TV sat club

«VPN-устройства Invanti на протяжении последнего месяца подвергаются хакерским атакам. В них была выявлена уязвимость нулевого дня, которую используют злоумышленники для проникновения в локальные сети предприятий. Большинство устройств от данного производителя расположены на территории США, однако VPN-устройства устанавливаются в демилитаризованной зоне сети, и они доступны из внешних сетей, что делает их первоочередной целью для атаки злоумышленников. Здесь важно тщательно защитить свои устройства, к которым есть доступ из вне. Даже правильно настроенное устройство может быть взломано, если в нем есть не устранённая уязвимость нулевого дня. Администратор информационной безопасности должен использовать не только встроенные возможности таких устройств, но и применять специальные средства защиты информации, которые позволяют анализировать конфигурации сетевого оборудования, сигнализировать о внесение изменений в конфигурацию, выявлять наличие известных уязвимостей, проводить контроль политик сетевого доступа на межсетевых экранах. Например, в качестве такого средства может использоваться российская платформа корпоративного уровня EFROS Defence Operations», — сказал главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

До начала событий на Украине продолжительность атак составляла максимум пару месяцев, сообщил представитель Servicepipe, добавив, что у атак необязательно есть политический мотив. «Как минимум у двух игроков из пятёрки лидеров атака с большой долей вероятности — результат недобросовестной конкурентной борьбы», — заявил собеседник «Ведомостей».

В T.Hunter подтвердили, что такие длительные атаки действительно существуют: «Мы наблюдаем их с конца февраля 2022 г.». По словам экспертов, чаще всего в качестве целей выбирались государственные и банковские сервисы, например, «Госуслуги» и «Сбер».

Одним из наиболее заметных трендов в DDoS-атаках за последний год в «Лаборатории Касперского» назвали увеличение их мощности. Также с 2022 года отмечен тренд на увеличение продолжительности атак, которые вместо нескольких часов могут составлять дни и даже недели. Впрочем, атак длительностью более года в «Лаборатории Касперского» не зафиксировали.

Аналитики Servicepipe также отметили в числе трендов большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость. «Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, "положив" сервис», — сообщили в компании.

Гендиректор и сооснователь StormWall Рамиль Хантимиров считает одним из наиболее ярких трендов в минувшем году использование смешанных ботнетов, состоящих из нескольких вредоносных программ, а также увеличение на 43 % DDoS-атак для прикрытия других вредоносных активностей. По его словам, общее число DDoS-атак в России выросло в 2023 году на 29 %.

Атака группировки реализуется по фишинговой схеме, впервые зафиксированной в ноябре 2022 года. Потенциальной жертве в качестве приманки направляется PDF-документ, замаскированный под статью, на которую отправитель якобы пытается получить отзыв. Жертва открывает неопасный файл PDF, текст в котором выглядит так, будто он зашифрован. Если цель отвечает, что не может прочитать документ, хакер отправляет ей ссылку на якобы утилиту для расшифровки. В реальности это бэкдор SPICA — собственная разработка Cold River. Он открывает злоумышленникам постоянный доступ к компьютеру жертвы для выполнения команд, кражи документов и файлов cookie в браузере.

Инженер по кибербезопасности TAG Билли Леонард (Billy Leonard) рассказал ресурсу TechCrunch, что Google неизвестно количество жертв, успешно скомпрометированных с помощью SPICA, но, по версии компании, бэкдор используется в «весьма ограниченных, целенаправленных атаках». Разработка SPICA, вероятно, продолжается, и бэкдор ещё применяется в осуществляемых сегодня атаках. Группировка Cold River в разрезе последних лет остаётся стабильно активной, несмотря на усилия правоохранительных органов.

Обнаружив активную кампанию по распространению вредоносного ПО, Google добавила все связанные с Cold River домены, сайты и файлы в базу службы Safe Browsing, чтобы защитить своих пользователей. Ранее группировку Cold River связывали с операцией по взлому и утечке информации, в ходе которой было похищено множество электронных писем и документов высокопоставленных сторонников выхода Великобритании из Евросоюза, в том числе сэра Ричарда Дирлава (Richard Dearlove), бывшего главы британской службы внешней разведки MI6.

