Про то, как пользователи "Вконтакте" подглядывали друг за другом
Что если бы я предложил тебе пилюлю, которая показала, что у твоих друзей на уме? Стал бы ты ее пить? Я бы нет. Во-первых, уверен, что половину мыслей я бы предпочел не знать, а вторую гораздо приятнее выяснить в процессе общения.
Однако такой выбор делают далеко не все.
Неделю назад в новости просочилась информация про скрипт программиста Даниила Суворова PRNHB для соцсети «Вконтакте». Запуская его, пользователи могли узнать, кто из их друзей сидит на PornHub. Соцсеть и популярный видеохостинг уже 2 года партнеры и не в плане контента. Ресурсы договорились, что будут ограничивать доступ к видео всей тусовки лысого из Brazzers для несовершеннолетних: зайти на сайт можно, только подтвердив свой аккаунт во «Вконтакте», иначе «кина не будет». И хотя соцсеть гарантировала, что не сохраняет действия на сайте с горячими видео, смышленый автор бота нашел замочную скважину для подглядывания. Ещё в мае 2018 года во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений. Скрипт просто сопоставлял списки пользователей приложения PornHub и контакт-лист друзей человека, который его запускал.
Стоит сказать, что соцсеть достаточно оперативно прикрыла «лавочку» - закрыла список пользователей приложения с ХХХ-контентом. Хотя первые сбои в работе бота начались задолго до этого. Обновление токенов аутентификации в некоторых случаях «дробила» информацию. Ну а самый серьезный обвал боту организовала публикация TJ ((https://tjournal.ru/internet/114930-kak-minimum-polovina-druzey-bot-vo-vkontakte-pokazyvaet-kto-iz-polzovateley-avtorizovalsya-na-pornhub)) про его супервозможности. Сервер с пропускной способностью до 75 запросов в секунду прилег всерьез и надолго – столько любопытствующих друзей решили поближе познакомиться с сексуальными вкусами своих товарищей. Кстати, сделать этого они не могли, потому что бот информировал только о самом факте работы с приложением.
По некоторым данным, PRNHB продолжил работу и после закрытия доступа к спискам PornHub-юзеров, но менее стабильно.
Сложно понять, зачем это нужно, кроме шантажа, ведь если это твой хороший знакомый – всегда можно спросить, а если дальний - какая разница. Вывод простой – смотри, с кем дружишь и удаляй использованные приложения.
Что если бы я предложил тебе пилюлю, которая показала, что у твоих друзей на уме? Стал бы ты ее пить? Я бы нет. Во-первых, уверен, что половину мыслей я бы предпочел не знать, а вторую гораздо приятнее выяснить в процессе общения.
Однако такой выбор делают далеко не все.
Неделю назад в новости просочилась информация про скрипт программиста Даниила Суворова PRNHB для соцсети «Вконтакте». Запуская его, пользователи могли узнать, кто из их друзей сидит на PornHub. Соцсеть и популярный видеохостинг уже 2 года партнеры и не в плане контента. Ресурсы договорились, что будут ограничивать доступ к видео всей тусовки лысого из Brazzers для несовершеннолетних: зайти на сайт можно, только подтвердив свой аккаунт во «Вконтакте», иначе «кина не будет». И хотя соцсеть гарантировала, что не сохраняет действия на сайте с горячими видео, смышленый автор бота нашел замочную скважину для подглядывания. Ещё в мае 2018 года во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений. Скрипт просто сопоставлял списки пользователей приложения PornHub и контакт-лист друзей человека, который его запускал.
Стоит сказать, что соцсеть достаточно оперативно прикрыла «лавочку» - закрыла список пользователей приложения с ХХХ-контентом. Хотя первые сбои в работе бота начались задолго до этого. Обновление токенов аутентификации в некоторых случаях «дробила» информацию. Ну а самый серьезный обвал боту организовала публикация TJ ((https://tjournal.ru/internet/114930-kak-minimum-polovina-druzey-bot-vo-vkontakte-pokazyvaet-kto-iz-polzovateley-avtorizovalsya-na-pornhub)) про его супервозможности. Сервер с пропускной способностью до 75 запросов в секунду прилег всерьез и надолго – столько любопытствующих друзей решили поближе познакомиться с сексуальными вкусами своих товарищей. Кстати, сделать этого они не могли, потому что бот информировал только о самом факте работы с приложением.
По некоторым данным, PRNHB продолжил работу и после закрытия доступа к спискам PornHub-юзеров, но менее стабильно.
Сложно понять, зачем это нужно, кроме шантажа, ведь если это твой хороший знакомый – всегда можно спросить, а если дальний - какая разница. Вывод простой – смотри, с кем дружишь и удаляй использованные приложения.
TJ
Как минимум половина друзей: бот во «ВКонтакте» показывает, кто из пользователей авторизовался на Pornhub — Интернет на TJ
В личные сообщения приходит список из ссылок на страницы друзей, что недавно заходили на порносайт.
🔥1
Непотопляемая Википедия пережила DDOS
Привет, мой смышлённый друг!
Мы с тобой уже говорили и о "школьных" вирусах, и о принципе целесообразности. Хотя, как показал опыт с PornHub`ом, среди злоумышленников встречаются ребята, которые творят свои тёмные делишки не ради какой-то определённой цели, а просто, потому что могут.
Вот и на прошлой неделе, неизвестные замахнулись на святое! Несколько серверов Википедии оказались под DDOS`ом. Я держу руку на пульсе, но не могу понять кому и зачем это в принципе могло быть нужно.
Давай по порядку.
DDoS-атака (Distributed denial of service - распределённая атака типа "отказ в обслуживании") направлена в первую очередь на доступность информации. По команде злоумышленника на ресурс жертвы обрушивается огромное количество трафика, генерируемого предварительно заражёнными машинами. Ты вообще будешь не в курсе, когда твой компьютер начнёт ддосить Википедию. Под напором бессмысленных запросов, которые нужно как-то обрабатывать, атакуемый ресурс сначала начинает тормозить, а потом и вовсе отрубается. Случается, что несчастная железка может и сгореть на работе, пытаясь справиться со всеми никому не нужными задачами. Знакомая ситуация, совсем как в жизни, да?
Кстати, отследить источник атаки, по понятным причинам, не просто. В пятницу пользователи из Европы, Северной Америки и с Ближнего Востока обнаружили проблемы с доступом к отдельным статьям на Википедии. Почему же Википедия не легла полностью? Да потому что она размещена на распределённых серверах. Их много, но атаке подверглись только пять.
Привет, мой смышлённый друг!
Мы с тобой уже говорили и о "школьных" вирусах, и о принципе целесообразности. Хотя, как показал опыт с PornHub`ом, среди злоумышленников встречаются ребята, которые творят свои тёмные делишки не ради какой-то определённой цели, а просто, потому что могут.
Вот и на прошлой неделе, неизвестные замахнулись на святое! Несколько серверов Википедии оказались под DDOS`ом. Я держу руку на пульсе, но не могу понять кому и зачем это в принципе могло быть нужно.
Давай по порядку.
DDoS-атака (Distributed denial of service - распределённая атака типа "отказ в обслуживании") направлена в первую очередь на доступность информации. По команде злоумышленника на ресурс жертвы обрушивается огромное количество трафика, генерируемого предварительно заражёнными машинами. Ты вообще будешь не в курсе, когда твой компьютер начнёт ддосить Википедию. Под напором бессмысленных запросов, которые нужно как-то обрабатывать, атакуемый ресурс сначала начинает тормозить, а потом и вовсе отрубается. Случается, что несчастная железка может и сгореть на работе, пытаясь справиться со всеми никому не нужными задачами. Знакомая ситуация, совсем как в жизни, да?
Кстати, отследить источник атаки, по понятным причинам, не просто. В пятницу пользователи из Европы, Северной Америки и с Ближнего Востока обнаружили проблемы с доступом к отдельным статьям на Википедии. Почему же Википедия не легла полностью? Да потому что она размещена на распределённых серверах. Их много, но атаке подверглись только пять.
🤔1
Арахнофобия - довольно распространённое явление. Я знаю мало людей, спокойно переносящих встречу с пауками. Но обычные пауки редко представляют угрозу, в отличие от тех, что могут забраться к тебе в компьютер. Сегодня мы поговорим об одном из таких пауков.
