Более 100 тысяч устройств Zyxel оказались с бэкдором - файерволлы, гейтвеи VPN, и тд содержат в себе захардкоженные логин-пароль для админского доступа удаленно. Логин zyfwp и пароль "PrOw!aN_fXp", ну с кем не бывает.
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Информация об апдейтах устройств https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Информация об апдейтах устройств https://www.zyxel.com/support/CVE-2020-29583.shtml
Новая малварь ElectroRAT для воровства криптокошельков
https://www.intezer.com/blog/research/operation-ElectroRAT-attacker-creates-fake-companies-to-drain-your-crypto-wallets/
Есть даже версия под Мак
https://objective-see.com/downloads/malware/ElectroRAT.zip
(password: infect3d)
https://www.intezer.com/blog/research/operation-ElectroRAT-attacker-creates-fake-companies-to-drain-your-crypto-wallets/
Есть даже версия под Мак
https://objective-see.com/downloads/malware/ElectroRAT.zip
(password: infect3d)
Intezer
Operation ElectroRAT: Attacker Creates Fake Companies to Drain Your Crypto Wallets
Already with thousands of victims. Intro With Bitcoin on the rise and a market exceeding billions of dollars, cryptocurrency has attracted threat actors wishing to leverage these capitals for their own financial gain. In December, we discovered a wide-ranging…
Интересная тема, связанная со вчерашними событиями в Капитолии США. Даже в отрыве от самих событий, есть интересный аспект именно инфосека — то, что теперь практически всю электронику в здании Конгресса надо либо тщательно проверить, либо заменить, поскольку нет никаких гарантий, что там не были установлены импланты, вирусы, прослушки и тд. Физический взлом — это весело (нет). Вот тред в твиттере об этом.
https://threadreaderapp.com/thread/1347000969435860993.html
https://threadreaderapp.com/thread/1347000969435860993.html
Threadreaderapp
Thread by @jacobian on Thread Reader App
Thread by @jacobian: So much this. A physical breach is a nightmare scenario for infosec. On the off-chance that any of my followers are involved in this -- I do have some experience in scenarios like this...…
а вот еще интересный апдейт про SolarWinds. Например, правоохранительные органы расследуют возможную версию, что хакеры использовали продукт JetBrains TeamCity для того, чтобы пробраться в SolarWinds
https://www.reuters.com/article/us-global-cyber-jetbrains/fbi-probe-of-major-hack-includes-project-management-software-from-jetbrains-sources-idUSKBN29B2RR
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html
АПД во избежание дальнейших недоразумений:
«JetBrains said on Wednesday that it was not aware of being under investigation nor was it aware of any compromise.». Новость в том, что инструмент JetBrains подозревают в том, что он мог быть использован для такого взлома, и идет расследование.
JB в своем блоге говорят «мы НА ДАННЫЙ МОМЕНТ не обладаем информацией о взломе TeamCity», что не гарантирует, что, например, потом эта информация не поменяется.
на русском https://blog.jetbrains.com/ru/blog/2021/01/07/statement-on-the-story-from-the-new-york-times-regarding-jetbrains-and-solarwinds/
https://blog.jetbrains.com/blog/2021/01/07/an-update-on-solarwinds/
https://www.reuters.com/article/us-global-cyber-jetbrains/fbi-probe-of-major-hack-includes-project-management-software-from-jetbrains-sources-idUSKBN29B2RR
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html
АПД во избежание дальнейших недоразумений:
«JetBrains said on Wednesday that it was not aware of being under investigation nor was it aware of any compromise.». Новость в том, что инструмент JetBrains подозревают в том, что он мог быть использован для такого взлома, и идет расследование.
JB в своем блоге говорят «мы НА ДАННЫЙ МОМЕНТ не обладаем информацией о взломе TeamCity», что не гарантирует, что, например, потом эта информация не поменяется.
на русском https://blog.jetbrains.com/ru/blog/2021/01/07/statement-on-the-story-from-the-new-york-times-regarding-jetbrains-and-solarwinds/
https://blog.jetbrains.com/blog/2021/01/07/an-update-on-solarwinds/
U.S.