«Начиная с конца ноября 2023 года, злоумышленник использовал атаку с распылением паролей, чтобы скомпрометировать устаревшую непроизводственную тестовую учётною запись клиента и закрепиться, а затем использовал разрешения учётной записи для доступа к очень небольшому проценту корпоративных учётных записей электронной почты Microsoft, включая членов старшего руководства и сотрудников, отвечающих за кибербезопасность, юридические и другие функции, а также украли некоторые электронные письма и прикреплённые к ним документы», — говорится в сообщении Центра реагирования безопасности Microsoft.

Microsoft обнаружила атаку 12 января. На данный момент неизвестно, как долго злоумышленники имели доступ к её системам. Как сообщается, сразу после обнаружения атаки компания запустила процесс реагирования с целью расследования, пресечения вредоносной деятельности и смягчения последствий взлома.

Microsoft утверждает, что Nobelium является российской организацией, спонсируемой государством, хотя никаких доказательств этого не приводит. В конце прошлого года компания сообщила о взломе её внутренних сетей, который был совершён с помощью ПО SolarWinds, заражённого вредоносным кодом. Благодаря этому злоумышленники получили доступ к одной учётной записи, которая использовалась для просмотра исходного кода в нескольких репозиториях. Как отметила компания, хакеры могли только просматривать код, но не изменять его. «Мы не нашли доказательств доступа к производственным услугам или данным клиентов и никаких свидетельств, что наши системы использовались для атак на других», — сообщила тогда Microsoft.

Одним из наиболее распространённых видов мобильных зловредов стали различные троянцы (37 %), то есть программы, которые зачастую маскируются под легитимные. В 30 процентах случаев пользователи сталкивались с нежелательным рекламным ПО, а каждый десятый инцидент был следствием атак дропперов. Этот тип зловредов особенно опасен, поскольку предназначен для доставки других, более сложных вредоносных программ на устройство жертвы.

Наиболее распространёнными каналами распространения вредоносного Android-софта в 2023 году были фальшивые установщики ПО, поддельные клиентские приложения банков, моды для мессенджеров и игр. Среди других приманок, под видом которых распространялись троянцы, эксперты также выделяют фальшивые инвестиционные проекты, под которыми на самом деле скрывались скам-приложения.

«Полагаем, что в ближайшем будущем вырастет количество продвинутых атак на мобильные платформы, так как злоумышленники постоянно ищут новые способы доставки зловредов, а сами вредоносные программы становятся сложнее. Риск для пользователей представляет ситуация с удалением российских приложений из зарубежных сторов. Злоумышленники могут пользоваться этой ситуацией и распространять на неофициальных площадках под видом удалённых приложений вредоносные», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».

Для защиты от различных киберугроз для мобильных платформ эксперты «Лаборатории Касперского» рекомендуют регулярно обновлять системное ПО используемого устройства и скачивать программные продукты только из официальных магазинов приложений.

В 2023 году по-прежнему в фишинговых рассылках преобладали программы-шифровальщики, сообщили в МТС RED SOC, отметив, что шифровальщиков догоняет шпионское ПО, предназначенное для сбора данных об инфраструктуре компании и кражи учётных данных пользователей. По данным F.A.C.C.T. (бывшая Group IB), наиболее часто среди вредоносных программам в письмах в 2023 году встречалась шпионская программа AgentTesla.

F.A.C.C.T., как передают «Ведомости», также отметила резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В III квартале 2023 года таких писем было в 11 раз больше, чем в аналогичном периоде 2022 года. Самыми популярными подменными буквами у мошенников были Е, О, С, А.

По данным Bi.Zone, доля писем с вредоносным контентом выросла в 2,4 раза год к году. Лидирует промышленный сектор, в котором удельный вес таких писем выше среднего показателя по другим отраслям почти вшестеро. При этом фишинговые письма всё чаще содержат не само вредоносное вложение, а ссылку на него. Как отметили исследователи, мошенники чаще всего использовали ВПО, распространяющееся по модели MaaS (malware‑as‑a‑service).

