Ну что ж, продолжим и в новом году. Вчера было некогда об этом писать, но вообще тут интересные танцы про SolarWinds и Microsoft. Несмотря на то, что Microsoft раньше отрицала, что её системы были взломаны в рамках большого взлома SolarWinds, позже оказалось, что это не так. (Microsoft называет историю с этим взломом Solorigate). А вчера ещё Microsoft опубликовала пост, в котором компания рассказала, что хакеры (подозревается, что группировка работает на СВР России) получили доступ к исходному коду некоторых продуктов компании. Отдельно компания уточняет, что нет доказательств доступа к рабочим системам или пользовательской информации. Судя по посту Microsoft, был скомпрометирован аккаунт сотрудника, через который просматривали, но не модифицировали) код в некоторых репозиториях. Хотя на первый взгляд это звучит ужасно, но все не так плохо: подход Microsoft заключается как раз в том, что код не является секретным для сотрудников компании, и компания исходит из того, что злоумышленники знают исходный код, когда Microsoft рассматривает модели угроз:
At Microsoft, we have an inner source approach – the use of open source software development best practices and an open source-like culture – to making source code viewable within Microsoft. This means we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.
Чтение кода - это не изменение процессов сборки или механизмов обновлений, как это было в случае с SolarWinds. Надо помнить, что Microsoft уже давно раскрывает свой исходный код многим правительствам (около 45 стран). Да и исходники у компании неоднократно утекали, даже в прошлом году был пост об этом в этом канале. Так что эта новость интересна тем, что Microsoft таки была жертвой взлома, и о самих масштабах доступа, но, наверно, не более.
https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/
At Microsoft, we have an inner source approach – the use of open source software development best practices and an open source-like culture – to making source code viewable within Microsoft. This means we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.
Чтение кода - это не изменение процессов сборки или механизмов обновлений, как это было в случае с SolarWinds. Надо помнить, что Microsoft уже давно раскрывает свой исходный код многим правительствам (около 45 стран). Да и исходники у компании неоднократно утекали, даже в прошлом году был пост об этом в этом канале. Так что эта новость интересна тем, что Microsoft таки была жертвой взлома, и о самих масштабах доступа, но, наверно, не более.
https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/
Более 100 тысяч устройств Zyxel оказались с бэкдором - файерволлы, гейтвеи VPN, и тд содержат в себе захардкоженные логин-пароль для админского доступа удаленно. Логин zyfwp и пароль "PrOw!aN_fXp", ну с кем не бывает.
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Информация об апдейтах устройств https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Информация об апдейтах устройств https://www.zyxel.com/support/CVE-2020-29583.shtml
Новая малварь ElectroRAT для воровства криптокошельков
https://www.intezer.com/blog/research/operation-ElectroRAT-attacker-creates-fake-companies-to-drain-your-crypto-wallets/
Есть даже версия под Мак
https://objective-see.com/downloads/malware/ElectroRAT.zip
(password: infect3d)
https://www.intezer.com/blog/research/operation-ElectroRAT-attacker-creates-fake-companies-to-drain-your-crypto-wallets/
Есть даже версия под Мак
https://objective-see.com/downloads/malware/ElectroRAT.zip
(password: infect3d)
Intezer
Operation ElectroRAT: Attacker Creates Fake Companies to Drain Your Crypto Wallets
Already with thousands of victims. Intro With Bitcoin on the rise and a market exceeding billions of dollars, cryptocurrency has attracted threat actors wishing to leverage these capitals for their own financial gain. In December, we discovered a wide-ranging…
Интересная тема, связанная со вчерашними событиями в Капитолии США. Даже в отрыве от самих событий, есть интересный аспект именно инфосека — то, что теперь практически всю электронику в здании Конгресса надо либо тщательно проверить, либо заменить, поскольку нет никаких гарантий, что там не были установлены импланты, вирусы, прослушки и тд. Физический взлом — это весело (нет). Вот тред в твиттере об этом.
https://threadreaderapp.com/thread/1347000969435860993.html
https://threadreaderapp.com/thread/1347000969435860993.html
Threadreaderapp
Thread by @jacobian on Thread Reader App
Thread by @jacobian: So much this. A physical breach is a nightmare scenario for infosec. On the off-chance that any of my followers are involved in this -- I do have some experience in scenarios like this...…
а вот еще интересный апдейт про SolarWinds. Например, правоохранительные органы расследуют возможную версию, что хакеры использовали продукт JetBrains TeamCity для того, чтобы пробраться в SolarWinds
https://www.reuters.com/article/us-global-cyber-jetbrains/fbi-probe-of-major-hack-includes-project-management-software-from-jetbrains-sources-idUSKBN29B2RR
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html
АПД во избежание дальнейших недоразумений:
«JetBrains said on Wednesday that it was not aware of being under investigation nor was it aware of any compromise.». Новость в том, что инструмент JetBrains подозревают в том, что он мог быть использован для такого взлома, и идет расследование.