SALTY SPIDER (Солёный паук) - это группа хакеров, наиболее известная своей разработкой ботнета Sality. Исследователи (https://www.crowdstrike.com/blog/who-is-salty-spider/) сообщают, что следы мёда и кусочки бешбармака указывают на то, что группировка тусуется где-то на просторах Башкирии.
Но нас с тобой, конечно, гораздо больше интересует ботнет Sality. Что это за зверь такой?
Как ты уже понял, я не хочу просто так разбрасываться непонятными терминами и нагонять на тебя тоску. Раз ты пришёл сюда, то очевидно хочешь разобраться в причинах и смыслах.
Поэтому мы снова начнём издалека.
Впервые Sality попался в руки безопасников в 2003 году. Тогда он представлял из себя полиморфный вирус, который забирался в компьютер жертвы и давал своему хозяину возможность использовать мощности заражённой машины в своих целях. Причём, цели у злоумышленников могли быть самые разные.
К 2008 году по сети гуляло по меньшей мере три версии этой малвари. Одна серьёзнее другой.
Пик развития Sality пришёлся на 2017 год. В тот год, как ты помнишь, мир содрогнулся от вымогателей WannaCry и Petya, которые использовали ставший недавно общедоступным эксплойт ETERNALBLUE, суть работы которого сводилась к получению доступа к системе через протокол SMB.
Это была четвёртая версия зловреда, которая остаётся самой "успешной" и по сей день.
Вместе с ETERNALBLUE Sality перепрофилировался с разнорабочего на добытчика криптовалюты. Собственно, на отмывании золотишка на чужих машинах он и попадается.
Наиболее часто этот зверь встречается почему-то в Румынии и Венесуэле.
Не сказать, что Sality именно опасен. Он просто использует вашу машину в своих целях. Это неприятно и лишний раз напоминает нам о том, что нужно соблюдать самые простые правила безопасности в сети - не открывать левые файлы и ссылки. А ещё, нужно чаще проверяться на паразитов.
SALTY SPIDER (Солёный паук) - это группа хакеров, наиболее известная своей разработкой ботнета Sality. Исследователи (https://www.crowdstrike.com/blog/who-is-salty-spider/) сообщают, что следы мёда и кусочки бешбармака указывают на то, что группировка тусуется где-то на просторах Башкирии.
Но нас с тобой, конечно, гораздо больше интересует ботнет Sality. Что это за зверь такой?
Как ты уже понял, я не хочу просто так разбрасываться непонятными терминами и нагонять на тебя тоску. Раз ты пришёл сюда, то очевидно хочешь разобраться в причинах и смыслах.
Поэтому мы снова начнём издалека.
Впервые Sality попался в руки безопасников в 2003 году. Тогда он представлял из себя полиморфный вирус, который забирался в компьютер жертвы и давал своему хозяину возможность использовать мощности заражённой машины в своих целях. Причём, цели у злоумышленников могли быть самые разные.
К 2008 году по сети гуляло по меньшей мере три версии этой малвари. Одна серьёзнее другой.
Пик развития Sality пришёлся на 2017 год. В тот год, как ты помнишь, мир содрогнулся от вымогателей WannaCry и Petya, которые использовали ставший недавно общедоступным эксплойт ETERNALBLUE, суть работы которого сводилась к получению доступа к системе через протокол SMB.
Это была четвёртая версия зловреда, которая остаётся самой "успешной" и по сей день.
Вместе с ETERNALBLUE Sality перепрофилировался с разнорабочего на добытчика криптовалюты. Собственно, на отмывании золотишка на чужих машинах он и попадается.
Наиболее часто этот зверь встречается почему-то в Румынии и Венесуэле.
Не сказать, что Sality именно опасен. Он просто использует вашу машину в своих целях. Это неприятно и лишний раз напоминает нам о том, что нужно соблюдать самые простые правила безопасности в сети - не открывать левые файлы и ссылки. А ещё, нужно чаще проверяться на паразитов.
crowdstrike.com
Who is SALTY SPIDER (Sality)?| Threat Actor Profile | CrowdStrike
SALTY SPIDER is an eCrime group whose actions likely indicate that it’s operating out of Russia. Learn about the adversary's origins, targets, and Sality malware so you can better protect your organization.
😁1
"Не болтай!"
Или хотя бы заклеивай камеру
Когда я был ещё совсем юнцом и только начинал постигать азы информационной безопасности, один из наставников сказал, что нет ничего опаснее угрозы, которую ты не ожидаешь. Нужно быть готовым отразить любую атаку, сказал он мне.
- Но, учитель, значит ли это, что безопасник должен быть параноиком, который везде видит опасность? - воскликнул я.
Наставник подумал и многозначительно ответил:
- Да.
Сегодня, мой друг, мы и будем говорить о паранойе. И, что самое весёлое, о паранойе оправданной.
Если тебе кажется, что твой компьютер следит за тобой, то ты вряд ли удивишься, узнав, что тебе не кажется.
Ребята из wired.com выпустили обзорную статью (https://www.wired.com/story/windows-10-privacy-settings/) о том, как минимизировать сбор информации о пользователе Windows 10.
Статья сводится к перечислению механизмов сбора информации и способов их отключения через панель управления винды. Здесь имеет смысл подробно остановиться на самих механизмах.
Самыми очевидными источниками утечки информации смело можно назвать камеру и микрофон. Действительно, ты, наверное, замечал заклеенные фронталки на ноутбуках или телефонах. В основном, это делается для того, чтобы обезопасить своё лицо от злоумышленников. Но известны случаи (полно), когда сбор информации через видео и звук вёлся в маркетинговых целях, что, вообще-то, тоже отлично вписывается в само понятие слежки.
Далее, ребята из wired.com рекомендуют отключать отслеживание местоположения. Эта функция сама по себе выглядит довольно "шпионской", хотя и заметно упрощает жизнь тем, кто плохо ориентируется в пространстве реального мира.
Вместе с такими очевидными функциями, в статье указываются и более интересные. Например, отключение таргетированной рекламы. Дело в том, что десятая винда заботливо следит за твоими предпочтениями и готова подсовывать тебе рекламу на их основе. И здесь предлагается два варианта сопротивления. Первый - полное отключение таргетинга. Второй - сброс твоих личных настроек с тем, чтобы в дальнейшем сбор информации о твоих интересах начал вестись по новой. В обоих случаях рекламы меньше не станет. Но её, во всяком случае, можно несколько деперсонифицировать.
Кроме того, настоятельно рекомендуется отследить, какие приложения имеют доступ к информации о твоём аккаунте, твоих контактах, регулярно чистить куки и историю браузера.
Для предотвращения утечки личной информации авторы статьи советуют разграничивать доступ посредством создания разных аккаунтов для разных пользователей.
Если подумать, эти механизмы актуальны далеко не только для десятой винды. Любой смартфон нынче становится источником примерно такого же набора информации о тебе и твоих интересах, независимо от операционки. Поэтому от себя я посоветую тебе основательно исследовать свои гаджеты на предмет сбора той информации, которой ты бы не хотел делиться с посторонними.
Или хотя бы заклеивай камеру
Когда я был ещё совсем юнцом и только начинал постигать азы информационной безопасности, один из наставников сказал, что нет ничего опаснее угрозы, которую ты не ожидаешь. Нужно быть готовым отразить любую атаку, сказал он мне.
- Но, учитель, значит ли это, что безопасник должен быть параноиком, который везде видит опасность? - воскликнул я.
Наставник подумал и многозначительно ответил:
- Да.
Сегодня, мой друг, мы и будем говорить о паранойе. И, что самое весёлое, о паранойе оправданной.
Если тебе кажется, что твой компьютер следит за тобой, то ты вряд ли удивишься, узнав, что тебе не кажется.
Ребята из wired.com выпустили обзорную статью (https://www.wired.com/story/windows-10-privacy-settings/) о том, как минимизировать сбор информации о пользователе Windows 10.
Статья сводится к перечислению механизмов сбора информации и способов их отключения через панель управления винды. Здесь имеет смысл подробно остановиться на самих механизмах.
Самыми очевидными источниками утечки информации смело можно назвать камеру и микрофон. Действительно, ты, наверное, замечал заклеенные фронталки на ноутбуках или телефонах. В основном, это делается для того, чтобы обезопасить своё лицо от злоумышленников. Но известны случаи (полно), когда сбор информации через видео и звук вёлся в маркетинговых целях, что, вообще-то, тоже отлично вписывается в само понятие слежки.