В то же время доля спуфинг-атак, в которых злоумышленник подделывает адрес отправителя, сократилась по сравнению с 2022 годом в 1,5 раза, сообщила Bi.Zone. Причём мошенники вместо поддельных e-mail-адресов чаще использовали взломанные легитимные учётные записи. В 2023 г. в рамках массовых кибератак на российский корпоративный сегмент мошенники рассылали около 300 000 электронных писем в день.

Топ отраслей по доле нелегитимных писем в корпоративном трафике:

промышленность — 74 %;
транспорт и логистика — 72 %;
строительство и недвижимость — 70 %;
профессиональные услуги — 70 %.

Согласно прогнозу компании, рост вредоносной активности будет продолжаться — будет расти качество фишинговых атак и будут использоваться более сложные механизмы обмана. Фишинг будет и дальше одним из самых популярных векторов кибератак, так как люди — наиболее уязвимое звено компании, а уровень осведомлённости об угрозах относительно низкий, отметил представитель ГК «Солар».

Два взлома окружения на базе дистрибутива Automotive Grade Linux ($47500, $35000).
Взлом информационно-развлекательной системы автомобиля Tesla ($100000 за эксплоит с задействованием цепочки из двух ошибок).
Взлом модема, используемого в автомобиле Tesla ($100000 за экпслоит с задействованием цепочки из трёх ошибок).
Пять взломов информационно-развлекательной системы на базе платформы Sony XAV-AX5500 ($40000, $20000, $20000, $20000, $10000).
Взлом информационно-развлекательной системы на базе платформы Pioneer DMH-WT7600NEX ($40000 за эксплоит с задействованием цепочки из трёх ошибок).
Шесть взломов информационно-развлекательной системы на базе платформы Alpine Halo9 iLX-F509 ($40000 за эксплуатацию уязвимости, связанной с обращением к уже освобождённой области памяти, $20000 за уязвимость, связанную с подстановкой команд, $20000 за уязвимость, связанную с переполнением буфера, $20000 за эксплоит с задействованием цепочки из двух ошибок, $20000 за эксплоит с задействованием цепочки из двух ошибок, $10000 за эксплоит с задействованием цепочки из двух ошибок).
Два взлома зарядной станции Ubiquiti Connect EV Station ($60000 и $30000 за эксплоиты с задействованием цепочки из двух ошибок).
Три взлома зарядной станции Phoenix Contact CHARX SEC-3100 ($60000 за эксплоит с задействованием цепочки из двух ошибок, $30000 за уязвимость, связанную с недостаточной проверкой входных данных, $30000 за эксплоит с задействованием цепочки из трёх ошибок, $22500 за эксплоит с задействованием цепочки из двух ошибок, $26250 за эксплоит с задействованием цепочки из четырёх ошибок).
Взлом зарядной станции EMPORIA EV Charger Level 2 ($60000 за эксплоит с задействованием переполнения буфера).
Четыре взлома зарядной станции JuiceBox 40 Smart EV ($60000 за эксплоит с задействованием цепочки из двух ошибок, $30000 за переполнение буфера, $30000 за переполнение буфера, $15000).
Семь взломов домашней зарядной станции ChargePoint Home Flex, позволивших выполнить код на уровне прошивки устройства ($60000, $30000, $30000, $16000, $16000, $16000, $5000).
Три взлома зарядной станции Autel MaxiCharger AC Wallbox Commercial ($30000 за эксплоит, связанный с переполнением стека; $30000 за эксплоит с задействованием цепочки из двух ошибок; $22500 за эксплоит с задействованием цепочки из двух ошибок).

