Сегодня министерство торговли США добавило в список организаций, деятельность которых представляет угрозу национальной безопасности США, сразу несколько компаний:
- NSO Group и Candiru (Израиль)— постоянного участника новостей в канале, за то, что она продает шпионское ПО правительствам, которые затем используют это ПО для слежки за журналистами, политиками и другими общественными деятелями
- Positive Technologies (Россия) и Computer Security Initiative Consultancy PTE. LTD. (Сингапур) добавлены в список за торговлю инструментами, которые используются для получения неавторизованного доступа к информационным системам
https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list
- NSO Group и Candiru (Израиль)— постоянного участника новостей в канале, за то, что она продает шпионское ПО правительствам, которые затем используют это ПО для слежки за журналистами, политиками и другими общественными деятелями
- Positive Technologies (Россия) и Computer Security Initiative Consultancy PTE. LTD. (Сингапур) добавлены в список за торговлю инструментами, которые используются для получения неавторизованного доступа к информационным системам
https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list
U.S. Department of Commerce
Commerce Adds NSO Group and Other Foreign Companies to Entity List for Malicious Cyber Activities
The Commerce Department’s Bureau of Industry and Security (BIS) has released a final rule adding four foreign companies to the Entity List for engaging in activities that are contrary to the national security or foreign
Еще месяц назад Боб Дьяченко писал о взломе баз DashVPN и FreeVPN.org
https://twitter.com/MayhemDayOne/status/1447955053554413571
а теперь вот пишут, что данные появились в онлайне, доступные для покупки:
В открытый доступ попали логины и пароли, а также IP-адреса и идентификаторы устройств 45,5 млн пользователей мобильных VPN-сервисов, из которых около 800 тыс. пришлось на россиян.
https://www.kommersant.ru/doc/5062713
https://twitter.com/MayhemDayOne/status/1447955053554413571
а теперь вот пишут, что данные появились в онлайне, доступные для покупки:
В открытый доступ попали логины и пароли, а также IP-адреса и идентификаторы устройств 45,5 млн пользователей мобильных VPN-сервисов, из которых около 800 тыс. пришлось на россиян.
https://www.kommersant.ru/doc/5062713
Twitter
Bob Diachenko
Since Fri I've been trying to get in touch with someone from ActMobile [@ActMobile] to responsibly alert that their VPN userbase (45M+) info (email, pwd, IPs, devices etc) is exposed to public but no luck. Incl. but not limited to @DashVPN, FreeVPN.org. Anyone?
да-да, как скажутся рекламные сообщения, а? к счастью, тематика канала такая, что редкая птица добежит до подачи рекламы на эту тему
=== РЕКЛАМА ===
PT NAD 10.2: новые возможности выявления киберугроз с помощью анализа трафика
По результатам опроса Positive Technologies, 20% российских специалистов по ИБ выявляют целевые атаки с помощью систем анализа трафика (NTA), еще столько же планируют начать использовать этот класс решений в ближайшие 1—3 года.
На вебинаре 9 ноября эксперты Positive Technologies поделятся результатами свежего исследования и расскажут, как компании привыкли защищаться от целевых атак. Покажут новые возможности NTA-системы PT Network Attack Discovery и ее маппинг на матрицу MITRE ATT&CK.
Регистрация
PT NAD 10.2: новые возможности выявления киберугроз с помощью анализа трафика
По результатам опроса Positive Technologies, 20% российских специалистов по ИБ выявляют целевые атаки с помощью систем анализа трафика (NTA), еще столько же планируют начать использовать этот класс решений в ближайшие 1—3 года.
На вебинаре 9 ноября эксперты Positive Technologies поделятся результатами свежего исследования и расскажут, как компании привыкли защищаться от целевых атак. Покажут новые возможности NTA-системы PT Network Attack Discovery и ее маппинг на матрицу MITRE ATT&CK.
Регистрация
Robinhood — популярная онлайн-платформа для торгов акциями в США — сообщила о взломе. Утверджается, что взломщики получили 5 млн записей пользователей с адресами электронной почты, и еще 2 млн записей реальных имен пользователей. Другая информация, по словам компании, не задета. Интересно, что компания говорит о том, что "взлом произошел путем социальной инженерии сотрудника поддержки", что привело к доступу к некоторым системам поддержки. Также нашлись люди, которые утверждают, что деактивировали свои учетки в сервисе ранее, но они получили уведомление от Robinhood — что свидетельствует о том, что деактивация совсем не означает "удаление". Хм, как по мне, так и логично: удаление — это удаление, а деактивация — понятно что 🙂
https://blog.robinhood.com/news/2021/11/8/data-security-incident
https://robinhood.com/us/en/support/articles/november-3-data-security-incident/
https://blog.robinhood.com/news/2021/11/8/data-security-incident
https://robinhood.com/us/en/support/articles/november-3-data-security-incident/
Robinhood Newsroom
Robinhood Announces Data Security Incident (Update) - Robinhood Newsroom
Update on November 16, 2021 at 9:55 AM PT: We’re providing the following update to keep our customers and other
4 ноября Европол арестовал в Румынии двух компьютерных злоумышленников, которые обвиняются в использовании для атак вредоносное ПО Sodinokibi/REvil. Конкретно эти двое арестованных обвиняются в организации более 5 тысяч заражений, что позволило им получить более полумиллиона евро в виде выкупов за свои атаки.