Далее, ребята из wired.com рекомендуют отключать отслеживание местоположения. Эта функция сама по себе выглядит довольно "шпионской", хотя и заметно упрощает жизнь тем, кто плохо ориентируется в пространстве реального мира.
Вместе с такими очевидными функциями, в статье указываются и более интересные. Например, отключение таргетированной рекламы. Дело в том, что десятая винда заботливо следит за твоими предпочтениями и готова подсовывать тебе рекламу на их основе. И здесь предлагается два варианта сопротивления. Первый - полное отключение таргетинга. Второй - сброс твоих личных настроек с тем, чтобы в дальнейшем сбор информации о твоих интересах начал вестись по новой. В обоих случаях рекламы меньше не станет. Но её, во всяком случае, можно несколько деперсонифицировать.
Кроме того, настоятельно рекомендуется отследить, какие приложения имеют доступ к информации о твоём аккаунте, твоих контактах, регулярно чистить куки и историю браузера.
Для предотвращения утечки личной информации авторы статьи советуют разграничивать доступ посредством создания разных аккаунтов для разных пользователей.
Если подумать, эти механизмы актуальны далеко не только для десятой винды. Любой смартфон нынче становится источником примерно такого же набора информации о тебе и твоих интересах, независимо от операционки. Поэтому от себя я посоветую тебе основательно исследовать свои гаджеты на предмет сбора той информации, которой ты бы не хотел делиться с посторонними.
WIRED
The Windows 10 Privacy Settings You Should Check Right Now
Whether you're new to Windows 10 or have been using it for years, take a minute to lock down your privacy.
"Как я провел этим летом"
Обычно я стараюсь рассказать о каком-то одном факте или событии. Но сегодня, мой друг, я сделаю исключение. Всё дело в том, что The Hacker News выпустили топ вредоносов за лето.
Я немного попыхтел и написал для тебя краткий обзор этой статьи на русском.
Если коротко, этим летом в тренде вредоносов были вымогатели, атаки на цепь поставок и бесфайловые атаки.
Про вымогателей мы иногда вспоминаем и в этом блоге. Поэтому сейчас давай поговорим про два других типа атак.
Атаки на цепь поставок - это внедрение вредоносного кода ещё в процессе разработки ПО. Например, когда ты делаешь приложение для онлайн-оплаты, а оно, кроме номера карточки, "случайно" начинает запоминать и отправлять куда-то cvv каждого клиента.
Бесфайловые атаки - это красиво. Такой вредонос не хранит себя в постоянной памяти устройства, он живёт в оперативке.
Ну а теперь все тренды в подробностях.
Вредоносные программы всё чаще используются для обхода средств контроля безопасности. "Специализаций" здесь несколько.
Во-первых, это изменение хэша для обхода антивирусов.
Во-вторых, использование шифрованных каналов связи для общения с C2-серверами, то есть, с серверами, которые отвечают за раздачу указаний вредоносам.
Нехило развиваются и такие зловреды, которые умеют выявлять механизмы искусственного интеллекта, машинного обучения и песочницы, сознательно замедляя их работу. Иными словами, малварь способна сообразить, что попала в руки к исследователям, и начать сбивать их с толку.
Особняком стоят бесфайловые зловреды, о которых мы уже говорили, и LOTL-атаки - это атаки, которые проводятся с помощью локальных приложений во вредоносных целях.
Кроме того, хакеры стали частенько арендовать чужие готовые ботнеты, чтобы использовать их для доступа к большому количеству машин. Такую историю, когда на твой комп незаметно влезает бот-зловред, а потом через него приходит другой злоумышленник, называют Jack-in-the-box в квадрате. То есть тут такая логика, что из коробки выскакивает один чёрт, а из него выскакивает второй.
Из самых экзотичеких и смертоносных вредоносов The Hacker News выделили Astaroth. Названный в честь демона, он обходит привычные механизмы защиты по схеме, выявленной специалистами Microsoft (https://www.anti-malware.ru/news/2019-07-09-1447/30104), и похищает учётные и финансовые данные пользователей. 76% европейских и бразильских компаний, проверившихся на возможность заражения, оказались не готовы к защите от этого гада.
Кроме Astaroth в статье говорится и о вымогателе Sodinokibi, который заливается в систему под видом сервиса с провайдеров услуг, попавших под атаку на цепь поставок. Подробнее о Sodinokibi можно прочитать здесь
https://id-ransomware.blogspot.com/2019/04/sodinokibi-ransomware.html
Список "успешных" вымогателей продолжают GermanWiper и MegaCortex. Первый зловред, следуя своему названию, атакует в основном немецких пользователей. Главной фишкой этого шифровальщика является то, что он не является шифровальщиком. Эта зараза просто обнуляет все "зашифрованные" файлы и вымогает деньги за ключ, который уже никак не поможет жертве. Подробнее о поганце можно прочитать здесь https://xakep.ru/2019/08/05/germanwiper/.
Второй вымогатель действительно является шифровальщиком. Для своей тёмной работы зловред использует шифр AES. Подробное досье на него ты сможешь найти здесь https://id-ransomware.blogspot.com/2019/05/megacortex-ransomware.html.
Обычно я стараюсь рассказать о каком-то одном факте или событии. Но сегодня, мой друг, я сделаю исключение. Всё дело в том, что The Hacker News выпустили топ вредоносов за лето.
Я немного попыхтел и написал для тебя краткий обзор этой статьи на русском.
Если коротко, этим летом в тренде вредоносов были вымогатели, атаки на цепь поставок и бесфайловые атаки.
Про вымогателей мы иногда вспоминаем и в этом блоге. Поэтому сейчас давай поговорим про два других типа атак.
Атаки на цепь поставок - это внедрение вредоносного кода ещё в процессе разработки ПО. Например, когда ты делаешь приложение для онлайн-оплаты, а оно, кроме номера карточки, "случайно" начинает запоминать и отправлять куда-то cvv каждого клиента.
Бесфайловые атаки - это красиво. Такой вредонос не хранит себя в постоянной памяти устройства, он живёт в оперативке.
Ну а теперь все тренды в подробностях.
Вредоносные программы всё чаще используются для обхода средств контроля безопасности. "Специализаций" здесь несколько.
Во-первых, это изменение хэша для обхода антивирусов.
Во-вторых, использование шифрованных каналов связи для общения с C2-серверами, то есть, с серверами, которые отвечают за раздачу указаний вредоносам.
Нехило развиваются и такие зловреды, которые умеют выявлять механизмы искусственного интеллекта, машинного обучения и песочницы, сознательно замедляя их работу. Иными словами, малварь способна сообразить, что попала в руки к исследователям, и начать сбивать их с толку.
Особняком стоят бесфайловые зловреды, о которых мы уже говорили, и LOTL-атаки - это атаки, которые проводятся с помощью локальных приложений во вредоносных целях.
Кроме того, хакеры стали частенько арендовать чужие готовые ботнеты, чтобы использовать их для доступа к большому количеству машин. Такую историю, когда на твой комп незаметно влезает бот-зловред, а потом через него приходит другой злоумышленник, называют Jack-in-the-box в квадрате. То есть тут такая логика, что из коробки выскакивает один чёрт, а из него выскакивает второй.
Из самых экзотичеких и смертоносных вредоносов The Hacker News выделили Astaroth. Названный в честь демона, он обходит привычные механизмы защиты по схеме, выявленной специалистами Microsoft (https://www.anti-malware.ru/news/2019-07-09-1447/30104), и похищает учётные и финансовые данные пользователей. 76% европейских и бразильских компаний, проверившихся на возможность заражения, оказались не готовы к защите от этого гада.
Кроме Astaroth в статье говорится и о вымогателе Sodinokibi, который заливается в систему под видом сервиса с провайдеров услуг, попавших под атаку на цепь поставок. Подробнее о Sodinokibi можно прочитать здесь
https://id-ransomware.blogspot.com/2019/04/sodinokibi-ransomware.html
Список "успешных" вымогателей продолжают GermanWiper и MegaCortex. Первый зловред, следуя своему названию, атакует в основном немецких пользователей. Главной фишкой этого шифровальщика является то, что он не является шифровальщиком. Эта зараза просто обнуляет все "зашифрованные" файлы и вымогает деньги за ключ, который уже никак не поможет жертве. Подробнее о поганце можно прочитать здесь https://xakep.ru/2019/08/05/germanwiper/.
