И сразу вторая новость про APT OceanLotus. Точнее про хакерскую группу Bismuth, которую исследователи Microsoft почему-то полагают схожей с OceanLotus. Впрочем, у них частенько бывает свое эксклюзивное мнение относительно APT, по поводу которого они не стесняются поругаться с другими инфосек вендорами.

Microsoft сообщают, что в период с июля по август 2020 года наблюдали атаки Bismuth на ряд коммерческих и правительственных организаций.

Исследователи достаточно подробно описывают две атаки, в отражении которых они непосредственно приняли участие. Вектором первичного проникновения был целевой фишинг, детали которого свидетельствовали о проведенной предварительной разведке целевой организации и ее сотрудников. Далее хакеры проводили тщательную разведку сети, осуществляли боковое перемещение, захватывали учетные записи, прокидывали каналы связи и даже установили внутри скомпрометированной сети промежуточный управляющий центр.

В общем, это были грамотные кибершпионские операции, в которых, как мы понимаем, использовались как авторские вредоносы, так и общедоступные инструменты - Mimikatz и Cobalt Strike.

Что же отличало их от другой ранее выявленной активности OceanLotus. Во-первых, то, что в ходе проникновения хакеры поставили в атакованной сети майнеры криптовалюты Monero и за время атаки заработали более тысячи долларов. Эксперты из Microsoft полагают, что это была некая операция прикрытия, чтобы запудрить инфосеку мозги и скрыть истинную цель взлома.

А во-вторых, Microsoft сообщают, что целями были частные и государственные организации из Франции и Вьетнама. И вот тут у нас трескается шаблон. Зачем прогосударственной вьетнамской APT OceanLotus атаковать коммерческий сектор Вьетнама, не говоря уж про госконторы? Это же шизофрения явная.

Рассказы Microsoft про то, что это проклятые вьетнамские социалистические держиморды атаковали приватизированные ранее вьетнамские госпредприятия, чтобы нагло шпионить за молодыми побегами вьетнамского капиталистического авангарда, не выдерживают никакой критики. Уж не говоря про то, что это никак не объясняет атаки Bismuth на сами государственные учреждения.

Зато вполне себе представимы APT иных государств, которые в целях затруднения последующей атрибуции атаки со стороны исследователей, могут использовать TTPs других хакерских групп, пытаясь мимикрировать под них. Это могут быть и китайские товарищи, и американские господа, да много кто еще. Есть нам память не изменяет, то сеульские хакеры из Dark Hotel тоже подобным баловались.

Почему Microsoft это не учитывают не ясно. Видимо, изначально гуков недолюбливают.

​​Как- то раз минувшим летом мы давали пост про цены на различные услуги, предлагаемые в даркнете. В продолжение этой темы Лаборатория Касперского опубликовала материал, посвященный такому явлению как доксинг и соответствующим ценам на различную информацию на даркнетовских форумах и торговых площадках.

Доксинг - это публичная деанонимизация. Теперь вы тоже знаете как это называется. Помнится, по молодости, эх...

Но вернемся к ценам на информацию:
- данные удостоверяющих личность документов (различных стран мира) - от 0,5 до 10 долларов;
- сканы паспортов - от 6 до 15 долларов, ну вы знаете, всякие там каршеринги и прочее;
- сканы водительских прав - от 5 до 25 долларов, аналогично;
- селфи с документами - от 40 до 60 долларов, тут точно каршеринги;
- медицинские записи - от 1 до 30 долларов;
- полные данные банковской карты, включая CVV - от 6 до 20 долларов;
- учетные данные к аккаунту онлайн-банка или другой платежной системы - от 50 до 500 долларов;
- учетные данные различных онлайн-сервисов - от 0,5 до 8 долларов;
- доступ к электронной почте и социальным сетям (очевидно, что большинство подобных предложений - банальное налюбилово) - от 400 до 800 долларов.

Интереснее, конечно, было бы про стоимость конкретных баз почитать, но, понятное дело, такого никто писать не будет. И даже мы.

В США новый скандал - система распознавания лиц оказалась расистом!