FBI probe of major hack includes project-management software from JetBrains: sources
The FBI is investigating whether the hackers behind a series of intrusions at U.S. federal agencies and companies also broke into project-management software created by the Czech-based company JetBrains in order to breach its customers, two people familiar…
Пользователям Whatsapp будет полезно узнать, что либо ты соглашаешься на передачу данных ФБ, либо остаешься без аккаунта
https://www.trustedreviews.com/news/whatsapp-gives-users-ultimatum-share-data-with-facebook-or-lose-access-4117377
https://www.trustedreviews.com/news/whatsapp-gives-users-ultimatum-share-data-with-facebook-or-lose-access-4117377
Trusted Reviews
WhatsApp gives users ultimatum – share data with Facebook or lose access
WhatsApp users are being informed they must consent to sharing their data with Facebook if they wish to continue using the app | Trusted Reviews
Ну как там трудо выебудни, начались?
А вот вам пост о том, как функция Телеграма «Люди рядом», выключенная по умолчанию, если её включить, может позволить вычислить местоположение пользователя. Исследователь, который обнаружил эту проблему, сообщил о ней в Телеграм, но разработчики сказали, что в исправлении она не нуждается.
Собственно, оригинальный пост об этом
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html
Ссылка от читателя об этом же, но на русском языке
https://kopelyan.kz/index.php/2021/01/07/gps/
А вот вам пост о том, как функция Телеграма «Люди рядом», выключенная по умолчанию, если её включить, может позволить вычислить местоположение пользователя. Исследователь, который обнаружил эту проблему, сообщил о ней в Телеграм, но разработчики сказали, что в исправлении она не нуждается.
Собственно, оригинальный пост об этом
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html
Ссылка от читателя об этом же, но на русском языке
https://kopelyan.kz/index.php/2021/01/07/gps/
База данных 1,3 млн российских владельцев автомобилей Hyundai выставлена на продажу на теневых форумах. В ней содержатся в том числе адреса пользователей, информация об автомобилях и заказе запчастей. Злоумышленники могут использовать данные для угона автомобилей, также их владельцам стоит ожидать сообщений от спамеров, предупреждают эксперты по кибербезопасности.
https://www.kommersant.ru/doc/4639640
https://www.kommersant.ru/doc/4639640
Коммерсантъ
Докатились до утечки
На продажу выставлены данные российских пользователей Hyundai
А про SolarWinds еще хочу добавить небольшой апдейт:
А) NSA и ФБР подтвердили на прошлой неделе, что, скорей всего, за взломом государственных организаций и компаний стоит Россия
https://apnews.com/article/us-blames-russia-federal-hacking-3921096dfd9693a020420acc787132bd
Б) Определился список различных министерств и других федеральных ведомств, которые подтвердились хакерской атаке через уязвимости в SolarWinds Orion
https://www.fedscoop.com/solarwinds-recap-federal-agencies-caught-orion-breach/
В списке министерства торговли, обороны, энергетики, национальной безопасности, юстиции, иностранных дел, финансов, и национальное агенство по здоровью. Неплохо, неплохо.
А) NSA и ФБР подтвердили на прошлой неделе, что, скорей всего, за взломом государственных организаций и компаний стоит Россия
https://apnews.com/article/us-blames-russia-federal-hacking-3921096dfd9693a020420acc787132bd
Б) Определился список различных министерств и других федеральных ведомств, которые подтвердились хакерской атаке через уязвимости в SolarWinds Orion
https://www.fedscoop.com/solarwinds-recap-federal-agencies-caught-orion-breach/
В списке министерства торговли, обороны, энергетики, национальной безопасности, юстиции, иностранных дел, финансов, и национальное агенство по здоровью. Неплохо, неплохо.
AP NEWS
US: Hack of federal agencies 'likely Russian in origin'
WASHINGTON (AP) — Top national security agencies confirmed Tuesday that Russia was likely responsible for a massive hack of U.S. government departments and corporations, rejecting President Donald Trump's claim that China might be to blame.
Приложение Parler — социальная сеть типа Твиттера, но без ограничений на содержимое постов, которую за выходные забанили в App Store, Google Play, и в AWS, похоже, не уделяла достаточного внимания безопасности данных своих пользователей. В итоге сначала пользователь твиттера опубликовала информацию о том, как она смогла выкачать все посты в сети, начиная с 6 января, включая удаленные посты и видео с дополнительными данными — географическими координатами
https://twitter.com/donk_enby/status/1348281459031814146
Информация собирается тут: https://tracker.archiveteam.org/parler/
Ну и там дальше, конечно, началось (после того, как Twilio прекратили предоставлять сервисы по аутентификации) - посты, фотографии, видео, профили, и тд):
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_parler_user_data_is_being_downloaded_as_we/giu04o6/
чуваки уже развлекаются по полной - скриптом насоздавали миллионы админских аккаунтов, а потом оказалось, что админы имеют доступ к удаленным постам, потому что удаленные посты на самом деле не удалялись, а только отмечались удаленными. Ох.