Второй вымогатель действительно является шифровальщиком. Для своей тёмной работы зловред использует шифр AES. Подробное досье на него ты сможешь найти здесь https://id-ransomware.blogspot.com/2019/05/megacortex-ransomware.html.
Anti-Malware
Microsoft предупреждает об атаках бесфайлового трояна Astaroth
Команда исследователей в области безопасности Microsoft предупреждает о распространении бесфайлового трояна Astaroth. Злоумышленники загружают похищающий данные вредонос прямо в память компьютера
Русскоязычная Advanced Persistent Threat (Сложная постоянная угроза, APT) группировка Silence использует весьма продуманную схему. Её боты-вредоносы используют шифрованные команды, трафик общения с C2-серверами туннелируется, что позволяет сохранять невидимость для большинства систем защиты. Вообще, APT-угрозы опасны в первую очередь для крупных организаций и имеют своей конечной целью получение доступа к защищённым учётным записям руководителей. Но для того, чтобы подобраться к главе компании поближе, злоумышленники заражают машины пользователей, находящихся с ними в одной рабочей сети. Говорят, что Silence "наполучали доступ" на 4 миллиона долларов за прошлый год.
Ну и напоследок, возвращаясь к Jack-in-the-box в квадрате, авторы статьи упоминают малварь Turla. Этот зверь захватил ботнет связанной с Ираном группы Oilrig APT и через него начал атаковать правительственные ресурсы разных стран, используя как LOTL-атаки, так и собственные механизмы. Жертвами Turla стали министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.
Если бы мне было лет на 20 меньше, тут бы я написал “вот так я провел это лето”. Здесь, друг мой, сложно подвести какую-то мораль. Скажу только, что, как видишь, зло не дремлет. Оно развивается и постоянно ищет новые пути залезть в нашу жизнь. Чтобы не допустить это, нужно быть бдительным.
Ну и напоследок, возвращаясь к Jack-in-the-box в квадрате, авторы статьи упоминают малварь Turla. Этот зверь захватил ботнет связанной с Ираном группы Oilrig APT и через него начал атаковать правительственные ресурсы разных стран, используя как LOTL-атаки, так и собственные механизмы. Жертвами Turla стали министерства, правительства и организации, занимающиеся коммуникационными технологиями, в десяти разных странах.
Если бы мне было лет на 20 меньше, тут бы я написал “вот так я провел это лето”. Здесь, друг мой, сложно подвести какую-то мораль. Скажу только, что, как видишь, зло не дремлет. Оно развивается и постоянно ищет новые пути залезть в нашу жизнь. Чтобы не допустить это, нужно быть бдительным.
Пока я думаю, о чем вам рассказать завтра, поделюсь публикацией своих коллег: практично, полезно, подробно. Пользуйтесь наздоровье.
https://habr.com/ru/company/tomhunter/blog/468815/
https://habr.com/ru/company/tomhunter/blog/468815/
Хабр
Apache, ViewState&Deserialisation
В данной статье рассмотрим уязвимость на основе подмены сериализованного Java-объекта ViewState и метод её эксплуатации на примере web-приложения виртуальной маш...
Сегодня, мой друг, мы совсем немножко поговорим о... политике.
Вот тут (https://www.sfgate.com/news/article/Ransomware-attack-against-the-2020-election-could-14418534.php) говорят, что за океаном начинают высказывать опасения во влиянии пресловутых "русских хакеров" на выборы в США в следующем году. В статье говорится о том, что с помощью вымогателей русские, китайские или иранские хакеры смогут заблокировать базы данных со списками голосующих в разных штатах.
Оставляя в стороне политические тёрки, я бы хотел вставить пять копеек в этот, на самом деле, технически интересный вопрос.
Не секрет, что вымогатели на первом этапе используют человеческий фактор - письма с вложениями, обращения в соцсетях, фишинг и так далее. Попасть под атаку такого малваря может кто угодно, не готовый к тому, что его застанут врасплох.
Вместе с тем, "рынок" вымогателей-шифровальщиков только растёт. Каждая удачная из запущенных даже наугад атак приносит прямой доход злоумышленнику. Простая схема наращивания благосостояния рождает спрос на подобную малварь, а спрос, как известно, рождает предложение.
Поэтому защищаться от таких атак нужно обязательно. И дело здесь не в политике, а скорее в том, что вероятность "подорваться" на шифровальщике растёт с каждым днём.
Мой друг, я дам несколько советов, как масимально обезопасить себя, плавая в этом море, полном хищных рыб. Как говорится, без регистрации и смс.
Во-первых, делай бэкапы. Делай их так часто, как тебе подсказывает инстинкт самосохранения. Сделанный вовремя бэкап - это стопроцентная защита от шифровальщика!
Во-вторых, никогда не открывай вложения и не проходи по ссылкам из писем и сообщений от неизвестных. Если письмо пришло от друга, но ты понимаешь, что тут что-то не так - перестрахуйся, задай другу проверочный вопрос или позвони ему. В общем, убедись, что это не волк в овечьей шкуре.
В-третьих, пользуйся антивирусами. Большинство шифровальщиков моментально отстреливаются.
Ну и если уж ты всё-таки попался, помни, что платя злоумышленнику, ты вкладываешься в развитие чёрного бизнеса вымогателей. Не делай этого. Попробуй обратиться к компаниям, которые борятся с шифровальщиками. Возможно, это окажется уже исследованная малварь и тебе смогут помочь.
Если ты всё-таки решишься платить, помни, что ряд шифровальщиков в принципе ничего не шифруют, а сразу обнуляют информацию. Кто, в конце концов, гарантирует тебе восстановление?
Как видишь, дружище, эти советы подходят абсолютно всем. Как рядовому пользователю, так и оператору базы данных электората 2020 в США. Шифровальщиков очень много. И на каком из них неожиданно может подорваться условный Джон Смит, заранее не угадаешь. Могу только сказать наверняка, что фишинговых ссылок, похожих на ресурсы, связанные с выборами, совершенно точно появится очень много. Это же очевидно!
Ну и, как обычно, в конце статьи я советую тебе интересоваться действительно полезными вещами. Например, собственной безопасностью и информационной гигиеной.
Вот тут (https://www.sfgate.com/news/article/Ransomware-attack-against-the-2020-election-could-14418534.php) говорят, что за океаном начинают высказывать опасения во влиянии пресловутых "русских хакеров" на выборы в США в следующем году. В статье говорится о том, что с помощью вымогателей русские, китайские или иранские хакеры смогут заблокировать базы данных со списками голосующих в разных штатах.
Оставляя в стороне политические тёрки, я бы хотел вставить пять копеек в этот, на самом деле, технически интересный вопрос.
Не секрет, что вымогатели на первом этапе используют человеческий фактор - письма с вложениями, обращения в соцсетях, фишинг и так далее. Попасть под атаку такого малваря может кто угодно, не готовый к тому, что его застанут врасплох.
Вместе с тем, "рынок" вымогателей-шифровальщиков только растёт. Каждая удачная из запущенных даже наугад атак приносит прямой доход злоумышленнику. Простая схема наращивания благосостояния рождает спрос на подобную малварь, а спрос, как известно, рождает предложение.
Поэтому защищаться от таких атак нужно обязательно. И дело здесь не в политике, а скорее в том, что вероятность "подорваться" на шифровальщике растёт с каждым днём.
Мой друг, я дам несколько советов, как масимально обезопасить себя, плавая в этом море, полном хищных рыб. Как говорится, без регистрации и смс.
Во-первых, делай бэкапы. Делай их так часто, как тебе подсказывает инстинкт самосохранения. Сделанный вовремя бэкап - это стопроцентная защита от шифровальщика!
Во-вторых, никогда не открывай вложения и не проходи по ссылкам из писем и сообщений от неизвестных. Если письмо пришло от друга, но ты понимаешь, что тут что-то не так - перестрахуйся, задай другу проверочный вопрос или позвони ему. В общем, убедись, что это не волк в овечьей шкуре.
В-третьих, пользуйся антивирусами. Большинство шифровальщиков моментально отстреливаются.