JB в своем блоге говорят «мы НА ДАННЫЙ МОМЕНТ не обладаем информацией о взломе TeamCity», что не гарантирует, что, например, потом эта информация не поменяется.
на русском https://blog.jetbrains.com/ru/blog/2021/01/07/statement-on-the-story-from-the-new-york-times-regarding-jetbrains-and-solarwinds/
https://blog.jetbrains.com/blog/2021/01/07/an-update-on-solarwinds/
https://www.reuters.com/article/us-global-cyber-jetbrains/fbi-probe-of-major-hack-includes-project-management-software-from-jetbrains-sources-idUSKBN29B2RR
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html
АПД во избежание дальнейших недоразумений:
«JetBrains said on Wednesday that it was not aware of being under investigation nor was it aware of any compromise.». Новость в том, что инструмент JetBrains подозревают в том, что он мог быть использован для такого взлома, и идет расследование.
JB в своем блоге говорят «мы НА ДАННЫЙ МОМЕНТ не обладаем информацией о взломе TeamCity», что не гарантирует, что, например, потом эта информация не поменяется.
на русском https://blog.jetbrains.com/ru/blog/2021/01/07/statement-on-the-story-from-the-new-york-times-regarding-jetbrains-and-solarwinds/
https://blog.jetbrains.com/blog/2021/01/07/an-update-on-solarwinds/
U.S.
FBI probe of major hack includes project-management software from JetBrains: sources
The FBI is investigating whether the hackers behind a series of intrusions at U.S. federal agencies and companies also broke into project-management software created by the Czech-based company JetBrains in order to breach its customers, two people familiar…
Пользователям Whatsapp будет полезно узнать, что либо ты соглашаешься на передачу данных ФБ, либо остаешься без аккаунта
https://www.trustedreviews.com/news/whatsapp-gives-users-ultimatum-share-data-with-facebook-or-lose-access-4117377
https://www.trustedreviews.com/news/whatsapp-gives-users-ultimatum-share-data-with-facebook-or-lose-access-4117377
Trusted Reviews
WhatsApp gives users ultimatum – share data with Facebook or lose access
WhatsApp users are being informed they must consent to sharing their data with Facebook if they wish to continue using the app | Trusted Reviews
Ну как там трудо выебудни, начались?
А вот вам пост о том, как функция Телеграма «Люди рядом», выключенная по умолчанию, если её включить, может позволить вычислить местоположение пользователя. Исследователь, который обнаружил эту проблему, сообщил о ней в Телеграм, но разработчики сказали, что в исправлении она не нуждается.
Собственно, оригинальный пост об этом
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html
Ссылка от читателя об этом же, но на русском языке
https://kopelyan.kz/index.php/2021/01/07/gps/
А вот вам пост о том, как функция Телеграма «Люди рядом», выключенная по умолчанию, если её включить, может позволить вычислить местоположение пользователя. Исследователь, который обнаружил эту проблему, сообщил о ней в Телеграм, но разработчики сказали, что в исправлении она не нуждается.
Собственно, оригинальный пост об этом
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html
Ссылка от читателя об этом же, но на русском языке
https://kopelyan.kz/index.php/2021/01/07/gps/
База данных 1,3 млн российских владельцев автомобилей Hyundai выставлена на продажу на теневых форумах. В ней содержатся в том числе адреса пользователей, информация об автомобилях и заказе запчастей. Злоумышленники могут использовать данные для угона автомобилей, также их владельцам стоит ожидать сообщений от спамеров, предупреждают эксперты по кибербезопасности.
https://www.kommersant.ru/doc/4639640
https://www.kommersant.ru/doc/4639640
Коммерсантъ
Докатились до утечки
На продажу выставлены данные российских пользователей Hyundai
А про SolarWinds еще хочу добавить небольшой апдейт:
А) NSA и ФБР подтвердили на прошлой неделе, что, скорей всего, за взломом государственных организаций и компаний стоит Россия
https://apnews.com/article/us-blames-russia-federal-hacking-3921096dfd9693a020420acc787132bd
Б) Определился список различных министерств и других федеральных ведомств, которые подтвердились хакерской атаке через уязвимости в SolarWinds Orion
https://www.fedscoop.com/solarwinds-recap-federal-agencies-caught-orion-breach/
В списке министерства торговли, обороны, энергетики, национальной безопасности, юстиции, иностранных дел, финансов, и национальное агенство по здоровью. Неплохо, неплохо.
А) NSA и ФБР подтвердили на прошлой неделе, что, скорей всего, за взломом государственных организаций и компаний стоит Россия
https://apnews.com/article/us-blames-russia-federal-hacking-3921096dfd9693a020420acc787132bd
Б) Определился список различных министерств и других федеральных ведомств, которые подтвердились хакерской атаке через уязвимости в SolarWinds Orion
https://www.fedscoop.com/solarwinds-recap-federal-agencies-caught-orion-breach/
В списке министерства торговли, обороны, энергетики, национальной безопасности, юстиции, иностранных дел, финансов, и национальное агенство по здоровью. Неплохо, неплохо.
