Вчера вышли апдейты macOS/iOS и других систем для устройств Apple, и набор фиксов для различных обнаруженных уязвимостей должен вызывать автоматическое желание поставить обновления как можно скорее

macOS 11.1 https://support.apple.com/en-us/HT212011
iOS 14.3 https://support.apple.com/en-us/HT212003

Сразу две интересные новости про американские школы:

Рейтинг популярности вредоносных приложений в школах, из которого можно узнать, что самым популярным вирусом для Маков является Shlayer. А вообще, в образовательном секторе, как и везде, самыми популярными атаками являются вымогатели, кража данных и нарушение функционирования сервисов удаленного обучения.

https://www.zdnet.com/article/cisa-and-fbi-warn-of-rise-in-ransomware-attacks-targeting-k-12-schools/

В то же время школы «вооружаются» против учеников теми же инструментами, что и покупают полиция и прочие правоохранительные органы: устройства и приложения компании Cellebrite для получения данных с устройств:
https://gizmodo.com/u-s-schools-are-buying-phone-hacking-tech-that-the-fbi-1845862393

вчера в рамках нового обновления всех своих операционных систем Apple включила в своих магазинах показ так называемой «этикетки конфденциальности» — уж не знаю, как это лучше по-русски сказать (privacy label). Разработчикам надо указать, какую информацию о пользователях собирает их приложение в процессе работы, и потом это в простом и понятном виде показывается в App Store. Ну, конечно, в приложении ФБ все красиво

Интересная информация о том, как хакеры, стоящие за взлома SolarWinds, обходили требования двухфакторной аутентификации (речь идёт о файле akey с авторизационного сервера OWA)

https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/

=== РЕКЛАМА ===

Интересуетесь пентестом, но не знаете, как тренироваться?

Начните получать практические навыки уже 17 декабря на демо-занятии «Windows AD сбор информации, эскалация привелегий. Эксплойты и уязвимости последних 5ти лет». Вместе с Александром Колесниковым вы рассмотрите методы компрометации Windows AD и самые популярные эксплойты, доступные в паблике под Windows AD.

Демо-урок входит в программу онлайн-курса «Этичный хакинг. Тестирование на проникновение» и дает возможность получить ценные знания и познакомиться с преподавателем.

Для регистрации на занятие пройдите вступительный тест: https://otus.pw/A1Og/

Прикольная штукенция — акустический кейлоггер (в отличие от первой версии, где надо было натренировать на определенной клавиатуре, и потом по звукам он мог собирать набранный текст, эту версию не надо обучать конкретным клавиатурам)

https://github.com/ggerganov/kbd-audio/discussions/31

а помните историю чувака из Нидерландов, который утверждал, что смог залогиниться в твиттер-аккаунт Президента Трампа? там даже опровержения от Твиттера якобы были, что «не было такого». Между тем, прокуратура Нидерландов изучила доказательства, предоставленные исследователем, и посчитала эти доказательства такими, которым можно доверять. Чувак же просто подобрал пароль к аккаунту — MAGA2020!. Видимо, теперь пароль уже поменяли на MAGA2024!

https://www.bbc.com/news/technology-55337192

касательно взлома SolarWinds также подтвердили, что получен контроль над доменом avsvmcloud[.]com, который использовался злоумышленниками для контроля зараженных систем.

https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/

https://www.zdnet.com/article/microsoft-and-industry-partners-seize-key-domain-used-in-solarwinds-hack/

Никогда такого не было и вот опять

https://www.zdnet.com/article/three-million-users-installed-28-malicious-chrome-or-edge-extensions/

Окей, сразу много обновлений по поводу взлома SolarWinds и последовавших за этим взломов:

- CISA говорит, что APT, которая стоит за этой кампанией (подозреваются все те же Cozy Bear), использовала и другие методы, не только взлом через SolarWinds Orion. по крайней мере, есть знаки и агентство сейчас расследует доступную информацию
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://www.bleepingcomputer.com/news/security/cisa-hackers-breached-us-govt-using-more-than-solarwinds-backdoor/

– Reuters пишет, что жертвой взлома стала компания Microsoft. Детали и кого это может затрагивать, пока не озвучиваются. Microsoft опровергает пока этот факт.
https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW

- Президент Microsoft Брэд Смит опубликовал пост, в котором озвучил свои опасения по поводу этой атаки, и её масштабов.
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/

- Политико пишет, что министерство энергетики и национальное агенство ядерной безопасности тоже стали жертвами взлома. Это агентство отвечает за безопасность запасов ядерного оружия, например.
https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855

Даже с информацией, которая доступна сейчас, все это выглядит очень масштабным взломом. А ведь, кажется, мы знаем о происшедшем очень и очень мало.