Ну и если уж ты всё-таки попался, помни, что платя злоумышленнику, ты вкладываешься в развитие чёрного бизнеса вымогателей. Не делай этого. Попробуй обратиться к компаниям, которые борятся с шифровальщиками. Возможно, это окажется уже исследованная малварь и тебе смогут помочь.
Если ты всё-таки решишься платить, помни, что ряд шифровальщиков в принципе ничего не шифруют, а сразу обнуляют информацию. Кто, в конце концов, гарантирует тебе восстановление?
Как видишь, дружище, эти советы подходят абсолютно всем. Как рядовому пользователю, так и оператору базы данных электората 2020 в США. Шифровальщиков очень много. И на каком из них неожиданно может подорваться условный Джон Смит, заранее не угадаешь. Могу только сказать наверняка, что фишинговых ссылок, похожих на ресурсы, связанные с выборами, совершенно точно появится очень много. Это же очевидно!
Ну и, как обычно, в конце статьи я советую тебе интересоваться действительно полезными вещами. Например, собственной безопасностью и информационной гигиеной.
SFGate
Ransomware attack against the 2020 election could disrupt statewide voting databases
WASHINGTON - Top government cybersecurity officials are worried that ransomware, which has wreaked havoc by locking up the computer networks of businesses, schools and police stations, could be used to sow chaos during the 2020 election. Perhaps most damaging…
Социальная инженерия в Telegram
Привет! Сегодня я расскажу о том, какую опасность для наших персональных данных имеет мессенджер, сидя в котором, ты сейчас читаешь эту статью.
Как ты знаешь, у меня есть блог на Хабре (https://habr.com/ru/users/TomHunter/). Я не только пишу туда, но и как любой специалист, читаю, что пишут другие. И вот, недавно, я набрёл на интересную статью https://habr.com/ru/post/468819/.
В ней речь идет о том, что десктопная версия Телеграма содержит включенную по умолчанию опцию "Share my phone number" при добавлении в контакты. Что может стать основой для весьма интересной атаки. В мобильной версии тоже есть такая галочка. Но там этот момент сильно заметнее.
Собственно, вся суть "атаки" состоит в том, чтобы убедить интерсующего тебя абонента добавиться к тебе в контакт-лист, не сняв галочку с "Share my phone number". После этого в дело вступает социальная инженерия. Подходов здесь может быть много, но нас знакомят с одним, испробованным в деле.
Сам автор статьи делится методом для запутывания собеседника. Его "жертвами" становятся нечистые на руку обитатели даркнета, перед которыми разыгрывается целый спектакль.
Для того, чтобы отвлечь внимание жертвы от самого процесса раскрытия своих контактных данных, герой статьи использует двух абонентов, под каждым из которых сидит он сам. После знакомства с первым абонентом, жертве предлагается пообщаться с неким "боссом", который заинтересован в её услугах. Намечается сделка и настоящий злоумышленник охотно стучится к "боссу", то есть ко второму липовому абоненту. Но "босс" не только не отвечает на сообщения, он вообще не читает их. При этом, первый липовый абонент капает на нервы жертве, задавая вопросы типа "ну как, списались?", а потом присылает "переписку" со своим "боссом", в которой последний негодует из-за того, что ему никто ничего до сих пор не написал.
Этим приёмом достигается полный перевод внимания жертвы на возможный срыв сделки. Поэтому когда первый абонент предлагает ей "попробовать добавить босса в контакты", жертва незамедлительно пробует. А аккаунт "босса" получает номер её телефона.
Как видишь, этот механизм отлично подходит для разоблачения разного рода аферистов. Но это, в первую очередь, механизм. Поэтому, друг мой, ты должен всегда быть готов к тому, что мошенники могут применить его против тебя. Для этого им достаточно понять, чем интересуешься конкретно ты, и сидишь ли ты в данный момент с десктопной версии. Последнее совсем не трудно - выдает скорость печати и употребление специальных симоволов.
Есть огромная масса средств защиты от злоумышленников. Но от своей собственной наивности сложнее всего укрыться. Будь бдителен!
Привет! Сегодня я расскажу о том, какую опасность для наших персональных данных имеет мессенджер, сидя в котором, ты сейчас читаешь эту статью.
Как ты знаешь, у меня есть блог на Хабре (https://habr.com/ru/users/TomHunter/). Я не только пишу туда, но и как любой специалист, читаю, что пишут другие. И вот, недавно, я набрёл на интересную статью https://habr.com/ru/post/468819/.
В ней речь идет о том, что десктопная версия Телеграма содержит включенную по умолчанию опцию "Share my phone number" при добавлении в контакты. Что может стать основой для весьма интересной атаки. В мобильной версии тоже есть такая галочка. Но там этот момент сильно заметнее.
Собственно, вся суть "атаки" состоит в том, чтобы убедить интерсующего тебя абонента добавиться к тебе в контакт-лист, не сняв галочку с "Share my phone number". После этого в дело вступает социальная инженерия. Подходов здесь может быть много, но нас знакомят с одним, испробованным в деле.
Сам автор статьи делится методом для запутывания собеседника. Его "жертвами" становятся нечистые на руку обитатели даркнета, перед которыми разыгрывается целый спектакль.
Для того, чтобы отвлечь внимание жертвы от самого процесса раскрытия своих контактных данных, герой статьи использует двух абонентов, под каждым из которых сидит он сам. После знакомства с первым абонентом, жертве предлагается пообщаться с неким "боссом", который заинтересован в её услугах. Намечается сделка и настоящий злоумышленник охотно стучится к "боссу", то есть ко второму липовому абоненту. Но "босс" не только не отвечает на сообщения, он вообще не читает их. При этом, первый липовый абонент капает на нервы жертве, задавая вопросы типа "ну как, списались?", а потом присылает "переписку" со своим "боссом", в которой последний негодует из-за того, что ему никто ничего до сих пор не написал.
Этим приёмом достигается полный перевод внимания жертвы на возможный срыв сделки. Поэтому когда первый абонент предлагает ей "попробовать добавить босса в контакты", жертва незамедлительно пробует. А аккаунт "босса" получает номер её телефона.
Как видишь, этот механизм отлично подходит для разоблачения разного рода аферистов. Но это, в первую очередь, механизм. Поэтому, друг мой, ты должен всегда быть готов к тому, что мошенники могут применить его против тебя. Для этого им достаточно понять, чем интересуешься конкретно ты, и сидишь ли ты в данный момент с десктопной версии. Последнее совсем не трудно - выдает скорость печати и употребление специальных симоволов.
Есть огромная масса средств защиты от злоумышленников. Но от своей собственной наивности сложнее всего укрыться. Будь бдителен!
Хабр
Том Хантер aka TomHunter
- Специалист
- Специалист
Том Хантер aka TomHunter. Опубликовал 154 статьи на Хабр и оставил 21 комментарий.
И еще раз про опасности Netflix
Я тут недавно говорил о фишинге и о том, как легко ввести человека в заблуждение. И вот пожалуйста, новая история из мира ИБ (https://au.finance.yahoo.com/news/dont-click-on-this-..).
Netflix уже упоминались в этом блоге. Но если в прошлый раз стриминговый гигант выступал в роли аналитика, сейчас он является одной из пострадавших сторон.
Дело в том, что мошенники начали воровать данные банковских карт пользователей, прикрываясь подпиской Netflix. Потенциальным жертвам стали приходить письма с уведомлением о том, что с их подпиской произошёл некий сбой. По этой причине им требуется активировать её по новой, введя данные банковской карты.
Для убедительности письмо сопровождается логотипом Netflix и предложением обратиться в службу поддержки, если такой сервис тебе не нравится. Посередине письма красуется ярко красная кнопка "Reactivate the subscription". Эта чертовка так и манит нажать на неё, чтобы решить все возникшие проблемы. Если жертва пойдёт на поводу у мошенников, то после нажатия кнопки ей будет предложено внести заново свои данные и данные банковской карты, включая CVV.
Есть самый простой способ проверки правдивости такого собщения. Если тебе пришло письмо о том, что действие какой-то услуги прекращено, все просто: сходи и проверь. Ну правда. Если Netflix почему-то потерял твои данные, зайди на их сайт и посмотри, так ли это.
Но больше всего удивляет не то, что люди не используют самую очевидную проверку. Самое странное, что их не смущает наличие в англоязычном письме предложений на французском!