https://www.europol.europa.eu/newsroom/news/five-affiliates-to-sodinokibi/revil-unplugged
https://www.europol.europa.eu/newsroom/news/five-affiliates-to-sodinokibi/revil-unplugged
Europol
Five affiliates to Sodinokibi/REvil unplugged – Suspected of about 7 000 infections, the arrested affiliates asked for more than…
Updated on 8 November at 18:30 On 4 November, Romanian authorities arrested two individuals suspected of cyber-attacks deploying the Sodinokibi/REvil ransomware. They are allegedly responsible for 5 000 infections, which in total pocketed half a million euros…
А министерство юстиции США со своей стороны океана заявило о том, приняло меры по отношению к другим злоумышленникам, которые тоже обвиняются в использовании ПО Sodinokibi/REvil для зашифровки данных их жертв. Тут речь идет о гражданине Украины Ярославе Васинском и гражданине России Евгении Полянине. Васинского еще в октябре арестовали в Польше, и там идут переговоры о выдаче его в США. Обвиняются они много в чем, включая атаку на Kaseya (https://t.me/alexmakus/4155). У Полянина каким-то образом изъяли 6,1 млн долларов (может быть, арестовали где-то крипто-кошелек), хотя самого, как я понял, не арестовали, потому что "он находится за границей".
Если будет доказана их вина по всем пунктам обвинения, им грозит 115 и 145 лет в тюрьме соответственно.
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya
Если будет доказана их вина по всем пунктам обвинения, им грозит 115 и 145 лет в тюрьме соответственно.
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya
Telegram
Информация опасносте
Конечно же, в пятницу вечером началось. Большая атака вируса-вымогателя группировки REvil через одного провайдера - компанию Kaseya. Компания предоставляет платформу для управления апдейтами и мониторинга клиентов.
Заявление компании http://helpdesk.kaseya.com/hc/en…
Заявление компании http://helpdesk.kaseya.com/hc/en…
=== РЕКЛАМА ====
Академия информационных систем приглашает подписчиков канала на БЕСПЛАТНУЮ онлайн-конференцию «Инструменты противодействия социальной инженерии и кибермошенничествам»
Перед вами выступят:
▪️ Кирилл Кулаков, менеджер по сопровождению корпоративных продаж, Лаборатория Касперского
“Эффективные методы борьбы с социальной инженерией на фоне пандемии”
▪️ Алексей Плешков, независимый эксперт по информационной безопасности
“Социальная инженерия как инструмент злоумышленников по управлению сознанием жертв. Методы детектирования и противодействия”
▪️ Алексей Сизов, начальник отдела противодействия мошенничеству, компания «Инфосистемы Джет»
“Противодействие мошенничеству: фрод ближе, чем вы думаете”
Онлайн-трансляция пройдет 11.11 в 11:00
Регистрация по >> ссылке <<
Академия информационных систем приглашает подписчиков канала на БЕСПЛАТНУЮ онлайн-конференцию «Инструменты противодействия социальной инженерии и кибермошенничествам»
Перед вами выступят:
▪️ Кирилл Кулаков, менеджер по сопровождению корпоративных продаж, Лаборатория Касперского
“Эффективные методы борьбы с социальной инженерией на фоне пандемии”
▪️ Алексей Плешков, независимый эксперт по информационной безопасности
“Социальная инженерия как инструмент злоумышленников по управлению сознанием жертв. Методы детектирования и противодействия”
▪️ Алексей Сизов, начальник отдела противодействия мошенничеству, компания «Инфосистемы Джет»
“Противодействие мошенничеству: фрод ближе, чем вы думаете”
Онлайн-трансляция пройдет 11.11 в 11:00
Регистрация по >> ссылке <<
просто смешная история про то, как шутник смог заблокировать аккаунт генерального директора Инстаграмма. Он воспользовался возможностью подать информацию о том, что владелец аккаунта умер, из ИГ попросили подтверждение, чувак показал фейковую статью с некрологом — и вот так легко вполне живой СЕО компании не мог какое-то время попасть в свой аккаунт.
https://www.vice.com/en/article/7kb9by/adam-mosseri-dead-instagram-account-locked
https://www.vice.com/en/article/7kb9by/adam-mosseri-dead-instagram-account-locked
Vice
Scammer Convinced Instagram That Its Top Executive Was Dead
A scammer said they managed to lock down the head of Instagram's account using a fake obituary.