Школьный округ Локпорт штата Нью-Йорк решили внедрить в школах систему распознавания лиц AEGIS производства канадской компании SN Technologies. И все бы хорошо, но вскрылись вопиющие подробности! Оказалось, что система хуже распознает лица чернокожих, чем белых людей.

Более того, сама SN Technologies солгала, когда сообщила, что ошибки при распознавании лиц чернокожих мужчин в 2 раза чаще, а чернокожих женщин - в 10 раз чаще, чем белых мужчин. Как выяснил Союз гражданских свобод Нью-Йорка - на самом деле, соотношение 4:1 и 16:1. Кто нам объяснит почему черных женщин сравнивают с белыми мужчинами? Наверное потому, что так разница больше?!

Ну а бонусом оказалось то, что AEGIS иногда выдает ложное срабатывание и путает рукоятку пистолета с рукояткой швабры.

В общем, власти штата Нью-Йорк быстро подсуетились и подготовили закон, запрещающий использование систем распознавания лиц в школах. В настоящее время он находится на подписи у губернатора-демократа Эндрю Куомо. И он его обязательно подпишет. Потому что негоже обижать свой ядерный электорат. А то не смогут продавать наркоту в школе и с пистолетом ходить и в следующий раз не проголосуют за демократа Эндрю Куомо.

​​​Ох не зря Иэн Бир из Google Project Zero провёл 6 месяцев самоизоляции. В своём посте он опубликовал результаты рисёрча по эксплуатации уязвимости в Apple iOS, которая вызывает повреждение памяти ядра операционной системы и позволяет получить полный удалённый доступ ко всем пользовательским данным (включая электронную почту, фотографии, мгновенные сообщения и даже keychain).

История этого бага началась в 2018 году, когда Apple случайно распространила бета-версию iOS с именами функций ядра. Тысячи инфосек спецов по всему воскликнули "вау!" и принялись изучать код. Особое внимание Иэна Бира привлекла функция memmove: немного покопавшись в её параметрах он обнаружил в коде самую обычную ошибку переполнения буфера. С помощью этого бага атакующий может провести пакетную инъекцию в AWDL-соединение (при этом необязательно находиться в одной wi-fi сети), получить доступ к устройству и выполнить код-имплант с рутовыми правами. Весь фокус уложился в несколько минут и был проведён с iPhone 11 Pro в соседней комнате. По мнению Бира при достаточной воле и финасировании трюк можно проделать за секунды и на гораздо большем удалении.

В этой истории прекрасно всё. Прежде всего - упорство рисёрчера и результат. Project Zero чётко отработал устранение уязвимости с Apple в формате responsible disclosure - не было зарегистрировано (пальцы крестиком) ни одного in-the-wild случая атак, а сам баг был успешно пофиксен в iOS 13.5.

А примерно 10% пользователей iOS-девайсов, которые до сих сидят на предыдущих версиях операционки нужно немедленно найти кнопку "обновить", чтобы не получилось как на видео ниже. Да да, с помощью этой уязвимости атакующий может заставить все близлежащие девайсы спонтанно перегрузиться.

Мы неоднократно писали о проблемах в сигнальном стеке протоколов ОКС-7 (SS7), используемом в телекоммуникационных сетях, и о том, какие атаки из этого могут следовать. Несмотря на то, что проблема старая и обсуждаемая уже не первый год на уровне Минцифры и других причастных, какой-либо системной работы по наведению порядка в этой области не видно. Робкие телодвижения же сотовых операторов по защите своего сигнального сегмента не способны полностью устранить уязвимости.

А надо бы.

Канадская Citizen Lab, которая ранее неоднократно наступала на хвост израильской NSO Group, поставляющей кибершпионское ПО спецслужбам по всему миру, вскрыла очередной нарыв, а именно подразделение NSO Group - компанию Circles.

Circles официально продаёт систему, которая вводит домашний коммутатор мобильного оператора в заблуждение относительно нахождения его абонента в роуминге и прикидывается новым гостевым оператором. Звучит не страшно? Поясняем - это сигнальная атака, которая направлена на перехват SMS и голосового трафика, так называемая GSM-петля.

