Тут с прошлой недели тянется какая-то странная история про “Фронтон” - совсем не “завершение фасада здания, портика, колоннады, ограниченное двумя скатами крыши по бокам и карнизом у основания”. Якобы это программа, разработанная подрядчиками ФСБ для заражения “умных” домашних устройств. Меня несколько человек попинали, что, мол, об этом надо написать, но я пока как-то не знаю, что именно. Так что я просто оставлю пару ссылок по этому поводу, выводы делайте сами. Все звучит очень сильно как Mirai (рекомендую поискать по каналу этот термин)
http://www.d1g1r3v.net/madskillz/2020/3/17
https://www.bbc.com/russian/news-51951933
https://www.popmech.ru/technologies/news-559404-fsb-obvinili-v-sozdanii-oruzhiya-massovogo-internet-porazheniya/
https://meduza.io/feature/2020/03/19/hakery-rasskazali-o-zakaze-fsb-na-novoe-kiberoruzhie-ono-sposobno-ostavit-bez-interneta-tseluyu-stranu
http://www.d1g1r3v.net/madskillz/2020/3/17
https://www.bbc.com/russian/news-51951933
https://www.popmech.ru/technologies/news-559404-fsb-obvinili-v-sozdanii-oruzhiya-massovogo-internet-porazheniya/
https://meduza.io/feature/2020/03/19/hakery-rasskazali-o-zakaze-fsb-na-novoe-kiberoruzhie-ono-sposobno-ostavit-bez-interneta-tseluyu-stranu
Если вдруг кто-то из друзей и знакомых подхватил вирус CovidLock для Андроида (шифрует файлы, вымогает выкуп), пароль разблокировки — 4865083501
про вирус https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware
пароль https://imgur.com/AcHhNJx
про вирус https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware
пароль https://imgur.com/AcHhNJx
DomainTools | Start Here. Know Now.
CovidLock: Mobile Coronavirus Tracking App Coughs Up Ransomware - DomainTools | Start Here. Know Now.
The security research team at DomainTools recently observed an uptick in suspicious Coronavirus and COVID-19 domains, leading them to discover CovidLock, a malicious Andr
Сейчас многие перешли на работу из дома, и для звонков используют решение Zoom. Конфиденциальность пользовательских данных — не самая сильная сторона Zoom, если пользоваться им из приложения компании (https://twitter.com/Ouren/status/1241398181205889024). Поэтому в последнее время раздаются советы и рекомендации и использовать их сервис из браузера
https://techcrunch.com/2020/03/20/psa-yes-you-can-join-a-zoom-meeting-in-the-browser/
https://techcrunch.com/2020/03/20/psa-yes-you-can-join-a-zoom-meeting-in-the-browser/
Twitter
Wolfgang ʬ 🇹🇼 🇭🇰
Everyone working remotely: ZOOM monitors the activity on your computer and collects data on the programs running and captures which window you have focus on. If you manage the calls, you can monitor what programs users on the call are running as well. It's…
Читатель поделился находкой. Окко (популярный онлайн-кинотеатр), позволяет, позвонив в службу поддержки, удалить аккаунт пользователя, просто назвав логин этого пользователя. Службе поддержки как бы намекнули, что это не очень хорошо, и неплохо бы добавить дополнительные проверки, но там посчитали, что и так хорошо. но ведь не хорошо же.
Чья база тут лежит открытая? Ничья? ну и ладно! Неизвестно кому принадлежащая база с данными на 200 млн человек — американцев, точнее. 800ГБ данных, включая имена, имейлы, номера телефонов, даты рождения, кредитный рейтинг, домашний адрес, и прочие детальные данные. Какойто бардак, да. Данные представляют собой ценность для скамеров, спамеров, фишеров и прочий imperial scum.
https://cybernews.com/security/report-unidentified-database-exposes-200-million-americans/
https://cybernews.com/security/report-unidentified-database-exposes-200-million-americans/
Cybernews
Report: unidentified database exposes 200 million Americans
Our research team discovered an unsecured database containing detailed records of more than 200 million American users. Here's what we found inside.
Также большой и интересный текст про группировку APT41, группу китайских хакеров, которая активно использует множественные эксплойты в Citrix NetScaler/ADC, роутерах Cisco и в другом ПО. Целями становятся организации банковских, правительственных, технологических и других отраслях в десятках стран
https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
Google Cloud Blog
APT41 Initiates Intrusion Campaign Using Multiple Exploits | Google Cloud Blog
Mandiant has observed APT41 attempt to exploit vulnerabilities in Citrix NetScaler/ADC
И также классный текст про эксплойт в ПО автомобилей Tesla (уже исправлен), позволявший отключать уведомления автопилота, спидометр, веб-браузер, сигналы поворотов, навигацию и проч. Пффф, подумаешь, во многих машинах даже не устанавливают сигналы поворотов, судя по тому, что они никогда их не показывают.
https://safekeepsecurity.com/about/cve-2020-10558/
https://safekeepsecurity.com/about/cve-2020-10558/
Zoom опять в новостях, теперь по поводу того, что приложение отправляет кучу данных о пользователях в ФБ, даже если пользователи не входили в приложение с аккаунтом ФБ. И в политике конфиденциальности об этом тоже ничего нет. Используйте его из браузера по возможности, так можно!