Тут передают, что в южной Корее появилось новое вредоносное шпионское ПО для Android, которое маскируется под легитимные приложения. Корея вообще странная страна с точки зрения шпионства, пару лет назад были статьи про прямо эпидемию установки камер в женских туалетах. Вот и это шпионское ПО PhoneSpy, кроме того, что собирает пользовательские данные с телефона, получает доступ к камере и микрофону для записи звука и видео. PhoneSpy ещё умеет и приложения удалять, в частности, антивирусное ПО. Приложения с вирусом распространяются механизмами социальной инженерии и прочими редиректами, среди телефонов, на которых разрешён сайдлоадинг приложений. По мнению экспертов, обнаружившихся этот вирус, авторы собрали его из кусков других подобных приложений.
https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps/
https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps/
TechCrunch
This new Android spyware masquerades as legitimate apps
The spyware has already ensnared over a thousand victims.
Помните историю про журналиста, который нашёл в коде сайта местного отделения образования персональную информацию на учителей? Там еще губернатор штата обвинил журналиста в хакерстве. Оказалось, что в сайте была большая дыра и через него была доступна информация на 620 тысяч учителей и других сотрудников образовательных учреждений. Поэтому местные власти извинились - перед учителями. А перед журналистом не извинились
https://www.techdirt.com/articles/20211110/11331647915/missouri-admits-it-fucked-up-exposing-teacher-data-offers-apology-to-teachers-not-to-journalists-it-falsely-accused-hacking.shtml
https://www.techdirt.com/articles/20211110/11331647915/missouri-admits-it-fucked-up-exposing-teacher-data-offers-apology-to-teachers-not-to-journalists-it-falsely-accused-hacking.shtml
Techdirt
Missouri Admits It Fucked Up In Exposing Teacher Data, Offers Apology To Teachers -- But Not To Journalists It Falsely Accused…
As you'll recall, last month, journalists for the St. Louis Post-Dispatch revealed that the state's Department of Elementary...
чуваки нашли дыру в VPN-серверах Palo Alto Networks (уровень опасности 9,8 из 10), и 12 месяцев использовали её в своих продуктах для тестирования защиты сетей клиентов. Доступ к данным внутри сетей, получение данных учетных записей, просмотр устройств внутри сетей, и тд. Опасносте!
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
Ibm
QRadar SaaS | IBM
Palo Alto Networks recently completed the acquisition of IBM's QRadar Software as a Service (SaaS) assets. IBM continue to sale QRadar on-premises.
если вы получили письмо от почтовых серверов ФБР сегодня, то а) поздравляю! б) похоже, чтото там у них в почте сломали
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
Reddit
From the sysadmin community on Reddit: Email From FBI Looks Odd
Explore this post and more from the sysadmin community
Детали по поводу уязвимости, с помощью которой был разослан спам с домена американской ФБР. По сути, чувак нашёл форму, которая через POST запрос отправляла регистрирующемуся пользователю одноразовый пароль. Подмена параметров в запросе позволяла отправлять письма кому попало, чем и воспользовался исследователь (хакер?]. Вопрос в том, будет ли теперь его преследовать за это ФБР?
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
Krebs on Security
Hoax Email Blast Abused Poor Coding in FBI Website
The Federal Bureau of Investigation (FBI) confirmed today that its fbi.gov domain name and Internet address were used to blast out thousands of fake emails about a cybercrime investigation. According to an interview with the person who claimed responsibility…
Ссылка от читателя на тему канала — о том, что якобы сервис Booking.com еще в 2016 году был взломан неким американцем, работающим на разведывательные органы США. В результате взлома были похищены данные на клиентов сервиса — имена и планы поездок — проживающих в странах Ближнего Востока. Booking.com утверждает, что провели проверку и не обнаружили следов доступа к личным или финансовым данным клиентов. Может ли это служить подтверждением взлома — не очень понятно
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
Ars Technica
Booking.com was reportedly hacked by a US intel agency but never told customers
Data involving Middle Eastern countries stolen by man working for unknown US agency.
На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
Google
Analyzing a watering hole campaign using macOS exploits
To protect our users, TAG routinely hunts for 0-day vulnerabilities exploited in-the-wild. In late August 2021, TAG discovered watering hole attacks targeting visitors t…
Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
Robinhood Newsroom
Robinhood Announces Data Security Incident (Update) - Robinhood Newsroom
Update on November 16, 2021 at 9:55 AM PT: We’re providing the following update to keep our customers and other
Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).
https://www.bbc.com/news/technology-59297187
https://www.bbc.com/news/technology-59297187
Bbc
Evil Corp: 'My hunt for the world's most wanted hackers'
The BBC’s Joe Tidy goes to Russia in search of men on the FBI’s cyber most wanted list.
Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству. Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
Intel
INTEL-SA-00562