К примеру, можно абсолютно незаметно послушать разговор. Или перехватить подтверждающие платеж SMS-сообщение. Или код SMS-подтверждения открытия новой сессии у мессенджера (поэтому мы и призываем включать 2FA).

Про причины, по которым это возможно, мы тоже писали, но вкратце повторим. ОКС-7 разрабатывался в далеких 70-х и принципиально не содержит механизмов защиты трафика. На его основе функционируют и более поздние Sigtran, Diameter, и даже GTP, на которых работают все современные и планируемые к введению в строй сотовые сети. Поэтому уязвимости ОКС-7 переползли и на них.

Если у покупателя системы от Circles достаточно тугой карман и сильное желание не палиться с подключением к национальным операторам мобильной связи, то израильтяне предлагают даже Circles Cloud - облако, имеющее сопряжение с множеством операторов и позволяющее пасти интересующих абонентов с позиций всего мира.

Circles в своей работе использует продукты другой израильской компании Check Point (инфосек вендор, ага). Исследователи осуществили поиск хоста tracksystem .info, который используется Circles для электронной почты, в файрволах Check Point, и нашли 252 IP-адреса и 50 автономных систем, которые указывали на присутствие Circles. Citizen Lab выявили клиентов компании в 25 странах, включая Австралию, Данию, Индонезию, Нигерию, Мексику и ОАЭ.

Почитайте расследование, оно действительно интересное.

А мы можем сказать следующее. На использовании уязвимостей ОКС-7 семитов ловят не первый раз. Еще в середине 10-х годов израильская Comverse, в отношении американского филиала которой американские же спецслужбы проводили целую спецоперацию по вылавливанию шпионов Моссада, публично предлагала сервис по установлению геопозиционирования сотового абонента в любой части света.

Но вот чтобы открыто продавать целую систему по прослушке через дырки в сигнальной сети? Хуцпа прет, господа, разливайте кошерный Glenlivet!

​​​​Похоже, что тычки палочкой возглавляемой Microsoft коалиции против ботнета TrickBot привели к обратному результату.

В начале октября коалиция победно отчиталась о "решающем ударе" против крупнейшего криминального ботнета, который в том числе используется в крупных ransomware-операциях Ryuk и Conti. Однако, спустя несколько дней CrowdStrike остудила победный пыл, аргументированно показав, что TrickBot быстро возвращается к жизни. В частности, были внедрены новые технологии обфускации, новая C2-инфраструктура, запущены новые спам-кампании для вербовки зомби-компьютеров.

Сегодня пришли ещё более тревожные новости, доказывающие, что операторы TrickBot рассержены, негодуют и решили нанести ответный удар.

Рисёрчеры из AdvIntel и Eclypsium сообщили, что в боевой малваре ботнета появилась новая фича для взаимодействия с UEFI-биосом. Такой апгрейд значительно усложнит задачу не только лечения, но и обнаружения заражения. К тому же малвара сможет удалённо "окирпичивать" зараженные компьютеры, обходить системы безопасности (включая BitLocker, Windows Virtual Secure Mode, Credential Guard и некоторые антивирусы), получать доступ к SPI-контроллеру для проведения сложных атак против процессоров Intel.

Фича новая, да не совсем. TrickBot позаимствовал её у популярной тулзы RWEverything. Напомним, что ранее фокусы с UEFI-биосом проделывались лишь дважды. Первый раз - в 2018 г. APT группой Fancy Bear (Sofacy, APT28) руткитом LoJax. Второй - в октябре этого года APT группой MosaicRegressor.

Признаемся, увеличение частоты заглядывания в железо со стороны криминала заставляет воображение рисовать картину не самого светлого будущего.

​​GDPR. Как много в этом слове в основном нецензурных воспоминаний у каждого инфосек специалиста, которому пришлось прикручивать к этому стандарту корпоративную кибербезопасность. Но не напрасно портит воздух этот закон! С помощью GDPR журналист норвежской медиа-компании NRKbeta Мартин Гундерсен распутал клубок хитрозапутанного схематоза американских спецслужб для получения геолокаций пользователей мобильных устройств.