Дополнение: похоже, что взлома (и создания админских аккаунтов) не было, а имело место выкачивание данных по публичным API. Продолжаем наблюдение.
https://twitter.com/donk_enby/status/1348281459031814146
Информация собирается тут: https://tracker.archiveteam.org/parler/
Ну и там дальше, конечно, началось (после того, как Twilio прекратили предоставлять сервисы по аутентификации) - посты, фотографии, видео, профили, и тд):
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_parler_user_data_is_being_downloaded_as_we/giu04o6/
чуваки уже развлекаются по полной - скриптом насоздавали миллионы админских аккаунтов, а потом оказалось, что админы имеют доступ к удаленным постам, потому что удаленные посты на самом деле не удалялись, а только отмечались удаленными. Ох.
Дополнение: похоже, что взлома (и создания админских аккаунтов) не было, а имело место выкачивание данных по публичным API. Продолжаем наблюдение.
Twitter
crash override
I am now crawling URLs of all videos uploaded to Parler. Sequentially from latest to oldest. VIDXXX.txt files coming up, 50k chunks, there will be 1.1M URLs total: https://t.co/YUl8CtoeEA This may include things from deleted/private posts.
Октябрь прошлого года — новости про устройство для контроля мужского целомудрия, которое подключено к интернету и контролируется удаленно
https://t.me/alexmakus/3669
январь — новости про жертв, у которых хакеры получили контроль над этим устройством, и требуют выкуп в биткойнах
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
вот он, настоящий киберпанк, а не вот это вот все
https://t.me/alexmakus/3669
январь — новости про жертв, у которых хакеры получили контроль над этим устройством, и требуют выкуп в биткойнах
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
вот он, настоящий киберпанк, а не вот это вот все
Telegram
Информация опасносте
Сегодня я а) узнал, что есть устройства для контроля мужского целомудрия, и б) что они подключены к интернету, и могут управляться с мобильного приложения. Оставим за кадром вопрос «ЗАЧЕМ», но в рамках нашего канала я просто поделюсь ссылкой на исследование…
Тем временем Ubiquiti — производитель сетевого оборудования и беспроводных роутеров — разослал своим пользователям призыв изменить пароль, посколько компания, кажется, стала объектом хакерского взлома. В очень плохо сформулированном без конкретики сообщении просто советуют поменять пароль, а то они не уверены, получили ли доступ хакеры к вашим данным или нет
https://community.ui.com/questions/Account-Notification/96467115-49b5-4dd6-9517-f8cdbf6906f3
https://community.ui.com/questions/Account-Notification/96467115-49b5-4dd6-9517-f8cdbf6906f3
а теперь вроде как всплыла инфа, украденная у FireEye (через SolarWinds) на продажу
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
BleepingComputer
SolarLeaks site claims to sell data stolen in SolarWinds attacks
A website named 'SolarLeaks' is selling data they claim was stolen from companies confirmed to have been breached in the SolarWinds attack.
Мне тут прислали такое. Пара комментариев: а) нет, приложение не удаляется автоматически при бане в аппсторе, б) когда-то давно Джобс действительно упомянул про килл свич в аппсторе, но его никогда не применяли, в) инструкция вообще не о том, и эти манипуляции не защитят от килл свича, если его действительно решат применить. Когда уже перестанут пускать идиотов в интернет...
А помните, была история с ContentFilterExclusionList — список приложений и системных сервисов в macOS, которые Apple решила роутить в системе самостоятельно. Это приводило к тому, что часть сервисов системы в интернет ходила мимо VPN, если такой был запущен. Я более подробно писал об этом тут https://t.me/alexmakus/3724
короче, вчера вышла новая бета macOS, и эту штуку Apple выпилила из системы. Теперь сторонние файрволлы снова могут блокировать системные процессы
https://www.patreon.com/posts/46179028
короче, вчера вышла новая бета macOS, и эту штуку Apple выпилила из системы. Теперь сторонние файрволлы снова могут блокировать системные процессы
https://www.patreon.com/posts/46179028
Telegram
Информация опасносте
Ну и самая главная и непонятная история во всем этом история, на которой первоначальная статья фокусируется меньше всего — это ContentFilterExclusionList (/System/Library/Frameworks/NetworkExtension.framework/Versions/A/Resources/Info.plist), некий список…