Десять попыток взломов устройств Sony XAV-AX5500, Phoenix Contact CHARX SEC-3100, JuiceBox 40 Smart EV, Pioneer DMH-WT7600NEX, Autel MaxiCharger AC Wallbox Commercial и Alpine Halo9 iLX-F509 завершились неудачей. Два участника отменили свои заявки на проведение атак на зарядное устройство EMPORIA EV Charger Level 2 и платформу Automotive Grade Linux.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Shim заверен цифровой подписью Microsoft и верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимость в Shim даёт возможность вклинится в цепочку доверия при активном режиме Secure Boot и получить полный контроль за дальнейшим процессом загрузки, например, для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Уязвимость устранена в выпуске Shim 15.8, но для полного блокирования атаки через Shim требуется заверения новой версии в Microsoft и внедрение её в дистрибутивах. Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Проблема состоит в том, что без отзыва подписи к старой версии исправление бессмысленно, так как атакующий может для компрометации UEFI Secure Boot использовать загрузочный носитель с уязвимым выпуском Shim. Но отзыв подписи приведёт к невозможности верифицированной загрузки дистрибутивов, продолжающих использовать старый выпуск Shim.

Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI дополнительных метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут отдельно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов.

Кроме рассмотренной уязвимости в Shim 15.8 также исправлено несколько менее опасных проблем, эксплуатируемых локально:

CVE-2023-40548 - целочисленное переполнение в функции verify_sbat_section, приводящее к переполнению буфера на 32-разрядных системах.
CVE-2023-40546 - чтение из области памяти вне буфера при выводе сообщений об ошибках через функцию LogError().
CVE-2023-40549 - чтение из области памяти вне буфера при обработке в функции verify_buffer_authenticode() специально оформленного файла в формате PE.
CVE-2023-40550 - чтение из области памяти вне буфера в функции verify_buffer_sbat().
CVE-2023-40551 - чтение из области памяти вне буфера при разборе файлов в формате MZ.

Власти арестовали более 40 человек, участвовавших в этих схемах, жертвами которых стали более 20 000 человек в 21 провинции, при этом было задействовано в общей сложности 130 миллионов юаней. Эта широкомасштабная операция показывает серьезную угрозу, которую представляет кража цифровых идентификационных данных.

Некоторые мошенники использовали фамилию генерального директора Apple Тима Кука , чтобы придать правдоподобность своим схемам, демонстрируя пользователям необходимость осторожного обращения со своей личной информацией. Эта деталь подчеркивает, как мошенники могут манипулировать доверием.

В Китае, где примерно у каждого пятого пользователя смартфонов есть iPhone, риск подобных мошенничеств высок. Это недавнее подавление является напоминанием пользователям iPhone во всем мире о необходимости защищать свои цифровые данные. Поскольку смартфоны все чаще используются в личных и финансовых целях, защита цифровых активов, таких как Apple IDs, имеет решающее значение.

Реакция китайской полиции является позитивным шагом, но она также подчеркивает глобальную необходимость повышения осведомленности и образования в области цифровой безопасности. Поскольку онлайн-мошенничество становится все более изощренным, все, особенно пользователи смартфонов, должны оставаться информированными и бдительными, чтобы защитить свою личную информацию.

Ответственность за кибератаку взяла на себя кибергруппировка Cactus. Это молодая команда злоумышленников, впервые заявившая о себе в марте 2023-го. В список жертв Cactus на данный момент входят около 100 компаний и организаций из 16 отраслей, включая автомобильный сектор, машиностроение, а также сферы ПО и IT.

О размере выкупа, который киберпреступники затребовали у Schneider Electric, ничего не сообщается. Какие именно данные были похищены, также не ясно. Подразделение Sustainability Business предоставляет консультационные услуги корпоративным клиентам, помогая им решать вопросы в том числе в области возобновляемых источников энергии. Услугами Sustainability Business пользуются такие компании, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo и Walmart.

Украденные сведения могут содержать конфиденциальную информацию об использовании энергии, системах промышленного контроля и автоматизации, а также о соблюдении экологических и энергетических норм. Не ясно, будет ли Schneider Electric платить выкуп: в случае отказа злоумышленники могут сделать похищенные файлы общедоступными.