Всё началось с простого интереса узнать жив ли курилка GDPR. Ну и заодно может быть даже узнать что-то про себя у компании Venntel - одного из поставщиков данных для американских правительственных учреждений и спецслужб. И таки шо вы думаете? В положенные 30 дней Гундерсен получил свою собственную геолокацию за несколько месяцев - всего более 75 тыс. точек, которые исчерпывающе характеризуют его передвижения. Но это не всё: Venntel признался, что расшарил эти данные со своими клиентами, среди которых ФБР, Пограничная и Иммиграционная служба США и Агентство по борьбе с наркотиками.

Азарт обуял Гундерсена: он установил на Android смартфон кучу приложений, разрешил делиться геолокацией и снова делал многочисленные Subject Access Request к разработчикам и аналитикам. И снова получал исчерпывающие ответы, которые позволили ему нарисовать диаграмму движения персональных данных из Норвегии в США. Выяснилось, что в основании одной из пищевых цепочек находится словацкий разработчик Sygic, перу которого принадлежит примерно 70 аппов в Google Play. Согласно информации на сайте Sygic самое популярное приложение имеет более 200 миллионов пользователей. Мы не ошиблись: именно имеет. Информация о геолокации передаётся аналитическим компаниям Predicio (Франция) и Complementics (США), которые закидывают её в Gravy Analytics, а она уже в Venntel, а дальше мы уже знаем.

В заключение нам хотелось многозначительно потрясти пальцем и возопить ко всем читателям "поберегитесь, ибо". Но потом стало ясно - а кто-то не знал, что всё именно так и работает? Но вы всё равно поберегитесь, потому что к вашему цифровому профилю только что прилипло знание того, что вы всё знаете.

​​​​ А мы снова об обезьянах и микроскопах. Первых в Бразилии, как говорили классики, много.

Журналисты национальной газеты Estadao сообщили, что в процессе изучения кода правительственных веб-сайтов наткнулись на логинопароли для доступа к базе данных Министерства здравоохранения. Она содержит сведения (включая истории болезни) о бразильцах с 1989 г., всего 243 миллиона человек (живых и почивших).

Впрочем, пока нет подтверждения, что кто-то воспользовался доступом в неправедных целях. Поэтому:

Microsoft Edge и Cisco Webex Teams - это Android приложения, которые немедленно должен снести со своего смартфона каждый верующий в бога инфосека. Если бы вы работали ещё и в Яндекс Такси, то и Таксиметр туда же. Но это, надеемся, вряд ли.

Сыр-бор случился по следам рисёрча Check Point о масштабе распространения уязвимости CVE-2020-8913, обнаруженной и пропатченной в апреле этого года. Оказалось, что примерно 13% Android приложений используют уязвимую библиотеку Play Core, из них 8% (включая упомянутых выше) до сих пор не заменили её на обновлённую версию. Из-за этого миллионы пользователей ходят под дамокловым мечом целого спектра атак, связанных в внедрением кода. Например, в банковские приложения для перехвата SMS двухфакторной аутентификации. Или в мессенджеры для получения доступа к секретной переписке.

На самом деле, ситуация с раскаткой обновлений библиотек для клиентских приложений достаточно обычная. И это кагбэ намекает, что консерватории уже надо задуматься над неким бизнес-процессом, который подобно Check Point анализировал бы Google Play, выявлял нерадивых разработчиков и БАНИЛ ИХ ПОКА НЕ ПРОПАТЧАТ СВОИ АППЫ. Извините, пожалуйста, за капслок. Наболело болеть за призрачность благополучия пользователей.

А для постскриптума давайте вместе осудим автора Zero Day, хайпанувшем на этой новости совершенно не соответствующим реальности заголовком 8% всех приложений Google Play уязвимы перед старым багом. Писучесть товарища Чимпану иногда переводит количество в некачество.