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
VICE
Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
Zoom's privacy policy isn't explicit about the data transfer to Facebook at all.
Кстати, про iOS! уязвимость в iOS, начиная с iOS 13.3.1 и выше, включая недавно вышедшую 13.4, приводит к тому, что при подключении через VPN некоторый трафик не шифруется. Проблемный трафик — это подключения, которые были установлены до поднятия VPN, система не перезапускает их, и они оказываются вне тоннеля VPN. Лучшим вариантом для решения этой проблемы является передернуть кнопку авиарежима на телефоне. Видимо, скоро будет 13.4.1
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Proton VPN
VPN bypass vulnerability in Apple iOS
We discovered a security vulnerability in Apple’s iOS that causes connections to remain unencrypted even after connecting to VPN.
ну и чтобы два раза не вставать — вот еще информация о цепочке эксплойтов для iOS под названием LightSpy. Ссылки на сайт, “предназначеный” для пользователей из ГонгКонга, нападающие размещали на различных форумах. При открытии страницы сайт открывал невидимый iframe, который исполнял вредоносный код. Используя уязвимости, присутствующие в iOS 12.1 и 12.2, на телефон загружался вирус для iOS, который мог исполнять команды и манипулировать файлами на устройствах. Модули могли получать данные о подключениях к базам WiFi, адресной книге, геолокации, связке ключей (коллекция логинов и паролей), истории звонков, истории браузеров, переписке SMS, а также к данным приложений Telegram, QQ, WeChat. Похожая кампания под названием dmsSpy проводилась в 2019 году против пользователей с устройствами Android. В общем, не зря Apple призывает всех ставить апдейты и перестает подписывать старые версии iOS, чтобы их нельзя было устанавливать.
Спасибо читателю, который прислал эту информацию.
рассказ
https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/
отчеты
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
Спасибо читателю, который прислал эту информацию.
рассказ
https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/
отчеты
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
Securelist
iOS exploit chain deploys LightSpy feature-rich malware
A watering hole was discovered on January 10, 2020 utilizing a full remote iOS exploit chain to deploy a feature-rich implant named LightSpy.
Zoom исправился, убрав из приложения код, отправлявший данные в Фейсбук
https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook
https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook
Vice
Zoom Removes Code That Sends Data to Facebook
The change comes after Motherboard found the Zoom iOS app was sending analytics information to Facebook when users opened the app.
Вчера получил смс. Фишеры сильно разленились, даже не пытаются УРЛ сделать похожим
Но есть и хорошие новости. международная группа экспертов по информационной безопасности объединилась с целью противостояния различным атакам, связанным с новым коронавирусом. так победим!
https://www.reuters.com/article/us-coronavirus-cyber/cybersecurity-experts-come-together-to-fight-coronavirus-related-hacking-idUSKBN21D049
https://www.reuters.com/article/us-coronavirus-cyber/cybersecurity-experts-come-together-to-fight-coronavirus-related-hacking-idUSKBN21D049
Reuters
Cybersecurity experts come together to fight coronavirus-related hacking
SAN FRANCISCO (Reuters) - An international group of nearly 400 volunteers with expertise in cybersecurity formed on Wednesday to fight hacking related to the novel coronavirus.
42 млн аккаунтов (ID и номер телефона) пользователей Телеграм из Ирана утекли в интернет. Это произошло благодаря стороннему клиенту к сервису, который оставил базу данных в онлайне без защиты пароля. Также утекли хеши и секретные ключи, но они в целом бесполезны.
https://www.comparitech.com/blog/information-security/iranian-telegram-accounts-leaked/
https://www.comparitech.com/blog/information-security/iranian-telegram-accounts-leaked/
Comparitech
Report: 42M Iranian "Telegram" User IDs & Phone Numbers Leaked Online
42 million user IDs and phone numbers for a third-party version of Telegram were exposed online without a password. The accounts belong to users in Iran, where the official Telegram app is blocked.
так, в интернете в последнее время любят Zoom (аудитория сервиса увеличилась многократно в последнее время, и на него стали поглядывать внимательно). То они оставили в Маках дыру такого размера, что Apple пришлось срочно удаленно убирать её из компьютеров (Zoom даже после удаления оставлял открытым свой веб-сервер на Маке, и можно было подключаться к камерам юзеров), то в FB случайно отправляли данные. Вот добрались до их транспорта и оказалось, что коммуникации у сервиса не такие e2e зашифрованные, как утверждает маркетинг компании
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
The Intercept
Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing
The videoconferencing service can access conversations on its platform.