Возможно, ты спросишь меня, почему я назвал Netflix пострадавшей стороной? Даже если не спросишь, я объясню.
Однажды погорев на "подписке Netflix", пользователь может отказаться от неё. Это репутационные потери, которые напрямую бьют по бюджету компании.
Что тут можно сказать? Интернет хранит в себе множество опасностей. В первую очередь, мошенники должны напугать тебя и завладеть твоим вниманием. После этого, боясь за малое (подписка на сериалы, например), ты не заметишь, как отдашь многое (данные своей банковской карты). Поэтому сохраняй спокойствие и никогда поспешно не тыкай по большим красным кнопкам в середине письма.
Я тут недавно говорил о фишинге и о том, как легко ввести человека в заблуждение. И вот пожалуйста, новая история из мира ИБ (https://au.finance.yahoo.com/news/dont-click-on-this-..).
Netflix уже упоминались в этом блоге. Но если в прошлый раз стриминговый гигант выступал в роли аналитика, сейчас он является одной из пострадавших сторон.
Дело в том, что мошенники начали воровать данные банковских карт пользователей, прикрываясь подпиской Netflix. Потенциальным жертвам стали приходить письма с уведомлением о том, что с их подпиской произошёл некий сбой. По этой причине им требуется активировать её по новой, введя данные банковской карты.
Для убедительности письмо сопровождается логотипом Netflix и предложением обратиться в службу поддержки, если такой сервис тебе не нравится. Посередине письма красуется ярко красная кнопка "Reactivate the subscription". Эта чертовка так и манит нажать на неё, чтобы решить все возникшие проблемы. Если жертва пойдёт на поводу у мошенников, то после нажатия кнопки ей будет предложено внести заново свои данные и данные банковской карты, включая CVV.
Есть самый простой способ проверки правдивости такого собщения. Если тебе пришло письмо о том, что действие какой-то услуги прекращено, все просто: сходи и проверь. Ну правда. Если Netflix почему-то потерял твои данные, зайди на их сайт и посмотри, так ли это.
Но больше всего удивляет не то, что люди не используют самую очевидную проверку. Самое странное, что их не смущает наличие в англоязычном письме предложений на французском!
Возможно, ты спросишь меня, почему я назвал Netflix пострадавшей стороной? Даже если не спросишь, я объясню.
Однажды погорев на "подписке Netflix", пользователь может отказаться от неё. Это репутационные потери, которые напрямую бьют по бюджету компании.
Что тут можно сказать? Интернет хранит в себе множество опасностей. В первую очередь, мошенники должны напугать тебя и завладеть твоим вниманием. После этого, боясь за малое (подписка на сериалы, например), ты не заметишь, как отдашь многое (данные своей банковской карты). Поэтому сохраняй спокойствие и никогда поспешно не тыкай по большим красным кнопкам в середине письма.
Новости из мира ИБ, которые просочились в массмедиа
https://www.kommersant.ru/doc/4111863?utm_campaign=-dannye-o-vladeltsah-60-millionov-kr
https://www.kommersant.ru/doc/4111863?utm_campaign=-dannye-o-vladeltsah-60-millionov-kr
Коммерсантъ
Клиенты Сбербанка попали на черный рынок
Утечка затронула владельцев кредитных карт
DDoS на репутацию
Если ты думаешь, что для ковровых бомбардировок нужен самолёт, ты сильно заблуждаешься!
На днях провайдер Cool Ideas' из Южной Африки попал под необычную DDoS-атаку (https://www.zdnet.com/article/carpet-bombing-ddos-attack-takes-down-south-african-isp-for-an-entire-day/). В течение двух дней неизвестные отправляли бесполезный трафик на случайные адреса из пула айпишников этого провайдера, не атакуя корневой сервер или конкретные узлы инфраструктуры.
Такая атака не вызвала полный отказ доступа, но спровоцировала перебои в работе Cool Ideas'.
Ещё одним интересным моментом было то, что злоумышленники наблюдали за своей жертвой. И как только провайдер объявил о полном восстановлении работоспособности, его грохнули по-новой.
На самом деле, этот случай не первый и не последний. Метод атаки "ковровыми бомбардировками" был известен и раньше. Основная идея здесь заключается как раз в том, чтобы слать трафик на пул адресов жертвы (провайдера, облачного сервиса и т.д.) в случайном порядке. Этим достигается невозможность зафиксировать атаку на конкретный сервер. Средства защиты видят рост активности пользователей и соответственно не вмешиваются в процесс.
Вместе с тем, рост нагрузки вызывает перебои в работе отдельных сервисов, что, например в час пик, крайне негативно сказывается на репутации жертвы.
Собственно, такие атаки и не направлены на полный отказ обслуживания. Главная задача "коврового бомбардировщика" - нанесение имиджевого ущерба.
Ковровые бомбардировки к тому же не требуют большого ботнета, а потому доступны всё большему количеству "покупателей".
Методы защиты от таких атак схожи с методами защиты от обычного DDoS`а, однако, как мы уже говорили, здесь главное - суметь вовремя понять, что тебя атакуют.
Рост применения ковровых бомбардировок лишний раз подтверждает тот факт, что соперника можно не уничтожать. Достаточно замочить его репутацию.
Если ты думаешь, что для ковровых бомбардировок нужен самолёт, ты сильно заблуждаешься!
На днях провайдер Cool Ideas' из Южной Африки попал под необычную DDoS-атаку (https://www.zdnet.com/article/carpet-bombing-ddos-attack-takes-down-south-african-isp-for-an-entire-day/). В течение двух дней неизвестные отправляли бесполезный трафик на случайные адреса из пула айпишников этого провайдера, не атакуя корневой сервер или конкретные узлы инфраструктуры.
Такая атака не вызвала полный отказ доступа, но спровоцировала перебои в работе Cool Ideas'.
Ещё одним интересным моментом было то, что злоумышленники наблюдали за своей жертвой. И как только провайдер объявил о полном восстановлении работоспособности, его грохнули по-новой.
На самом деле, этот случай не первый и не последний. Метод атаки "ковровыми бомбардировками" был известен и раньше. Основная идея здесь заключается как раз в том, чтобы слать трафик на пул адресов жертвы (провайдера, облачного сервиса и т.д.) в случайном порядке. Этим достигается невозможность зафиксировать атаку на конкретный сервер. Средства защиты видят рост активности пользователей и соответственно не вмешиваются в процесс.
Вместе с тем, рост нагрузки вызывает перебои в работе отдельных сервисов, что, например в час пик, крайне негативно сказывается на репутации жертвы.
Собственно, такие атаки и не направлены на полный отказ обслуживания. Главная задача "коврового бомбардировщика" - нанесение имиджевого ущерба.
Ковровые бомбардировки к тому же не требуют большого ботнета, а потому доступны всё большему количеству "покупателей".
Методы защиты от таких атак схожи с методами защиты от обычного DDoS`а, однако, как мы уже говорили, здесь главное - суметь вовремя понять, что тебя атакуют.
Рост применения ковровых бомбардировок лишний раз подтверждает тот факт, что соперника можно не уничтожать. Достаточно замочить его репутацию.
ZDNET
'Carpet-bombing' DDoS attack takes down South African ISP for an entire day
Carpet bombing - the DDoS technique that's just perfect for attacking ISPs, cloud services, and data centers.
Про других Hunter
Давно прошли те времена, когда хакеры писали вирусы, чтобы доказать самим себе свою крутость. Сейчас подавляющее большинство атак имеет сугубо меркантильные цели. В чём мы с тобой убеждаемся с каждой новостью.
Вот и сегодня исключения не случится.
В юго-западной Азии есть небольшая, но гордая страна Кувейт. Гордиться им и правда есть чем. Девять процентов мировых запасов нефти позволяют ребятам обеспечивать нехилый уровень жизни и самую дорогую в мире валюту.
Но сама по себе нефть на мировой рынок попасть не может. Её нужно на чём-то перевозить. Для этого в Кувейте базируется масса транспортных и судоходных организаций.
Вот по ним-то и прошлись атаки злоумышленников в этом и в прошлом году. Ребята из Palo Alto Networks посвятили расследование этой истории (https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations/).
Если кратко, то утверждать, что оба раза злоумышленники были одни и те же, нельзя. Однако с высокой долей уверенности можно предположить, что разработчик зловредного ПО был единственный и неповторимый. Группировку злоумышленников назвали xHunt, поскольку для своих инструментов они использовали имена персонажей аниме Hunter x Hunter (все совпадения случайны!!!).