​​Твит дня

​​У одного из операторов ransomware Egregor появилась фирменная фишка - распечатывать требование о выкупе на печатающих устройствах затрояненной организации. Недавно таким образом об атаке узнала крупная латиноамериканская сеть ритейла Cencosud. На днях - компания TransLink, обслуживающая общественный транспорт Ванкувера.

О том, что в TransLink случилось что-то неладное стало известно 1 декабря: жители 700-тысячного города не смогли воспользоваться картами Compass для оплаты проезда на автобусах, паромах и поездах. Несколько дней руководство компании пыталось прикрыть катастрофу отговорками о "проблемах с текущим техническим обслуживанием". По всей видимости, в это время велись переговоры с вымогателями, которые решили ускорить процесс и поднажать за счёт широкой огласки факта взлома через принтеры.

Остальные детали атаки, как обычно, неизвестны. Что зашифровали? Как зашифровали? Насколько это критично для восстановления работы общественного транспорта? Платить или не платить? Нам же интересно как-нибудь увидеть сводный документ, например, ста самых крупных жертв ransomware и инфосек продуктов, которые они использовали. Это будет самая лучшая реклама. И антиреклама.

​​IBM Security X-Force то ли мутит воду, чего-то недоговаривая, то ли решили хайпануть на теме COVID-19.

Компания выстрелила в медиапространство новым рисёрчем под громким (и длинным) заголовком "IBM обнаружила глобальную фишинговую кампанию, нацеленную на цепочку поставок холодильных установок для вакцины против COVID-19" (всё, точка). Действительно, документ рассказывает о фишинговой рассылке от имени Haier Biomedical с предложением прислать запрос на цену для оборудования. В аттаче письма находился HTML-документ, который предлагал ввести сетевой логин и пароль и пересылал их на удалённый хост. Но дальше концы истории начинают категорически расползаться.

Под рассылку попали такие организации как Генеральный директорат по налогообложению и таможенному союзу ЕС, производители солнечных панелей, южнокорейский софтверный вендор и немецкий веб-разработчик. На том основании, что в списке клиентов указанного веб-разработчика есть организации, отдалённо сопряжённые с фармацевтикой, IBM делает вывод об атаке на цепочку поставок вакцины.

Таким рисёрчам мы назначаем особую медаль "Сова, натянутая на глобус" первой степени.

​​Голландский рисёрчер Сипке Меллема выложил на Github тулзу под названием Depix, которая позволяет восстановить текст на графическом изображении, заблуренный линейным фильтром (наиболее распространённый метод в редакторах). Судя по описанию и отзывам пользователей эффективность восстановления достаточно высокая. Если кто-то ещё не выкорчевал графическую обфускацию из своих опсек-практик, то настало время.

​​Уже не в первый раз начинаем неделю кратким обзором активности операторов ransomware. Как говорится, чтобы не забывали.

1. Вымогатели переключились на производителей авиационной техники. Что неудивительно, поскольку это реальное производство, а производство ransomware любит.

Оператор ransomware LockBit успешно взломал швейцарского производителя вертолетов Kopter Group AG. Судя по всему, представители компании не пошли на сотрудничество с хакерами, после чего последние разместили на своем сайте для утечек часть украденной информации, включая внутренние проекты.

Журналисты ZDNet связались с владельцами LockBit, которые сообщили, что взломали сеть Kopter через слабый пароль на корпоративном VPN.

2. Другим пострадавшим авиапроизводителем стал Embraer, третий в мире после Boing и Airbus. В конце ноября бразильская компания сообщила, что у нее случился инцидент безопасности, но без каких-либо подробностей.

Теперь оказалось, что это все-таки была атака ransomware RansomExx. Вчера хакеры слили в паблик часть украденных сведений, в том числе персональные данные сотрудников, исходники, как мы понимаем, самолетного ПО и пр. Все потому, что Embraer попытались самостоятельно восстановить свои системы из резервных копий.

Напомним, что RansomExx ранее успешно атаковали Бразильский верховный суд, а также американского IT-гиганта Tyler Technologies, который в результате заплатил злоумышленникам выкуп.