и как обычно, ученые придумали новый и слабореалистичный метод удаленного взлома, когда оперативная память превращается в транслятор беспроводного сигнала для передачи данных с изолированного компьютера

https://www.zdnet.com/article/academics-turn-ram-into-wifi-cards-to-steal-data-from-air-gapped-systems/

Apple опубликовала документ с рекомендациями о том, как управлять своей инфомацией на устройствах компании — iPhone и iPad: как проверить различные настройки конфиденциальности, что и как оптимально настроить для уменьшения рисков лишней раздачи своей информации. Кроме того, документ пригодится тем пользователям, которые подозревают, что их информация подвергается несанкционированному доступу — что проверить, и как обезопасить эту инфу. Информация безопасносте!

https://manuals.info.apple.com/MANUALS/1000/MA1976/en_US/device-and-data-access-when-personal-safety-is-at-risk.pdf

И снова жопа в iOS, ну что ж такое. Похоже, NSO group то ли сами нашли, то ли купили у кого-то уязвимость в мессенджера iMessage, и заказчик компании. использовали её для взлома журналистов и других сотрудников канала Al Jazeera. Нюанс в том, что использовалась цепочка уязвимостей, которая, видимо, включала в себя эксплойт iMessage, который был незаметен пользователям и не требовал никаких действий с их стороны. Предполагается, что эта цепочка под названием KISMET применялась в период с октября по декабрь 2019 года, возможными исполнителями взлома были Саудовская Аравия и Объединённые Арабские Эмираты. Как результат взлома, телефон мог удаленно записывать аудио с микрофона, и звонка, и делать снимки камерой. Также, считают исследователи, имплант мог сообщать о местоположении телефона и иметь доступ к паролям на устройстве. Потенциально это лишь часть жертв, и, возможно, о других мы ещё узнаем в будущем. Цепочка KISMET работала вплоть до iOS 13.5.1 ещё в июле 2020 года, а в iOS 14, похоже, новые изменения безопасности сделали её эксплуатацию невозможной. Подробный отчёт об обнаружении результатов этих взломов по ссылке. Но вообще звучит как ситуация, которая на пиз начинается, на дец заканчивается. CitizenLab призывает всех, а особенно журналистов, обновиться до iOS 14, хотя стоимость таких эксплойтов и решений NSO Group такова, что использоваться это будет только очень таргетированно, против конкретных людей. Но все равно лучше проапдейтиться.

https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

PS а ведь кто-то за такую цепочку уязвимостей вполне мог получить 3-5млн долларов

Пару недель назад мне один из читателей писал о том, что в Казахстане опять начали внедрять государственный сертификат для перехвата HTTPS трафика. Доступ к многим зарубежным сайтам был заблокирован без установки этого сертификата. Официальная версия — "учения по кибербезопасности", но кто ж им поверит? Наверно, не станет сюрпризом тот факт, что разработчики всех браузеров — Apple, Google, Microsoft и Mozilla — забанили этот рутовый сертификат, так что его нельзя будет установить в браузерах.

https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/

Я как-то пропустил, что в июле компанию-производителя аппаратных кошельков для криптовалюты Ledger взломали, украв оттуда базу данных клиентов. База включала в себя около 1 млн записей, содержащих имена, адреса электронной почты, а также настоящие адреса и номера телефонов примерно 270 тысяч реальных покупателей. При этом там история даже интересней, потому что компании сообщили об уязвимости в сайте, они её исправили, а через несколько дней кто-то все-таки взломал инфраструктуру и добрался до базы данных маркетинга.

https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Теперь же эту уведённую базу кто-то выложил в интернете

https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ

Там даже есть данные почти 6 тыс клиентов из России и Украины
https://amp.rbc.ru/crypto/news/5fe057879a794768cb14040c

А поскольку среди людей с криптокошельками есть некоторое количество людей с высоким доходом, то эта утёкшая информация уже, похоже, стала применяться «по назначению», то есть для шантажа