AP NEWS
US: Hack of federal agencies 'likely Russian in origin'
WASHINGTON (AP) — Top national security agencies confirmed Tuesday that Russia was likely responsible for a massive hack of U.S. government departments and corporations, rejecting President Donald Trump's claim that China might be to blame.
Приложение Parler — социальная сеть типа Твиттера, но без ограничений на содержимое постов, которую за выходные забанили в App Store, Google Play, и в AWS, похоже, не уделяла достаточного внимания безопасности данных своих пользователей. В итоге сначала пользователь твиттера опубликовала информацию о том, как она смогла выкачать все посты в сети, начиная с 6 января, включая удаленные посты и видео с дополнительными данными — географическими координатами
https://twitter.com/donk_enby/status/1348281459031814146
Информация собирается тут: https://tracker.archiveteam.org/parler/
Ну и там дальше, конечно, началось (после того, как Twilio прекратили предоставлять сервисы по аутентификации) - посты, фотографии, видео, профили, и тд):
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_parler_user_data_is_being_downloaded_as_we/giu04o6/
чуваки уже развлекаются по полной - скриптом насоздавали миллионы админских аккаунтов, а потом оказалось, что админы имеют доступ к удаленным постам, потому что удаленные посты на самом деле не удалялись, а только отмечались удаленными. Ох.
Дополнение: похоже, что взлома (и создания админских аккаунтов) не было, а имело место выкачивание данных по публичным API. Продолжаем наблюдение.
https://twitter.com/donk_enby/status/1348281459031814146
Информация собирается тут: https://tracker.archiveteam.org/parler/
Ну и там дальше, конечно, началось (после того, как Twilio прекратили предоставлять сервисы по аутентификации) - посты, фотографии, видео, профили, и тд):
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_parler_user_data_is_being_downloaded_as_we/giu04o6/
чуваки уже развлекаются по полной - скриптом насоздавали миллионы админских аккаунтов, а потом оказалось, что админы имеют доступ к удаленным постам, потому что удаленные посты на самом деле не удалялись, а только отмечались удаленными. Ох.
Дополнение: похоже, что взлома (и создания админских аккаунтов) не было, а имело место выкачивание данных по публичным API. Продолжаем наблюдение.
Twitter
crash override
I am now crawling URLs of all videos uploaded to Parler. Sequentially from latest to oldest. VIDXXX.txt files coming up, 50k chunks, there will be 1.1M URLs total: https://t.co/YUl8CtoeEA This may include things from deleted/private posts.
Октябрь прошлого года — новости про устройство для контроля мужского целомудрия, которое подключено к интернету и контролируется удаленно
https://t.me/alexmakus/3669
январь — новости про жертв, у которых хакеры получили контроль над этим устройством, и требуют выкуп в биткойнах
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
вот он, настоящий киберпанк, а не вот это вот все
https://t.me/alexmakus/3669
январь — новости про жертв, у которых хакеры получили контроль над этим устройством, и требуют выкуп в биткойнах
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom
вот он, настоящий киберпанк, а не вот это вот все
Telegram
Информация опасносте
Сегодня я а) узнал, что есть устройства для контроля мужского целомудрия, и б) что они подключены к интернету, и могут управляться с мобильного приложения. Оставим за кадром вопрос «ЗАЧЕМ», но в рамках нашего канала я просто поделюсь ссылкой на исследование…
Тем временем Ubiquiti — производитель сетевого оборудования и беспроводных роутеров — разослал своим пользователям призыв изменить пароль, посколько компания, кажется, стала объектом хакерского взлома. В очень плохо сформулированном без конкретики сообщении просто советуют поменять пароль, а то они не уверены, получили ли доступ хакеры к вашим данным или нет
https://community.ui.com/questions/Account-Notification/96467115-49b5-4dd6-9517-f8cdbf6906f3
https://community.ui.com/questions/Account-Notification/96467115-49b5-4dd6-9517-f8cdbf6906f3
а теперь вроде как всплыла инфа, украденная у FireEye (через SolarWinds) на продажу
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
BleepingComputer
SolarLeaks site claims to sell data stolen in SolarWinds attacks
A website named 'SolarLeaks' is selling data they claim was stolen from companies confirmed to have been breached in the SolarWinds attack.
Мне тут прислали такое. Пара комментариев: а) нет, приложение не удаляется автоматически при бане в аппсторе, б) когда-то давно Джобс действительно упомянул про килл свич в аппсторе, но его никогда не применяли, в) инструкция вообще не о том, и эти манипуляции не защитят от килл свича, если его действительно решат применить. Когда уже перестанут пускать идиотов в интернет...