3. Ну и новая тактика владельцев и операторов ransomware - теперь некоторые из них пользуются услугами подпольного call-центра для того, чтобы осуществлять обзвон своих жертв с угрозами, если у злоумышленников существуют подозрения, что жертва пытается самостоятельно или с привлечением инфосек компаний восстановить пострадавшую инфраструктуру.

В обзвонах были замечены хакеры стоящие за Sekhmet и Maze (ныне не функционирующие), а также Conti и Ryuk.

По имеющейся информации, "у звонивших был сильный акцент, свидетельствующий, что они не являются носителями английского языка". И это неудивительно, наверняка обзвоном занимаются сотрудники "службы безопасности Сбербанка" с номерными жетонами в свободное от основной работы время.

На связи американский Центр стратегических и международных исследований (CSIS). Для справки - это на текущий момент ведущий мировой think tank в области обороны и безопасности, проводник, так сказать, милитаристских идей западного гегемона.

Старший вице-президент CSIS Джеймс Эндрю Льюис выпустил на прошлой неделе статью, в которой призвал распрощаться в 2021 году с 5 стратегиями кибербезопасности, которые утратили свою актуальность.

1. Стабильность - противники США не стремятся к стабильности, а следовательно и американцам не следует преследовать цели ее сохранения. Даешь треш, угар и содомию.

2. Предотвращение эскалации - Льюис пишет, что ни один киберинцидент за 20 лет не привел к эскалации конфликта в реальной жизни, а следовательно нечего ее опасаться, продолжаем катание на аттракционах. С учетом того, что земному шарику, в принципе, хватит всего одной такой эскалации, то опасаться, действительно, нечего - после нее из персональных вычислительных машин у населения останутся только счеты и абак.

3. Сдерживание - текущие меры по сдерживанию потенциальных противников США в киберпространстве не работают. Следовательно, нужно действовать более решительно.

4. Соблюдение норм - нормы сосуществования в киберпространстве соблюдаются лишь формально, но не выполняются в полной мере. Поэтому США и их союзникам необходимо забить на соблюдение всех норм.

5. Прозрачность - Льюис говорит, что повышение США прозрачности своих кибернаступательных сил (серьезно? про Equation и Longhorn рассказали уже?) не принесло никаких положительных результатов, поэтому нечего ее соблюдать. Все должно быть максимально скрытно и неожиданно.

Зачем же эта статья написана? А это еще одна ступенька к легитимизации кибервойн. Льюис фактически говорит, что сдерживать себя ничем не надо, а надо бомбить с максимальной силой.

Кстати, гнида Альперович, который как бы на стороне инфосека (а на самом деле на подсосе у Демпартии), радостно прибежал в Twitter к Льюису и выразил свой полный одобрямс. "It is long past time to stop pretending that multi-decade focus on norms and stability in cyber have gotten us anywhere" - пишет бывший вице-президент по угрозам McAfee и сооснователь инфосек вендора CrowdStrike.

Война - это мир, ну вы помните...

Знаковая новость.

Полиция Италии арестовала двух человек, которые причастны к краже конфиденциальных данных итальянской оборонной компании Leonardo SpA с помощью трояна (как раз этим ребятам принадлежит швейцарский производитель вертолетов Kopter Group AG, про атаку ransomware на которого мы писали сегодня).

Как сообщается, злоумышленник в течение двух лет, с 2015 по 2017 годы, заразил 94 рабочие станции посредством USB трояном ctfmon .exe, мимикрирующим под легальный файл Windows. Всего злодей украл более 10 Гб информации, среди которой сведения о конструкциях военных и гражданских самолетов.

Чем же новость знаковая? А тем, что помимо самого хакера полицейские поместили под гражданский арест руководителя SOC компании, который "искажал масштаб атаки и препятствовал расследованию" (видимо, в целях сохранить свое рабочее место).

Мы уже неоднократно говорили о том, что со временем санкции в отношении ответственных лиц ужесточаться. Более того, с нами согласны эксперты ведущей консалтинговой компании Gartner, которые предсказывают подобное ужесточение мер со стороны национальных правительств и международных органов в отношении должностных лиц за происходящие с их CPS (системы кибер-физической безопасности) инциденты.