Что касается тактики. Оба раза злоумышленники использовали бэкдор (доступ через чёрный ход), а затем пробирались по нему в различные сегменты сетей транспортных компаний. Далее происходила кража информации. Здесь надо оговориться, что в данном случае бэкдоры не были изначально внедрены в программный код. Они действовали, как трояны, поражали систему и открывали дорогу для дальнейшеё работы злоумышленников.
В обоих случаях бэкдоры были подозрительно похожи, вплоть до количества функций и имён переменных. Инструменты, которые вступали в силу далее, вообще идентичны. Это Gon и EYE.
Первая тулза работает, как модные нынче миникамеры на подвижной длинной ножке. По выстроенному через бэкдор туннелю Gon пролезал внутрь сети, делал скриншоты, собирал информацию, искал выходы к следующим узлам, открывал сеанс протокола RDP (удалённого рабочего стола). Словом, осматривался по сторонам и запоминал, что видит.
EYE, в свою очередь, подчищал за напарником все возможные следы, которые тот оставлял в системе.
Ни один из найденных мной материалов не говорит об ущербе, который понесли транспортные компании. Однако, две атаки, длиной в несколько месяцев каждая, не могли пройти безобидно.
Мы с командой предположили, каким может быть урон:
1) Это могут быть отложенные прямые убытки для компании. Как слив большого массива информации, так и, например, шантаж;
2) Благодаря атаке можно использовать 0day exploit, а там уже - на что хватит фантазии злоумышленника;
3) Не стоит забывать, что подобные компании трепетно хранят данные, которые влияют на экономику в глобальном смысле. А это значит, что у атаковавших есть возможность нажиться не столько за счет конкретного бизнеса, сколько на тайных знаниях котировок, фьючерсов и так далее.
Короче, сколько людей, столько и мнений.
Здесь трудно подвести какую-то мораль. Напомню только, что принцип целесообразности никто не отменял. И если ты - богатая нефтяная страна, готовься защищать своё богатство на самом продвинутом уровне.
Давно прошли те времена, когда хакеры писали вирусы, чтобы доказать самим себе свою крутость. Сейчас подавляющее большинство атак имеет сугубо меркантильные цели. В чём мы с тобой убеждаемся с каждой новостью.
Вот и сегодня исключения не случится.
В юго-западной Азии есть небольшая, но гордая страна Кувейт. Гордиться им и правда есть чем. Девять процентов мировых запасов нефти позволяют ребятам обеспечивать нехилый уровень жизни и самую дорогую в мире валюту.
Но сама по себе нефть на мировой рынок попасть не может. Её нужно на чём-то перевозить. Для этого в Кувейте базируется масса транспортных и судоходных организаций.
Вот по ним-то и прошлись атаки злоумышленников в этом и в прошлом году. Ребята из Palo Alto Networks посвятили расследование этой истории (https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations/).
Если кратко, то утверждать, что оба раза злоумышленники были одни и те же, нельзя. Однако с высокой долей уверенности можно предположить, что разработчик зловредного ПО был единственный и неповторимый. Группировку злоумышленников назвали xHunt, поскольку для своих инструментов они использовали имена персонажей аниме Hunter x Hunter (все совпадения случайны!!!).
Что касается тактики. Оба раза злоумышленники использовали бэкдор (доступ через чёрный ход), а затем пробирались по нему в различные сегменты сетей транспортных компаний. Далее происходила кража информации. Здесь надо оговориться, что в данном случае бэкдоры не были изначально внедрены в программный код. Они действовали, как трояны, поражали систему и открывали дорогу для дальнейшеё работы злоумышленников.
В обоих случаях бэкдоры были подозрительно похожи, вплоть до количества функций и имён переменных. Инструменты, которые вступали в силу далее, вообще идентичны. Это Gon и EYE.
Первая тулза работает, как модные нынче миникамеры на подвижной длинной ножке. По выстроенному через бэкдор туннелю Gon пролезал внутрь сети, делал скриншоты, собирал информацию, искал выходы к следующим узлам, открывал сеанс протокола RDP (удалённого рабочего стола). Словом, осматривался по сторонам и запоминал, что видит.
EYE, в свою очередь, подчищал за напарником все возможные следы, которые тот оставлял в системе.
Ни один из найденных мной материалов не говорит об ущербе, который понесли транспортные компании. Однако, две атаки, длиной в несколько месяцев каждая, не могли пройти безобидно.
Мы с командой предположили, каким может быть урон:
1) Это могут быть отложенные прямые убытки для компании. Как слив большого массива информации, так и, например, шантаж;
2) Благодаря атаке можно использовать 0day exploit, а там уже - на что хватит фантазии злоумышленника;
3) Не стоит забывать, что подобные компании трепетно хранят данные, которые влияют на экономику в глобальном смысле. А это значит, что у атаковавших есть возможность нажиться не столько за счет конкретного бизнеса, сколько на тайных знаниях котировок, фьючерсов и так далее.
Короче, сколько людей, столько и мнений.
Здесь трудно подвести какую-то мораль. Напомню только, что принцип целесообразности никто не отменял. И если ты - богатая нефтяная страна, готовься защищать своё богатство на самом продвинутом уровне.
Unit 42
xHunt Campaign: Attacks on Kuwait Shipping and Transportation Organizations
Between May and June 2019, Unit 42 observed previously unknown tools used in the targeting of transportation and shipping organizations based in Kuwait. The first known attack in this campaign targeted a Kuwait transportation and shipping company in which…
Почти мгновенная карма
Сегодня мы ненадолго вернёмся к теме шифровальщиков-вымогателей. Нужно это сделать по двум причинам.
Во-первых, это важная информация, а во-вторых, история вышла довольно забавная.
С конца сентября этого года по сети начал бегать вымогатель Muhstik. Специализировался молодой воришка на сетевых хранилищах QNAP NAS и требовал примерно 700 баксов за ключ.
И так бы он и бегал, если бы не напоролся на Тобиаса Фрёммеля (https://twitter.com/battleck/with_replies), который не прощает обид.
Поначалу Muhstik зашифровал данные Тобиаса, которому ничего не оставалось, как заплатить. Видимо, данные стоили гораздо больше денег.
Но затем, Тобиас пошёл в атаку. Изучив шифровальщик изнутри, он вышел на управляющие серверы зловреда и выкачал оттуда базу ключей с айдишниками жертв.
"Я похакал хакера. ЛОЛ" - написал Фрёммель на своей странице в Твиттере.
Далее, Тобиас выложил полную базу ключей с тем, чтобы каждый пострадавший смог бесплатно расшифровать свои данные.
Ну и вместо фаталити, немецкий мститель выпустил декриптор для Muhstik, который так же опубликовал.
"Прямой репортаж с места событий" Фрёммель вёл лично, комментируя каждый свой шаг в Твиттере.
Я не знаю, нужно ли как-то комментировать эту ситуацию. Лучше вместо морали приложу сюда гифку.
Сегодня мы ненадолго вернёмся к теме шифровальщиков-вымогателей. Нужно это сделать по двум причинам.
Во-первых, это важная информация, а во-вторых, история вышла довольно забавная.
С конца сентября этого года по сети начал бегать вымогатель Muhstik. Специализировался молодой воришка на сетевых хранилищах QNAP NAS и требовал примерно 700 баксов за ключ.
И так бы он и бегал, если бы не напоролся на Тобиаса Фрёммеля (https://twitter.com/battleck/with_replies), который не прощает обид.
Поначалу Muhstik зашифровал данные Тобиаса, которому ничего не оставалось, как заплатить. Видимо, данные стоили гораздо больше денег.
Но затем, Тобиас пошёл в атаку. Изучив шифровальщик изнутри, он вышел на управляющие серверы зловреда и выкачал оттуда базу ключей с айдишниками жертв.
"Я похакал хакера. ЛОЛ" - написал Фрёммель на своей странице в Твиттере.
Далее, Тобиас выложил полную базу ключей с тем, чтобы каждый пострадавший смог бесплатно расшифровать свои данные.
Ну и вместо фаталити, немецкий мститель выпустил декриптор для Muhstik, который так же опубликовал.
"Прямой репортаж с места событий" Фрёммель вёл лично, комментируя каждый свой шаг в Твиттере.
