких писем выше среднего показателя по другим отраслям почти вшестеро. При этом фишинговые письма всё чаще содержат не само вредоносное вложение, а ссылку на него. Как отметили исследователи, мошенники чаще всего использовали ВПО, распространяющееся по модели MaaS (malware‑as‑a‑service).

В то же время доля спуфинг-атак, в которых злоумышленник подделывает адрес отправителя, сократилась по сравнению с 2022 годом в 1,5 раза, сообщила Bi.Zone. Причём мошенники вместо поддельных e-mail-адресов чаще использовали взломанные легитимные учётные записи. В 2023 г. в рамках массовых кибератак на российский корпоративный сегмент мошенники рассылали около 300 000 электронных писем в день.

Топ отраслей по доле нелегитимных писем в корпоративном трафике:

промышленность — 74 %;
транспорт и логистика — 72 %;
строительство и недвижимость — 70 %;
профессиональные услуги — 70 %.

Согласно прогнозу компании, рост вредоносной активности будет продолжаться — будет расти качество фишинговых атак и будут использоваться более сложные механизмы обмана. Фишинг будет и дальше одним из самых популярных векторов кибератак, так как люди — наиболее уязвимое звено компании, а уровень осведомлённости об угрозах относительно низкий, отметил представитель ГК «Солар».

Итоги соревнования Pwn2Own Automotive, посвящённого взлому автомобильных систем
26.01.2024 11:15

Подведены итоги трёх дней соревнований Pwn2Own Automotive, проходивших на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 49 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений превысил 1.3 миллиона долларов США ($1323750). Наиболее успешная команда Synacktiv сумела заработать на соревнованиях 450 тысяч долларов США. Обладатели второго места (fuzzware.io) получили 177.5 тысяч долларов, а третьего (Midnight Blue) - 80 тысяч долларов.

В ходе соревнований продемонстрированы следующие атаки:

► Показать

Два взлома окружения на базе дистрибутива Automotive Grade Linux ($47500, $35000).
Взлом информационно-развлекательной системы автомобиля Tesla ($100000 за эксплоит с задействованием цепочки из двух ошибок).
Взлом модема, используемого в автомобиле Tesla ($100000 за экпслоит с задействованием цепочки из трёх ошибок).
Пять взломов информационно-развлекательной системы на базе платформы Sony XAV-AX5500 ($40000, $20000, $20000, $20000, $10000).
Взлом информационно-развлекательной системы на базе платформы Pioneer DMH-WT7600NEX ($40000 за эксплоит с задействованием цепочки из трёх ошибок).
Шесть взломов информационно-развлекательной системы на базе платформы Alpine Halo9 iLX-F509 ($40000 за эксплуатацию уязвимости, связанной с обращением к уже освобождённой области памяти, $20000 за уязвимость, связанную с подстановкой команд, $20000 за уязвимость, связанную с переполнением буфера, $20000 за эксплоит с задействованием цепочки из двух ошибок, $20000 за эксплоит с задействованием цепочки из двух ошибок, $10000 за эксплоит с задействованием цепочки из двух ошибок).
Два взлома зарядной станции Ubiquiti Connect EV Station ($60000 и $30000 за эксплоиты с задействованием цепочки из двух ошибок).
Три взлома зарядной станции Phoenix Contact CHARX SEC-3100 ($60000 за эксплоит с задействованием цепочки из двух ошибок, $30000 за уязвимость, связанную с недостаточной проверкой входных данных, $30000 за эксплоит с задействованием цепочки из трёх ошибок, $22500 за эксплоит с задействованием цепочки из двух ошибок, $26250 за эксплоит с задействованием цепочки из четырёх ошибок).
Взлом зарядной станции EMPORIA EV Charger Level 2 ($60000 за эксплоит с задействованием переполнения буфера).
Четыре взлома зарядной станции JuiceBox 40 Smart EV ($60000 за эксплоит с задействованием цепочки из двух ошибок, $30000 за переполнение буфера, $30000 за переполнение буфера, $15000).
Семь взломов домашней зарядной станции ChargePoint Home Flex, позволивших выполнить код на уровне прошивки устройства ($60000, $30000, $30000, $16000, $16000, $16000, $5000).
Три взлома зарядной станции Autel MaxiCharger AC Wallbox Commercial ($30000 за эксплоит, связанный с переполнением стека; $30000 за эксплоит с задействованием цепочки из двух ошибок; $22500 за эксплоит с задействованием цепочки из двух ошибок).

Десять попыток взломов устройств Sony XAV-AX5500, Phoenix Contact CHARX SEC-3100, JuiceBox 40 Smart EV, Pioneer DMH-WT7600NEX, Autel MaxiCharger AC Wallbox Commercial и Alpine Halo9 iLX-F509 завершились неудачей. Два участника отменили свои заявки на проведение атак на зарядное устройство EMPORIA EV Charger Level 2 и платформу Automotive Grade Linux.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Удалённая уязвимость в прослойке Shim, позволяющая обойти UEFI Secure Boot
26.01.2024 14:04

В прослойке Shim, применяемой в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot, выявлена уязвимость (CVE-2023-40547), которая может привести к удалённому выполнению кода и обходу механизма верифицированной загрузки UEFI Secure Boot. Атакующий, контролирующий HTTP-сервер, к которому обращается Shim, может вернуть специально оформленный ответ, приводящий к контролируемой записи в область за границу буфера для организации выполнения кода на раннем этапе загрузки.