Создавать систему информационной безопасности за мелкий прайс становится все рискованнее.

Компания NortonLifeLock, бывшая Symantec, согласилась приобрести немецкого антивирусного вендора Avira. Сумма сделки, которая должна завершиться в четвертом квартале 2021 года, составляет приблизительно 360 млн. долларов. Не часто такие масштабные сделки происходят на инфосек рынке.

Напомним, что Avira работает по схеме freemium, когда базовая версия ПО бесплатна для пользователей, а за более продвинутую приходится платить. У компании неплохая база пользователей - около 30 млн. бесплатных установок + 1,5 млн. премиумных инсталляций, основная часть которых находится в ЕС.

Поскольку, imho, сам антивирусный движок у Avira так себе, то Norton покупают базу пользователей, которую надеются монетизировать в дальнейшем. А возможно они сами решили поменять парадигму.

Another one bites the dust.

Преемники владельцев одного из крупнейшего ransomware Maze, появившегося в сентябре вымогателя Egregor, успешно атаковали одно из крупнейших в мире рекрутинговых агентств Randstad.

Randstad декларируют, что у них 280 тыс. клиентов в 38 странах, доход компании за 2019 год составил почти 30 млрд. долларов.

Надо отдать должное - Randstad признали факт атаки ransomware, а не стали лепить горбатого, как это обычно делают несознательные пиарщики крупных корпораций, в итоге роняя репутацию своего работодателя когда правда выплывает наружу.

Тем не менее, судя по заявлению компании, часть конфиденциальных сведений утекла, в том числе персональные данные кандидатов.

Интересно а среди наших подписчиков есть сотрудники кадровых агентств? И что они думают по поводу надежности их информационной безопасности?

По поводу громкой утечки электронной почтовой переписки бывшего зятя Путина товарища Шамалова можем сказать только, что невооруженным взглядом видны явные проблемы с OPSEC (все моральные аспекты оставим журналистам).

Потому что обсуждать миллиардные сделки по открытой почте, да еще и хранить годами эти архивы - ну, такое себе мероприятие.

Почему-то у всех власть предержащих (и не только в России) считается, что одновременно с занятием привилегированной позиции в обществе автоматически выдается опция "божественный файрвол". И по команде все хакеры пойдут стройными рядами в закат. Как показывает практика, не идут.

В ночи прилетела новость о том, что оператор ransomware DoppelPaymer успешно взломал крупнейшего производителя электроники в мире Foxconn.

Безусловно, большинство о Foxconn слышало, это тайваньцы, которые производят всю электронику на свете и имеют годовой доход в 172 млрд. долларов. Это, на минуточку, приблизительно ВВП Казахстана. Только представьте себе, что DoppelPaymer ломанули Казахстан. Тушите свет, сливайте воду...

29 ноября хакеры взломали завод Foxconn в Мексике. А вчера на сайте для утечек DoppelPaymer опубликовали часть украденных данных, включая бизнес-отчеты.

Как всегда, журналисты BleepingComputer сумели добыть записку с требованием выкупа, откуда стало известно, что его размер составляет больше 34,5 млн. долларов США. Хакеры подтвердили в процессе интервью, что зашифровали около 1200 серверов и украли 100 Гб внутренних данных, а также убили 20-30 Тб резервных копий.

Любопытно, что месяц назад оператор DoppelPaymer ломанул другого тайваньского производителя электроники Compal Electronics, с которого затребовал 17 млн. долларов.

Напомним, что авторами DoppelPaymer являются наши соотечественники из Evil Corp. В сентябре немецкая пресса назвала DoppelPaymer причиной сбоя в работе сети Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент.

А еще можно напомнить, что в 2015 году Foxconn уже ломали. И сделали это еврейские хакеры из APT Duqu, подведомственной подразделению израильской радиоэлектронной разведки Unit8200. Израильтяне тогда свистнули сертификаты Foxconn, которыми подписали семейство своих вредоносов. А потом ломанули Лабораторию Касперского, за коим занятием их, собственно, и попалили.