Я не знаю, нужно ли как-то комментировать эту ситуацию. Лучше вместо морали приложу сюда гифку.
Twitter
Login on Twitter
Welcome back to Twitter. Sign in now to check your notifications, join the conversation and catch up on Tweets from the people you follow.
Forwarded from Hacker News
0-day уязвимость в iTunes использовалась для распространения вымогателя
https://xakep.ru/2019/10/11/bitpaymer-itunes/
https://xakep.ru/2019/10/11/bitpaymer-itunes/
«Хакер»
0-day уязвимость в iTunes использовалась для распространения вымогателя
Шифровальщик BitPaymer распространялся, используя уязвимость нулевого дня в iTunes для Windows, которая помогала обойти антивирусные продукты.
ИИ следит за тобой
Привет!
Мы уже говорили о том, что лучше заклеивать камеру на ноутбуке. Злоумышленников, которым крайне важно посмотреть на тебя с помощью твоего же девайса, меньше не становится. Иногда в их число входят и сами разработчики.
На днях стало известно (https://www.cybersecurity-insiders.com/amazon-employees-spy-on-users-of-cloud-cams/), что в Индийском и Румынском офисах компании Amazon сотрудникам было дано указание наблюдать за изображнием, поступающим с облачных камер.
Если ты зайдёшь на сайт Амазона и найдёшь там облачную камеру (https://www.amazon.com/Introducing-Amazon-Cloud-Cam/dp/B01C4UY0JK), то заметишь, что эта железка преподносится, как защитный инструмент для квартир.
Эта приблуда должна быть установлена в доме и подключена к интернету. Дальше Амазон сделает всё сам - распознает подозрительную активность, подаст сигнал.
Не трудно догадаться, что для такой работы требуется два очень важных пункта. Первый - конфиденциальность. Мало ли, чем ты там занимаешься, пока никто не видит. Второй пункт - следствие первого. Раз другим людям нельзя смотреть в эту камеру, значит, изображение должен исследовать искусственный интеллект.
Но проблема в том, что без обучения ИИ не работает. А обучать его должны люди. И потому, Амазон и дал такое распоряжение - отсматривать видео и учить камеру, где надо подавать сигнал угрозы, а где нет.
Проблема заключается в том, что по факту, компания заявила: "нам надо отличать кошку от вора, поэтому мы будем смотреть постельные сцены с вашим участием".
Вопрос этичности, а с ним и безопасности, в такой ситуации остаётся открытым. Амазон утверждает, что сотрудники не могут записать себе и распространить увиденное. Но это ведь просто слова.
Так что, выходит, каждый должен сам решить, чего ему хочется больше - неприкосновенности частной жизни или безопасности под надзором умной камеры.
Привет!
Мы уже говорили о том, что лучше заклеивать камеру на ноутбуке. Злоумышленников, которым крайне важно посмотреть на тебя с помощью твоего же девайса, меньше не становится. Иногда в их число входят и сами разработчики.
На днях стало известно (https://www.cybersecurity-insiders.com/amazon-employees-spy-on-users-of-cloud-cams/), что в Индийском и Румынском офисах компании Amazon сотрудникам было дано указание наблюдать за изображнием, поступающим с облачных камер.
Если ты зайдёшь на сайт Амазона и найдёшь там облачную камеру (https://www.amazon.com/Introducing-Amazon-Cloud-Cam/dp/B01C4UY0JK), то заметишь, что эта железка преподносится, как защитный инструмент для квартир.
Эта приблуда должна быть установлена в доме и подключена к интернету. Дальше Амазон сделает всё сам - распознает подозрительную активность, подаст сигнал.
Не трудно догадаться, что для такой работы требуется два очень важных пункта. Первый - конфиденциальность. Мало ли, чем ты там занимаешься, пока никто не видит. Второй пункт - следствие первого. Раз другим людям нельзя смотреть в эту камеру, значит, изображение должен исследовать искусственный интеллект.
Но проблема в том, что без обучения ИИ не работает. А обучать его должны люди. И потому, Амазон и дал такое распоряжение - отсматривать видео и учить камеру, где надо подавать сигнал угрозы, а где нет.
Проблема заключается в том, что по факту, компания заявила: "нам надо отличать кошку от вора, поэтому мы будем смотреть постельные сцены с вашим участием".
Вопрос этичности, а с ним и безопасности, в такой ситуации остаётся открытым. Амазон утверждает, что сотрудники не могут записать себе и распространить увиденное. Но это ведь просто слова.
Так что, выходит, каждый должен сам решить, чего ему хочется больше - неприкосновенности частной жизни или безопасности под надзором умной камеры.
Cybersecurity Insiders
Amazon employees spy on users of Cloud Cams - Cybersecurity Insiders
Amazon employees from India and Romania have been assigned a task of watching out video footage streamlined from cloud cams without the consent of users. According to a report published in Bloomberg dozens of employees from Amazon are seen watching intimate…
Шпионская малварь
На днях компания ESET выпустила аналитику по работе зловреда Attor (https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Attor.pdf). Этот зверь отличился атаками на государственные и дипломатические учреждения в Восточной Европе.
Основное направление деятельности Attor - это шпионаж. Попав на компьютер жертвы, малварь изучает обстановку и отсылает собранную информацию о своём окружении в командный пункт. Общение шпиона и командования происходит через инфраструктуру Tor.
Далее, командный центр высылает подкрепление для своего шпиона - зашифрованные функциональные модули записи звука, экрана, мониторинга устройств, установщик полезной нагрузки, кейлоггер (перехват нажатия клавиш) и т.д.
Attor живёт в сети с 2013-го, активно показал себя в прошлом году. А его исследование вышло только сейчас. Такая задержка обусловлена тем, что Attor изменяет себя за счёт подгружаемых модулей, используя при этом Tor и шифрование самих дополнений.
Аналитики отмечают, что у зловреда есть и ещё одна особенность - уже упомянутый нами монитор устройств. Благодаря этому модулю Attor собирает данные о подключаемых к компьютеру мобильных устройствах, видимо, с целью дальнейшего шпионажа и за ними. Сбор информации происходит путём рассылки AT-команд (запросов для модемов и мобильников) устройствам, подключённым через COM-порт.
Здесь я замечу, что то же самое можно было бы делать и при подключении по USB, но Attor на этом не специализируется.
Такое странное использование устаревших портов говорит о том, что целью нашего сегодняшнего персонажа являются организации, где используют старые модели сотовых телефонов.
Эта история снова говорит о том, что ты должен защищать свои данные, исходя из стоимости своей информации и особенностей своей инфраструктуры, ведь на каждого найдётся малварь именно под него.
На днях компания ESET выпустила аналитику по работе зловреда Attor (https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Attor.pdf). Этот зверь отличился атаками на государственные и дипломатические учреждения в Восточной Европе.
Основное направление деятельности Attor - это шпионаж. Попав на компьютер жертвы, малварь изучает обстановку и отсылает собранную информацию о своём окружении в командный пункт. Общение шпиона и командования происходит через инфраструктуру Tor.
Далее, командный центр высылает подкрепление для своего шпиона - зашифрованные функциональные модули записи звука, экрана, мониторинга устройств, установщик полезной нагрузки, кейлоггер (перехват нажатия клавиш) и т.д.
Attor живёт в сети с 2013-го, активно показал себя в прошлом году. А его исследование вышло только сейчас. Такая задержка обусловлена тем, что Attor изменяет себя за счёт подгружаемых модулей, используя при этом Tor и шифрование самих дополнений.
Аналитики отмечают, что у зловреда есть и ещё одна особенность - уже упомянутый нами монитор устройств. Благодаря этому модулю Attor собирает данные о подключаемых к компьютеру мобильных устройствах, видимо, с целью дальнейшего шпионажа и за ними. Сбор информации происходит путём рассылки AT-команд (запросов для модемов и мобильников) устройствам, подключённым через COM-порт.
Здесь я замечу, что то же самое можно было бы делать и при подключении по USB, но Attor на этом не специализируется.
Такое странное использование устаревших портов говорит о том, что целью нашего сегодняшнего персонажа являются организации, где используют старые модели сотовых телефонов.
Эта история снова говорит о том, что ты должен защищать свои данные, исходя из стоимости своей информации и особенностей своей инфраструктуры, ведь на каждого найдётся малварь именно под него.