Уязвимость вызвана ошибкой в коде загрузки файлов по HTTP, которая проявляется при обработке некорректных ответов, возвращённых HTTP-сервером, к которому обращается shim. Режим HTTPBoot в Shim поддерживается с 2016 года и позволяет организовать загрузку по сети, используя протокол HTTP для извлечения файла c загрузчиком, вызываемым на следующем этапе. Shim, при загрузке файлов через HTTP, выделяет буфер для принимаемых данных, учитывая не фактический размер данных, а размер, указанный в HTTP-заголовке "Content-Lenght". Соответственно, вернув в заголовке Content-Lenght меньшее значение, можно добиться записи хвоста запроса в память за границей буфера.

► Показать

Shim заверен цифровой подписью Microsoft и верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимость в Shim даёт возможность вклинится в цепочку доверия при активном режиме Secure Boot и получить полный контроль за дальнейшим процессом загрузки, например, для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Уязвимость устранена в выпуске Shim 15.8, но для полного блокирования атаки через Shim требуется заверения новой версии в Microsoft и внедрение её в дистрибутивах. Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Проблема состоит в том, что без отзыва подписи к старой версии исправление бессмысленно, так как атакующий может для компрометации UEFI Secure Boot использовать загрузочный носитель с уязвимым выпуском Shim. Но отзыв подписи приведёт к невозможности верифицированной загрузки дистрибутивов, продолжающих использовать старый выпуск Shim.

Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI дополнительных метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут отдельно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов.

Кроме рассмотренной уязвимости в Shim 15.8 также исправлено несколько менее опасных проблем, эксплуатируемых локально:

CVE-2023-40548 - целочисленное переполнение в функции verify_sbat_section, приводящее к переполнению буфера на 32-разрядных системах.
CVE-2023-40546 - чтение из области памяти вне буфера при выводе сообщений об ошибках через функцию LogError().
CVE-2023-40549 - чтение из области памяти вне буфера при обработке в функции verify_buffer_authenticode() специально оформленного файла в формате PE.
CVE-2023-40550 - чтение из области памяти вне буфера в функции verify_buffer_sbat().
CVE-2023-40551 - чтение из области памяти вне буфера при разборе файлов в формате MZ.

Китайские меры по борьбе с мошенничеством с кредитами Apple ID Сигнализируют пользователям iPhone об осторожности
28 Января 2024 года

Китайские власти недавно произвели значительные аресты в связи с мошенничеством с использованием Apple ID в качестве кредита. Эта операция была нацелена на пользователей iPhone , наряду с растущей проблемой онлайн-мошенничества и важностью защиты цифровых идентификационных данных.

Власти арестовали более 40 человек, причастных к этим схемам

Мошенничество заключалось в том, что владельцев iPhone обманом заставляли сдавать свои Apple ID для получения кредитов. Затем мошенники использовали эти идентификаторы, угрожая жертвам высокими процентными ставками и раскрытием их личных данных, если они не смогут погасить долг. Этот вопрос имеет решающее значение, поскольку он ставит под угрозу как конфиденциальность, так и финансы отдельных лиц.

► Показать

Власти арестовали более 40 человек, участвовавших в этих схемах, жертвами которых стали более 20 000 человек в 21 провинции, при этом было задействовано в общей сложности 130 миллионов юаней. Эта широкомасштабная операция показывает серьезную угрозу, которую представляет кража цифровых идентификационных данных.

Некоторые мошенники использовали фамилию генерального директора Apple Тима Кука , чтобы придать правдоподобность своим схемам, демонстрируя пользователям необходимость осторожного обращения со своей личной информацией. Эта деталь подчеркивает, как мошенники могут манипулировать доверием.

В Китае, где примерно у каждого пятого пользователя смартфонов есть iPhone, риск подобных мошенничеств высок. Это недавнее подавление является напоминанием пользователям iPhone во всем мире о необходимости защищать свои цифровые данные. Поскольку смартфоны все чаще используются в личных и финансовых целях, защита цифровых активов, таких как Apple IDs, имеет решающее значение.

Реакция китайской полиции является позитивным шагом, но она также подчеркивает глобальную необходимость повышения осведомленности и образования в области цифровой безопасности. Поскольку онлайн-мошенничество становится все более изощренным, все, особенно пользователи смартфонов, должны оставаться информированными и бдительными, чтобы защитить свою личную информацию.

Вымогатель Cactus атаковал Schneider Electric: похищены терабайты данных
31.01.2024 [14:41]

Французская корпорация Schneider Electric сообщила о том, что её IT-инфраструктура подверглась атаке программы-вымогателя. В результате вторжения похищены терабайты данных, а злоумышленники потребовали выкуп, угрожая обнародовать украденную информацию.

Говорится, что атака затронула подразделение Schneider Electric, которое занимается разработкой решений в сфере устойчивого развития (Sustainability Business). Кроме того, пострадали облачные сервисы Resource Advisor. Хакерское вторжение произошло 17 января 2024 года, но сообщила об этом компания только сейчас.

► Показать

TV sat club